個人ユーザーは、自宅に VPN Server を設置することによって、外出先などから自宅の LAN にリモートアクセスすることが可能になります。ここでは、特に対象を個人ユーザーに絞った場合の使用方法について解説します。
10.10.1 インターネットの危険性と VPN の必要性
インターネット上の通信には、常に悪意のある第三者や通信事業者、政府などによって盗聴・傍受または改ざんされる危険性が存在します。インターネットの通信は いろいろな組織が管理しているネットワークを通過するため、暗号化せず平文のままデータを流すのは特に危険であると考えるべきです。
SoftEther VPN を使用すると、個人レベルのユーザーでも簡単に VPN を構築することができ、インターネットを経由してファイル転送やリモートデスクトップなどの、TCP/IP 通信を行う際にすべての通信を VPN 経由で自宅までカプセル化して伝送し、自宅のコンピュータとの間で通信を行うことが可能です。
10.10.2 自宅への VPN Server の設置
個人で VPN 通信を行う場合で、自宅にグローバル IP アドレスを持っている場合は、自宅のコンピュータに VPN Server をインストールした場合は、インターネットを経由してリモートから、VPN Client によって自宅の VPN Server に接続することができるようになります。
10.10.3 IP アドレスの割り当て方法と DDNS サービス
自宅で VPN Server を設置する場合は、自宅のネットワーク環境 (ISP から IP アドレスの割り当てを受ける環境) に応じて、いくつかの特別な設定が必要になります。
- 自宅のインターネット接続環境が、グローバルで固定の IP アドレスの割り当てを受けることができる環境がある場合は、その固定のグローバル IP アドレスを使用して VPN Server を設置し、インターネット側からアクセス可能にすることができます。
- 自宅のインターネット接続環境が、グローバル IP アドレスであるが変動型 (ISP に接続する都度異なる IP アドレスが割り当てられるもの) である場合は、IP アドレスが変化してしまうと外出先から VPN Server に安定して接続することができなくなってしまいます。このような場合は「ダイナミック DNS サービス (DDNS サービス) 」と呼ばれるようなサービスを利用して、IP アドレスが変化しても常に同一のドメイン名 (ホスト名) に対してその IP アドレスを登録することによって、外出先などの VPN Client はそのホスト名を使用して自宅の VPN Server にアクセス可能にすることができます。このような DDNS サービスは、インターネット上で無償または安価で利用することができます。
- 自宅のインターネット接続環境が「プライベート IP アドレス」(ISP からプライベート IP アドレスが割り当てられ、ISP 側の NAT によってグローバル IP アドレスに変換される) であるような場合は、残念ながら VPN Server を自宅に設置してもインターネット側からアクセスすることができません。このような場合は、ISP を変更するか、ISP の管理者に相談してみてください。
10.10.4 ブロードバンドルータ等の設定の調整
自宅で、すでに NAT 機能を有効にしたブロードバンドルータなどを設置しており、VPN Server をインストールする予定のコンピュータが、ブロードバンドルータによる NAT の内側にある場合は、インターネット側からその VPN Server に対して直接アクセスすることができません。このような場合は、ブロードバンドルータの NAT の設定で「静的ポートマッピング」や「ポート転送」、「サーバー公開機能」または「DMZ 機能」などの方法を使用して、インターネット側から特定のポートに対してアクセスがあった場合に、そのポートを VPN Server を動作させているコンピュータのポートに対してマッピングさせる方法により VPN Server にインターネット側から接続することができるようになります。
そのための手順や方法については NAT 機能を使用しているブロードバンドルータの説明書などをお読みください。
VPN Server を NAT の内側に設置した場合、NAT 機能を提供するブロードバンドルータの性能によって、VPN 通信速度や安定性に大きな影響が出る場合がありますのでご注意ください。
10.10.5 ローカルブリッジ機能の使用の有無
VPN Server をインストールしたコンピュータで「ローカルブリッジ機能」を使用する必要があるかどうかは、その VPN の使用形態によります。
外出先から、自宅内の 1 台のコンピュータのファイル共有にアクセスしたい場合や、リモートデスクトップに接続したい場合などは、ローカルブリッジ機能を有効にして、仮想 HUB と物理的な LAN との間を接続する必要は特になく、VPN Server をインストールしたコンピュータ上に VPN Client もインストールし、その VPN Client が自分自身 (localhost) に対して常に接続している状態にすることによって、外出先から VPN Server に接続すると、常にその VPN Server がインストールされているコンピュータに存在する仮想 LAN カードとの間で通信を行うことができます。この方法で、特定の 1 台の目的のコンピュータに VPN Server をインストールして、そのコンピュータのみと通信する方法では、ローカルブリッジ接続機能の使用は不要です。
外出先から自宅内の LAN 上にあるすべてのコンピュータに対してアクセスしたい場合 (つまり 「10.4 一般的なリモートアクセス VPN の構築」 で解説している「リモートアクセス VPN」を構成する場合) は、「10.4.2 ローカルブリッジ機能の使用」 で解説されているような「ローカルブリッジ機能」の使用が必要です。なお、「SOHO Edition」でも 、「ローカルブリッジ機能」の使用は可能です。
10.10.6 外出先のネットワークから自宅への安全なアクセス
自宅に VPN Server をインストールし正しく構成したら、外出先のネットワーク (無線 LAN などのフリースポットや、出張先のホテルのインターネット接続環境など) から VPN Client を用いて自宅に対して接続してみましょう。
なお、外出先で使用するネットワークが、ファイアウォールやプロキシサーバーを経由しなければならない場合は、VPN Server の「リスナーポート」は「443 番」(HTTPS 通信に使用されるポート) を使用することを推奨します。ほとんどの HTTP プロキシサーバーやファイアウォールは、443 番を接続先とする TCP/IP 通信を通過させることが可能です。
また、企業ネットワークなどで VPN Client を使用して自宅ネットワークに接続しようとする場合は、もしその企業ネットワークで VPN の使用が禁止されている場合は、事前にネットワーク管理者に相談して、許可を求める事が必要です。
10.10.7 本来ローカルネットワークでしか通信できないデジタル家電などの使用
いくつかの種類のデジタル家電などは、ローカルネットワーク (同一のレイヤ 2 Ethernet セグメント) 内でしか通信することができないようになっているものがあります。たとえば、テレビチューナ付きのビデオキャプチャボードで、遠隔地からテレビを見ることができるソフトウェアが付属している場合、そのソフトウェアを使用する際のクライアントとサーバーは 、同一のネットワークに接続されている必要があるようなものもあります。その他、ハードディスクレコーダや DVD レコーダなどでの動画の転送なども、同一のネットワーク上でのみ実行することができるようなものがあります。
これらの本来 TCP/IP 通信に対応していないような機器に対して、SoftEther VPN を使用したリモートアクセス VPN や拠点間接続 VPN を活用して、インターネットを越えた遠隔地からアクセスして、まるで自宅の LAN に直接接続しているのと同様に使用することができます。