AWS上に構築したSoftEtherの設定方法

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

どーも。ちょっと風邪気味のばっしーです。

11/27(土)に開催された第二回IoTツアーズも風邪気味の中なんとか形になって発表できましたが、そもそも私が風邪気味の頭で考えた企画がイマイチだった気がしてきました…反省。

風邪対策のためにいつも鼻うがいを欠かさずしているのですが、やっぱり寒くなったからか、それでも風邪ひく時にはひいてしまいますね。風邪をひいてしまっては仕方がないので、おとなしく寝て直すしかありません。風邪に効く薬は世の中には存在しませんからね。

さて、先日のエントリーに書いたVyOSにSoftEtherを載せてしまう件ですが、パイロットユーザーのお客様に納品するために検証していて色々気づいたことがあるので記事にしてみます。

SoftEther(無料版)の弱点①-「スプリットトンネリング機能がない」

スプリットトンネリングとは、VPN接続した際に、接続先のネットワークに存在するアドレスのみ、VPN接続先をルートとして、それ以外のアドレスはインターネットに向ける機能となります。この機能があれば、例えば外出した際にスマホのテザリングでPCから利用した際に、インターネットはテザリング回線から直接見に行くことになりますが、社内のサーバーにはVPN経由で見に行くという機能です。ま、それが普通ですよね。しかし、無料版にはこの機能がないために、インターネットを見に行く通信も、すべてVPNを通ってしまいます。

通常の利用方法では大きな問題にならないかもしれませんが、以下の様な点においては大きなデメリットになってしまいます。

  • AWSなどの通信量課金のクラウドを利用している場合は通信料として加算されてしまう
  • 海外拠点から日本にVPNをしつつ、現地のホームページを参照した際、現地-日本-現地、というルートになるので大幅にアクセスが遅くなる

今回はまさに一点目が当てはまってしまますね。AWSインスタンスを通してしまうと、その通信料がすべて加算されてしまいます。

今回のお客様は国内のみでの利用のため、二点目については気になることはないと思われますが、当然ながら経由するノードが増えるので、気になる場合もあるかもしれません。

SoftEther(無料版)の弱点②-「NAT接続しか出来ない」

社内のネットワークに接続する際、NATするか、しないか。まぁぶっちゃけどっちでもいいんですが、アクセス先のサーバから見ると、NAT接続の際にはSoftEtherサーバからのアクセスに見えてしまいます。

今のところ、NATしてしまうデメリットは特に感じていないので問題はなさそうです。

ちなみに、SoftEtherはNAT機能を切るとDHCP機能も切れてしまうので、接続してもIPアドレスがもらえなくて悲しい思いをしてしまうという仕様だったりします。。。(;_;)

弱点についての結論

仕方ないのでスプリットトンネリングなし&NAT接続で利用するしかなさそうですね。

ちなみに、有料版の「PacketiX VPN」ではスプリットトンネリング機能は有るようです。非NAT接続ができるかはドキュメントを見てもよくわかりませんでしたが…

設定方法

設定方法を以下に順を追って記します。

1.サーバーへ「SoftEther VPN Server Manager」で接続します

「新しい接続設定」でサーバーを設定して、「接続」ボタンで接続します。初めて接続する際には、パスワードの設定と、ユーザーの作成を促されるので、サクッとやっちゃってください。

2016-12-07_10h59_35

2.仮想HUBの管理

接続が出来たら「仮想HUBの管理」ボタンを押します

2016-12-07_15h16_44

3.L2TPの設定

「IPsec/L2TP設定」ボタンを押します。

2016-12-07_15h39_21

「L2TPサーバー機能を有効にする」にチェックを入れ、「IPsec事前共有鍵」に強固な共有鍵を設定します。

 

2016-12-07_15h39_46

4.NATの設定

「仮想NATおよび仮想DHCPサーバ機能」ボタンをクリックします

2016-12-07_15h20_10

「SecureNATの設定」ボタンを押します。

2016-12-07_15h23_12

設定画面は以下の様になっていますが、特に変更する必要がない場合もあります。

とあるお客様で設定した場合には、私の会社の社内NWの構成上の問題で、MTU値が大きすぎて接続できない事象が発生しました。接続はできるのですが、通信量の大きい通信に失敗するという変な事象が出たのです。例えばファイルサーバーに接続した場合には短いフォルダ名は接続できる、HTTPの場合テストページだけ接続できる、HTTPは接続できない。。。等々、不可解な事象で、プロトコルにもかかわらず変な事象が発生して再現性もあったりなかったりするのがMTUっぽいとも言えますね。

2016-12-07_15h30_10

ちなみに、MTUの設定値はまず大きめな値で接続してから、Ping -l でパケットサイズを変えながら探っていく方法が一番確実なようです。

 

以下参考ページ:

Tech TIPS:pingでMTUサイズを調査する – @IT

5.NATの有効化

「SecureNAT機能を有効にする」ボタンを押します。「本当に有効にしますか?」と聞かれますので優しく流しておきましょう。

2016-12-07_15h25_54

 

以上でOSの標準機能を用いてVPN接続すれば、接続先の資産にアクセス可能になります。NAT接続となっているので、ルート設定などの細かいことは考慮する必要もありません。

ただし、インターネットもVPNを経由してしまいますので利用方法は要注意ですね。たとえばAWSなどに接続して、切断し忘れてネットサーフィンをしていると、転送課金がすごいことになっているかもしれません…おー怖い!

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

SNSでもご購読できます。

コメントを残す