「SoftEther VPN」無料でVPN構築!

VPN環境を構築しました


Kixiも重い腰を上げて、ついにVPN環境を構築しました。

VPNとは?

Virtual Private Network(バーチャル プライベート ネットワーク、VPN)は、インターネット(本来は公衆網である)に跨って、プライベートネットワークを拡張する技術、およびそのネットワークである。VPNによって、イントラネットなどのプライベートネットワークが、本来公的なネットワークであるインターネットに跨って、まるで各プライベートネットワーク間が専用線で接続されているかのような、機能的、セキュリティ的、管理上のポリシーの恩恵などが、管理者や利用者に対し実現される。
@Wikipedia

ネットワークには、LAN(ローカルエリアネットワーク)とWAN(ワイドエリアネットワーク)がある。
エンジニアでもない限りはあまり意識する事は無いと思いますが、今この記事を見ている人は「あなたの端末→あなたのLAN→WAN→LAN(Kixi宅)→自宅サーバー」の順番でアクセスされています。
LANは、閉じられたネットワークで、基本的に外部からの侵入を許しません。
つまり、無線で繋がっているプリンター等は、通常いたずらで大量に勝手に印刷されたりはしないし、逆に、外に持ち出したPCからは印刷できません。
Windows標準のリモートデスクトップも同様で、LAN内でだけ使用できます。
外部から勝手に操作されないようになっているのです。
LAN→WANの設定、WAN→LANの設定を正しくしていれば、上記のように安全にインターネットを楽しむ事ができるでしょう。
しかし、家の外から家の中のPCをリモートデスクトップで操作したい人や、サーバーの管理がしたい人等、ごく少数ですがWANを介して自宅のLANに繋ぎたい人種がいるのです。
それを安全に実現するための技術がVPNです。
(VPNを使わずに、安全に同じ事をしようとすると、専用線を引かなければなりません。)
VPNを構築すれば、どこのネットワークに属していようと、自宅(あるいは会社の)LAN内に居るのと全く同じ事ができます。
ファイルサーバーを参照したり、リモートでPCを操作したり、印刷したり…

VPNのメリット・デメリット

VPNのメリット

デスクトップのメインPCがリモートで使える

Core i7 4790 、メモリ24GBのPCがどこからでもリモートで繋げます。
重い作業が捗ります。

サーバーの設定ができる

Vmware Esxiで構築している仮想サーバーの管理コンソールへアクセスできます。
セキュリティのため、LAN外からのアクセスはできなくなっていますが、VPN越しならアクセスできます。

すべてのファイルにアクセスできる

出先で急に自宅のPCに入っているファイルが欲しくなる事はありませんか?
VPNだと、ファイルサーバーにはそのまま接続できるし、できなくてもPCへリモートで接続できるので、全てのファイルへアクセス可能です。
PCの電源が入っていないくても、予め設定しておけばネットワーク越しに起動することできます。(wake on lan)

VPNのデメリット

導入の敷居が高い

少し前まで、専用のルーターが必要だったり、ネットワークの高度な知識が必要でした。
が、後述する「SoftEther VPN」のおかげで、かなり敷居は下がったほうだと思います。

セキュリティの知識が必要

家庭内のネットワークへバックドアを作る訳ですから、VPNのセキュリティは高くなければなりません。
仮に、kixi宅へのアクセスを許してしまうと、ファイルサーバーへ自由にアクセスでき(大事なファイルが流出、削除される)、プリンターから大量にエロ画像を印刷され、メインPCのシステムファイルを破壊する事も可能です。
最悪、仮想サーバー内のkusanagiへアクセスされて、ブログへ何か仕込まれる可能性もあります。

回線速度が必要

リモートデスクトップ等は、回線速度が速くないと実用的な速度で使えません。
光回線であれば問題無いと思いますが、通信が安定しないWiMAX等で自宅LANを接続していると操作にストレスを感じる事が出てくるかもしれません。
ファイルサーバーから大容量のファイルを取り出そうとしても、現実的ではない時間が掛かってしまって、結局使い物にならない事も考えられます。

VPNを構築した理由

公衆無線LANでのセキュリティ強化のため

この度、WiMAXを解約する事にしました。
NURO光を契約したためです。二重契約は経済的にも苦しいので…
そうなると、外出先ではテザリングか、公衆無線LANに繋ぐしかありません。
どうしようも無いときにはテザリングを使いますが、それ以外の場合はなるべく公衆無線LANを使いたい。
→公衆無線LANでのセキュリティを高めるため、VPNで通信を全て暗号化しようと思ったのです。

自宅サーバーを管理するため

少し前に京都旅行へ行きました。
その時、自宅サーバーを放置して行ったのですが、何かあったら困ると思ってずっと頭の片隅で気になっていました。
VPNを繋げば、外出中もサーバーのコンソールへアクセスできます。
仮想化しているので、再起動もコンソールから自由に出来ますし、バックアップからの復元等も全てリモートで操作できるようになります。
ハードの故障は仕方がありませんが、それ以外の設定等は全てリモートでできるようになります。
(というか、ハードの故障だと自宅に居てもすぐに直せるとは限りません…)

VPNサーバーソフト

一昔前までは専用のルーターを買う必要があるなど、非常に敷居が高かったVPN。
しかし、近年は無料で構築できる専用のOSや、オープンソースのソフトウェアが出てきて、驚くほど簡単に構築できるようになりました。
ただ、あれだけ簡単に設定できると、セキュリティやネットワークに詳しくない人でも簡単に構築できてしまうので心配でもあります。
パスワードは絶対に難しいものを使用するようにしてください。
使い回しは駄目です。

SoftEther VPN

https://ja.softether.org/
SoftEther VPN公式サイト
筑波大学大学院の研究プロジェクトとして作られた、オープンソースのソフトウェアです。
VPNのソフトウェアなので、絶対にバックドア等は許されません。
オープンソースは、その名の通りソース(プログラム)をすべて公開しているので、バックドアは仕掛けようがありません。
但し、バグ等があれば誰でもソースで確認できてしまうので、常に最新版を使うようにしましょう。
日本産のフリーソフトなので、設定方法等は公式サイトに丁寧に日本語で書いてあります。
(AndroidやiPhoneの接続方法まで丁寧に書いてあります)
セキュリティリスクのあるソフトです。
ここで適当な事を書いて設定されて何かあっては嫌なので、設定方法等は公式サイトを見てください。

自宅ネットワーク構成

メモ程度。
ipは省略しました。

最後に

Chrome リモート デスクトップ等でも、リモートデスクトップといった観点では同じような事ができます。
が、正直使用感は、MS純正のRDPのほうが良いです。

Chromeデスクトップで気に食わなかったところ

Chrome リモート デスクトップの何が気に入らなかったかと言うと、

①マルチディスプレイ環境へ繋ぐと面倒

マルチディスプレイ環境だと、そのままマルチディスプレイで出してきます
モニターが一つしかないノートPCで、マルチ液晶の状態で出力されても使いづらいです。
いちいちマウスを→に持っていってスクロールしたり、そのせいで画面がフルに出せなかったり、ストレスが溜まります。
一方、MS純正のリモートデスクトップでは、接続元もPCの画面解像度に合わせて出力してくれます。

②接続先のPCで画面が表示される

MS純正のRDPだとそんな事はありませんが、Chromeデスクトップで操作した内容は全てディスプレイに表示されてしまいます。
誰もいないのに、PCが勝手に操作される所が画面に映る訳です。
この仕様は、なんの意味があるのでしょうか?
折角ロックを掛けていても、出先で何か操作する度にモニターに写っているのは、セキュリティ的にも疑問を覚えます。
もし会社のPCにChromeデスクトップを入れて、ちょっと私用でWEBサーフィンをしようものなら、一瞬でバレます。
何しろモニターにそれが写ってますからね…
モニターの電源を切れば良いとも思いますが、つければ見える状態というのが気持ち悪いのです…
 
というわけで、皆さんもVPNで快適な生活を。
それでは!