3.7 仮想 NAT および仮想 DHCP サーバー

    SoftEther VPN Server または SoftEther VPN Bridge の仮想 HUB には、「SecureNAT 機能」が搭載されています。ここでは SecureNAT の概念、設定方法および注意事項について解説します。

    3.7.1 SecureNAT とは

    SecureNAT の概要

    「SecureNAT (セキュアナット) 」機能は、SoftEther VPN のために独自に開発された、これまでに存在しなかった画期的な機能です。SecureNAT を使用すると、セキュリティ的により安心なネットワークを構築することができます。

    SecureNAT 機能には、大きく分けて「仮想 NAT 機能」と「仮想 DHCP サーバー機能」の 2 つが搭載されています。仮想 HUB の管理者は、SecureNAT を有効にした状態で「仮想 NAT」と「仮想 DHCP サーバー」の両方、またはどちらか 1 つを有効にすることができます。

    なお、SecureNAT 機能の具体的な使用方法についての詳細は、「10.11 SecureNAT 機能を用いた権限不要のリモートアクセス」 を参照してください。

    SecureNAT 機能は、システム管理者やネットワークに関して詳しい知識のある方向けの機能です。SecureNAT 機能を正しく使用すると、VPN を経由した安全なリモートアクセスが実現できます。しかし、誤った方法で使用すると、ネットワーク全体を危険な状態にする可能性もあります。ネットワークに関する十分な知識をお持ちでない場合や、ネットワーク管理者の許可を得ていない場合は、SecureNAT 機能を有効にしないでください。

    ブロードバンドルータ機能の仮想化

    業務用途およびコンシューマ用途で開発され、製品化されている多くの一般的な「ブロードバンドルータ」には、「NAT 機能」と「DHCP サーバー機能」の 2 つの機能が統合されており、ブロードバンドルータの内側にコンピュータを接続すると、そのコンピュータに自動的にプライベート IP アドレスが割り当てられると共に、グローバル IP ネットワーク (インターネットなど) に対して NAT を経由してアクセスすることができるようになります。

    SoftEther VPN において、このような一般的な「ブロードバンドルータ」に搭載されている「NAT 機能」と「DHCP サーバー機能」を仮想化し、しかも「ユーザーモードのみ」ですべての処理を行うことによって、ブロードバンドルータと同等の機能を、仮想 LAN と物理的な LAN との間でも利用可能にしたのが「SecureNAT」機能です。

    3-7-1.png

    SecureNAT 機能

    SecureNAT の仮想的なインターフェイス

    SecureNAT 機能は仮想 HUB ごとに設定し、有効化 / 無効化することができます。ローカルブリッジ機能と違い、SecureNAT 機能の設定は仮想 HUB の管理者が自らすべての設定を行うことができます。SecureNAT 機能を有効にすると、仮想 HUB の内部に「SecureNAT セッション」と呼ばれる仮想の VPN セッションが作成され、その VPN セッション内にまるで 1 枚の LAN カードがあるかのようにして仮想のネットワークインターフェイスが作成されます。これを「仮想ホストのネットワークインターフェイス」と呼びます。

    仮想ホストのネットワークインターフェイスは、仮想 HUB に対してレイヤ 2 で直接接続されている状態になっています。したがって、仮想 HUB に接続している他の VPN Client コンピュータや、仮想 HUB が別の仮想 HUB や物理的な LAN とカスケード接続およびローカルブリッジされている場合はカスケードやブリッジ先のコンピュータから見ると、SecureNAT 機能の仮想ホストのネットワークインターフェイスは 1 台のコンピュータと同等に認識されます。また、仮想ホストのネットワークインターフェイスには IP アドレスを割り当てることができます。

    一般ユーザー権限による SecureNAT の使用

    SecureNAT 機能および仮想 NAT / 仮想 DHCP サーバーは、すべて「ユーザーモードプログラム」として動作しています。特に仮想 NAT のような複雑な仕組みを実現するためには、通常はオペレーティングシステム内のカーネルモジュールを使用する必要があります。

    仮想 NAT を実現するために、SoftEther VPN は、オペレーティングシステムのカーネルモードで特殊な処理を行ったり、カーネルモードの NAT 機能を使用したりすることは一切ありません。したがって、仮想 NAT 機能を含めたすべての SecureNAT 機能は、一般ユーザー権限で自由に実行することが可能です。

    この特徴によって、SecureNAT 機能を使用するためには、そのコンピュータのシステム管理者権限は一切不要ということになります。一般ユーザーで VPN Server / VPN Bridge を起動する方法については、「3.2 動作モード」 をお読みください。

    一般ユーザーがこの機能を使用すると、ネットワーク管理者またはシステム管理者による許可を得ているがシステム管理者のアカウントは持っていない場合に、SecureNAT 機能を使用して通常は一般ユーザー権限ではできないような VPN 通信を実現することができます。具体的な利用方法については、「10.11 SecureNAT 機能を用いた権限不要のリモートアクセス」 をお読みください。

    また、システム管理者は、SecureNAT を「安全な NAT ソフトウェア」として利用することができます。通常の NAT プログラムは「カーネルモードモジュール」として動作します。もし NAT プログラムの部分にバッファオーバーランなどの脆弱性がある場合は、それが原因となって悪意のある者によってシステムに侵入されカーネル権限が奪われたり、またバグによってシステム全体がクラッシュしてしまったりする危険性があります。それと比較して、SoftEther VPN の SecureNAT プログラムは、すべてユーザー空間で動作させることができ、動作にあたっては特別なシステム権限は不要です。もし SecureNAT プログラムに不具合があった場合でも、影響を受けるのは VPN Server / VPN Bridge を起動させていたユーザーの空間だけに限定され、他のユーザーやシステム全体が影響を受ける危険性はなくなります。

     

    SecureNAT の利用目的

    「SecureNAT 機能」は、下記のような目的で利用することができます。

    • 簡易的なネットワークゲートウェイとしての利用
      VPN Server と仮想 HUB を設置し、リモートからその仮想 HUB に接続したとしても、そのままでは仮想 HUB の中だけで通信が完結してしまうため、その VPN Server が動作しているコンピュータが接続している物理的なネットワークに対して通信を行うことができません。このような場合は、「ローカルブリッジ接続」を使用することにより仮想 HUB と物理的なネットワークとの間を「レイヤ 2」で接続するのが一般的ですが、SecureNAT 機能を使用すると仮想 HUB の仮想ホストのネットワークインターフェイスを経由して VPN Server が動作しているコンピュータが接続しているネットワークに対して通信を行うことができます。したがってローカルブリッジ機能を使用したくない場合や、コンピュータのシステム管理者権限を持っていないためにローカルブリッジ機能を使用できない場合、および Windows、Linux および Solaris 以外の他の UNIX オペレーティングシステム版の VPN Server または VPN Bridge を使用しておりローカルブリッジ機能が使用できない場合には、SecureNAT の「仮想 NAT 機能」を活用することができます。
    • DHCP サーバーとしての利用
      SecureNAT 機能のうち「DHCP サーバー機能のみを有効化」することができます。つまり、仮想 HUB の Ethernet セグメント内で動作する DHCP サーバー機能だけを利用することができます。これにより、仮想 HUB に対してリモートアクセスした VPN Client やローカルブリッジ先のクライアントコンピュータなどが、仮想 DHCP サーバーから IP アドレスの割り当てを受けることができます。
      本来、仮想 HUB の中で DHCP による自動 IP アドレス割り当てを使用する場合は、その仮想 HUB を DHCP サーバーがある別のネットワークにローカルブリッジするか、または仮想 HUB に対して DHCP サーバーから VPN Client と仮想 LAN カードで接続する必要がありますが、SecureNAT 機能の「仮想 DHCP サーバー機能」を使用することによりこれらのことが不要になります。
    • 遠隔拠点にリモートアクセスするための簡易的なゲートウェイとしての利用
      遠隔拠点 (たとえばネットワーク経由で機材を保守管理したいような拠点) に対して、SoftEther VPN を使用してリモートアクセス VPN を行いたい場合は、通常では遠隔拠点上のコンピュータに VPN Server や VPN Bridge をインストールし、それに対して VPN Client で「VPN 接続」したり、または別の場所に設置した VPN Server に対して、その拠点から「カスケード接続」をし続けるように設定したりすることにより、SoftEther VPN を使用して遠隔拠点上のコンピュータノードに対して通信を行うことができます。しかし、セキュリティ上やコスト上の制限があり、遠隔拠点上のコンピュータでローカルブリッジを設置することができないような場合や、使用しているオペレーティングシステムが SoftEther VPN のローカルブリッジ機能に対応していないような場合は、「SecureNAT 機能」によって代用することができます。 特にこのような使用方法については 「10.11 SecureNAT 機能を用いた権限不要のリモートアクセス」 をお読みください。

    SecureNAT 機能の有効化

    「SecureNAT 機能」は、デフォルトでは「無効」になっています。SecureNAT 機能を有効にするには、「VPN サーバー管理マネージャ 」の [仮想 NAT および仮想 DHCP サーバー機能] ボタンをクリックして、[仮想 NAT および仮想 DHCP サーバー機能 (SecureNAT) の設定] 画面を表示します (以後、SecureNAT に関する説明では、この画面を開いていることを想定して解説します)。次に [SecureNAT 機能を有効にする] をクリックしてください。

    「vpncmd」では、SecureNAT 関係のコマンドはすべて "SecureNat""Nat" および "Dhcp" という名前が始まっています。例えば、SecureNAT 機能を有効にするには、「SecureNatEnable」コマンドを使用 します。

    3-7-2.png

    SecureNAT 機能の管理画面

    SecureNAT 機能の一部である「仮想 NAT 機能」と「仮想 DHCP サーバー機能」は、SecureNAT 機能が無効状態になっている場合は両方とも動作しません。これらの機能を使用する前に、必ず SecureNAT 機能を「有効」にしてください。

    3.7.2 仮想ホストのネットワークインターフェイス設定

    SecureNAT 機能によって、仮想 HUB 内に生成される仮想的なノード (仮想ホスト) の仮想のネットワークインターフェイスに関する情報を設定することができます。

    「VPN サーバー管理マネージャ」で、[SecureNAT の設定] ボタンをクリックし、[仮想ホストのネットワークインターフェイスの設定] 項目を入力してください。設定することができる項目とデフォルト値の一覧は以下のとおりです。

    項目名 説明 デフォルト値
    MAC アドレス 仮想ホストのネットワークインターフェイスは、通常のコンピュータの LAN カードや仮想 LAN カードのように、Ethernet の規格に対応した仮想的なネットワークアダプタですので、1 つの MAC アドレスを使用することができます。使用する「MAC アドレス」を指定します。

    "00:AC" で始まる合計 6 バイトの乱数データ。

    IP アドレス 仮想ホストのネットワークインターフェイスが持つ「IP アドレス」を指定します。 192.168.30.1
    サブネットマスク IP アドレスで指定したアドレスが所属する IP ネットワークの「サブネットマスク」を指定します。 255.255.255.0

     

    3-7-3.png

    仮想ホスト管理画面

    3.7.3 仮想 NAT 機能

    仮想 NAT 機能の設定項目

    SecureNAT の「仮想 NAT 機能」を使用する場合は、「VPN サーバー管理マネージャ」の [仮想 NAT 機能を使用する] チェックボックスを「有効」状態にします。使用しない場合は、「無効」状態にします。SecureNAT 機能を開始すると、デフォルトで仮想 NAT 機能が有効な状態になります。

    仮想 NAT 機能で設定することができる項目とデフォルト値の一覧は、以下のとおりです。

    各オプションを設定するには、「VPN サーバー管理マネージャ」では [SecureNAT の設定] 画面の [仮想 NAT の設定] の項目を入力してください。「vpncmd」では、「NatSet」コマンドを使用できます。

    項目名
    説明 デフォルト値
    MTU 値 仮想 NAT 機能が、仮想ネットワークインターフェイス側で使用する「MTU」の値を指定できます。この値には、「Ethernet フレームのペイロードサイズの最大長 (MAC ヘッダを除いた長さ)」を指定してください。 1500 バイト
    TCP セッションのタイムアウト 仮想 NAT 機能を経由して確立された NAT セッションエントリのうち、TCP/IP セッションが無通信状態で何秒間経過したらタイムアウトと見なすかを設定します。 1,800 秒
    UDP セッションのタイムアウト 仮想 NAT 機能を経由して確立された NAT セッションエントリのうち UDP/IP セッションが無通信状態で何秒間経過したらタイムアウトと見なすかを設定します。 60 秒

     

    3-7-4.png

    仮想 NAT 機能管理画面

    仮想 NAT 機能の使用方法

    仮想 NAT 機能を使用して TCP/IP および UDP/IP 通信を行う場合は、次のように使用します。

    1. 仮想 HUB において、「SecureNAT」および「仮想 NAT 機能」を適切に設定し、有効化します。特に、仮想ホストの IP アドレスおよびサブネットマスクは、その仮想 HUB 内で使用している IP ネットワークアドレスおよびサブネットマスクに一致させてください。
    2. 仮想 HUB 側の別のクライアントコンピュータ (物理的にローカルブリッジやカスケード接続を経由して接続されているものでも、VPN Client 経由で接続されているものでも構いません) の TCP/IP 設定において、仮想 HUB で動作している SecureNAT の仮想ホストの IP アドレスを「デフォルトゲートウェイ」に設定します (後述する仮想 DHCP サーバー機能と組み合わせることによって自動的に設定することもできます)。
    3. クライアントコンピュータが TCP/IP または UDP/IP で通信を行おうとすると、仮想 NAT 機能がまるで一台の NAT 機能付きルータとして動作し、仮想 HUB が動作しているコンピュータを経由して、そのコンピュータの既存のネットワークインターフェイスを用いて物理的なネットワーク上のホストに対してアクセスすることができます。この際、仮想 NAT 機能では、NAT セッションテーブルに新しいセッションが登録されます。NAT セッションテーブルを表示するには、「VPN サーバー管理マネージャ」で、[仮想 NAT ルータの状況] ボタンをクリックしてください。「vpncmd」では「NatTable」コマンドを使用します。

    仮想 NAT 機能の動作原理

    「仮想 NAT 機能」は、通常カーネルモードで実行される IP ルーティングおよび NAT (IP マスカレード) の処理を、ユーザーモードで行うことによって実現しています。

    カーネルモードで NAT 機能を持っているシステムでは、ネットワークプロトコルスタックの階層関係は下図のようになります。

    3-7-5.png

    通常のカーネルモード NAT と SoftEther VPN を組み合わせた NAT における各ネットワークモジュールのスタック図

    上記の図のうち、赤い部分がカーネルモードで動作しているコードです。通常は、この部分と同等の機能を実現するには、必ずカーネルモードプログラミングが必要になりました。しかしカーネルモードでプログラムを実行すると 、セキュリティ上の致命的な脆弱性が増える可能性やプログラムにバグがあった場合に、システム全体が不安定になってしまう可能性があり、できればユーザーモードですべての処理を行うのが望ましいと言えます。

    ユーザーモードでこれらの処理を行うことができるようにするため、ソフトイーサ株式会社は SecureNAT 機能のためだけに用いる TCP/IP スタックを独自に設計し、これをユーザーモード内で実装することに成功しました。SecureNAT の「仮想 NAT 機能」は、仮想ネットワークから受け取る TCP/IP や UDP/IP パケットをルータとして受信し、それらのパケットをセッションごとに管理してトランスポート層までのレイヤで正しく解釈します。また、TCP/IP プロトコルの場合は、そのコネクション内でのシーケンス番号などを元にして TCP/IP ストリームを再構成します。これらの再構成されたペイロードデータは、内部的な FIFO バッファに格納されるとともに、VPN Server / VPN Bridge を動作させているオペレーティングシステムのソケット API を用いて、できる限り高速に目的のホストに対して伝送します。通信先ホストから受け取ったデータは逆の経路を通って仮想 HUB による仮想ネットワークに戻ってきます。この際にもユーザーモードで動作する TCP/IP スタックが使用され、自動的に TCP/IP プロトコル規格に適合した再送およびフロー制御アルゴリズムによってデータグラム化されます。このような非常に複雑な処理により、SecureNAT の仮想 NAT 機能が実現されています。ただし、一般ユーザーは、特にこのような動作原理を意識する必要はありません。

    3-7-6.png

    SecureNAT の仮想 NAT 機能を使用した NAT における各ネットワークモジュールのスタック図

    3.7.4 仮想 NAT 機能の注意事項

    「仮想 NAT 機能」は大変便利な機能ですが、使用するにあたっていくつかの注意事項があります。

    • 仮想 NAT の使用方法
      仮想 NAT 機能」は、システム管理者権限がなかったり、オペレーティングシステムがローカルブリッジ機能をサポートしていなかったりするような環境で VPN Server / VPN Bridge を動作させる際、つまりローカルブリッジ機能を使用することができないような場合において、仮想 HUB のレイヤ 2 セグメント内のコンピュータが仮想 HUB を実際に動作させているコンピュータの物理的なネットワークインターフェイスを経由して、物理的なネットワーク上のホストに対してアクセスする必要がある場合に使用することが推奨される機能です (特に 「10.11 SecureNAT 機能を用いた権限不要のリモートアクセス」 に挙げられるような使用方法に適しています)。
      ローカルブリッジ機能などによって、仮想 HUB と物理的なネットワークとを接続することができるような場合には、セキュリティ上の問題がある場合を除いて、あえて仮想 NAT 機能を使用して仮想ネットワークと物理的なネットワークを接続する必要はありません。
    • パケットの無限ループが発生するような接続方法の防止
      仮想 NAT 機能を有効にした仮想 HUB に対して、そのコンピュータ自身に VPN Client をインストールして自分自身の仮想 HUB に仮想 LAN カードから接続したり、またはその仮想 HUB と物理的な LAN カードとローカルブリッジ接続する場合において、それらの LAN カードに対するデフォルトゲートウェイが仮想 HUB 内の SecureNAT 機能の仮想ホストのネットワークインターフェイスに割り当てられている IP アドレスを指している場合は、任意の IP アドレスに対して接続しようとする通信は、その通信は仮想 HUB 内の仮想 NAT 機能を使用しようとし、仮想 NAT 機能がさらにオペレーティングシステムのネットワーク通信 API を呼び出して、宛先の IP アドレスに対して通信を行おうとするので、接続パケットが無限ループしてしまいます。通常、ローカルブリッジ接続や VPN Client によって localhost に対して VPN 接続するような接続方法と、仮想 NAT 機能を同時に使用することはありません。もしそのような接続を行っている場合には、ネットワーク設計が間違っている可能性があります。
    • パフォーマンスに関する注意事項
      SecureNAT 機能は内部で仮想の TCP/IP スタックを持つことによって、一度 TCP/IP スタックによってパケット化した TCP/IP ストリームを再度組み立て、さらにそれをオペレーティングシステムを通じて、TCP/IP パケット化するというような大変高度な処理を行っています。したがって、これらの処理にかかわるオーバーヘッドは大きく、十分高速なコンピュータを用いる場合でも 、仮想 NAT 機能を経由したスループットは物理的な最大スループットと比較して大きく低下してしまいます。そのため、仮想 NAT 機能はパフォーマンスが重視されるような用途には使用しないでください。前述のとおり、仮想 NAT 機能はあくまでも技術的またはセキュリティ上の理由があるため、ローカルブリッジ機能などを使用することができない場合に、「代用」として使用できる機能です。ローカルブリッジなどの高速な手段が利用可能な場合は、そちらを使用してください。
    • ICMP パケットの取り扱いについて
      仮想 NAT 機能が有効になっている場合、仮想ホストのネットワークインターフェイスに対して割り当てられた IP アドレスをルータとして経由してさらに別のホストに対して ICMP パケットを送信した場合、すべての ICMP エコー要求パケットに対して仮想 NAT 機能がダミーの ICMP エコー応答パケットを返します。これは、大半のオペレーティングシステムは、ユーザー権限で呼び出すことができるネットワーク API において任意の ICMP パケットの送出を許可していないため、やむを得ずこのような動作になっているものであり、SoftEther VPN の仕様です。したがって、仮想 NAT 機能を使用する場合は ICMP パケットを用いて仮想 NAT ルータの向こう側にあるホストの存在確認を行うことはできません。
    • DNS リダイレクトについて
      仮想 NAT が有効な場合、仮想ホストのネットワークインターフェイスの IP アドレス自体に対する UDP 53 番ポート宛のパケット (DNS パケット) は、自動的に仮想 HUB を動作させているコンピュータが DNS サーバーとして使用している DNS サーバーに対して転送されます。これは、通常のブロードバンドルータと同様の動作です。
    • 対応していない機能
      仮想 NAT で内部使用しているユーザーモード TCP/IP スタックは、ウインドウスケーリングオプション、選択的 ACK、Nagle アルゴリズム、その他の高度な TCP/IP の機能の一部を実装していません。また仮想 NAT はその性質上、仮想ネットワーク同士の IP ルーティングや NAT には対応していません。仮想ネットワーク間の IP ルーティングには、「仮想レイヤ 3 スイッチ機能」を使用してください。

    3.7.5 仮想 DHCP サーバー機能

    仮想 DHCP サーバー機能について

    SecureNAT では、「仮想 DHCP サーバー機能」を使用することもできます。使用方法によっては、仮想 NAT 機能を使用せずに、仮想 DHCP サーバー機能を利用しても問題ありません。仮想 DHCP サーバー機能を使用すると、仮想 HUB のレイヤ 2 セグメントに接続したコンピュータが DHCP サーバーから IP アドレスの配布を受け、一時的にその IP アドレスを使用することができます。

    仮想 DHCP サーバーは、物理的なコンピュータ上の DHCP サーバープログラムとほぼ同様の動作を行うことによって IP アドレスの配布を行います。ただし、たとえば Windows のサーバー版に含まれているような多くのオプションを設定できる細かな機能は提供されていません。

    仮想 DHCP サーバー機能は、本格的な DHCP サーバーというよりも、簡易的な DHCP によるアドレス配布を可能にします。たとえば、仮想 HUB を設置して、その仮想 HUB 内のコンピュータに IP アドレスを割り当てる作業を DHCP プロトコルによって自動化したいが、DHCP サーバーソフトウェアを仮想 HUB と同じセグメントで動作させるのは手間がかかるのでできないような場合に最適です。

    仮想 DHCP サーバー機能は簡易的ではありますが、IP アドレスの有効期限の設定や、リーステーブルの管理、いくつかの必須のオプションの配布などは問題なく使用できます。

    3-7-7.png

    仮想 DHCP サーバー機能

    仮想 DHCP サーバー機能の設定項目

    SecureNAT の仮想 DHCP サーバー機能を使用する場合は、VPN サーバー管理マネージャの [仮想 DHCP サーバー機能を使用する] チェックボックスを有効状態にします。使用しない場合は、無効状態にします。SecureNAT 機能を開始すると、デフォルトで仮想 DHCP サーバー機能が有効な状態になります。

    仮想 DHCP サーバー機能で設定することができる項目とデフォルト値の一覧は以下のとおりです。
    以下のオプションを設定するには、「VPN サーバー管理マネージャ」では [SecureNAT の設定] 画面の [仮想 DHCP サーバーの設定] の項目を入力してください。「vpncmd」では、「DhcpSet」コマンドを使用できます。
    項目名 説明 デフォルト値
    配布 IP アドレス帯 この仮想 DHCP サーバーがクライアントに対して配布する「IP アドレスの範囲」を指定します。
    192.168.30.10 から
    192.168.30.200 まで
    サブネットマスク クライアントに対して IP アドレスと共に割り当てる「サブネットマスク」の値を指定します。 255.255.255.0
    リース期限 リースする IP アドレスの「有効期限」を指定します。 7,200 秒
    クライアントに割り当てるデフォルトゲートウェイアドレス クライアントに案内する設定値である「デフォルトゲートウェイ」のアドレスを指定します。デフォルトでは、仮想 NAT 機能と同時に使用することを想定していますが、別の値に変更することもできます。何も指定しないことも可能です。 192.168.30.1
    クライアントに割り当てる DNS サーバーのアドレス クライアントに案内する設定値である「DNS サーバーのアドレス」を指定します。デフォルトでは、仮想 NAT 機能と同時に使用することを想定していますが、別の値に変更することもできます。何も指定しないことも可能です。 192.168.30.1
    クライアントに割り当てるドメイン名 クライアントに案内する設定値である「DNS ドメインサフィックス」の値を指定します。何も指定しないことも可能です。

    仮想 HUB が動作しているコンピュータが所属するドメイン名

     

    3-7-8.png

    仮想 DHCP サーバー機能管理画面

     

    IP アドレスリーステーブルの取得

    仮想 DHCP サーバーが割り当てた IP アドレスの割り当て一覧表 (IP アドレスリーステーブル) は、いつでも表示させることができます。 「IP アドレスリーステーブル」を表示させるには、「VPN サーバー管理マネージャ」で [仮想 DHCP サーバーの状況] をクリックしてください。「vpncmd」の場合は 、「DhcpTable」コマンドを使用できます。

    3-7-9.png

    DHCP サーバーの IP アドレスリーステーブル表示画面

    3.7.6 仮想 DHCP サーバー機能の注意事項

    仮想 DHCP サーバー機能は便利な機能ですが、使用するにあたっていくつかの注意事項があります。

    • 仮想 DHCP サーバーの使用方法
      仮想 DHCP サーバー機能は、簡易的な DHCP サーバー機能を提供します。動作させるにあたってシステム管理者権限も必要ありません。仮想 DHCP サーバー機能で十分でない場合は、UNIX 用や Windows 用の本格的な DHCP サーバーソフトウェアを使用されることを推奨します。
    • DHCP スコープの有効範囲
      仮想 DHCP サーバーによって、IP アドレスの配布を受けることができる「スコープ (範囲)」は、その SecureNAT が動作している仮想 HUB の「レイヤ 2 セグメント」に限定されます。したがって、特にローカルブリッジ接続などで物理的な LAN との接続を行っていない場合は、その DHCP サーバーによって影響される範囲は仮想 HUB 内部に限定され、仮想 HUB に VPN 接続してきたコンピュータだけが仮想 DHCP サーバーから IP アドレスを受け取ることができます。仮想 HUB が実際に動作しているコンピュータが接続している LAN 上は影響されません (ローカルブリッジ接続を行った場合はこの限りではありません)。もちろん仮想 HUB 同士をカスケード接続したり、別の拠点との間でブリッジ接続したりした場合は、レイヤ 2 セグメント全体が DHCP サーバーによる IP アドレス割り当ての対象となります。
    • 初期設定に関する注意
      仮想 DHCP サーバー機能の初期設定値としては、192.168.30.0/24 のアドレス空間をクライアントコンピュータに対して割り当て、また仮想 NAT 機能を同時に使用することを想定してデフォルトゲートウェイおよび DNS サーバーアドレスを設定しようとします。仮想 NAT 機能を使用しない場合には、ここのような初期設定のうちデフォルトゲートウェイおよび DNS サーバーアドレスは無意味ですので、必ず変更してください。
    • デフォルトゲートウェイや DNS サーバーアドレスを配布せずに IP アドレスのみ配布する場合
      仮想 DHCP サーバー機能で、クライアントに対してデフォルトゲートウェイ設定や DNS サーバー設定を配布せずに、純粋にクライアントコンピュータの IP アドレスだけを配布したい場合は、クライアントに対して割り当てるオプションのうち [デフォルトゲートウェイのアドレス] および [DNS サーバーのアドレス] をそれぞれ空欄にして設定してください。この場合、IP アドレスの割り当てを受けたクライアントコンピュータは使用するルータや DNS サーバーを変更しません。
      なお、クライアントコンピュータが Windows である場合は、前回 DHCP サーバーから割り当てを受けた際に受け取ったデフォルトゲートウェイや、DNS サーバーに関するオプションをキャッシュしており、次回接続時にこれらの値が空欄であれば、前回取得したものを使用してしまうというような不具合が報告されています。これは Windows オペレーティングシステムの仕様のようですが、解決するためには一旦別の DHCP サーバーに接続するなどの処理を行ってみてください。

    3.7.7 SecureNAT セッション

    仮想 HUB で SecureNAT 機能が動作している場合は、仮想 HUB のセッション一覧に「SecureNAT セッション」という仮想の特殊なセッションが登録されます。このセッションには、SecureNAT 機能によって動作している仮想ホストの仮想ネットワークインターフェイスが仮想的 (ソフトウェア的) に内部接続しています。

    仮想 HUB の管理者は、通常のセッションと同様に、このセッションに関して情報を取得することが可能です。

    3.7.8 SecureNAT 動作状況のログ保存

    SecureNAT の仮想 NAT 機能および仮想 DHCP サーバー機能の動作状況は、すべて仮想 HUB のセキュリティログに保存されます。下記は保存されたログの一例です。

    2012-12-06 15:44:52.557 SecureNAT: The DHCP entry 1 was created. MAC address: 00-AC-85-40-B5-50, IP address: 192.168.30.10, host name: NT4, expiration date: 7200 seconds
    The TCP session 1 was created. Connection source 192.168.30.10:1079, Connection destination 207.46.0.166:1863
    2012-12-06 15:45:08.104 SecureNAT: The TCP session 1 was created. Connection source 192.168.30.10:1079, Connection destination 207.46.0.166:1863
    2012-12-06 15:45:08.401 SecureNAT: The connection to TCP session 1: Host "baym-sb26.msgr.hotmail.com (207.46.0.166)", Port 1863 was successful.
    2012-12-06 15:45:08.666 SecureNAT: The TCP session 1 was deleted.
    2012-12-06 15:45:14.604 SecureNAT: The UDP session 2 was created. Connection source 192.168.30.10:1048, Connection destination 192.168.30.1:53
    2012-12-06 15:45:14.760 SecureNAT: The TCP session 3 was created. Connection source 192.168.30.10:1080, Connection destination 65.54.239.140:1863
    2012-12-06 15:45:15.479 SecureNAT: The TCP session 4 was created. Connection source 192.168.30.10:1081, Connection destination 61.197.235.212:143
    2012-12-06 15:45:15.494 SecureNAT: The connection to TCP session 4: Host "us.softether.co.jp (61.197.235.212)", Port 143 was successful.

    参考文献