■Ubuntu Server / SoftEther VPN サーバーの構築 (その2)

Ubuntu Server に SoftEther VPN サーバーをインストールできましたので、次は Windows パソコンからサーバー管理マネージャを使用して VPN サーバーの設定を行います。また、サーバーのファイアウォールとルーターの設定も変更します。

サーバー管理マネージャは SoftEther VPN プロジェクト から softether-vpnserver_vpnbridge-v2.00-9387-rtm-2013.09.16-windows-x86_x64-intel.exe をダウンロードします。
インストールは、「インストールするソフトウェアの選択」で「SoftEther VPN サーバー管理マネージャ(管理ツールのみ)」を選択します。Windows なので特に説明の必要はないですね。
インストールが完了したらサーバー管理マネージャを起動し、設定していきます。


1. 接続設定
「新しい接続設定」をクリック、「接続設定名」に任意の名称を入力。「ホスト名」は VPN サーバーの IP アドレス (ex. 192.168.1.10) を入力します。「ポート番号」は 443(HTTPS) でいいのですが、私は 5555(SE-VPN) を使っています。初めて使った時のディフォルトが 5555(SE-VPN) だったのでその流れです。
入力が終わったら「OK」をクリック。「ログイン」画面でパスワードを入力せずに「OK」すると「管理者パスワードの設定」になりますので、ここで管理者パスワードを入力します。
これでサーバー管理マネージャに接続できました。

2. 簡易セットアップ
VPN サーバーの設定に進みます。初めて設定する時は簡易セットアップ画面が表示されます。今回は他所のパソコンやスマートフォンから VPN 接続させますので、「リモートアクセス VPN サーバー」を選択します。

3. 仮想 HUB 名
クライアントはこの仮想 HUB に接続することになります。任意の名前をつけます。

4. ダイナミック DNS 機能
サーバー側グローバルアドレスが固定ならば必要ありませんが、動的アドレスの場合は、SoftEther プロジェクトが提供しているダイナミック DNS を利用します。もちろん他の DDNS を利用してもかまいません。必要に応じて変更して、「閉じる」をクリックします。

5. IPsec/L2TP/EtherIP/L2TPv3 サーバー機能
SoftEther VPN クライアントからの接続だけであればこの機能は必要ありません。スマートフォンからの接続を受けるなら「L2TP サーバー機能を有功にする (L2TP over IPsec)」にチェックを入れ、「IPsec 事前共有鍵」を設定します。
今回は SoftEther VPN クライアントからの接続とし、スマートフォンからの L2TP 接続に関しては、あらためて書きます。

6. VPN Azure クラウド
使用しませんので「無効にする」を選択して「OK」します。

7. ユーザーの作成
ユーザー名とパスワードを設定します。本名や説明は任意に。認証方法は「パスワード認証」のままとしておきます。間違っても「匿名認証」などにしないように。
複数のユーザーが必要ならば「新規作成」から追加作成します。

8. ローカルブリッジの設定
VPN サーバーからサーバー側の LAN にアクセスするために、仮想 HUB と物理的な LAN カードをブリッジ接続します。LAN カードは eth0 を選択します。

9. 簡易セットアップと設定箇所
「閉じる」をクリックすると簡易セットアップが終了し、サーバー管理マネージャの画面になります。
簡易セットアップで設定した内容は、それぞれ次の場所で確認・設定できます。
a. 仮想 HUB 名
サーバー管理マネージャから仮想 HUB の作成・管理ができます。
b. ダイナミック DNS 機能
「ダイナミック DNS 機能」をクリックして設定します。
c. IPsec/L2TP/EtherIP/L2TPv3 サーバー機能
「IPsec/L2TP 設定」をクリックして設定します。
d. VPN Azure クラウド
「VPN Azure 設定」をクリックして設定します。
e. ユーザーの作成
「仮想 HUB の管理」から入って、「ユーザーの管理」をクリックして設定します。
f. ローカルブリッジの設定
サーバー管理マネージャ画面から「ローカルブリッジ設定」をクリックして設定します。

SoftEther VPN サーバーの設定は完了です。サーバー管理マネージャを終了します。


VPN サーバーのファイアウォールを追加設定しましょう。
 

$ sudo ufw allow from 192.168.1.100 to any port 5555
$ sudo ufw allow https


443 (v6) ってポートも設定されてしまうので削除しておきます。ちなみに 1行目と 2行目は以前設定した telnet と Samba に関するものです。
 

$ sudo ufw status numbered
Status: active

To Action From
-- ----- ----
[ 1] 23/tcp ALLOW IN 192.168.1.100
[ 2] Samba ALLOW IN 192.168.1.0/24
[ 3] 5555 ALLOW IN 192.168.1.100
[ 4] 443 ALLOW IN Anywhere
[ 5] 443 ALLOW IN Anywhere (v6)


$ sudo ufw delete 5
Deleting:
 allow 443
Proceed with operatin (y|n)? y
Rule deleted (v6)

$ sudo ufw status
Status: active

To Action From
-- ----- ----
23/tcp ALLOW 192.168.0.100
Samba ALLOW 192.168.0.0/24
5555 ALLOW 192.168.0.0/24
443 ALLOW Anywhere

もう一息です。ルーター設定を変更しましょう。
SoftEther VPN クライアントを使用する場合はルーター設定を触る必要はないはずなのですが、接続が切れることがあったので設定しています。それが効果あったのかどうか、じつは定かではないのですが、現在は安定して接続されています。問題なければしなくてもいいと思います。
フィルターに https を追加、IP マスカレードも追加設定します。
 

# ip filter 1050 pass * 192.1689.1.10 tcp,udp * https
# pp select 1
pp1# ip pp secure filter in ...... 1050 ......
pp1# pp select none
# nat descriptor masquerade static 1 10 192.168.1.10 tcp https
# nat descriptor masquerade static 1 11 192.168.1.10 udp https
# save


(2013/12/02 追記)
VPNの接続状態を確認すると「物理通信に使用中のプロトコル」が「VPN over UDP with NAT-T (IPv4)」になっていました。NAT-T という手法で NAT 越えやファイやウォール通過を行っているもののようです。
ファイアウォール、フィルター、IP マスカレードの設定を見直した結果、現在はこれが「Standard TCP/IP (IPv4)」となっています。接続が切れるという症状もまったく起きなくなりました。NAT-T で繋がっていて不安定な場合は要チェックです。

これでサーバー側の設定は完了です。次はクライアント側の設定を行います。
 

コメント
コメントする








   
この記事のトラックバックURL
トラックバック

■calendar

S M T W T F S
    123
45678910
11121314151617
18192021222324
25262728   
<< February 2018 >>

■search this site.

■recommend

毎日貯まるポイントサイト ECナビ

■recommend

■Twitter

■recommend

■recommend

■selected entries

■categories

■archives

■recent comment

■recent trackback

■links

■profile

■others

■mobile

qrcode

■powered

無料ブログ作成サービス JUGEM