OpenVPNサーバーの構築とVPNルーティング？

現在、OpenVPNで社内VPNサーバーを構築しようと考えています。

目的は、社員の外出先でのインターネット利用を安全なものにするためです。

外出先から、社内 VPN サーバーにアクセスするだけではなく、
そこからさらに、インターネットアクセスもできるようにしたいと考えています。
（VPN サーバーのインターネット接続を利用するイメージ）

イメージ

　[ 社員（外出先PC） ]　→　[ 社内 VPN サーバー]　→　[ OKWave 等インターネット上のサービス ]

　社員は、外出先のPC( Win、Mac、iPhone、iPad )から VPN 接続を行い、
　VPN サーバーで認証を済ませた後、インターネット接続を行う。
　なお、社員数は30名ほどです。
　本番環境では、VPNサーバーは、他社のホスティングサービス上に設置します。


こういった方法について、実例や参考となるサイトなど
ご存知の方いましたら、ご教示いただけないでしょうか。

また、こういったことは可能なのでしょうか？

私が調べた限りでは、いい例や設定方法が紹介されたサイトは見つかりませんでしたが、
「OpenVPN 2 HOWTO 日本語訳」( http://freescitech.net/2/wiki/index.php?OpenVPN% …　)
によると、「VPN上のクライアントトラフィック（含Web）をルーティングする」ということが最も近い形のように思います。

上記方法を要約すると、通常のVPN設定
（社員がVPNサーバーに接続して、社内LANを利用するだけの設定）を行った後、
更にサーバーの設定ファイルに、 push "redirect-gateway def1" を追加します。
これによって、クライアント（社員）の全てのネットワーク要求がVPN 上に送られ、
あとは、VPN サーバー上でそれらを適切にルーティングすれば良いようです。
（DNS 設定、NAT 設定などが必要。）

この方法について、もう少し詳しく説明されているサイトが見つかるとよいのですが・・・。


また、同サイトにてこの方法には以下の問題があることが報告されています。

・クライアントがローカルDHCPサーバにアクセスできなくなる。
　（オプションredirect-gatewayによって、クライアントの全てのネットワーク要求が
　　VPN上に送られるため、クライアントがローカルDHCPサーバに接続できなくなり、
（DHCPメッセージがVPN経由となったため），
　　結局ローカルDHCPからもらったIPアドレスが使えなくなることがある）
・Windowsクライアントに対してDNSアドレスを使えることについて、問題点がある。
　（日本語訳が変？でよくわからない）
・クライアントにおいてWeb閲覧のパフォーマンスが体感的に落ちることがある。

このような問題もあるため、やりたいことが実現できるのかどうかが不明です。
特に一つ目の項目（クライアントのDHCPアクセス問題）について、
対処方法があるのかどうか、についての参考情報も探しておりますので、
ご存知でしたらご教示頂けませんでしょうか。

よろしくお願い申し上げます。

No.1 ベストアンサー 回答者： beefisdead 回答日時： 2010/11/23 17:25

> 本番環境では、VPNサーバーは、他社のホスティングサービス上に設置します。

あれ？トラフィックの制御をする（機密保持・HTTPのアクセス制御）目的で自社ネットワーク内から発信させる、というわけではないのでしょうか？
社内サービスを利用させるだけなら、社内ネットワークのみをルーティングする形にしたほうが問題も少ないでしょう。

> ・クライアントがローカルDHCPサーバにアクセスできなくなる。
これは設定の失敗時に起きる可能性があります、ね。
ただ、ルーティング設定をきちんと行えば普通は問題にならないはずです。
問題が起きる可能性があるのは、本来接続するDHCPサーバとクライアントとが同じネットワークにいない場合（つまりDHCPリレーしている場合）で、かつ、ルーティング設定が不十分であった場合、でしょう。

> ・Windowsクライアントに対してDNSアドレスを使えることについて、問題点がある。
原文は "Issues exist with respect to pushing DNS addresses to Windows clients." とありますね。
http://support.microsoft.com/kb/311218
ようは、全ての名前解決にVPN先のDNSサーバを使うことになるので、本来のネットワークで使うべきDNSサーバを利用できず、結果として解決できない名前が出てくる可能性がある、ということです。例としては、"printer.home-network" とかいう適当な名前でアクセスしていた家のプリンタを使えなくなる、なんて場合がありますね。これは、個別に対応するしかありません。

> ・クライアントにおいてWeb閲覧のパフォーマンスが体感的に落ちることがある。
これは、パケットが迂回している以上は避けられないですよね。wwwに関しては、キャッシュサーバを出口に挟むことで、そこそこ影響を減らせるとは思います。

参考URL：http://freescitech.net/2/ovpn2_howto_ja.html

この回答への補足

順を追って補足させていただきます。

>> 本番環境では、VPNサーバーは、他社のホスティングサービス上に設置。
> あれ？トラフィックの制御をする（機密保持・HTTPのアクセス制御）目的で
> 自社ネットワーク内から発信させる、というわけではないのでしょうか？

ご指摘ありがとうございます。

今回、VPNサーバーを導入する目的は、
「海外からインターネット接続する場合でも、日本から接続しているように見せる」
ということになります。

例えば、フランスに出張した場合にフランスのプロバイダを使ってGoogle.comにアクセスすると、

　社員端末 - フランスプロバイダ - Google.com

という通信経路になり、Googleから見るとフランスからアクセスしていると見做されます。

Googleなどの一般サービスでは問題ないのですが、Webサービスやアプリケーションによっては
海外からのアクセスを遮断したり、時計や言語が自動的に切り替わるなどして、
Webコンテンツの有効期限などの管理を主事業とする当方の業務に支障をきたすことがあります。

そこでVPNサーバーを間に入れることで、

　社員端末 - フランスプロバイダ - VPNサーバー(東京) - Google.com

といった通信経路にし、世界中どこにいても東京からアクセスしているように見せかけることで
上記の問題を解決したいと考えております。

このようなことは実現可能なのでしょうか？

ご指摘された通り、VPNサーバーをホスティングサービス上に構築するというのは、
あまり想定されていない形だと思います。そのため、構築作業中に、
何か解決できない問題が発生するのではないか、との不安もあります。

例えば、ホスティングサービス会社で利用できるネットワークインフラの制約は、
どうしようもありません。これは今回、最も危惧している部分です。
ホスティングサービスを選ぶ際に、あらかじめ確認しておいた方が良い点などあるのでしょうか。

ホスティングサービスは、NTTコミュニケーションズ社が提供するWebARENAを検討しております。
（他社の例ですが、WebARENAでVPNサーバーを構築したという話を聞いたことがあるためです。）

>> ・クライアントがローカルDHCPサーバにアクセスできなくなる。
> これは設定の失敗時に起きる可能性があります、ね。
> ただ、ルーティング設定をきちんと行えば普通は問題にならないはずです。
> 問題が起きる可能性があるのは、本来接続するDHCPサーバとクライアントとが
> 同じネットワークにいない場合（つまりDHCPリレーしている場合）で、
> かつ、ルーティング設定が不十分であった場合、でしょう。

このようなルーティング設定とは、
クライアントごとに設定していかなければならないものなのでしょうか。
それとも、OpenVPNサーバーのserver.confなどで設定するものなのでしょうか。

クライアントを１台追加する毎に発生する作業については、今後調べようと思っております。
クライアントは、Windows/Mac/iPhone/iPad/スマートフォンなどとなるため、
大まかに把握しておこうと思っています。
（参考サイトなどご存知でしたら、お教え頂けないでしょうか・・）

>> ・WindowsクライアントのDNS問題。
> 原文は "Issues exist with respect to pushing DNS addresses to Windows clients."
> とありますね。http://support.microsoft.com/kb/311218
> ようは、全ての名前解決にVPN先のDNSサーバを使うことになるので、
> 本来のネットワークで使うべきDNSサーバを利用できず、
> 結果として解決できない名前が出てくる可能性がある、ということです。
> 例としては、"printer.home-network" とかいう適当な名前でアクセスしていた
> 家のプリンタを使えなくなる、なんて場合がありますね。これは、個別に対応するしかありません。

ご説明ありがとうございます。とてもわかりやすいご説明で、よくわかりました。
こういった場合は個別に対応するということですね。
対応方法として、例えばクライアント側でVPN接続を一時的に切って、
通常のLAN接続に戻すという方法が思いつきますが、VPN接続を切断すれば
簡単に元のインターネット接続環境に戻るものなのでしょうか・・。

補足日時：2010/11/24 04:34

この回答へのお礼

すみません、補足では文字数が不足してしまったため、お礼にて追記いたします。

>> ・クライアントにおいてWeb閲覧のパフォーマンスが体感的に落ちることがある。
> これは、パケットが迂回している以上は避けられないですよね。
> wwwに関しては、キャッシュサーバを出口に挟むことで、そこそこ影響を減らせるとは思います。

なるほど、キャッシュサーバについては、今後、本番環境で
速度低下がままならないような場合に考えたいと思います。
多少のパフォーマンス低下はしかたないと割り切っております。


数々の貴重なコメント、ご指摘などありがとうございました。
また、補足を読んでいただければ幸いに思います。

お礼日時：2010/11/24 04:54