NAT やファイアウォールの内側でも VPN Server を簡単に動作させることができる NAT トラバーサル機能も搭載しました。会社のファイアウォールのポート開放なしに、自宅から社内の自分のパソコンの VPN Server にアクセスできます。万一 NAT トラバーサル機能が動作しない制限の厳しいファイアウォールがある場合には、VPN Azure クラウドサービス(無償)が便利です。VPN Azure を経由すれば、社内にインストールした VPN Server にほぼ確実に自宅から VPN 接続できます。VPN Azure はワンクリックで有効化できます。
VPN Server を固定グローバル IP アドレスがない環境で動作させるために便利なダイナミック DNS 機能が搭載されました。「softether.net」という専用のドメインのサブドメインを VPN Server に割当て、ISP の IP アドレスが変化した場合も自動的に追従します。ISP への固定 IP アドレスの月額費用を節約できます。
公衆無線 LAN では、なぜか TCP 通信ができないにもかかわらず ICMP や DNS の通信ができる環境があります。そのような通信不良が発生している無線 LAN などでも VPN 通信を行えるようにするため、VPN over ICMP / DNS 機能を搭載しました。Ethernet パケットを ICMP (Ping) や DNS パケットにカプセル化して、このような通信不良の公衆無線 LAN でも安定して通信が可能です。
ダイナミック DNS 機能
従来の VPN システムの場合、VPN サーバーには固定のグローバル IP アドレスを割当てる必要がありました。
ソフトイーサ社はグローバル IP アドレスの枯渇に配慮するため、PacketiX VPN Server に「ダイナミック DNS 機能」を搭載しました。ダイナミック DNS 機能はデフォルトで有効になっています。ダイナミック DNS 機能は現在の PacketiX VPN Server が動作しているコンピュータのグローバル IP アドレスを、ソフトイーサ社が運用するダイナミック DNS サーバーに対して定期的に通知します。
「abc.softether.net」 ( "abc" 部分は利用者が変更可能な任意のユニークな ID) という全世界から利用可能なホスト名 (FQDN) が割当てられます。ホスト名を知らされた VPN の利用者は、ホスト名を指定するだけで、現在の IP アドレスを知らなくてもいつでも VPN サーバーにアクセスできます。IP アドレスが変化した場合は、ダイナミック DNS サービスのホスト名に対応する IP アドレスが自動的に変化します。これにより、固定グローバル IP アドレスが不要になり、毎月発生する高額な ISP への通信コストを削減でき、法人利用であってもコンシューマ向けの安価な可変 IP アドレス接続が利用できるようになります。
中華人民共和国でご利用される場合の注意: DNS サフィックスは中華人民共和国内で利用する場合は「sedns.cn」というドメイン名に置換されます。sedns.cn ドメインは中国企業 (北京大游索易有限公司) が運営・管理しているサービスです。
NAT トラバーサル機能
従来の VPN システムの場合、NAT やファイアウォールの内側に VPN サーバーを設置する場合はネットワーク管理者に依頼して NAT やファイアウォールにおいて「ポート開放」や「ポート転送」といった設定を行ってもらう必要があります。
しかし、ネットワーク管理者にそのような手間をかけずに社内の自分のコンピュータに VPN サーバーをインストールし社外から接続したいという需要に応えるため、PacketiX VPN には強力な「NAT トラバーサル機能」が搭載されています。
NAT トラバーサル機能はデフォルトで有効になっています。NAT トラバーサル機能が有効に設定されている PacketiX VPN Server は、たとえ NAT やファイアウォールの内側であっても、特別な設定なしにインターネット側から VPN 接続を受付けることができます。
NAT トラバーサル機能をサーバー側で無効にするには、PacketiX VPN Server の設定ファイルの「DisableNatTraversal」項目の値を「true」に変更してください。クライアント側で無効にするには、接続先の VPN サーバーのホスト名の後に「/tcp」というサフィックスを追加してください。
NAT トラバーサル機能によりファイアウォールの通過が簡単になりました
VPN over ICMP、VPN over DNS 機能
PacketiX VPN Client / Bridge が PacketiX VPN Server との間で VPN 通信を行おうとする場合、TCP と UDP の両方のプロトコルが通信できない場合のために、VPN を「ICMP」 (いわゆる Ping) および「DNS」パケットにカプセル化して通信する機能が実装されています。
この機能により、ネットワーク経路上のルータやファイアウォールなどが TCP や UDP の通信を遮断してしまう場合でも、ICMP または DNS の通信が可能であれば VPN 接続を行うことができます。
たとえば、公衆無線 LAN では、なぜか TCP 通信ができないにもかかわらず ICMP や DNS の通信ができる環境があります。そのような通信不良が発生している無線 LAN などでも VPN 通信を行えるようにするため、VPN over ICMP / DNS 機能を搭載しました。Ethernet パケットを ICMP (Ping) や DNS パケットにカプセル化して、このような通信不良の公衆無線 LAN でも安定して通信が可能です。
VPN over ICMP 機能および VPN over DNS 機能は、ICMP や DNS の規格にできる限り準拠するように設計されていますが、一部非準拠の動作を行う場合もあります。一部の設計不良のルータは大量の ICMP や DNS パケットが通過するとメモリオーバーフローなどを発生し、フリーズしたり再起動したりする場合があります。これは他の利用者にも悪影響を与える可能性があります。このようなリスクを避けるために VPN over ICMP 機能および VPN over DNS 機能を無効にするには、VPN 接続元の側で接続先のホスト名文字列の後に「/tcp」というサフィックスを追加してください。
VPN over ICMP, VPN over DNS 機能の使い方の例
VPN Azure クラウドサービス機能
PacketiX VPN Server が NAT やファイアウォールの内側にあり、何らかの理由で NAT トラバーサル機能、ダイナミック DNS 機能および VPN over ICMP/DNS 機能を利用できない場合は、VPN Azure クラウドサービスを利用できます。
これまでの VPN 技術では、たとえば会社のパソコンに VPN サーバーソフトウェアをインストールしたとしても、会社のネットワーク管理者によって NAT やファイアウォールのポートを開放してもらわなければ、インターネット側から会社内のパソコンに VPN 接続することができませんでした。また、会社側のネットワークにはグローバル IP アドレスが必要でした。
VPN Azure を利用すれば、ネットワーク管理者にこれらのポート開放を依頼しなくても、社内にあるあなたのパソコンにインストールした VPN サーバーに、自宅や外出先の Wi-Fi などから簡単に VPN 接続できるようになります。会社のパソコンから VPN Azure クラウドに対して外向きに HTTPS で通信が行われるため、ファイアウォールを貫通できます。いったん VPN 接続に成功すれば、社内のあなたのパソコンを経由して、会社の他のパソコンの共有フォルダやメールサーバー、グループウェアにアクセスでき、あたかも自宅のパソコンが直接会社に接続されているのと同様に通信できるようになります。
ソフトイーサ社はインターネット上で VPN Azure クラウドを運用しています。VPN Server は VPN Azure クラウドに一度接続すれば、それ以降は「abc.vpnazure.net」 (abc はユニークなホスト名) というホスト名が割当てられます。このホスト名は実際にはソフトイーサが運営するクラウドサーバーのグローバル IP アドレスに関連付けられています。
VPN クライアントはこの VPN Azure ホストに対して接続することにより、VPN Azure は通信を折り返し中継して VPN サーバーに届けます。VPN Azure 機能はデフォルトで無効になっていますが、VPN Server 管理ツールで簡単に有効化することができます。
詳しくは VPN Azure クラウドサービスの Web サイトをご参照ください。
無償で学術実験目的のサービスについて
ソフトイーサは「ダイナミック DNS」、「NAT トラバーサル」および「VPN Azure」を学術実験目的で研究開発し運営しています。そのため、これらのサービスはすべて無料でご利用いただけます。
これらのサービスは「PacketiX VPN ソフトウェア製品」の一部ではなく、付随するものでもありません。これらのサービスは一切の保証がない状態で提供されるものです。実験の休止、中止や実験中の技術的問題の発生によってサービスが中断する場合があります。その場合は、ユーザーはサービスを利用できなくなります。ユーザーはこのようなリスクがあること、およびそのリスクをユーザー自身が負担することを承諾いただいた上でこれらのサービスをご利用ください。ソフトイーサ社はユーザーがこれらのサービスを利用した結果、または利用できなかった結果について一切の責任を負いません。
仮に PacketiX VPN ソフトウェアのライセンス料金をお客様がすでにお支払いいただいている場合であっても、当該料金にはこれらのサービスの対価は含まれていません。これらのサービスが中断したり利用不能になったりした場合であっても、PacketiX VPN ソフトウェアのライセンス料金は一切返金されず、その他の損害賠償も提供されません。
※ この注意書きはとても重要であるため、ソフトウェアインストール時に画面に表示される『PacketiX VPN に関する重要事項説明書』にも記載されています。