フリーのVPNソフトについて、仕組みが知りたい

softetherでのvpn接続（リモートアクセス）
について質問です。
＊正式にはPacketiX VPN

リモートアクセスを検討しているのですが、
softetherでfirewallの設定を変えずに
実現できると聞いているのですが、
どのような要件が必要なのでしょうか？

公式サイトや書籍を読め！といわれたら
それまでなのですが・・・
簡単にレビューしていただけると助かります。

SOFTETHERではVPN機能のないルータでも
VPNを実現できると聞いていますが、
その場合、いろんな疑問があります。

通常、vpnアプライアンスなどにクライアントから
接続すると、接続先のLANネットワークアドレスの
ipを取得でき、LANに接続しているのと
同じように利用できると思います。
どうやらその仕組みではないようなのですが
どのようにしてVPN機能を提供しているのでしょうか？

・VPNクライアントの接続先はどこか？
接続先のルータのグローバルIPアドレス？？
LAN内のVPNサーバ？

・グローバルIPが必要なのか？
DDNSを使えば大丈夫なのか？
それすらいらない？

・クライアントはLAN内と同じネットワークアドレス
のIPを取得することになる？

よろしくお願いします。

No.1 ベストアンサー 回答者： wirelessml 回答日時： 2006/08/19 14:46

・PacketiX VPN Clientの接続先はどこか？

接続先のルータのグローバルIPアドレスです。

・PacketiX VPN ClientはLAN内と同じネットワークアドレス
のIPを取得することになります。
　但し、単純にPacketiX VPN ClientからPacketiX VPN Serverに接続しただけではIPアドレスは割り当てられません。手動でIPを設定するか、DHCPサーバをクライアントとして仮想ハブに参加させるか、「仮想DHCPサーバ」機能をオンにするか選ぶ必要があります。
　物理的なLANがあり、その上でDHCPサーバが動いているなら、仮想ハブと物理的なLANをローカルブリッジすることで、物理的なLANに存在するDHCPサーバからIPを取得することも可能になります。

　注目すべき機能としては、PacketiX VPN Bridgeをクライアントの代わりに使えば、PacketiX VPN Serverで設定した「仮想レイヤ3スイッチ」に接続し、複数のネットワーク（拠点間接続）をルーティングできることです。

　PacketiX VPN Serverをインストールするコンピュータは、IPやホスト名（ドメイン名）が固定である必要があります。ですからダイナミックDNSを契約していれば、大丈夫です。
　
　普通、ルータがサーバ側に存在すると、IPマスカレードやNATがオンになっているので、外部からはアクセスできませんよね。ですので、TCPポート8888or992or443を開けてやる必要があります。

　論より証拠で、実際に体験版をインストールして色々試されることをお勧めして筆を置きます。これを使えば、同じ社内の10.0.1ネットワークと192.168.0ネットワークを「仮想レイヤ3スイッチ」でブリッジしてルーティングできる筈なんで、これから試してみようと思います。

参考URL：http://www.softether.com/jp/

この回答へのお礼

ありがとうございます。
(返信遅れてすみません。。）

No.1の回答を読んでなぞが解けた部分と
新たに疑問に思えることが出てきたので
No.2をじっくり読んでみます。

お礼日時：2006/08/25 02:54

No.2 回答者： wirelessml 回答日時： 2006/08/19 18:15

　社内LANの構成を考えた時、外部との接続に172.16.1.254をプライベートIPを持つルータが頂点に存在すると仮定して、そこから枝分かれして、二つのルータに繋がっています。

RT1が172.16.1.1を持ち、RT2が172.16.1.2を持ちます。
　RT1配下のネットワークが192.168.1ネットワーク、RT2配下のネットワークが10.0.1ネットワークとします。
　今、この状態で、クライアント192.168.1.2がクライアント10.0.1.2にpingを飛ばしても、反応はありません。IPパケットは上へ上へと向かって行きますので、外部に向かって飛んで行くことになります。

　そこで、VPNサーバの登場となります。サーバをインストールするのはどちらのPCでも構いません。仮に、サーバを192.168.0.2にインストールするとします。そして、10.0.1.2にはクライアントかブリッジをインストールします。クライアントをインストールした場合は、そのマシンだけが192.168.1ネットワークと繋がります。ブリッジをインストールした場合は、10.0.1ネットワーク毎192.168.1ネットワークと繋がります。個々のパソコンにクライアントをインストールする必要はありません。

　具体的な手順を見て行きましょう。10.0.1.2にブリッジをインストールしたと仮定します。まず、「仮想ハブ」のブリッジを設定します。この仮想ハブはサーバ上の仮想ハブとカスケード接続する為だけに利用されます。「ブリッジ仮想ハブ」と「物理的なLANカード」を「ローカルブリッジ」させます。

　次にサーバ側を見て行きます。まず、「デフォルト仮想ハブ」と「物理的なLANカード」を「ローカルブリッジ」させます。
　続いて、ブリッジから接続出来るようにする為の「仮想ハブ」を作ります。これを「カスケード仮想ハブ」と呼びます。この「カスケード仮想ハブ」にユーザアカウントを作り、ブリッジから接続させることになります。
　ここまでで、サーバ上には二つの「仮想ハブ」が作成されました。次に「仮想レイヤ3スイッチ」の作成に入ります。仮想レイヤ3スイッチに「仮想インタフェース」を追加します。まず、サーバである192.168.1側です。「デフォルト仮想ハブ」のインタフェース「192.168.1.254/24」に接続するよう設定します。
　次に、ブリッジである10.0.1側です。「カスケード仮想ハブ」のインタフェース「10.0.1.254/24」に接続するよう設定します。以上で、「仮想レイヤ3スイッチ」の設定は完了なので、動作開始させます。これで、サーバ側の設定は全て完了です。
　
　いよいよ、ブリッジからサーバにカスケード接続します。が、その前に、RT1（172.16.1.1）のTCP8888ポートを開けてやって、サーバ192.168.1.2にパケットが通る様にしてやって下さい。ブリッジの「ブリッジ仮想ハブ」とサーバの「カスケード仮想ハブ」を接続し、「VPNセション」を張ります。カスケード接続をするには、ブリッジ側で設定します。
　具体的には、接続先のホスト名としてサーバ側のIPアドレス（RT1のIPである172.16.1.1）、ポート番号が8888、仮想ハブ名は「カスケード仮想ハブ」を入力します。さらに、先程「カスケード仮想ハブ」で設定しておいた「ユーザ名とパスワード」も入力します。状態が「オンライン」となれば、無事VPNセションが張られたことになります。
　ここまでで、それぞれのPCは「仮想レイヤ3スイッチ」までpingを飛ばすことが可能になります。192.168.1.2からping 192.168.1.254は通りますし、10.0.1.2からping 10.0.1.254も通ります。しかし、まだ「仮想レイヤ3スイッチ」の先を越えることはできません。そこで、コマンドプロンプトを使ってルーティングを設定します。
　サーバ側では、
route -p add 10.0.1.0 mask 255.255.255.0 192.168.1.254
　ブリッジ側では、
route -p add 192.168.1.0 mask 255.255.255.0 10.0.1.254

　以上で、全て完了です。でも、pingだけでは物足りないですね。ファイル共有ができなければ・・・
ファイル名を指定して実行→￥￥相手のIPアドレス
これで、Windowsの共有フォルダにアクセスできます。

この回答への補足

ありがとうございました。
図を描きながらゆっくり理解してみました。

1つ質問なのですが
”192.168.0.2にインストールするとします。”
というところは
”192.168.1.2にインストールするとします。”
と読み替えてよいのでしょうか？

何度か原文通りに読んだのですが、
おそらく後者のほうが理解できるので。

よろしくお願いします。

補足日時：2006/09/01 03:38