11.3 一般的な補足事項

パーソナルファイアウォールソフトウェアの多くは、インストール後外部からそのコンピュータへの TCP/IP 接続を行えないようにブロックします。この状態では、VPN Server を設置することができません。VPN Server を設置する際には、必ずパーソナルファイアウォールソフトウェアの設定を変更して、VPN Server で使用するリスナーポート番号に対するアクセスを許可してください。
一部のパーソナルファイアウォールソフトウェアをインストールすると、localhost (コンピュータ内部で自分自身に対する接続を行うこと) に対する TCP/IP 接続にも失敗する場合があります。そのため、VPN Client に対して VPN クライアント接続マネージャで接続するといったことができなくなる可能性があります。このような場合は、パーソナルファイアウォールソフトウェアを無効にしてみてください。
PacketiX VPN の挙動がおかしいと感じた場合は、まずサードパーティ製のアンチウイルスソフトウェアやパーソナルファイアウォールを一時的に無効化またはアンインストールして再度試行してみてください。その状態で動作が正常になった場合は、サードパーティ製のアンチウイルスソフトウェアやパーソナルファイアウォールのプログラムと PacketiX VPN プログラムの相性が悪いことになります。
サードパーティ製のアンチウイルスソフトウェアやパーソナルファイアウォールが原因となって発生する問題がある場合は、それらのアンチウイルスソフトウェアやパーソナルファイアウォールを無効化したりアンインストールしたりした状態で PacketiX VPN を使用する必要がある場合もあります。

11.3.2 VPN 経由で通信した場合約 1000 分の 1 秒程度の遅延が発生する件について

PacketiX VPN を使用して VPN 通信を行うと、物理的な回線上で直接通信を行った場合と比較して 1000 分の 1 ミリ秒以上の遅延が発生する場合があります。これは、通信内容 (仮想 Ethernet フレーム) の暗号化・カプセル化のために消費される時間であり、VPN システムとしては必ず必要になる処理による遅延です。通常は実用上問題になるようなものではありません。

11.3.3 プロキシサーバー経由接続での NTLM 認証への対応について

PacketiX VPN は現在 HTTP プロキシサーバー経由接続を行う際の NTLM 認証に対応しておりません。したがって、古いバージョンの Microsoft Proxy Server で NTLM 認証が必要になっている場合などは、この設定を変更して Basic 認証または認証無しでプロキシサーバーにアクセスできるようにする必要があります。

11.3.4 VPN セッションはどの程度の距離まで離れて接続することができるかという件について

PacketiX VPN は Ethernet フレームをカプセル化することによって通信を行います。通常の Ethernet の規格上は電気的特性により同一の Ethernet セグメントの最大の通信距離が決まっている場合がありますが、PacketiX VPN はすべての Ethernet フレームをカプセル化して既存の IP ネットワークを経由して通信するため、基本的には非常に離れている拠点間であってもインターネットにアクセス可能であれば相互に VPN 接続を行うことができます。ただし、たとえば地球の裏側などと通信した場合など、距離が極めて離れている場合は光の物理的な進行速度の制限により、往復で約 140 ミリ秒またはそれ以上の遅延が発生する場合もあります。

11.3.5 VPN 経由での通信のスループットを既存のツールなどで測定すると非常に低速な結果が出た場合

既存のスループット測定ソフトウェアやスループット測定サービスなどで VPN 通信速度を測定すると低速な結果が出た場合は、PacketiX VPN に付属している通信スループット測定ツールまたは vpncmd の TrafficClient / TrafficServer 機能でより正確なスループットの測定を試行してみてください。詳しくは「4.8 実効スループットの測定」を参照してください。特に、従来のスループット測定ソフトウェアの多くは実際の回線の種類によって大きな結果差が出てしまうようなものもありますのでご注意ください。

11.3.6 VPN Bridge の SecureNAT 機能と VPN Server の SecureNAT 機能との違いについて

PacketiX VPN Bridge に搭載されている SecureNAT 機能のプログラムは、PacketiX VPN Server に搭載されている SecureNAT 機能のプログラムと全く同一であり、性能や機能に論理的な違いはありません。

11.3.7 1 人のユーザーが複数本の VPN セッションを確立することができるかどうかについて

1 人のユーザーは複数本の VPN セッションを同時に確立できます。

11.3.8 Windows XP などのクライアント用 Windows を VPN サーバーとして使用することはライセンス上可能かどうかについて

Windows XP や Windows 2000 Professional などのクライアント向け Windows バージョンの上で PacketiX VPN Server を VPN サーバーとして使用することは Windows のライセンス条件的に可能であるかどうかについては、あくまでも Windows のライセンス契約の当事者はお客様と Windows の販売事業者であるマイクロソフトの 2 者であるため、ソフトイーサ株式会社が関与する問題ではありません。なお、参考としまして Windows XP Professional SP1 製品版の「使用許諾契約書 (EULAID:XPSP1_RM.1_PRO_RTL_JA)」には、「1.3 デバイスによる接続」内に「お客様は、本ソフトウェアのファイルとプリンタの共有サービス、インターネットインフォメーションサービス、およびリモートアクセスのうちの 1 つまたは複数のサービスを利用するために、最大 10 台のコンピュータまたはその他の電子デバイスから同時に本ワークステーションコンピュータに接続することができます。(中略) 上記の 10 台という制限は、本ソフトウェアのその他の使用には適用されません。」と明記されているため、Windows XP の機能ではなく別途ソフトウェアとして導入した PacketiX VPN Server を使用するために Windows XP を使用する場合は、10 台を超えた台数のコンピュータからの接続を同時に処理する VPN サーバーとして利用することについては何ら差し支えは無いものと認識しています。

11.3.9 Windows 98、98 SE、ME を VPN Server として使用する際の注意事項

PacketiX VPN Server は Windows 98 以降の Windows 9x 系オペレーティングシステムでも動作します。ただし、これらのオペレーティングシステムはシステム自体の安定性が非常に低いため、VPN サーバーコンピュータのオペレーティングシステムとして使用することは推奨されていません。Windows NT または Windows 2000 以降の Windows オペレーティングシステムや Linux などのより新しいカーネルのオペレーティングシステムを使用されることを推奨します。

11.3.10 実際に許諾されているライセンス数よりも多くの同時接続が成功する場合

PacketiX VPN Server において実際に登録されている同時接続ライセンス数を超えた同時接続が成功する場合があります。特にクラスタリング環境の場合はクラスタ全体で現在接続されている同時接続数が数秒ごとに集計されクラスタコントローラで管理されるため、前回集計したときのクラスタ全体の VPN 接続セッション数 (クライアント接続数およびブリッジ接続数) を元に新しい接続を許可するかどうかが自動的に判定されます。

11.3.11 "00:AE" で始まる MAC アドレスについて

すべての仮想 HUB は内部的に "00:AC" で始まる MAC アドレスを持っています。この MAC アドレスは、「3.4.8 IP アドレス存在確認ポーリングパケット」で解説されている ARP ポーリングパケットを送出する際の送信元 MAC アドレスとして使用されます。

11.3.12 仮想 HUB の MAC アドレスの決定方法

仮想 HUB の MAC アドレスは、VPN Server を動作させているコンピュータに固有の情報 (ホスト名や物理的な IP アドレス) をハッシュした値の先頭に "00:AE" を付加したものです。したがって、VPN Server を再起動したりした場合などでも、仮想 HUB の MAC アドレスは基本的には変化しません。

11.3.13 VPN Server を動作させるコンピュータ名について

クラスタリングを構築する場合、各 VPN Server を動作させるコンピュータのコンピュータ名またはホスト名については、それぞれ異なる名前を付けてください。

11.3.14 Free Edition は製品版と機能的な差があるかどうかについて

PacketiX VPN Server 2.0 の製品エディションのうち Free Edition は Enterprise Edition と比較して VPN 通信などのサービスを提供するプログラムの構造は同一であり、特に速度制限や同時接続数の制限を設けていることはありません。なお、Free Edition のプログラムは Enterprise Edition と比較して下記の相違点があります。

Free Edition にはクライアント接続ライセンス数とブリッジ接続ライセンス数は常に無制限であるとしてカウントされます。
Free Edition の VPN Server に VPN Client から接続すると、接続先のサーバーが Free Edition であるというお知らせメッセージが表示されます。
Free Edition の VPN Server の TCP/IP リスナーポートに対して Web ブラウザで HTTPS プロトコルで接続すると、接続先のサーバーが Free Edition であるというお知らせメッセージが表示されます。

11.3.15 VPN Server を動作させるコンピュータのスペックと対応できる同時接続数の目安について

VPN Server の理論上の最大同時接続数は 4,096 セッションです。ただし、実際にはソフトウェアの制限ではなくハードウェアの制限 (CPU 速度の限界、メモリ容量の限界) などによって同時接続セッション数がこれよりも少ない状態で運用することが推奨されています。また同時接続セッションが多く見込まれる場合はクラスタリング機能の使用を検討してください。

ソフトイーサ株式会社は VPN Server を動作させるための推奨ハードウェアおよびハードウェアによって実用的に動作させることができる同時接続数などを正確に公開していませんが、目安としては Pentium 4 2.8GHZ、RAM 1GHZ 程度のコンピュータで最大 200～1,000 セッション程度を受け付けるのが適切であると考えられます (VPN 内を流れる通信内容などによって VPN Server に対する負荷は異なります)。

11.3.16 クラスタリング機能で負荷分散したほうが望ましい程度の同時接続数の目安について

VPN Server のクラスタリング機能は、いつでもクラスタに対して新しいノード (クラスタメンバサーバー) をクラスタを停止することなく追加することが可能です。したがって、クラスタリング機能を用いて VPN Server を複数設置する場合にどの程度の台数が必要になるのかがよくわからない場合は、最初は 2 台程度の少数のサーバーで運用を試行してみて、その結果 VPN Server 1 台あたりの負荷が大きくなりすぎる場合は後から VPN Server を増設するのが最も適切で効率的な方法です。

11.3.17 インターネットへの接続に特殊な PPPoE 接続ツールなどを使用している場合について

VPN Client をインストールした VPN クライアントコンピュータが PPPoE などに接続するための特殊な接続ツール (インターネットサービスプロバイダによって配布されているものが多いですがそれに限定されません) を使用することによってインターネットに接続しているような場合は、それらの接続ツールの行うルーティングテーブルの制御系と VPN Client が行うルーティングテーブルの制御系が競合し、「4.4.18 ルーティングテーブルの書き換え処理」で解説されているような処理が正しく動作しない場合があります。そのような場合は、PPPoE を使用したインターネットサービスプロバイダへの接続をクライアントコンピュータ側のツールではなく PPPoE に対応したブロードバンドルータなどを使用することによりインターネットに接続してみてください。

11.3.18 仮想 LAN カードと物理的な LAN カードをオペレーティングシステムのブリッジ機能を用いてブリッジする場合の注意事項

PacketiX VPN では仮想ネットワークと物理的なネットワークは「3.6 ローカルブリッジ」で解説されているローカルブリッジ機能によって行うことが最も高速かつ簡単ですが、Windows や Linux などのオペレーティングシステムに組み込まれている機能を利用して仮想 LAN カードと物理的な LAN カードをブリッジ接続することによって仮想ネットワークと物理的なネットワークを 1 つのセグメントにすることは可能です。ただし、この場合はブリッジ接続に対応したオペレーティングシステム (Windows の場合は Windows XP Professional 以降および Windows Server 2003 以降のみ) が必要になります。なお、この場合も「3.6.3 ローカルブリッジ用の LAN カードの準備」で解説されているようにブリッジ接続先専用の新しい LAN カードを用意することが推奨されています。

11.3.19 仮想 LAN カードと物理的な LAN カードの両側でのネットワークアドレスが同一である場合の挙動について

VPN Client をインストールしているコンピュータで仮想 LAN カードと物理的な LAN カードの両方の所属する IP ネットワークが同一または一部が重複するような構成は避けてください。これは、たとえば物理的な LAN カードが 2 枚あるコンピュータの両方に同一の IP ネットワークを接続してそれぞれ別のレイヤ 2 ネットワークセグメントに接続するのと同様に誤った接続方法です。

11.3.20 仮想 LAN カードの MAC アドレスの自動決定について

仮想 LAN カードの MAC アドレスのデフォルト値は仮想 LAN カードを作成する際に自動的に決定されます。なお、ユーザーはいつでも仮想 LAN カードの MAC アドレスを任意のものに変更できます。その方法については、「3.4.2 オンラインおよびオフライン状態」の「高度な設定項目の変更」を参照してください。

11.3.21 仮想 LAN カードの MAC アドレスが一意であるかどうかについて

仮想 LAN カードの MAC アドレスのデフォルト値は "00:AC" で開始し、仮想 LAN カードを作成しようとした瞬間の時刻とその他のコンピュータ固有のパラメータなどを結合した値をハッシュすることによってランダムに決定されます。したがって、同一レイヤ 2 セグメント上で偶然 2 枚以上の仮想 LAN カードが同一の MAC アドレスを持ってしまうような状態になる可能性は極めて低く、通常は発生しません。

11.3.22 外部の SSH ポート転送プログラムなどを援用して VPN サーバーに接続しようとする際の注意事項

VPN Client を使用して遠隔地の VPN Server に接続する際に、たとえば SSH サーバーを経由したいような場合にサードパーティ製の SSH ポート転送プログラムなどを使用して接続する場合など、VPN Client から localhost に対して接続し、localhost から遠隔地の VPN Server に対してポート転送する場合など特殊な場合は、事前に自分自身のコンピュータが実際に直接接続するリモートコンピュータ (SSH ポート転送の場合は SSH サーバーなど) への静的ルートを物理的なネットワーク側をゲートウェイとして登録しておいてください。この登録を行わない場合は、もし VPN Client の接続完了後に仮想 LAN カード側がデフォルトゲートウェイになった場合は SSH サーバーへの接続も仮想 LAN カード側を通ろうと試みるため、実際の SSH サーバーと通信ができなくなり、VPN 通信が切断されてしまいます。

11.3.23 デフォルトゲートウェイが仮想 LAN カード側にも物理的な LAN カード側にも存在する場合の優先順位について

Windows 2000 以降でVPN Client の仮想 LAN カード側と既存の物理的な LAN カード側の両側について TCP/IP 設定でデフォルトげーウェイが設定されている場合、その優先順位について各 LAN カードの TCP/IP 設定の「インターフェイスメトリック」の値が小さいほうが優先度が高くなる場合が一般的です。デフォルトゲートウェイは常に 1 つしか保持できないため、優先順位が 2 番目以降の 0.0.0.0/0 に対する他のルーティングテーブルは一時的に消去されます (その VPN 接続を切断すると自動的に復元されます)。なお、仮想 LAN カードのインターフェイスメトリックはデフォルトで 1 であり、通常の LAN カードのインターフェイスメトリックである 10、20 または 30 と比較すると優先順位が高くなっています。

11.3.24 [拡張音声ガイド] の音声の内容が不正確である件について

Windows 版 VPN Client に付属している VPN クライアント接続マネージャの音声ガイド機能 (詳しくは「4.9.3 音声ガイド機能」をお読みください) のうち [拡張音声ガイド] には一部不正確な内容が含まれている場合があります。これは本ソフトウェアの仕様です。

11.3.25 VPN Bridge で仮想 HUB の作成ができないことについて

VPN Bridge はデフォルトで "BRIDGE" という名前の仮想 HUB を 1 つだけ持っており、この仮想 HUB に対してローカルブリッジ接続を定義したり VPN Server へのカスケード接続を設定したりすることによって VPN ブリッジソフトウェアとしての機能を実現します。そのため、VPN Bridge には新しい仮想 HUB を作成しません。詳しくは「5.3.2 VPN Bridge における仮想 HUB」をお読みください。

11.3.26 FreeBSD、Solaris および Mac OS X でローカルブリッジ機能が使用できないことについて

FreeBSD、Solaris および Mac OS X では、Windows や Linux との構造状の相違点が原因で、本マニュアル執筆時点ではまだローカルブリッジ機能が提供されていません。将来的にこれらのオペレーティングシステムでもローカルブリッジ機能が使用できるようになる可能性があります。

11.3.27 VPN Bridge のリスナーポートに VPN Client から接続した場合について

「第5章 PacketiX VPN Bridge 2.0 マニュアル」で解説されているように、VPN Bridge は VPN Server と異なり VPN Client からの接続を受け付けることはできません。もし接続しようとした場合は、「サポートされていません。」という内容のエラーが返されます。