前回はRaspberry Pi(Raspbian)にSoftEther VPNをインストールしました。
今回はSoftEther VPNをセットアップしていきます。
ここからの内容は、サーバがLiunxでもWindowsでも変わりません。
前回最後に書きましたが、設定にはWindowsを使います。全部コマンドだけでできるらしいんですけど、私には無理でした……。この記事の長さを見てもらえれば、なんとなくご理解頂けるかと……。
今回の工程では、ユーザとパスワードを大量に発行します。
どれがどのパスワードだったかわからなくならないよう、きちんとメモを残しましょう。
・SoftEther VPN管理ツールをインストール
まずWindowsでSoftEther VPNを管理するソフトをダウンロードします。
http://www.softether-download.com/ja.aspx?product=softether
ダウンロードするソフトウェアを選択:SoftEther VPN(Freeware)
コンポーネントを選択:SoftEther VPN Server Manager for Windows
プラットフォームを選択:Windows
CPUを選択:Intel(x86 and x64)
を選択して、一番新しい管理ツールをダウンロードします。
インストーラを開いて、インストールを進めていきます。
ここで「SoftEther VPN サーバー管理マネージャ(管理ツールのみ)」を選択して次へ。
インストールが完了すると、アイコンが出てきますので、ダブルクリックで起動します。
・SoftEther VPN サーバーの設定
ここからはやっと、SoftEther VPNサーバーの設定に入っていきます。
今回は家の中のネットワークに、外部からアクセスできるようにする設定を作成します。
これからの設定において、
・SoftEther VPNサーバー自体の設定
・仮想HUB内限定の設定
に分かれています。
公式の手順は入り混じって案内されますので、混乱しないように、どちらの設定なのか書き添えておきます。またパスワードがたくさん出てきますので、全てメモ帳なり、テキストエディットなりに書き写しておいてください。全てですよ。全て。
SoftEther VPNサーバーへ設定するための接続
これは「SoftEther VPNサーバー自体の設定」です。
先ほどの手順で管理マネージャを起動していると思いますので、「新しい接続設定」をクリックします。
初回接続ではSoftEther VPNサーバーに接続するためのパスワードを聞かれますので、控えておいてください。これをなくすと管理できなくなってしまいます。
ここでは接続設定名、SoftEtherのサーバマシンのIP、SoftEtherを管理するためのパスワード(今しがた入力したもの)の3点を記入します。
管理マネージャに接続設定名が追加されましたので「接続」をクリック。
SoftEther VPNの簡易セットアップ
初回接続時には、まず簡易セットアップが出てきます。
「SoftEther VPNサーバー自体の設定」です。
私は「リモートアクセスVPNサーバー」と「拠点間接続VPNサーバーまたはブリッジ」にチェックを入れて運用することにしました。「リモートアクセスVPN」のみでも構いません。
仮想HUBのセットアップ
仮想HUBを1つ作るダイアログが出てきます。
こちらは「仮想HUB内限定の設定」です。英数字で名付けてください。
仮想HUB名は何度も使うことができ、あとから複数作ることができるものなので、きちんと控えて覚えておいてください。
ダイナミックDNSの設定
次に急に「SoftEther VPNサーバー自体の設定」に戻ります。
SoftEtherの無料サービスでダイナミックDNSアドレスをもらうことが出来ます。
「〜〜〜.softether.net」というアドレスを、きちんと控えておいてください。
あとDNS鍵という所も取っておいた方が良いです。
私のようにサーバの中身が消えてしまった時、この鍵さえあれば同じアドレスを使うことができます。
IPSec / L2TP 設定
「SoftEther VPNサーバー自体の設定」です。
ダイナミックDNSの設定を閉じると、IPSec / L2TPの設定をするか聞かれます。
私はMacから接続しますので、「はい」を押して設定します。
「L2TPサーバー機能を有効にする(L2TP over IPSec)」にチェックを入れて
IPSec事前共有鍵にパスワードを8文字程度のパスワードを入れます。
VPN Azureサービスの設定
「SoftEther VPNサーバー自体の設定」です。
SoftEtherのクライアントから、サーバーに接続するのに、 ダイナミックDNSアドレスを使うのですが、状況によって使えない時にはVPN Azureを使ってアクセスすることになります。
有効にしておいて、必要に応じて使用すれば良いかと思います。
簡易セットアップ仕上げ
こちらは「仮想HUB内限定の設定」です。
先ほど作った仮想HUBに接続する、ユーザ名/パスワードを発行します。
「ユーザを作成する 」ボタンをクリック。
ユーザ名とパスワードを設定して、「OK」をクリック。
OKでダイアログを閉じます。
ユーザを作成したことを確認して、閉じます。
簡易セットアップのウィンドウに戻りますが、これももう閉じて大丈夫です。
閉じると、管理マネージャのメインウィンドウに戻ります。
仮想HUBのブリッジ設定
こちらは「仮想HUB内限定の設定」です。
仮想HUBに接続してきたユーザを、Rapsberry PiのLANに橋渡しする設定です。
「ローカルブリッジ設定」をクリック。
仮想HUBには、先ほど作った仮想HUBを指定。
LANカードが「eth0」一つしかないことを確認しつつ、「ローカルブリッジを追加」を選択。
ダイアログが出てきますので、どちらもOKを押します。
これで仮想HUBに接続したPCの通信は全て家の中のネットワークに通過するようになりました。
仮想HUBに接続したPC/Macは、ブロードバンドルーターのDHCPによってIPアドレス等が割り振られます。
暗号化の設定を変更
長かったSoftEtherの設定はあと一息。VPNを通過するパケットの暗号化強度を上げておきます。(やらなくてもつながります)
これは「SoftEther VPNサーバー自体の設定」です。
サーバー管理マネージャの「暗号化と通信関係の設定」をクリック。
デフォルトで「RC4-MD5」となっている部分を「AES128-SHA」へ変更します。
変更理由としては、暗号化には詳しくないですが、ここの18番目のスライドに「RC4-MD5」がはいっていないことから。
最後の仕上げ
ルーターのポートを開けます。これを完了するとSoftEther VPNサーバを経由して、家の外のマシンから、家の中のネットワークに接続できるようになります。
UDPの500と4500のポート宛の通信をSoftEther VPNが動いているRaspberry PiのIPに転送する設定を行います。メーカーによってやりかたは異なりますので、説明書を参照してください。
TCPのポート443番、992番、5555番も接続に使用できるようですが、家の外からの通信でサーバの設定を変更できてしまうため、開かない方が良いようです。
NECのAtermの場合はこちらの記事が参考になるかと思います。
このポート開放ができる場合と、できない場合によって、クライアント接続の方法が変わってきます。
追記:ポート開放ができない場合は、Mac等、L2TP+IPSecの接続ができないようです。
引用:http://www.vpnazure.net/ja/ 「IPsec 関係の設定画面」にて
SoftEtherのMac用クライアントが出てほしい!
きちんとSoftEther VPNが動いているサーバのIPは固定しておいてください。SoftEther VPNのサーバがDHCPによってIPが 変わってしまうと、ポート開放先のIPも変える必要が出てきてしまいます。
大変たくさんの設定、お疲れさまでした。
これでサーバ側の設定は全て完了です。
この時点でSoftEther VPNの公式クライアントでの接続、MacからのL2TPでの接続など、受け付ける状態になりました。
今回作った仮想ネットワーク(VPN)の概念図
今回設定した仮想ネットワークをまとめるとこのようなイメージです。
家の外のWindowsノートブックから、家の中のMacにアクセスする流れを書いてみました。
画像の水色のざぶとん部分が、SoftEther VPNの仕事をする範囲です。正確にはちょっと違う部分もあるのですが、理解はしやすいと思います。
※画像が大きいので気をつけてください。右クリックで、新しいウィンドウ、新しいタブで開く、を選ぶと見やすいと思います。
また実際の通信経路を記した画像も作ってみましたが、混乱の元だったので、こちらにリンクしておきます。こちらも新しいウィンドウ等で開いてください。
控えておくもの一覧
下に今回の記事で控えるべき設定やパスワードを一覧にまとめました。
| 控えるもの | 内容 |
| 〜〜〜.softether.net | ルータのポート開放ができる時、クライアントの接続先アドレスになります。 ダイナミックDNSによって、ルータのIPが変わってもSoftEtherのサーバにたどり着きます。 |
| 〜〜〜.vpnazure.net | ルーターのポート開放ができない時、クライアントとSoftEtherVPNのサーバを中継してくれるサービスのアドレス。〜〜〜の部分はsoftether.netと共通。 |
| DNS鍵 | ダイナミックDNSなどを利用する際、サーバを入れ替えたりするときに、同じダイナミックDNSアドレスを使用する為に記録しておくことを推奨。 |
| SoftEtherVPN サーバー管理用パスワード | SoftEther VPNの全体設定を行う為のパスワード。 SoftEtherサーバ管理ツールで、SoftEther VPNサーバに接続するときに使用。これがあれば全設定を変更できる。 |
| IPSec事前共有鍵 | SoftEtherVPNサーバにL2TP over IPSecで接続する為のパスワード。 Macから繋ぐ時などに使用する。 SoftEtherの公式クライアントでは使用しない。 |
| 仮想HUBパスワード | 作成する仮想HUBを管理する為のパスワード。仮想HUB一つ一つにパスワードを発行する。管理権限を委譲するときに使用する |
| 仮想HUBユーザ名/パスワード | 仮想HUBに接続するためのユーザ名とパスワード。 ユーザ名の表記は「ユーザ名@仮想HUB名」。 接続するPC毎、拠点毎にユーザ名を発行する。 |
VPNを作成することで、様々なトラブルが起きてしまうことがあります。
これらの作業はあくまで自己責任でお願いしますね。
いかがでしたでしょうか。
仕組みに納得がいくまで、行ってきた設定はよく分からないかもしれません。
しかし応用を利かせると、
次回はMac・Windowsから、SoftEther VPNサーバーに接続する方法をお伝えする予定です。
<Raspberry Piの設定を行った記事>
MacユーザがRaspberry Pi2をセットアップする-1(Raspberry PiにOSをインストール)
MacユーザがRaspberry Pi2をセットアップする-2(Raspbianを設定)
MacユーザがRaspberry Pi2をセットアップする-3(SoftEther VPNサーバーをインストール)
MacユーザがRaspberry Pi2をセットアップする-4(今回の記事/SoftEther VPNサーバーを設定)
MacユーザがRaspberry Pi2をセットアップする-5(WinでVPNに接続する)
MacユーザがRaspberry Pi2をセットアップする-6(MacでVPNに接続する)
MacユーザがRaspberry Pi2をセットアップする-7(ゲーム用VPNを作成する)
