SoftEther トップ > SoftEther の概要 > SoftEther によるファイアウォール、NAT、Proxy の通過

SoftEther によるファイアウォール、NAT、Proxy の通過

仮想ネットワーク上で通信するための SoftEther プロトコルは、社内 LAN などの制限が多い環境でも、自由に通過して通信することができます。SoftEther はほとんどのファイアウォール、NAT、Proxy サーバーを通り抜けることが可能です。

SoftEther によるファイアウォールの通過

SoftEther は、拠点間や PC 間において VPN を構築するにあたって、既存のファイアウォールの設定をほとんど変更することなく通信可能であるという、大きな特徴を持っています。

従来の VPN プロトコル (PPTP、L2TP/IPSec、vtun など) を使用して、例えば企業の本社 LAN と支店 LAN を結ぶ VPN を構築するためには、LAN とインターネットとの間に存在するファイアウォールの設定を変更して、VPN に必要な通信を許可する必要がありました。しかしながら、ファイアウォールの設定を変更するということは、社内 LAN とインターネットとの間に穴を開けるということになり、セキュリティ上の危険が生じます。

SoftEther による通信プロトコル「SoftEther プロトコル」は、既存のファイアウォールやプロキシ サーバーの大半を通過することができます。ファイアウォール側での複雑な設定は、ほとんど必要ありません。従って、システム管理者はファイアウォールに穴を開けるような危険なことをせずに、簡単かつ安全に遠隔地の LAN 同士を接続することができます。

また、LAN 同士だけではなく、PC と PC、PC と LAN を SoftEther によって通信させることも可能です。

ネットワーク上の障壁の種類

そもそも、インターネットとは 2 地点のコンピュータ同士が IP プロトコルによって全く制限無く自由に通信できるためのネットワークです。しかしながら、現在ではネットワーク上に存在する様々な障壁により、ほとんどの環境では自由な通信ができなくなっているのが現状です。

ファイアウォール

今日、ほとんどの企業 LAN はインターネットに接続されており、社内のコンピュータからインターネットにアクセスしてホームページを見たり、メールを送受信したりできるようになっています。しかし、インターネットへの出口のところには「ファイアウォール」が設置されている場合が大半です。

ファイアウォールには色々な種類があります。ハードウェアによって実装されているものも、ソフトウェアとして実装されているものもあります。特定のポートの通信をフィルタリングするものや、外部からの通信を拒絶するもの、社員に対して特定のポート以外を使用して外部との通信を禁止するもの、などが一般的です。

ファイアウォールの存在は企業内 LAN をインターネット側からの攻撃者から保護するために役に立っていますが、逆に内部の利用者はファイアウォールが障壁となり、自由な通信ができなくなっている場合が多いのが現状です。

NAT (IP マスカレード)

NAT (ネットワークアドレス変換、IP マスカレードとも呼ばれる) というテクノロジーが 5 年ほど前から頻繁に利用されています。NAT の動作原理については こちらのページ などをご覧ください。

NAT は上記のような企業ファイアウォールから家庭用のブロードバンド ルータに至るまで広く搭載されており、IP アドレスの有効利用のために使用されています。同時に、NAT の内側にあるコンピュータは外側 (インターネット) からの直接アクセスに対して保護されているので、NAT のことを簡易ファイアウォールとして呼ぶ場合もあります。

しかしながら、NAT はその性質上、一部の通信プロトコルを通すことができない仕組みになっています。FTP、ネットワーク ゲーム、Messenger によるテレビ電話機能、P2P 型のファイル共有ソフトウェア、などの便利な色々なネットワーク アプリケーションが使用するプロトコルは、標準では NAT を通過して通信することができません。そのため、NAT 側で特殊な処理をすることによりこれらのプロトコルを暫定的に通過させている場合もあります。

また、大半の NAT は、Windows に標準で搭載されている VPN (PPTP や L2TP プロトコル) を通すことができないほか、IPSec パケットも通すことができません。

また、NAT は複数のプライベート IP アドレスと 1 つのグローバル IP アドレスを変換して通信する技術ですが、TCP/IP の性質上、2 台のコンピュータの両方が別々のネットワークに接続されていて、両方のネットワークが NAT によって構成されている場合、それらの 2 台のコンピュータ間での接続の確立と通信は不可能になっています。

NAT は IP アドレスの有効利用のために考案されたシステムですが、上記のような色々な原因により、ネットワーク上の大きな障壁となっています。

Proxy サーバー

企業ネットワークや大学内の LAN などの一部、そしていくつかの ISP (インターネット サービス プロバイダ) では、ユーザーがインターネットにアクセスするために Proxy サーバーを経由しなければならない構成にしています。

HTTP Proxy サーバーを経由してインターネットにアクセスさせることにより、HTTP プロトコル以外の利用を防ぐことができ、セキュリティを向上させるという目的があるのですが、ユーザーの立場に立てば、ホームページを見る以外のインターネット アクセスがほとんど不可能になってしまっています。さらに、HTTP 通信のログがすべて管理者によって保存されている場合があり、プライバシーの侵害ともなっています。

インターネットへのアクセスには Proxy サーバーを経由しなければならないようなネットワークは、ほとんどの通信アプリケーションの通信を完全に遮断してしまうため、そのネットワーク内のユーザーは大変な不便を強いられていることになります。Proxy サーバー経由型のネットワークは、最も大きな障壁の一つです。

SoftEther によるファイアウォール等の回避

SoftEther を使用すると、上記のようなネットワーク上の障壁、特に内部ネットワークとインターネットとの間に存在するファイアウォール・NAT・Proxy サーバーなどによる制限をすり抜け、自由に通信することができるようになります。

SoftEther による仮想ネットワークの構築 および 仮想スイッチング HUB と仮想 LAN カード で解説されているように、SoftEther は仮想ネットワークを仮想 HUB と仮想 LAN カードによって構成し、仮想 HUB と 仮想 LAN カードとの間の通信は SoftEther プロトコルによってカプセル化された仮想 Ethernet フレームを送受信することによって行われます。

SoftEther プロトコルでは、接続は仮想 LAN カードの側から仮想 HUB の側に開始され、接続が確立されます。この際、直接的な TCP/IP 接続によって接続する方法の他に、Proxy サーバーを経由した接続方法、SSH サーバーを経由した接続方法、SOCKS サーバーを経由した接続方法などを選択することができます。

これらの接続方法を、SoftEther 仮想 LAN カードがインストールされているコンピュータが存在するネットワーク上の障壁に合わせて選択し使用することにより、外部 (インターネット側) にある SoftEther 仮想 HUB に対して確実に接続することができるのです。

一旦仮想 HUB に接続することに成功すれば、後は仮想ネットワーク内で完全に自由にネットワーク通信を行うことができます。

SoftEther を利用して、制限の厳しい社内 LAN や大学内 LAN の中から外側にトンネリング通信を行い、別のネットワークやコンピュータに接続して、自由に通信することができるようになるのです。

従来の VPN プロトコルを使用しても、社内 LAN から別の LAN に対してトンネリング通信を使用してアクセスすることができる場合がありました。しかし、従来の VPN プロトコルのほとんどは上記のような色々な障壁を越えてうまく通信することができませんでした。SoftEther を使用すると、ほとんどのネットワーク制限をうまく回避して通信することができるのです。

ファイアウォールなどを回避して SoftEther を活用する事例については、活用方法の紹介 をご覧ください。

SoftEther がサポートする接続方法

SoftEther 仮想 LAN カードから仮想 HUB に対して接続する際の接続方法は、現在は 4 種類が組み込まれており、特殊なトンネリング ソフトウェアを使用しなくても SoftEther をインストールするだけで利用することができます。

詳しくは、SoftEther の仕様 をご覧ください。