5.3 VPN Server との相違点 - SoftEther VPN プロジェクト

5.3 VPN Server との相違点

    「SoftEther VPN Bridge」は、SoftEther VPN Server から一部の機能を削除し、リモート拠点で仮想 HUB と物理的な LAN カードとの間を接続する (ブリッジする) ための、専用ソフトウェアとして実装されています。SoftEther VPN Bridge の使用方法や各種機能の動作原理、および管理のための知識などは、ここで挙げるような相違点を除き、「第3章 SoftEther VPN Server マニュアル」 で解説されている SoftEther VPN Server のための説明を、ほぼそのまま適用することができます。したがって、SoftEther VPN Bridge に関する具体的な設定方法などについては、記述の「VPN Server」の部分を「VPN Bridge」に、「vpnserver」の部分を「vpnbridge」にそのまま置き換えてお読みください。

    5.3.1 VPN Bridge の特徴と使用方法

    VPN Server と VPN Bridge

    第3章 SoftEther VPN Server マニュアル」 で解説されている「SoftEther VPN Server」は、VPN 接続元のコンピュータに対して VPN サーバー機能を提供するソフトウェアです。1 台の VPN Server 内に複数の「仮想 HUB」を設置することができ、またその仮想 HUB に対して、ネットワークを経由して遠隔地にある VPN Client や VPN Bridge などが VPN 接続することができるようになっています。また、VPN Server では、内部の仮想 HUB と、VPN Server を動作させているコンピュータが物理的に持っている LAN カードとの間で「ローカルブリッジ接続」機能 (詳しくは 「3.6 ローカルブリッジ」 を参照してください) や「SecureNAT」機能 (詳しくは 「3.7 仮想 NAT および仮想 DHCP サーバー」 を参照してください) を使用して、仮想ネットワークと物理的なネットワークの間の接続を行う機能を持っています。

    「VPN Bridge」は、上記のような特徴を持つ VPN Server から、以下の機能を削除したソフトウェアです。

    • VPN 接続を受け付ける機能 (VPN サーバーとしての機能) や、それに付随する機能。
    • 複数個の仮想 HUB を作成する機能。
    • 仮想レイヤ 3 スイッチ機能。
    • アクセスリストによるパケットフィルタリング機能。

    技術的な VPN Bridge の位置付け

    技術的には、「SoftEther VPN Bridge」は、SoftEther VPN Server のソフトウェアプログラムから、他のコンピュータの SoftEther VPN Client および SoftEther VPN Server からの接続を受け付ける機能や、複数の仮想 HUB を作成する機能などを削除し、ブリッジ拠点用に最適化したソフトウェアです。SoftEther VPN Bridge をインストールすると、"BRIDGE" という名前の仮想 HUB が 1 つだけ作成されます。ネットワーク管理者は、その仮想 HUB をブリッジする拠点の LAN とローカルブリッジし、また接続先の SoftEther VPN Server の仮想 HUB へ接続します。

    VPN Bridge の用途および使用方法

    VPN Bridge は「VPN Server へのカスケード接続」と「ローカルブリッジ接続による物理的なネットワークとの間のブリッジ」という 2 つの機能を使用することに最適化されており、その他の余分な機能の多くは排除されています。

    たとえば、既設の VPN Server の仮想 HUB を本社に設置しておき、その仮想 HUB と接続したい各支店の拠点の LAN 内に VPN Bridge をインストールし、インターネットを経由して本社の LAN と常に接続し続けているような構成の VPN を構築することにより、VPN Bridge を有効に使用することができます。

    一般的に必要になる VPN Server と VPN Bridge のコンピュータ台数

    10.5 拠点間接続 VPN の構築 (ブリッジ接続を使用)」 や 「10.6 拠点間接続 VPN の構築 (IP ルーティングを使用)」 などで別途解説されているような、一般的な規模における「拠点間接続 VPN」を構築する場合は、1 つの拠点に VPN Server を設置し、その他の拠点に VPN Bridge を設置して、各拠点で仮想 HUB と物理的な LAN カードの間を「ローカルブリッジ接続」すると同時に、VPN Bridge の仮想 HUB から VPN Server の仮想 HUB に「カスケード接続」することになります。

    このような場合は、1 台の VPN Server と、「接続したい拠点数の合計から 1 を引いた数の台数の VPN Bridge」を設置する必要があります。一般的に 「N 箇所の拠点」同士を拠点間 VPN 接続する場合は、「N - 1 台の VPN Bridge」を用意し、1 台の VPN Server に対して接続してください。

    5-3-1.png

    図5-3-1 各拠点での VPN Server と VPN Bridge

    コンフィグレーションファイル名

    VPN Server ではコンフィグレーションファイル名は vpn_server.config という名前ですが、VPN Bridge では vpn_bridge.config という名前になります。

    5.3.2 VPN Bridge における仮想 HUB

    VPN Bridge では、プログラム内に「1 つ」だけ仮想 HUB を持つことができます。その仮想 HUB の名前は"BRIDGE" という名称に固定されています。

    5-3-2.png

    図5-3-2 "BRIDGE" という名前の仮想 HUB

    VPN Bridge は、VPN Server と同様に、「VPN サーバー管理マネージャ」や「vpncmd ユーティリティ」によって管理しますが、その際は "BRIDGE" という名前の仮想 HUB を選択して、管理を行うことになります。

    この "BRIDGE" という名前の仮想 HUB と、コンピュータに物理的に接続されている LAN カードとの間を「ローカルブリッジ機能」によって接続することにより、"BRIDGE" 仮想 HUB と物理的な LAN のセグメントが結合されます。その状態で "BRIDGE" 仮想 HUB に「カスケード接続」を作成し、目的の VPN Server に対して接続し続けるように設定することにより、「拠点間接続 VPN」を簡単に構築することができます。

    5.3.3 VPN Bridge におけるカスケード接続機能

    VPN Bridge の仮想 HUB も、VPN Server 内の仮想 HUB と同様に、他のコンピュータ上で動作している仮想 HUB に「カスケード接続」することができます。カスケード接続については、「3.4.11 カスケード接続機能」 を参照してください。

    VPN Bridge の仮想 HUB は、VPN 接続を受け付けることができないため、外部の VPN Server に対してカスケード接続しない VPN Bridge は全く無意味なものとなります。VPN Bridge を使用する際には、カスケード接続機能を「必ず」使用することになります。

    5-3-3.png

    図5-3-3 VPN Bridge におけるカスケード接続機能

    5.3.4 VPN Bridge における接続の受け付け

    VPN Bridge は VPN Server と異なり、VPN 接続を受ける機能を持っていません。SoftEther VPN ソフトウェアシリーズの中で VPN 接続を受ける機能、つまり VPN サーバーとしての機能を持っている製品は SoftEther VPN Server のみです。

    ただし、VPN Bridge は VPN Server と同様に「TCP/IP リスナーポート」を持っています。初期状態で有効になっている TCP/IP リスナーポートは「443 番」「992 番」および「5555 番」の 3 つで、VPN Server と同様となっています。この TCP/IP リスナーポートは、VPN Bridge にローカルまたはリモートから「VPN サーバー管理マネージャ」または「vpncmd ユーティリティ」で管理接続するために必要です。

    5-3-4.png

    図5-3-4 VPN Bridge への管理接続

    5.3.5 VPN Bridge におけるローカルブリッジ機能

    VPN Bridge 内の唯一の仮想 HUB である "BRIDGE" は、その VPN Bridge が動作しているコンピュータ上の物理的な LAN カードとの間で「ローカルブリッジ接続」を構成することができるようになっています。この機能により、VPN Bridge の仮想 HUB は、既存の拠点の LAN とレイヤ 2 で接続することができ、「ブリッジ」としての役割と機能を発揮します。

    ローカルブリッジの設定方法については、VPN Server の場合と全く同様です。詳しくは 「3.6 ローカルブリッジ」 を参照してください。

    なお、Windows、Linux、FreeBSD および Solaris 以外のオペレーティングシステム用の VPN Bridge では、ローカルブリッジ機能が搭載されていません。したがって、Windows、Linux、FreeBSD および Solaris 以外の VPN Bridge は、ほとんど役に立ちませんのでご注意ください。ただし、SecureNAT 機能を使用することができます。

    5-3-5.png

    図5-3-5 VPN Bridge でのローカルブリッジ設定画面

    5.3.6 VPN Bridge における SecureNAT 機能

    VPN Bridge 内の唯一の仮想 HUB "BRIDGE" は、VPN Server と同様に SecureNAT による仮想 NAT 機能、および仮想 DHCP サーバー機能を持っており、必要な場合は、これらの機能を有効にすることができます。これらの機能の使用方法については、「3.7 仮想 NAT および仮想 DHCP サーバー」 を参照してください。

    また、VPN Bridge の「SecureNAT 機能」を活用した SoftEther VPN の使用方法の例については、「10.11 SecureNAT 機能を用いた権限不要のリモートアクセス」 を参照してください。

    5.3.7 VPN Bridge における仮想レイヤ 3 スイッチ機能

    VPN Bridge には「1 つ」しか仮想 HUB が存在しないため、必然的に仮想レイヤ 3 スイッチの意味はなくなります。したがって、VPN Bridge からは、仮想レイヤ 3 スイッチ機能は削除されており、使用することはできません。

    5.3.8 VPN Bridge と VPN Server の共存

    SoftEther VPN の初心者がよく行う間違いとして、VPN Server と VPN Bridge を、同一のコンピュータにインストールしてしまい混乱を発生させるというものがあります。VPN Server と VPN Bridge に関する本マニュアルの説明でお分かりいただけるように、VPN Server と VPN Bridge を同一のコンピュータにインストールする意味は全くありません。

    VPN Server は、単体で仮想 HUB と物理的な LAN との間の「ローカルブリッジ機能」を有しているため、VPN Server の仮想 HUB を物理的な LAN カードとの間でレイヤ 2 接続することは、VPN Server 単体で実現できます。このような接続方法を行うために、VPN Bridge を使用する必要は全くありません。

    VPN Server と VPN Bridge は、同一のコンピュータにインストールしないでください。