トップ > 概要 >
使用ソフトウェア

  

OpenVPN

VPNソフトウェアにはオープンソースのOpenVPNを利用します。 このソフトウェアは暗号強度が高く、ユーザ数が多いことから資料も多くあります。

  
OpenVPNは無償で利用することができます。

ブリッジ接続

接続形態はブリッジ接続とします。 理由は、概要 > 前提や方針 - その6 セットアップ対象が少ないこと -を満たすためです。

システム構成図(目的)
システム構成図(目的)

ルーティング接続にしてしまうと、

  1. 本社LAN
  2. 支社LAN
  3. VPNトンネルのLAN

の3つのネットワークが存在することになります。 そのため、PC-A、PC-B、PC-C、PC-Dにルーティング設定を行わなければならず『その6 セットアップ対象が少ないこと』を満たすことはできません。

例えば、PC-AとPC-Bには、

  1. 本社LAN宛のパケットはVPNクライアント機(支社)に送る

というルーティング設定を追加しなくてはなりません。 同様に、PC-CとPC-Dには、

  1. 支社LAN宛のパケットはVPNサーバ機に送る

というルーティング設定の追加が必要になります。

  
正確に言えば、ルータにルーティング設定を追加すればルーティング接続でもセットアップ対象を少なくすることができます。
  
ルータ(本社)に "支社LAN宛のパケットはVPNサーバ機に転送" というルーティング設定を追加し、逆に、ルータ(支社)には "本社LAN宛のパケットはVPNクライアント機(支社)に転送" というルーティング設定を追加すれば、PC-A、PC-B、PC-C、PC-Dにルーティング設定を追加する必要はありません。
  
しかし、ルーティング設定を追加できるルータは限られています。
  
以前は、多くのブロードバンドルータが、スタティックルーティングの機能を持っていました。 しかし、最近ではスタティックルーティングの機能を持っているブロードバンドルータはほとんど見かけません。
  
価格を下げなければならないというメーカの事情がある中で、通常は必要とされないスタティックルーティングの機能が外されるのは仕方のないことなのかもしれません。
  
また、ルーティング接続では、IPX/SPXなどの非IPプロトコルは通らないという問題もあります。
  
よって本ウェブサイトではブリッジ接続を前提に執筆しています。

ブロードキャストについて

すでに説明したように、VPNの接続形態には『ブリッジ接続』と『ルーティング接続』があります。

ブリッジ接続とルーティング接続の違いをネット等で調べると、『ルーティング接続では、ブロードキャストのパケットは通らない』という記述がたくさん見つかります。

しかし実際には、ダイレクトブロードキャストのパケットは、仕様上はルータを越えることができます。 パケットが通らないのは、多くのルータがセキュリティ上の理由でダイレクトブロードキャストのパケットは遮断しているからです。

ブロードバンドルータでは、そもそもダイレクトブロードキャストのパケットを通す機能を持たない製品がほとんどでしょう。 VPNルータであれば、ダイレクトブロードキャストのパケットを通す機能を持つ製品もあるでしょうが、初期設定では遮断されるようになっていると思います。

結果、ダイレクトブロードキャストのパケットは通りません。

これもすでに説明しましたが、ルーティング接続ではVPN機はそれぞれルータのように振る舞います。 そして、VPN機は仮想LANカードを使ってVPNトンネルを構築します。 つまり、ルーティング接続のVPN機は物理LANカードと仮想LANカードの間でルーティングを行うルータであるといえます。

それなら、ダイレクトブロードキャストのパケットを通すか・通さないかは、VPNのソフトウェアや仮想LANカードのソフトウェアの実装次第ではかいかと筆者は思いました。 つまり、VPNでもダイレクトブロードキャストのパケットは通せるんじゃないかと。

しかし、OpenVPNのドキュメントには、ブリッジ接続でなければならない状況として、

  1. you are running applications over the VPN which rely on network broadcasts (such as LAN games)

と書かれています。

技術的な理由によってどうやっても通せないのか、それとも通さない仕様にしているのか、または、実はダイレクトブロードキャストのパケットは通るのか、気になってしかたありません。

  
この辺の事情をご存知の方は、ぜひ教えてください。

スループットについて

OpenVPNはスループット(通信速度)が良くないと評価されることもあります。 確かに、速さを売りにしている商用のVPNソフトウェア製品と比べればOpenVPNのスループットは良くはありません。

ただし、OpenVPNはデフォルトでも強固な暗号化を行っています。 OpenVPNでは、デフォルトの暗号化の設定と暗号化を行わない設定で5 ~ 10倍の通信速度の差が発生します。

暗号強度を適切に設定することで、OpenVPNでも実用的な通信速度を実現することが可能です。

小中規模でのOpenVPNのメリット

常時、数十の接続があるような大規模用途では、商用のVPNソフトウェア製品の使用も検討すべきかもしれません。 商用のVPNソフトウェア製品の方が管理が楽かもしれませんし、また、スループットの面でもOpenVPNより優れている製品もあるでしょう。

しかし、小中規模であればOpenVPNを利用して不満を感じることはありません。 また、OpenVPNはユーザ数が多いため資料も多く揃っています。

資料が多いということは、環境の構築にかかる工数も少なく抑えることができます。

  
  

Devil Linux

VPNサーバ機・VPNクライアント機(支社)ではWindowsは稼働させません。 両機にはDevil Linuxを導入し、その上でOpenVPNを動作させます。

  
Devil Linuxは無償で利用することができます。

両機とも、OpenVPNを動作させる以外の役割は持たせません。 また、両機ともに24時間連続運転します。

  
VPNクライアント機(出先)では、Windows上でOpenVPNを動作させます(リモートアクセスする時だけOpenVPNを稼働させる)。

Devil Linuxとは

Devil LinuxはCDやUSBフラッシュメモリから起動することができる無償のOSです。 当初は、PCをルータやファイアウォールとして動作させるためのOSとして開発されました。

その後、様々な機能追加が行われ、現在ではファイルサーバやSSHサーバといった様々なサービスも動作させることができ、ネットワーク系のサーバに特化したOSとして幅広く利用されています

  
Devil Linuxには、標準でOpenVPNが組み込まれています。

Devil Linuxを使う理由

Devil Linux上でOpenVPNを動作させるのは、CDやUSBフラッシュメモリからシステムを起動できるからです

USBフラッシュメモリには、OSだけではなく設定情報も記録されます。 CDから起動した場合でも、設定情報はUSBフラッシュメモリに保存されます。

つまり、PCが故障しても、USBフラッシュメモリを他のPCに挿して起動すれば、そのPCがVPN機として即座に機能します

また、USBフラッシュメモリを複製しておけばシステム全体をバックアップしたことになります。 つまり、USBフラッシュメモリが故障しても、予備のUSBフラッシュメモリに入れ替えるだけで復旧することができます

メニュー