SoftEther.co.jp トップページ / PacketiX VPN 2.0 Web サイト  
ご注意 この Web ページは、ソフトイーサ株式会社の古いバージョンの VPN ソフトウェアである「SoftEther 1.0」に関する情報が書かれたものであり、技術的な参考資料として Web サーバー上に残しているものです。したがって、この Web ページに記載されている内容は現在では正しくない場合があります。最新の情報については、SoftEther.co.jp のトップページ からご覧ください。この Web ページに記載されている事項については、現在は無効である場合があります。予めご了承の上ご覧ください。本 Web ページ内の特定の項目の内容が技術的または法的に現在有効かどうかは、ソフトイーサ株式会社までお問い合わせください。
SoftEther.co.jp トップページ
SoftEther 1.0 トップページ
ニュースリリース
PacketiX VPN 2.0 のページ
SoftEther 1.0 の概要
SE 1.0 マニュアル
SE 1.0 活用方法・導入事例
SE 1.0 Linux 版の使い方ガイド
SoftEther 1.0 公式解説サイト
SE 1.0 よくある質問と回答
SE 1.0 現段階での制限事項
SE 1.0 ダウンロード
SoftEther Alert
SoftEther Block
著作権・使用条件
お問い合わせ先
掲載記事等の一覧
メーリングリストのご案内
開発者について
SoftEther 開発日記

 

SoftEther VPN はセキュアな情報通信システムが必要とされる企業内ネットワークに必須の VPN ソフトウェアです。

 

SoftEther トップ > オンライン マニュアル > SoftEther の導入前の予備知識

SoftEther の導入前の予備知識

SoftEther を使用する前に、予め理解しておいたほうが良い用語やネットワーク上の概念を解説します。

まず SoftEther の概要をお読みください

SoftEther を使用して仮想ネットワークを構築、利用するためには、SoftEther の概要をご理解いただくことが必要です。SoftEther の概要 をまだお読みになっていない場合は、SoftEther をダウンロードしてインストールされる前に、一度お読みいただくことをお勧めいたします。

 

前提知識

SoftEther を使いこなすには、少なくとも TCP/IP の知識が必要です。DHCP やルーティングの知識があれば、なお便利です。

TCP/IP を習得するための参考書はいくつも出版されており、また Web 上にも入門ページはたくさんあります。わかりやすい Web ページのいくつかを紹介させていただきます。
TCP/IP 入門
初心者のための TCP/IP 入門

 

SoftEther 仮想ネットワークも 1 つの LAN です

SoftEther は仮想ネットワークを構築するソフトウェアですが、SoftEther によって構築された仮想ネットワーク (このページでは、「SoftEther 仮想 LAN」または単に「仮想LAN」と呼びます) も 1 つの Ethernet に準拠したネットワークです。したがって、仮想 LAN 内では一般的な (物理的な) LAN 上とほとんど同様の仕組みで通信が行われています。

そのため、SoftEther 仮想ネットワークを使用するためには、最低でもいくつかのネットワークに関する知識が必要になります。SoftEther はパソコンの全くの初心者も使用できるツールでは決してなく、ある程度ネットワークやコンピュータについて詳しくないと、その能力を最大限に活用できません。

 

SoftEther 仮想 LAN では、「すべての事」が可能です

仮想 LAN も 1 つの Ethernet ネットワークであるため、凡そ物理的なネットワークでできる「すべての事」が可能です。仮想 LAN 内では、一般的な LAN 同様、OS がサポートするどのようなプロトコルでも使用できますが、現状では LAN で使用するプロトコルとして TCP/IP のみが利用されているのは明らかでしょう。

したがって、このオンライン マニュアルでも SoftEther 仮想ネットワーク内において TCP/IP を利用することを前提として解説されています。もちろん、NetBEUI、IPX などの Windows がサポートするほかのプロトコルを使用することもできますが、ここでは解説しません。

 

仮想 LAN と物理的な LAN との関係を認識してください

SoftEther 仮想 LAN では、仮想 HUB と仮想 LAN カードがお互いに通信し合って、まるで本物の LAN が存在するかのように動作します。しかし、よく考えてみると仮想 HUB と仮想 LAN カードの間は TCP/IP をベースとした SoftEther プロトコルによって通信されています。

ここで、仮想ネットワーク (VPN) の初心者は、仮想的なネットワーク内の通信と、それを支える物理的なネットワーク内の通信を混合してしてしまい、その結果混乱に陥ることがあります。

仮想ネットワークと、その実際の通信を行う物理的ネットワークは、ネットワーク的には完全に分離して考える必要がありますが、実際には密接に関係しています。この点をよく理解しておいてください。図解すると、下のようになります。

SoftEther 仮想 HUB と仮想 LAN カードとの間で通信されるのは Ethernet フレーム パケットであり、SoftEther ではこのことを「仮想フレーム パケット」や「仮想 MAC フレーム」などと呼びます。しかしながら、それらのパケットをカプセル化して実際に (物理的な電気信号として) HUB と LAN カード間を転送するのに利用されているのは TCP/IP であり、その下の層で動作している物理的な LAN カードや HUB、PHS 接続、ADSL モデムなどの物理デバイスです。

ちなみに、上図では 1 台の仮想 HUB になっているコンピュータと、もう 1 台の仮想 LAN カードをインストールしたコンピュータ同士が接続していますが、実際にはこのような状態だと仮想 LAN に参加しているコンピュータは 1 台のみとなり、ほとんど意味がありません。
実際に SoftEther を使用する際は、2 台以上のコンピュータに仮想 LAN カードをインストールし、それらをすべて同一の仮想 HUB に接続することによって、通信を行うようにします。

上図の状態では、4 台の仮想 LAN カードをインストールしたコンピュータが 1 つの仮想 HUB に接続されています。この状態になると、各コンピュータ同士で自由に通信ができるようになります。

 

仮想 LAN 内での TCP/IP 通信について

前述の通り、仮想 LAN 内でも通常は TCP/IP プロトコルを利用した通信を行うことを前提とします。

仮想 LAN は、基本的に物理的な LAN とは分離された単独で動作する Ethernet ネットワークですので、通常はその LAN 内で独立した IP サブネットを構成するべきです。そのため、各コンピュータの仮想 LAN カード側には IP アドレスを手動で設定します。設定する IP アドレスは、一般的にプライベート IP アドレスとして利用可能な IP アドレスを用いるのが良いでしょう。たとえば、192.168.10.1 ~ 192.168.10.253 などを利用しますが、これらに限定されません。普通の LAN を構築するのと同様、自由に IP アドレスを構成してください。

ただし、SoftEther の実際の通信に使用されている物理的な LAN と同じサブネットの IP ネットワークを仮想ネットワークで構築してはいけません。そうすると、両方のネットワークが IP 的に同一ネットワークとして認識され、両方に接続したコンピュータは通信不能になるか、SoftEther の通信ができなくなってしまいます。

 

DHCP も設置可能です

仮想 LAN は普通の LAN のように DHCP サーバーを設置することもできます。1 台のコンピュータが DHCP の役割をすればよいのです。DHCP を有効にすると、各クライアントは仮想 LAN に接続するとすぐに空いている IP アドレスが割り当てられるので、各クライアント コンピュータに対して個別に IP アドレスを設定する手間が省けます。

仮想 LAN に接続するクライアント数が多数ある場合は、DHCP の利用を考えてみてください。
DHCP とは

 

物理ネットワークと仮想ネットワークとの接続

既存の物理的な LAN と SoftEther の仮想ネットワークを、完全に 1 つのネットワークであるかのようにすることができます。これをブリッジ接続と呼びます。SoftEther 仮想 LAN カードは、ブリッジ接続をサポートしています。ブリッジ接続について、詳しくは こちら をご覧ください。

 

基本的な用語と概念

SoftEther のオンライン マニュアルを読む前に、SoftEther で使用されている各種用語の一覧と解説を掲載します。これらの用語の意味がわからないと混乱したり理解できなかったりするかも知れませんので、事前によくお読みください。SoftEther の概要 も参照してください。

・ SoftEther
Ethernet での LAN カードおよびスイッチング HUB を、ソフトウェア的にエミュレートして仮想化し、これまで自由な通信が困難であった環境でも複数台のコンピュータやネットワーク間を通信することができるようにするソフトウェア。名称は、Software Ethernet (ソフトウェア的なイーサネット) に由来する。

・ SoftEther 仮想 HUB
SoftEther の一部として提供される、ソフトウェア的にエミュレートされたスイッチング HUB。単に「仮想 HUB」と呼ぶこともある。複数台の仮想 LAN カードを接続することができ、各仮想 LAN カードを搭載したコンピュータ間での通信を中継する、物理的な Layer-2 スイッチング HUB と同等の働きを行うが、付加機能として Layer-3 レベルでのパケットフィルタリングやログ機能を提供し、仮想 LAN 内での安全性を高めることもできる。

・ SoftEther 仮想 LAN カード
SoftEther の一部として提供される、ソフトウェア的にエミュレートされた Ethernet LAN カード。単に「仮想 LAN カード」と呼ぶこともある。仮想 LAN カードは仮想 HUB に対して接続する。1 台の仮想 HUB に接続された複数台のコンピュータは、Ethernet レベルで相互に通信することが可能となる。仮想 LAN カードはカーネルモードで動作するデバイスドライバとして実装されている。OS やソフトウェアからは、一般的な LAN カードと全く同等に見えるので、OS 自身の通信を含め、すべてのネットワークアプリケーションが動作する。

・ SoftEther 仮想 LAN
SoftEther の仮想 HUB と、1台以上の仮想 LAN カードをインストールしたコンピュータによって構成される、仮想的なローカルエリアネットワーク (LAN)。この LAN の通信仕様は、仮想的なものであることを除き、すべて Ethernet の仕様に基づいたものである。また、SoftEther 仮想 LAN と、物理的な LAN をブリッジ接続することもできる。

・ 仮想 MAC フレーム
SoftEther 仮想 LAN 内で仮想的に送受信される Ethernet レベルでのフレーム パケット。一般的な Ethernet の仕様に基づいたフレームと同等のものが流れており、仮想 MAC フレームをブリッジ接続によって物理的な LAN 上での電気信号に変えることもできる。

・ SoftEther プロトコル
SoftEther の仮想 HUB と仮想 LAN カードの間の通信で使用される専用プロトコル。SoftEther プロトコルを含むパケットを「SoftEther パケット」と呼ぶ。SoftEther プロトコルは TCP/IP 上で動作し、基本的に仮想 LAN カードがインストールされているコンピュータから仮想 HUB がインストールされているコンピュータに対して TCP/IP パケットが届く場合であれば必ず接続できる。しかし、直接 TCP/IP で仮想 HUB に接続できない環境では、HTTP プロキシサーバーや SSH サーバー、SOCKS サーバーなどを経由して接続することができるので、セキュリティの厳しい社内 LAN でも、外部の仮想 HUB にかなりの確率で接続することができる。

・ SoftEther プロトコルによる接続方法
SoftEther プロトコルは TCP/IP をベースにしており、OS やネットワーク機器、ファイアウォールから見ると、一般的な TCP/IP パケットと何ら変わりは無く、ファイアウォールや NAT を通過できる。通過できない場合や、ネットワーク内で Proxy サーバーなどが唯一の外部とのゲートウェイである場合でも、SoftEther プロトコルは Proxy サーバーや SSH サーバー、SOCKS サーバーを経由して外側にある仮想 HUB と接続可能である。具体的には、SoftEther プロトコルは待ち受けポートとして TCP/7777 および TCP/443 を利用する。後者は、通信内容を SSL (HTTPS) 通信であるかのように Proxy を誤解させるためのものである。これらのポート番号は仮想 HUB で常に待機状態となっているが、仮想 HUB の管理者はポート番号を自由に変更することもできる。

・ SoftEther パケット
SoftEther プロトコルを含む TCP/IP パケット。このパケットは SoftEther 仮想 LAN ではなく、実際の (物理的な) ネットワーク上を流れ、仮想 LAN カードと仮想 HUB の間で送受信される。SoftEther パケットには、仮想 LAN カードと仮想 HUB の間で構築される仮想 LAN を流れる仮想 MAC フレームを暗号化、電子署名してカプセル化されたものが入っている。

・ 仮想 MAC アドレス
SoftEther 仮想 LAN カードごとに固有に付けられた MAC アドレス。仮想 LAN カードも Ethernet 的に見ると一般的な LAN カードと変わらず、相互の通信には MAC アドレスが必要不可欠である。SoftEther 仮想 LAN が物理的な LAN とのブリッジを行っていない場合は、各仮想 LAN カードの仮想 MAC アドレスはその仮想 LAN 内のみで一意であれば問題無いが、仮想 LAN と物理的な LAN をブリッジ接続する場合、仮想 LAN 内の各仮想 LAN カードの MAC アドレスは物理的な LAN 上の各 LAN カードの MAC アドレスと重複してはならない。仮想 MAC アドレスは、仮想 LAN カードをコンピュータにインストールする際に、コンピュータに装着されている物理的な LAN カードの MAC アドレスやインストール日時などをハッシュした値をもとにしたものが設定されるので、偶然重複してしまう可能性は限りなく低いが、ユーザーが後から自由に変更することも可能である。

・ 利用できるプロトコル
SoftEther 仮想 LAN カードは、OS や各ソフトウェアから見ると一般的な LAN カードと同じに見えるので、仮想 LAN 内では OS がサポートしているすべてのプロトコルを任意に使用することができる。たとえば、Windows は TCP/IP や IPv6、NetBEUI、IPX などをサポートしているが、これらはすべて仮想 LAN 内で使用可能である。

 

その他の概念

・ プライベート IP アドレス
SoftEther で構成された仮想 LAN 内で TCP/IP を使用して通信を行う際は、通常はその仮想 LAN 内で通用するプライベート IP アドレスを決めておくのが一般的である。もちろん、内部でグローバル IP アドレスを使用して、物理的 LAN との間でルーティングまたはブリッジ接続することも可能であるが、IP アドレスが枯渇している現状ではあまりそのようなことはしないだろうから、通常はプライベート IP アドレスを使用することになる(物理 LAN とブリッジ接続する場合は、物理 LAN 側が使用している IP アドレスのルールに基づいて使用することも可能である)。

・ DHCP の利用
SoftEther 仮想 LAN 内でも、DHCP サーバーを立ち上げることができる。この場合、仮想 LAN に接続する複数台のコンピュータは、個別に IP アドレスを設定する必要が無くなる。この方法で注意しなければならないのは、SoftEther 仮想 LAN と物理的な LAN をブリッジ接続する場合である。既存の物理的な LAN 上に DHCP サーバーがある場合、2つの DHCP サーバーが競合してしまい、大規模なネットワークトラブルに発展する可能性があるので、DHCP を運用する場合は TCP/IP ネットワークに関する詳しい知識が必要となる。

・ デフォルトゲートウェイ
仮想 LAN カードも OS から見れば普通の LAN カードであるため、仮想 LAN カード上で TCP/IP を設定し、仮想 LAN 上の1台のコンピュータで NAT サービスなどのルーティングサービスを有効にしておけば、その仮想 LAN に接続されたコンピュータは NAT となっているコンピュータの IP アドレスをデフォルトゲートウェイに設定することにより、すべてのインターネットに対してのパケットは仮想 LAN 上を経由して流れることになる。これは、社内 LAN などでインターネットアクセスの制限が多い場合に特に役に立つ。

・ ブリッジ接続
仮想 LAN は Ethernet の仕様に基づいた LAN であるが、あくまでもソフトウェア的に実装された仮想的なものであるので、実際の通信は LAN ケーブルではなくSoftEther パケット内にカプセル化されており、そのままでは物理的な LAN と接続することができない。しかし、仮想 LAN と物理的な LAN の間をブリッジ接続することにより、仮想 LAN と物理的な LAN が同じネットワークセグメントに属しているかのように自由に通信することができるようになる。これを、仮想 LAN と物理的な LAN とのブリッジ接続と言う。ブリッジ接続は、OS がブリッジドライバを持っている必要があるので、Windows XP / Windows Server 2003 以降で使用可能である。(Windows 2000 はブリッジになることはではない。)

・ ブリッジ接続の方法
ブリッジ接続を行うには、ブリッジ接続したい物理的な LAN に物理的に接続されているコンピュータに仮想 LAN カードをインストールし、仮想 LAN に接続した状態で、2 つのネットワークアダプタに対して Windows 上で「ブリッジ接続」を構成する。ブリッジ接続が成立したら、仮想 LAN と物理的な LAN は実際に接続されている状態と同等になるので、その仮想 LAN に接続している仮想 LAN カードをインストールしたコンピュータと物理的な LAN 上のコンピュータは、Ethernet レベルで完全に自由に通信を行えるようになる。

・ ブリッジ接続の利点
ブリッジ接続は物理的な LAN 上の物理的な HUB と、仮想 LAN 上の仮想 HUB とを「カスケード接続」するようなものである。カスケード接続とは、物理的な2つ以上の HUB をクロスケーブルなどで接続することにより、双方の HUB に接続されているコンピュータが自由に通信できるようにするものであるが、仮想 LAN と物理的な LAN との間のブリッジ接続により、これと全く同等の状態を作ることができる。ある物理的な LAN と仮想 LAN をブリッジ接続したい場合は、物理的な LAN と仮想 LAN の両方に接続されているコンピュータ1台のみでブリッジを構成すればよい。すると自動的にそれぞれの LAN に接続されているすべてのコンピュータは相互に通信が可能になる。その際のフレーム パケットはブリッジとなったコンピュータを通過することになる。通常、仮想 LAN に接続されているコンピュータは実際には何らかの物理的な LAN (社内 LAN など) に接続されている場合が多いのだから、そのコンピュータ上でブリッジを構成することにより、物理的な LAN 上のコンピュータすべては仮想 LAN とも接続可能になる。さらに、ブリッジ接続を行うには、物理的な LAN のネットワーク管理者に設定を依頼すること無く、コンピュータを持っているユーザーであれば誰でも自由にブリッジ接続を行うことができ、これを防止する簡単な手段は存在しない。

・ ブリッジ接続の危険性
ブリッジ接続によって、構築した仮想 LAN に複数台のコンピュータを接続させたい場合でも、それぞれのコンピュータに SoftEther 仮想 LAN カードをインストールする必要は無く、1台のコンピュータでブリッジ接続を構成するのみで物理的な LAN 上のコンピュータすべてが仮想 LAN と自動的に通信可能になるので、大変便利である。また、コンピュータのユーザーが物理的な LAN のネットワーク管理者の設定無しに自由にこのようなブリッジ接続が行えるため、管理者の手を煩わせる必要が無いのだが、これはネットワーク管理者から見れば脅威となる。ネットワークのブリッジ (カスケード接続) は従来でも一般ユーザーが勝手に行うことができたが、それは物理的なカスケード接続であり、何らかの物理的なケーブルが必要となっていたので、ネットワーク管理者はそのようなことが行われていないかどうかを容易にチェックできた。しかしながら、SoftEther 仮想 LAN はハードウェア的には全く何も必要無いので、仮想 LAN と物理的な LAN とのブリッジ接続をしても、ネットワーク管理者がそれを発見・チェックする可能性は低く、ユーザーの利用方法によっては物理的な LAN が外部と直接ケーブルで接続されたようになってしまうので、セキュリティ的に危険な状態となる。しかしながら、これを防止する容易な方法は存在しない。

・ 仮想 HUB と仮想 LAN カードの共存
本来、仮想 HUB は Ethernet 上での物理的なスイッチング HUB をソフトウェア的に実装したものであるので、単独のソフトウェアとして1台のコンピュータで動作させるものであるが、それだと少数のコンピュータ同士で相互接続を行う際に仮想 HUB を動作させるためだけに専用のコンピュータが1台必要になる。そこで、仮想 HUB と仮想 LAN カードをまとめて1台のコンピュータにインストールし、そのコンピュータは仮想 HUB であるサーバーとしての機能も、仮想 LAN カードであるクライアントとしての機能も同時に持つことができる。この場合、このコンピュータの仮想 LAN カードの接続先アドレスは自分自身 (localhost) を指定する。

 

  
 お問い合わせ先 | 使用条件
 Copyright © 2004-2006 SoftEther Corporation. All Rights Reserved. SoftEther.co.jp