SoftEtherをインストールします。
なおSoftEtherは、この記事を書いた2016/09/04時点では、IKEv2に対応していません。
IKEv2で接続したい場合は、WindowsならRRAS, LinuxならStrongSwanなどで構築する必要があります。
1 2 3 4 5 6 7 | - ! - ! |
|
1 2 |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 | - ! - | ! - | | | | | | | | | ! - | | | | | | | | | | | | | | | | | | | |
|
1 2 3 |
|
一般的には、SoftEther VPN Server Manager経由で、遠隔管理します。
初回接続時には、ウィザード形式のセットアップが始まります(あとから同じ設定画面を開けるので、ここですべてを設定しなくても構いません)
Windowsかつ標準のファイアウォールを使用している場合は、SoftEtherのインストーラーが設定を変更してるので、ファイアーウォールの設定は不要です。
Linuxの場合は、自分でiptablesの設定を変更します。
あとはルーターのNAT設定で、外からVPN Serverへ到達する為のポート変換ルールを追加するだけです。
[ローカルブリッジ設定]
仮想HUBと物理NIC間でレイヤー2ブリッジを構成するかどうかを選択します。
クライアントがVPN接続した際に、VPNServerが接続しているLANリソースへアクセスするためには、ローカルブリッジかSecureNATを構成する必要があります。
なお、ローカルブリッジを有効にするためには、NICのプロミスキャスモードが有効になっていないといけません。
無線LANや仮想マシンのNICの場合、大抵プロミスキャスモードが無効になっているため、ローカルブリッジは構成できません(構成は可能ですが、正常に動作しません)
<仮想HUBを選択>-[仮想HUBの管理]-[仮想NATおよび仮想DHCPサーバー機能]
VPNServer内に仮想ルーターを設置したイメージです。クライアントのデフォルトゲートウェイは仮想ルーターになり、仮想ルーター内で独自のIP体系を構築できます。
NAT機能とDHCPサーバー機能は個別に有効/無効を切り替えることが可能です。
<仮想HUBを選択>-[仮想HUBの管理]-[ユーザーの管理]
ユーザーの作成を行います。
認証方式には、パスワード, 固有証明書, 署名済み証明書, RADIUS, NTドメイン, ADによる認証が選択できます。
説明用に、パスワード認証と署名済み証明書認証のユーザーを用意しています。PrivateCAによる署名済み証明書認証をするためには、以下の準備が必要です。
- VPN Serverの信頼されたルート証明機関に、PrivateCAの証明書
- PrivateCAが署名したクライアント証明書
これらの作成,インストール手順は、以下を参考にしてください。
PrivateCAの作成, クライアント証明書の作成
PrivateCAの証明書を登録
<仮想HUBを選択>-[仮想HUBの管理]-[ログ保存設定]
必要に応じて調整します。
[リスナーの管理]
VPN Server Managerによる接続を待ち受けるかどうかという設定ではなく、プロセスとして待ち受けるかという設定です。
ですので例えば443を停止すると、443で待ち受けているSSTPも繋がらなくなります。
[暗号化と通信関係の設定]
[使用する暗号化アルゴリズム]は、SSL-VPN(SSTP, OpenVPN, SoftEtherVPN)で使用するTLS暗号スイートの設定です。選択可能な最大強度(AES256-SHA)を選択します。
[サーバー証明書]は、SSL-VPN(SSTP, OpenVPN, SoftEtherVPN)で提示するサーバー証明書の設定です。
SoftEtherのダイナミックDNS機能をつかうのであれば、デフォルトの証明書でよかったような気もしますが、
独自ドメインで接続する場合、証明書のCNが一致しないので、SSTPなどで接続エラーになります。
ユーザー設定の項で作成した、PrivateCAでサーバー証明書を作成し、インポートしておきます。
SoftEtherでのL2TP/IPsec, SSTP接続は、以下のリンクで解説しています。
OpenVPNは興味がなかったので試していませんが、同じ感覚で(クライアントを入れる必要はありますが)簡単にできるはずです。
プロトコルとしてのSoftEther VPNを使う場合は、SSTPと同様に443ポートを使うので接続可能性が高く、専用クライアントにより簡単に接続できます。
- L2TP/IPsec
- SSTP