10.11 SecureNAT 機能を用いた権限不要のリモートアクセス

SecureNAT 機能について

「SecureNAT 機能」とは、「3.7.1 SecureNAT とは」 で解説されているように、ユーザーモードで動作する TCP/IP スタックと仮想 NAT 機能・仮想 DHCP サーバー機能によって構成されています。特に、仮想 NAT 経由で IP アクセスをする際に、自動的にその通信内容を、ユーザーレベルで動作させることができる Socket API を用いて目的のホストに中継する、技術的に非常に高度かつ興味深い機能 があります。

従来技術ではリモートアクセスすることができないような厳しいセキュリティ環境の LAN へのリモートアクセス

「10.4 一般的なリモートアクセス VPN の構築」 で解説したような方法で、遠隔地から既存の LAN に対してリモートアクセスができるようにするために VPN Server を設置する場合は、そのリモートアクセスしたい先の既存の LAN 上に、VPN Server をインストールすると共に、その VPN Server をインターネット側から見える場所に設置し、かつ VPN Server の「ローカルブリッジ接続」機能を用いて仮想 HUB とローカルの LAN との間を接続する必要がありました。このような設定を行うことで、リモートからその既存の LAN に対してリモートアクセスすることが可能になりますが、設定・構築においてはシステム管理者 (ネットワーク管理者) の権限を使用しなければならないところが、以下のように 2 箇所あります。

1. VPN Server の「ローカルブリッジ接続」機能を用いて、仮想 HUB とローカルの LAN との間をブリッジ接続するためには、VPN Server をインストールするコンピュータのシステム権限、またはシステム管理者権限としてサービスモードまたはユーザーモードとして vpnserver プロセスを動作させなければなりません。
2. VPN Server に対してインターネット側からアクセス可能にするためには、インターネットに接続されている「グローバル IP アドレス」を 1 つ使用するか、または NAT やファイアウォールなどの設定を変更して、インターネット側から VPN Server に対する「ポート転送」を行う必要がありますが、これらの設定を行うためにはネットワーク管理者の権限が必要です。

これらの問題があるために、たとえば自分が管理している装置を設置している LAN に対して、リモートから VPN 接続して、その LAN 上の自分が管理している装置に遠隔アクセスして安全かつ楽に管理を行いたいというような場合でも、その接続先ネットワークにおけるシステム管理者やネットワーク管理者としての権限を使用することができない場合は、VPN Server を用いた通常の方法でのリモートアクセス VPN サーバーの設置は行えません。

ネットワーク構成例

ここで解説するリモートアクセスの方法について分かりやすくするため、以下の図のようなネットワーク構成例について解説します。

ネットワーク構成

まず、ファイアウォールや NAT などで保護されているため、インターネット側からのアクセスが一切不可能なセキュリティが高いネットワークがあり、そのネットワークの IP アドレスは 「192.168.1.0/24」であるとします。ただし、その LAN からはファイアウォールや NAT、プロキシサーバーなどを経由してインターネット上の Web サイトを閲覧することができるものとします。また、そのネットワーク内のコンピュータである「192.168.1.1」というコンピュータには Linux がインストールされており (Windows や Solaris など、VPN Bridgeが動作する他のオペレーティングシステムでも構いません)、root 権限は持っていないが一般ユーザーとしてログインして使用することが許可されているものとします。また、「192.168.1.10」に保守しなければならないレーザープリンタが接続されているものとします。

次に、会社内や自宅などの固定 IP アドレスを利用することができる場所に事前に VPN Server をインストールしたコンピュータを 1 台設置しており、適切なライセンスキーがすでに登録済みであると仮定します。なお、この VPN Server に対しては、インターネットからは、たとえば 「130.158.6.51」という IP アドレスでアクセス可能であると仮定します。

目標

上記のネットワーク構成例において SecureNAT を適切に活用することによって実現したい目標は、次のとおりであるとします。

• 通常、インターネット側からのアクセスがすべて遮断されている「192.168.1.0/24」のネットワーク内に設置した「192.168.1.10」のレーザープリンタに対して、外部 (インターネット) 側からリモート接続して遠隔保守を行うことができるようにする。
• 「192.168.1.0/24」の管理担当者には事情を正確に説明し、事前に承諾を得ているが、費用が 掛かるなどの問題によってファイアウォールなどの設定の変更は困難であるので、ファイアウォールなどの設定変更は行いたくない。

次に、SecureNAT 機能を活用して、これらの目標を達成して 192.168.1.10 のレーザープリンタを、リモートから保守することができるようにする方法について具体的に解説します。

事前の準備

「130.158.6.51」という IP アドレスで動作しているインターネット上の VPN Server は、事前に自社や自宅などで構築し設定しておいた VPN Server コンピュータです。この VPN Server に「仮想 HUB」を作成し (デフォルトの仮想 HUB である "DEFAULT" でも問題ありません)、その仮想 HUB に後から VPN Bridge で接続するために「ユーザー」を作成しておきます (たとえば "test" というユーザーをパスワード認証モードで作成したと仮定します)。VPN Server の設定方法については、「第3章 SoftEther VPN Server マニュアル」 を参照してください。

VPN Bridge の設置と起動

まず、少なくとも 1 度は、リモートアクセス先の LAN (つまり今回の例で保守対象のレーザープリンタである「192.168.1.10」が所属している LAN) に 、物理的にアクセスすることができる場所に足を運び、初期設定を行う必要があります。

ここで行う必要があるのは、その LAN に接続されている「192.168.1.1」という IP アドレスの Linux コンピュータに、一般ユーザーとしてログインし、SoftEther VPN Bridge をインストールすることです。

VPN Bridge は、VPN Server に接続する目的であれば無償で使用することができるソフトウェアです。VPN Bridge の Linux 用のインストール用 tar.gz を「192.168.1.1」のコンピュータ上で展開し、通常の VPN Bridge をインストールする際と同様に、「vpnbridge」という実行可能ファイルを生成します (詳しくは 「9.3.3 必要なソフトウェアおよびライブラリの確認」、「9.3.4 パッケージの解凍」 および 「9.3.5 実行可能ファイルの生成」 を参照してください)。

今回は 「192.168.1.1」のコンピュータでは、一般ユーザー権限しか所有していないことを仮定していますので、VPN Bridge はユーザーモードで起動する必要があります。具体的には、以下のように vpnbridge に対して、直接「start」オプションを付けて実行します。詳しい設定方法については 「5.2.2 ユーザーモード」 を参照してください。

$ ./vpnbridge start 

これにより、「192.168.1.1」のコンピュータ上では VPN Bridge が起動することになります。なお、Windows 版の VPN Bridge については start オプションではなく「/usermode」オプションを使用して起動します。

VPN Bridge の初期設定の開始

次に、「VPN サーバー管理マネージャ」、またはコマンドライン管理ユーティリティ「vpncmd」を用いて、その VPN Bridge の設定を行います。ここでは LAN 上に別に Windows 端末がある場合を仮定して、Windows から VPN サーバ管理マネージャを用いた設定方法について解説しますが、ない場合は vpncmd を使用して UNIX 系端末から同様の操作を行うこともできます。vpncmd の使用方法については 「第6章 コマンドライン管理ユーティリティマニュアル」 を参照してください。

まず、「VPN サーバー管理マネージャ」を起動してください。

VPN サーバー管理マネージャ

次に、[新しい接続設定] ボタンをクリックすると表示される [新しい接続設定の作成] 画面で、[ホスト名] に先ほど VPN Bridge を動作させたコンピュータの IP アドレスである「192.168.1.1」を入力します。そして [OK] をクリックします。

VPN Bridge への接続設定の作成

新しく作成された接続設定をダブルクリックすると、VPN Bridge への管理接続が行われ、管理画面が表示されます。なお、最初に VPN Bridge に接続した場合はここで「管理パスワードを設定しますか?」というメッセージが表示されますので、初期パスワードを設定してください。

VPN Bridge へ接続完了

SecureNAT 機能の有効化

SoftEther VPN Bridge の管理画面で [仮想 HUB の管理] ボタンをクリックすると、[仮想 HUB の管理 - BRIDGE] ウインドウが表示されます。

仮想 HUB の管理画面

ここで、[仮想 NAT および仮想 DHCP サーバー機能] ボタンをクリックします。すると、[仮想 NAT および仮想 DHCP 機能 (SecureNAT) の設定] 画面が表示されます。この画面の注意書きをよくお読みいただいた後、 [SecureNAT 機能を有効にする] ボタンをクリックします。

SecureNAT 機能の有効化

その後 [閉じる] ボタンをクリックします。すると、[仮想 HUB の管理 - BRIDGE] ウインドウに戻ります。

インターネット上の VPN Server へのカスケード接続の設定

次に [カスケード接続の管理] ボタンをクリックして、[新規作成] ボタンをクリックします。すると、以下のような [新しい接続設定のプロパティ] ウインドウが表示されます。

インターネット上の VPN Server へのカスケード接続の設定

[新しい接続設定のプロパティ] ウインドウでは、以下のように必要項目を入力します。

• [接続設定名] 項目
  たとえば "ブリッジ" などの任意の名称を指定します。
• [ホスト名] 項目
  事前にインターネット上に設置しておいた VPN Server コンピュータの IP アドレス (この例の場合は「130.158.6.51」) と入力します
• [ポート番号] 項目
  事前にインターネット上に設置しておいた VPN Server コンピュータのリスナーポートのうちの 1 つを指定します。多くのファイアウォールやプロキシサーバーを経由したい場合は、443 番を使用することを推奨します。
• [仮想 HUB 名] 項目
  事前にインターネット上に設置しておいた VPN Server に作成してある仮想 HUB 名を指定します。
• 経由するプロキシサーバーに関する項目
  「192.168.1.0/24」のネットワークからインターネットにアクセスする際に、HTTP プロキシサーバーまたは SOCKS プロキシサーバーを経由しなければならない場合には、経由するプロキシサーバーに関する情報を設定します (「4.4.1 適切な接続方法の選択」 を参照)。
• [認証の種類]
  事前にインターネット上に設置しておいた VPN Server の仮想 HUB に登録してあるユーザー (この例では "test" ユーザー) の認証方法を指定します。通常は "標準パスワード認証" を使用すれば良いでしょう。
• [ユーザー名]
  VPN Server の仮想 HUB に登録されているユーザーのユーザー名 (この例では "test" ユーザー) を正確に入力します。
• [パスワード]
  VPN Server の仮想 HUB に登録されているそのユーザーのユーザー認証に必要なパスワード (事前登録しておいたもの) を正確に入力します。

すべての項目を正しく入力したら、[OK] ボタンをクリックします。すると、[BRIDGE 上のカスケード接続] ウインドウに戻ります。また、カスケード接続一覧に、現在作成した新しい接続設定が増えています。

インターネット上の VPN Server へのカスケード接続の開始

次に、先ほど作成した新しい接続設定をクリックして [オンライン] ボタンをクリックしてください。しばらくして接続設定の状態が [オンライン (接続済み)] になった場合は、インターネット上に事前に用意しておいた VPN Server の仮想 HUB への接続に成功しています。もし何らかのエラーが発生した場合は、表示されるエラーの内容を参考にしながら問題を解決してください 。

すべての設定が完了しカスケード接続が接続状態になったら、VPN サーバー管理マネージャを終了します。

この状態で、リモートアクセス先の LAN (192.168.1.0/24) における必要な設定は、すべて完了していることになります。