5.3 VPN Server との相違点
PacketiX VPN Bridge は PacketiX VPN Server から一部の機能を削除し、リモート拠点で仮想 HUB
と物理的な LAN カードとの間を接続する (ブリッジする) ための専用ソフトウェアとして実装されています。PacketiX VPN
Bridge の使用方法や各種機能の動作原理、および管理のための知識などは、ここで挙げるような相違点を除き、「第3章 PacketiX VPN Server 2.0 マニュアル」 で解説されている
PacketiX VPN Server のための説明をほぼそのまま適用することができます。したがって、PacketiX VPN Bridge
に関する具体的な設定方法などについては 「第3章 PacketiX VPN Server 2.0 マニュアル」 の内容の「VPN Server」の部分を「VPN Bridge」に、「vpnserver」の部分を「vpnbridge」にそのまま置き換えてお読みください。
5.3.1 VPN Bridge の特徴と使用方法
VPN Server と VPN Bridge
「第3章 PacketiX VPN Server 2.0 マニュアル」 で解説されている PacketiX VPN Server は、VPN 接続元のコンピュータに対して VPN
サーバー機能を提供するソフトウェアです。1 台の VPN Server 内に複数の仮想 HUB を設置することができ、またその仮想 HUB
に対してネットワークを経由して遠隔地にある VPN Client や VPN Bridge などが VPN
接続することができるようになってっています。また、VPN Server では内部の仮想 HUB とVPN Server
を動作させているコンピュータが物理的に持っている LAN カードとの間で「ローカルブリッジ接続」機能 (詳しくは 「3.6 ローカルブリッジ」 をお読みください)
や SecureNAT 機能 (詳しくは 「3.7 仮想 NAT および仮想 DHCP サーバー」 をお読みください)
を使用して、仮想ネットワークと物理的なネットワークの間の接続を行う機能を持っています。
VPN Bridge は上記のような特徴を持つ VPN Server から下記の機能を削除したソフトウェアです。
- 他のコンピュータからの VPN 接続を受け付ける機能 (VPN サーバーとしての機能) や、それに付随する機能。
- 複数個の仮想 HUB を作成する機能。
- 仮想レイヤ 3 スイッチ機能。
- アクセスリストによるパケットフィルタリング機能。
技術的な VPN Bridge の位置付け
技術的には、PacketiX VPN Bridge は PacketiX VPN Server
のソフトウェアプログラムから、他のコンピュータの PacketiX VPN Client および PacketiX VPN Server
からの接続を受け付ける機能や複数の仮想 HUB を作成する機能などを削除し、ブリッジ拠点用に最適化したソフトウェアです。PacketiX VPN
Bridge をインストールすると、"BRIDGE" という名前の仮想 HUB が 1 つだけ作成されます。ネットワーク管理者は、その仮想
HUB をブリッジする拠点の LAN とローカルブリッジし、また接続先の PacketiX VPN Server の仮想 HUB へ接続します。
VPN Bridge の用途および使用方法
VPN Bridge は「VPN Server
へのカスケード接続」と「ローカルブリッジ接続による物理的なネットワークとの間のブリッジ」という 2
つの機能を使用することができるようにするために最適化されており、その他の余分な機能は排除されています。
たとえば、既設の VPN Server の仮想 HUB を本社に設置しておき、その仮想 HUB と接続したい各支店の拠点の LAN 内に
VPN Bridge をインストールし、インターネットを経由して本社の LAN と常に接続し続けているような構成の VPN
を構築することにより、VPN Bridge を有効に使用することができます。
一般的に必要になる VPN Server と VPN Bridge のコンピュータ台数
「10.5 拠点間接続 VPN の構築 (ブリッジ接続を使用)」 や 「10.6 拠点間接続 VPN の構築 (IP ルーティングを使用)」 などで別途解説されているような一般的な規模における拠点間接続 VPN を構築する場合は、1 つの拠点に
VPN Server を設置し、その他の拠点に VPN Bridge を設置して、各拠点で仮想 HUB と物理的な LAN
カードの間をローカルブリッジ接続すると同時に、VPN Bridge の仮想 HUB から VPN Server の仮想 HUB
にカスケード接続することになります。
このような場合は、1 台の VPN Server と、接続したい拠点数の合計から 1 を引いた数の台数の VPN Bridge
を設置する必要があります。一般的に N 箇所の拠点同士を拠点間 VPN 接続する場合は、N - 1 台の VPN Bridge を用意し、1
台の VPN Server に対して接続してください。
図5-3-1 各拠点での VPN Server と VPN Bridge |
コンフィグレーションファイル名
VPN Server ではコンフィグレーションファイル名は vpn_server.config という名前ですが、VPN Bridge
では vpn_bridge.config という名前になります。
5.3.2 VPN Bridge における仮想 HUB
VPN Bridge では、プログラム内に 1 つだけ仮想 HUB を持つことができます。その仮想 HUB の名前は固定されており、"BRIDGE"
という名称になっています。
図5-3-2 "BRIDGE" という名前の仮想 HUB |
VPN Bridge は VPN Server と同様に、VPN サーバー管理マネージャや vpncmd
ユーティリティによって管理することになりますが、その際は "BRIDGE" という名前の仮想 HUB を選択して管理を行うことになります。
この "BRIDGE" という名前の仮想 HUB とコンピュータに物理的に接続されている LAN
カードとの間を「ローカルブリッジ機能」によって接続することにより、"BRIDGE" 仮想 HUB と物理的な LAN
のセグメントが結合されます。その状態で "BRIDGE" 仮想 HUB にカスケード接続を作成し、目的の VPN Server
に対して接続し続けるように設定することにより、拠点間接続 VPN を簡単に構築することができます。
5.3.3 VPN Bridge におけるカスケード接続機能
VPN Bridge の仮想 HUB も VPN Server 内の仮想 HUB と同様に他のコンピュータ上で動作している仮想 HUB
にカスケード接続することができます。カスケード接続については、「3.4.11 カスケード接続機能」 をお読みください。
VPN Bridge の仮想 HUB には別のコンピュータから VPN 接続することができないため、外部の VPN Server
に対してカスケード接続しない VPN Bridge は全く無意味なものとなります。VPN Bridge
を使用する際にはカスケード接続機能は必ず使用することになります。
図5-3-3 VPN Bridge におけるカスケード接続機能 |
5.3.4 VPN Bridge における接続の受け付け
VPN Bridge は VPN Server と異なり、VPN 接続を受ける機能を持っていません。PacketiX VPN
ソフトウェアシリーズの中で VPN 接続を受ける機能、つまり VPN サーバーとしての機能を持っている製品は PacketiX VPN
Server のみです。
ただし、VPN Bridge は VPN Server と同様に TCP/IP リスナーポートを持っています。初期状態で有効になっている
TCP/IP リスナーポートは 443 番、992 番および 8888 番の 3 つで、VPN Server
と同様となっています。この TCP/IP リスナーポートは、VPN Bridge にローカルまたはリモートから VPN
サーバー管理マネージャまたは vpncmd ユーティリティで管理接続するために必要です。
図5-3-4 VPN Bridge への管理接続 |
5.3.5 VPN Bridge におけるローカルブリッジ機能
VPN Bridge 内の唯一の仮想 HUB "BRIDGE" は、その VPN Bridge が動作しているコンピュータ上の物理的な
LAN カードとの間でローカルブリッジ接続を構成することができるようになっています。この機能により、VPN Bridge の仮想 HUB
は既存の拠点の LAN とレイヤ 2 で接続することができ、「ブリッジ」としての役割と機能を発揮します。
ローカルブリッジの設定方法については、VPN Server の場合と全く同様です。詳しくは 「3.6 ローカルブリッジ」 をお読みください。
なお、Windows および Linux 以外のオペレーティングシステム用の VPN Bridge
では、ローカルブリッジ機能が搭載されていません。したがって、Windows および Linux 以外の VPN Bridge
は実用上ほとんど役に立ちません (ただし、SecureNAT
機能を使用することができるため、全く役に立たないという訳ではありません)。ご注意ください。
図5-3-5 VPN Bridge でのローカルブリッジ設定画面 |
5.3.6 VPN Bridge における SecureNAT 機能
VPN Bridge 内の唯一の仮想 HUB "BRIDGE" は、VPN Server と同様に SecureNAT による仮想 NAT
機能および仮想 DHCP
サーバー機能を持っており、必要な場合はこれらの機能を有効にすることができます。これらの機能の使用方法については、「3.7 仮想 NAT および仮想 DHCP サーバー」 をお読みください。
また、VPN Bridge の SecureNAT 機能を活用した PacketiX VPN の使用方法の例としては、「10.11 SecureNAT 機能を用いた権限不要のリモートアクセス」
をお読みください。
5.3.7 VPN Bridge における仮想レイヤ 3 スイッチ機能
VPN Bridge には 1 つしか仮想 HUB が存在しないため、必然的に仮想レイヤ 3
スイッチの意味はなくなります。したがって、VPN Bridge からは仮想レイヤ 3 スイッチ機能は削除されており、使用することはできません。
5.3.8 VPN Bridge と VPN Server の共存
PacketiX VPN の初心者がよく行う間違った設定例として、VPN Server と VPN Bridge
を同一のコンピュータにインストールしてしまい混乱を発生させるというものがあります。VPN Server と VPN Bridge
に関する本マニュアルの説明でお分かりいただけるように、VPN Server と VPN Bridge
を同一のコンピュータにインストールする意味は全くありません。
VPN Server は単体で仮想 HUB と物理的な LAN との間のローカルブリッジ機能を有しているため、VPN Server の仮想
HUB を物理的な LAN カードとの間でレイヤ 2 接続することは VPN Server
単体で実現できます。このような接続方法を行うために、VPN Bridge を使用する必要は全くありません。
VPN Server と VPN Bridge は同一のコンピュータにインストールしないでください。
|