11.3 一般的な補足事項 - SoftEther VPN プロジェクト

11.3 一般的な補足事項

    目次
    1. 1. 11.3.1 アンチウイルスソフトウェアやパーソナルファイアウォールと共に使用する場合の注意事項
    2. 2. 11.3.2 VPN 経由で通信した場合約 1000 分の 1 秒程度の遅延が発生する件について
    3. 3. 11.3.3 プロキシサーバー経由接続での NTLM 認証への対応について
    4. 4. 11.3.4 VPN セッションはどの程度の距離まで離れて接続することができるかという件について
    5. 5. 11.3.5 VPN 経由での通信のスループットを既存のツールなどで測定すると非常に低速な結果が出た場合
    6. 6. 11.3.6 VPN Bridge の SecureNAT 機能と VPN Server の SecureNAT 機能との違いについて
    7. 7. 11.3.7 1 人のユーザーが複数本の VPN セッションを確立することができるかどうかについて
    8. 8. 11.3.8 Windows XP などのクライアント用 Windows を VPN サーバーとして使用することはライセンス上可能かどうかについて
    9. 9. 11.3.9 Windows 98、98 SE、ME を VPN Server として使用する際の注意事項
    10. 10. 11.3.10 実際に許諾されているライセンス数よりも多くの同時接続が成功する場合
    11. 11. 11.3.11 "00:AE" で始まる MAC アドレスについて
    12. 12. 11.3.12 仮想 HUB の MAC アドレスの決定方法
    13. 13. 11.3.13 VPN Server を動作させるコンピュータ名について
    14. 14. 11.3.15 VPN Server を動作させるコンピュータのスペックと対応できる同時接続数の目安について
    15. 15. 11.3.16 クラスタリング機能で負荷分散したほうが望ましい程度の同時接続数の目安について
    16. 16. 11.3.17 インターネットへの接続に特殊な PPPoE 接続ツールなどを使用している場合について
    17. 17. 11.3.18 仮想 LAN カードと物理的な LAN カードをオペレーティングシステムのブリッジ機能を用いてブリッジする場合の注意事項
    18. 18. 11.3.19 仮想 LAN カードと物理的な LAN カードの両側でのネットワークアドレスが同一である場合の挙動について
    19. 19. 11.3.20 仮想 LAN カードの MAC アドレスの自動決定について
    20. 20. 11.3.21 仮想 LAN カードの MAC アドレスが一意であるかどうかについて
    21. 21. 11.3.22 外部の SSH ポート転送プログラムなどを援用して VPN サーバーに接続しようとする際の注意事項
    22. 22. 11.3.23 デフォルトゲートウェイが仮想 LAN カード側にも物理的な LAN カード側にも存在する場合の優先順位について
    23. 23. 11.3.25 VPN Bridge で仮想 HUB の作成ができないことについて
    24. 24. 11.3.26 FreeBSD、Solaris および Mac OS X でローカルブリッジ機能が使用できないことについて
    25. 25. 11.3.27 VPN Bridge のリスナーポートに VPN Client から接続した場合について

     

    ここでは、SoftEther VPN ソフトウェアを使用する上で知っておいたほうが良いと思われる、一般的な補足事項について解説します。
     

    11.3.1 アンチウイルスソフトウェアやパーソナルファイアウォールと共に使用する場合の注意事項

    SoftEther VPN ソフトウェアを、サードパーティ製のアンチウイルスソフトウェアやパーソナルファイアウォールと共に使用する場合は、以下のような点に注意してください。
    • パーソナルファイアウォールソフトウェアの多くは、インストール後、外部からそのコンピュータへの TCP/IP 接続を行えないようにブロックします。この状態では、VPN Server を設置することができません。VPN Server を設置する際には、必ずパーソナルファイアウォールソフトウェアの設定を変更して、VPN Server で使用するリスナーポート番号に対するアクセスを許可してください。
    • 一部のパーソナルファイアウォールソフトウェアをインストールすると、localhost (コンピュータ内部で自分自身に対する接続を行うこと) に対する TCP/IP 接続にも失敗する場合があります。そのため、VPN Client に対して、VPN クライアント接続マネージャで接続するといったことができなくなる可能性があります。このような場合は、パーソナルファイアウォールソフトウェアを無効にしてみてください。
    • SoftEther VPN の挙動がおかしいと感じた場合は、まずサードパーティ製のアンチウイルスソフトウェアやパーソナルファイアウォールを、一時的に無効化またはアンインストールして再度試行してみてください。その状態で動作が正常になった場合は、サードパーティ製のアンチウイルスソフトウェアやパーソナルファイアウォールのプログラムと SoftEther VPN プログラムの相性が悪いことになります。
    • サードパーティ製のアンチウイルスソフトウェアやパーソナルファイアウォールが原因となって発生する問題がある場合は、それらのアンチウイルスソフトウェアやパーソナルファイアウォールを無効化したり 、アンインストールしたりした状態で SoftEther VPN を使用する必要がある場合もあります。

    11.3.2 VPN 経由で通信した場合約 1000 分の 1 秒程度の遅延が発生する件について

    SoftEther VPN を使用して VPN 通信を行うと、物理的な回線上で直接通信を行った場合と比較して、1000 分の 1 秒以上の遅延が発生する場合があります。これは、通信内容 (仮想 Ethernet フレーム) の暗号化・カプセル化のために消費される時間であり、VPN システムとしては必ず必要になる処理による遅延です。通常は実用上問題になるようなものではありません。
     

    11.3.3 プロキシサーバー経由接続での NTLM 認証への対応について

    SoftEther VPN は、現在 HTTP プロキシサーバー経由接続を行う際の NTLM 認証に対応しておりません。したがって、古いバージョンの Microsoft Proxy Server で NTLM 認証が必要になっている場合などは、この設定を変更して Basic 認証または認証なしでプロキシサーバーにアクセスできるようにする必要があります。
     

    11.3.4 VPN セッションはどの程度の距離まで離れて接続することができるかという件について

    SoftEther VPN は、Ethernet フレームをカプセル化することによって通信を行います。通常の Ethernet の規格上は、電気的特性により同一の Ethernet セグメントの最大の通信距離が決まっている場合がありますが、SoftEther VPN はすべての Ethernet フレームをカプセル化して、既存の IP ネットワークを経由して通信するため、基本的には非常に離れている拠点間であっても、インターネットにアクセス可能であれば相互に VPN 接続を行うことができます。ただし、たとえば地球の裏側などと通信した場合など、距離が極めて離れている場合は、光速度の物理的な制限により、往復で約 140 ミリ秒またはそれ以上の遅延が発生する場合もあります。
     

    11.3.5 VPN 経由での通信のスループットを既存のツールなどで測定すると非常に低速な結果が出た場合

    既存のスループット測定ソフトウェアやスループット測定サービスなどで、VPN 通信速度を測定すると低速な結果が出た場合は、SoftEther VPN に付属している通信スループット測定ツールまたは vpncmd の TrafficClient / TrafficServer 機能で、より正確なスループットの測定を試行してみてください。詳しくは 「4.8 実効スループットの測定」 を参照してください。特に、従来のスループット測定ソフトウェアの多くは実際の回線の種類によって結果に大きな差が出てしまうようなものもありますのでご注意ください。
     

    11.3.6 VPN Bridge の SecureNAT 機能と VPN Server の SecureNAT 機能との違いについて

    SoftEther VPN Bridge に搭載されている SecureNAT 機能のプログラムは、SoftEther VPN Server に搭載されている SecureNAT 機能のプログラムと全く同一であり、性能や機能に論理的な違いはありません。
     

    11.3.7 1 人のユーザーが複数本の VPN セッションを確立することができるかどうかについて

    1 つのユーザーアカウントで、複数本の VPN セッションを同時に確立できます。
     

    11.3.8 Windows XP などのクライアント用 Windows を VPN サーバーとして使用することはライセンス上可能かどうかについて

    Windows XP や Windows Vista、Windows 2000 Professional などのクライアント向けバージョンの Windows 上で、SoftEther VPN Server を VPN サーバーとして使用することは Windows のライセンス条件的に可能であるかどうかについては、あくまでも Windows のライセンス契約の当事者であるお客様と Windows の販売事業者であるマイクロソフトの 2 者間の問題であるため、ソフトイーサ株式会社が関与する問題ではありません。なお、参考としまして Windows XP Professional SP1 製品版の「使用許諾契約書 (EULAID:XPSP1_RM.1_PRO_RTL_JA)」には、「1.3 デバイスによる接続」内に、「お客様は、本ソフトウェアのファイルとプリンタの共有サービス、インターネット インフォメーション サービス、およびリモート アクセスのうちの 1 つまたは複数のサービスを利用するために、最大 10 台のコンピュータまたはその他の電子デバイスから同時に本ワークステーション コンピュータに接続することができます。(中略) 上記の 10 台という制限は、本ソフトウェアのその他の使用には適用されません。」と明記されているため、Windows XP の機能ではなく、別途ソフトウェアとして導入した SoftEther VPN Server を使用するために Windows XP を使用する場合は、10 台を超えた台数のコンピュータからの接続を同時に処理する VPN サーバーとして利用することについては、何ら差し支えはないものと認識しています。
     

    11.3.9 Windows 98、98 SE、ME を VPN Server として使用する際の注意事項

    SoftEther VPN Server は、Windows 98 以降の Windows 9x 系オペレーティングシステムでも動作します。ただし、これらのオペレーティングシステムは、システム自体の安定性が非常に低いため、VPN サーバーコンピュータのオペレーティングシステムとして使用することは推奨されていません。Windows NT または Windows 2000 以降の Windows オペレーティングシステムや Linux などのより新しいカーネルのオペレーティングシステムを使用されることを推奨します。
     

    11.3.10 実際に許諾されているライセンス数よりも多くの同時接続が成功する場合

    SoftEther VPN Server において、実際に登録されている同時接続ライセンス数を超えた同時接続が成功する場合があります。特にクラスタリング環境の場合は、クラスタ全体で現在接続されている同時接続数が、数秒毎に集計されクラスタコントローラで管理されるため、前回集計したときのクラスタ全体の VPN 接続セッション数 (クライアント接続数およびブリッジ接続数) を元に、新しい接続を許可するかどうかが自動的に判定されます。
     

    11.3.11 "00:AE" で始まる MAC アドレスについて

    すべての仮想 HUB は、内部的に "00:AE" で始まる MAC アドレスを持っています。この MAC アドレスは、「3.4.8 IP アドレス存在確認ポーリングパケット」 で解説されている ARP ポーリングパケットを送出する際の、送信元 MAC アドレスとして使用されます。
     

    11.3.12 仮想 HUB の MAC アドレスの決定方法

    仮想 HUB の MAC アドレスは、VPN Server を動作させているコンピュータに固有の情報 (ホスト名や物理的な IP アドレス) をハッシュした値の先頭に "00:AE" を付加したものです。したがって、VPN Server を再起動したりした場合などでも、仮想 HUB の MAC アドレスは基本的には変化しません。
     

    11.3.13 VPN Server を動作させるコンピュータ名について

    クラスタを構築する場合、各 VPN Server を動作させるコンピュータのコンピュータ名、またはホスト名については、それぞれ異なる名前を付けてください。
     

    11.3.15 VPN Server を動作させるコンピュータのスペックと対応できる同時接続数の目安について

    VPN Server の理論上の最大同時接続数は 4,096 セッションです。ただし、実際にはソフトウェアの制限ではなく、ハードウェアの制限 (CPU 速度の限界、メモリ容量の限界) がありますので、同時接続セッション数がこれよりも少ない状態で運用することが推奨されています。また同時接続セッションが多く見込まれる場合はクラスタリング機能の使用を検討してください。
    ソフトイーサ株式会社は、VPN Server を動作させるための推奨ハードウェアおよびハードウェアによって実用的に動作させることができる正確に同時接続数などは公開していませんが、目安としては Pentium 4 2.8GHz、RAM 1G バイト程度のコンピュータで、最大 200~1,000 セッション程度を受け付けるのが適切であると考えられます (VPN 内を流れる通信内容などによって、VPN Server に対する負荷は異なります)。
     

    11.3.16 クラスタリング機能で負荷分散したほうが望ましい程度の同時接続数の目安について

    VPN Server のクラスタリング機能は、いつでもクラスタに対して新しいノード (クラスタメンバサーバー) を、クラスタを停止することなく追加することが可能です。したがって、クラスタリング機能を用いて VPN Server を複数設置する場合に、どの程度の台数が必要になるのかがよくわからない場合は、最初は 2 台程度の少数のサーバーで運用を試行してみて、その結果 VPN Server 1 台あたりの負荷が大きくなり過ぎる場合は、後から VPN Server を増設するのが最も適切で効率的な方法です。
     

    11.3.17 インターネットへの接続に特殊な PPPoE 接続ツールなどを使用している場合について

    VPN Client をインストールした VPN クライアントコンピュータが、PPPoE などに接続するための特殊な接続ツール (インターネットサービスプロバイダによって配布されているものが多いですが、それに限定されません) を使用することによって、インターネットに接続しているような場合は、それらの接続ツールの行うルーティングテーブルの制御系と、VPN Client が行うルーティングテーブルの制御系が競合し、「4.4.18 ルーティングテーブルの書き換え処理」 で解説されているような処理が正しく動作しない場合があります。そのような場合は、PPPoE を使用したインターネットサービスプロバイダへの接続を、クライアントコンピュータ側のツールではなく PPPoE に対応したブロードバンドルータなどを使用することによりインターネットに接続してみてください。
     

    11.3.18 仮想 LAN カードと物理的な LAN カードをオペレーティングシステムのブリッジ機能を用いてブリッジする場合の注意事項

    SoftEther VPN では、仮想ネットワークと物理的なネットワークは 「3.6 ローカルブリッジ」 で解説されているローカルブリッジ機能によって行うことが、最も高速かつ簡単ですが、Windows や Linux などのオペレーティングシステムに組み込まれている機能を利用して、仮想 LAN カードと物理的な LAN カードをブリッジ接続することによって、仮想ネットワークと物理的なネットワークを 1 つのセグメントにすることは可能です。ただし、この場合は、ブリッジ接続に対応したオペレーティングシステム (Windows の場合は Windows XP Professional 以降、Windows Vista のブリッジ接続に対応したエディションおよび Windows Server 2003 以降のみ) が必要になります。なお、この場合も 「3.6.3 ローカルブリッジ用の LAN カードの準備」 で解説されているようにブリッジ接続先専用の新しい LAN カードを用意することが推奨されています。
     

    11.3.19 仮想 LAN カードと物理的な LAN カードの両側でのネットワークアドレスが同一である場合の挙動について

    VPN Client をインストールしているコンピュータで、仮想 LAN カードと物理的な LAN カードの両方の所属する IP ネットワークが、同一または一部が重複するような構成は避けてください。これは、たとえば物理的な LAN カードが 2 枚あるコンピュータの両方に同一の IP ネットワークを接続してそれぞれ別のレイヤ 2 ネットワークセグメントに接続するのと同様に誤った接続方法です。
     

    11.3.20 仮想 LAN カードの MAC アドレスの自動決定について

    仮想 LAN カードの MAC アドレスのデフォルト値は、仮想 LAN カードを作成する際に自動的に決定されます。なお、ユーザーはいつでも仮想 LAN カードの MAC アドレスを、任意のものに変更することができます。その方法については、「3.4.2 オンラインおよびオフライン状態」 の「高度な設定項目の変更」を参照してください。
     

    11.3.21 仮想 LAN カードの MAC アドレスが一意であるかどうかについて

    仮想 LAN カードの MAC アドレスのデフォルト値は "00:AC" で開始し、仮想 LAN カードを作成しようとした瞬間の時刻と、その他のコンピュータ固有のパラメータなどを結合した値をハッシュすることによってランダムに決定されます。したがって、同一レイヤ 2 セグメント上で、偶然 2 枚以上の仮想 LAN カードが同一の MAC アドレスを持ってしまうような状態になる可能性は極めて低く、通常は発生しません。
     

    11.3.22 外部の SSH ポート転送プログラムなどを援用して VPN サーバーに接続しようとする際の注意事項

    VPN Client を使用して遠隔地の VPN Server に接続する際に、たとえば SSH サーバーを経由したいような場合に、サードパーティ製の SSH ポート転送プログラムなどを使用して接続する場合など、VPN Client から localhost に対して接続し、localhost から遠隔地の VPN Server に対してポート転送する場合などの特殊な場合は、事前に自分自身のコンピュータが実際に直接接続するリモートコンピュータ (SSH ポート転送の場合は SSH サーバーなど) への静的ルートを物理的なネットワーク側をゲートウェイとして登録しておいてください。この登録を行わない場合は、もし VPN Client の接続完了後に仮想 LAN カード側がデフォルトゲートウェイになった場合は、SSH サーバーへの接続も仮想 LAN カード側を通ろうと試みるため、実際の SSH サーバーと通信ができなくなり、VPN 通信が切断されてしまいます。
     

    11.3.23 デフォルトゲートウェイが仮想 LAN カード側にも物理的な LAN カード側にも存在する場合の優先順位について

    Windows 2000 以降で、VPN Client の仮想 LAN カード側と既存の物理的な LAN カード側の両側について、TCP/IP 設定でデフォルトげーウェイが設定されている場合、その優先順位について各 LAN カードの TCP/IP 設定の「インターフェイスメトリック」の値が小さいほうが優先度が高くなる場合が一般的です。デフォルトゲートウェイは常に 1 つしか保持できないため、優先順位が 2 番目以降の 0.0.0.0/0 に対する他のルーティングテーブルは、一時的に消去されます (その VPN 接続を切断すると自動的に復元されます)。なお、仮想 LAN カードのインターフェイスメトリックは、デフォルトで 1 であり、通常の LAN カードのインターフェイスメトリックである 10、20 または 30 と比較すると優先順位が高くなっています。
     

    11.3.25 VPN Bridge で仮想 HUB の作成ができないことについて

    VPN Bridge は、デフォルトで "BRIDGE" という名前の仮想 HUB を 1 つだけ持っており、この仮想 HUB に対してローカルブリッジ接続を定義したり、VPN Server へのカスケード接続を設定したりすることによって VPN ブリッジソフトウェアとしての機能を実現します。そのため、VPN Bridge には新しい仮想 HUB を作成しません。詳しくは 「5.3.2 VPN Bridge における仮想 HUB」 を参照してください。
     

    11.3.26 FreeBSD、Solaris および Mac OS X でローカルブリッジ機能が使用できないことについて

    FreeBSD、Solaris および Mac OS X では、Windows や Linux との構造状の相違点が原因で、本マニュアル執筆時点ではまだローカルブリッジ機能が提供されていません。将来的にこれらのオペレーティングシステムでも、ローカルブリッジ機能が使用できるようになる可能性があります。
     

    11.3.27 VPN Bridge のリスナーポートに VPN Client から接続した場合について

    第5章 SoftEther VPN Bridge マニュアル」 で解説されているように、VPN Bridge は VPN Server と異なり VPN Client からの接続を受け付けることはできません。もし接続しようとした場合は、「サポートされていません。」という内容のエラーが返されます。