夏の甲子園の決勝戦も終わり、オリンピックも明日の閉会式で終了です。 地域によっては、夏休みも終わって来週から新学期が始まるのかな・・・
夏の自由研究ではありませんが、SoftEtherを使った拠点間VPNの実験をRaspberry Pi3を使って行っていました。
SoftEtherで拠点間VPN
SoftEtherのサイトで紹介している、カスケード接続を使ったサイト間VPN構築の実験。
個々のオフィスは人が少なく、サテライトオフィスの数カ所をIPゾーン一枚岩のネットワークで作る実験。
SoftEtherはvpnserver(本店)とvpnbridge(支店)
SoftEtherで拠点間VPNを作る場合は、vpnserverとvpnbridgeを使う事がSoftEther流儀ということだね。
SoftEther BOXの設定準備
- 本店用SoftEther BOXは、vpnserverをインストール
- 本店用SoftEther BOXは、リスナーポート(443/992/5555のいずれか)フォワード設定しておく
- 支店用SoftEther BOXは、vpnbridgeをインストール
設定のポイントは、vpnbridge側のカスケード接続・編集。
設定項目(シンプルテスト用):
- 接続設定名(任意)
- ホスト名(**.softether.netかグローバルIPアドレス)
- ポート番号(443/993/5555のいずれか)
- 仮想HUB(本店側のHUB名)
- ユーザ名:(本店のvpnserverで設定)
- パスワード:(同上)
IPアドレスの準備
拠点間をカスケード接続する場合、IPアドレスは本店・支店で揃えておく(192.168.1.0/24などに統一)
DHCPサーバなどが衝突しないように注意(本店のみで運用)
接続テスト
ポートは5555でテストしています。
tcpdumpを使いパケットを観測出来るようにし、接続テスト!
pi@raspberrypi:~ $ sudo tcpdump port 5555
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
21:09:52.255071 IP ap.XXXXX.ne.jp.60840 > 192.168.1.175.5555: Flags [S], seq 1458511655, win 29200, options [mss 1414,sackOK,TS val 352888 ecr 0,nop,wscale 7], length 0
21:09:52.255185 IP 192.168.1.175.5555 > ap.XXXXX.ne.jp.60840: Flags [S.], seq 3925872570, ack 1458511656, win 28960, options [mss 1460,sackOK,TS val 8355414 ecr 352888,nop,wscale 7], length 0
21:09:52.327999 IP ap.XXXXX.ne.jp.60840 > 192.168.1.175.5555: Flags [.], ack 1, win 229, options [nop,nop,TS val 352895 ecr 8355414], length 0
21:09:52.330039 IP ap.XXXXX.ne.jp.60840 > 192.168.1.175.5555: Flags [P.], seq 1:231, ack 1, win 229, options [nop,nop,TS val 352895 ecr 8355414], length 230パケット流れて来ることを確認して、接続確認。
それから、上位プロトコルをチェックして基本的なテストは完了。
実運用では認証関係の設定を厳しく設定してというところでしょう。
まとめ
- SoftEtherのドキュメントは、概念を理解するには良い
- アプリケーションの設定方法は分かりずらい
- ルータでポートフォワードの設定は必要
- ステータスは分散してて分かりづらい
少人数のサテライトオフィスを数カ所接続するにはブリッジネットワークは、簡単で良いんじゃないかな。
しかし、簡単でお金もかからず良い時代になりました。