2012 年 1 月 20 日 (金)
ソフトイーサ株式会社 技術開発部
(茨城県つくば市)
IPsec に対応し、iPhone / iPod / Android / Mac OS X からの VPN 接続や
EtherIP に対応した市販ルータからの拠点間接続に対応
PacketiX VPN の iPhone / Android / Mac
対応版をベータ公開
筑波大学発ベンチャー企業である ソフトイーサ株式会社 (代表取締役会長 登 大遊 / 本店所在地
茨城県つくば市、以下「ソフトイーサ」といいます) は、レイヤ 2 / 3 VPN ソフトウェア製品である 『PacketiX VPN』のサーバー
ソフトウェアである『PacketiX VPN Server』に、IPsec サーバーとして動作する機能を追加開発いたしました。
これにより、従来は不可能であった、iPhone / Android / Mac OS X から PacketiX VPN Server
へのリモートアクセス VPN 接続や、EtherIP over IPsec に対応した市販 VPN ルータから PacketiX VPN
Server への拠点間 VPN 接続が可能になりました (写真 1)。
この機能は本日よりベータ版として無償でダウンロード提供を開始いたしました。このべータ版は
2012 年 6 月 30 日までご利用いただけます。本日公開した Build 7768 は、日本語版・中国語 (簡体字) 版の 2
カ国語で提供されています。
今後は、次回リリース版の製品版 PacketiX VPN
Server に正式な機能として組み込むほか、オープンソース版 UT-VPN にも搭載し無料で利用できるようになります。その際には、今回の開発部分のソースコードも公開いたします。
(写真1: 電車内で iPhone から PacketiX VPN Server に VPN 接続を行い社内 LAN に接続している例)
要点
PacketiX VPN は従来は VPN クライアント (端末)、VPN ブリッジ (拠点) と VPN サーバー (センター)
との間の通信として SSL-VPN プロトコルのみをサポートしており、クライアントまたはブリッジ側のコンピュータには専用のソフトウェア (VPN
Client, VPN Bridge) のインストールが必須でした。そのため、スマートフォンや市販のルータ製品から PacketiX VPN
Server に VPN 接続を行うことは不可能でした。
今回、PacketiX VPN Server に新たに IPsec サーバー機能 (VPN プロトコルは L2TP および
EtherIP) を実装いたしました。これにより、iPhone, iPad, iPod Touch, Android
等のスマートフォンやタブレット端末に標準で搭載されている L2TP VPN クライアント機能から PacketiX VPN Server
にリモートアクセス VPN 接続することができるようになりました。
同様に、Mac OS X や Windows XP / Vista / 7 などの OS に標準で搭載されている L2TP VPN
クライアント機能を用いて、PacketiX VPN Server にリモートアクセス VPN 接続することができるようになりました。従来は
PacketiX VPN Server に VPN 接続するためには Windows および Linux に弊社の専用ソフトウェアである
PacketiX VPN Client をインストールする必要がありましたが、このインストール作業が不要になり、また、これまで対応していなかった
Mac OS X からの接続が可能になったため、利用範囲が拡大します。
(図1: PC やスマートフォンから PacketiX VPN Server に接続する図)
また、EtherIP over IPsec プロトコルに対応している市販の VPN ルータ製品から PacketiX VPN
Server に拠点間 VPN 接続を行うことができるようになりました。
(図2: 各拠点設置の EtherIP に対応した市販のルータ製品から PacketiX VPN Server に接続する図)
技術的特徴
- VPN Server で簡単な操作をするだけで IPsec サーバー機能を開始することができます。IPsec サーバー機能は
VPN Server に完全に統合されており、ユーザー認証や仮想 HUB の仕組みは VPN Server
で慣れ親しんだものをそのまま使用できます。既存の VPN 製品にみられるような IPsec
の設定のための難しいコマンドの入力などは、一切必要ありません。GUI のみで設定が完了します (写真 2)。
- 従来、IPsec / L2TP は NAT を経由しにくいとされてきました。
そこで、VPN Server では RFC 3947 という最新の IPsec の NAT 越え標準規格に対応し、VPN Server
とクライアントとの間に NAT が存在する場合でも問題なく VPN 接続を確立することができるように工夫しました。NTT ドコモや
KDDI などのパケット通信網回線でプライベート IP アドレスが割り当てられ、インターネットとの間に NAT (キャリアグレード
NAT) が存在する場合でも、L2TP over IPsec であれば問題なく通信することができます。
- L2TP, EtherIP といった標準的なプロトコルに対応している VPN
クライアントが搭載されている多くのオペレーティングシステムから、追加のソフトウェアのインストールなしで VPN Server
に接続できます (写真 3)。
(写真2: GUI による IPsec サーバー機能の設定画面)
(写真3: iPhone 標準搭載の VPN クライアントから PacketiX VPN Server に接続中の画面)
想定される用途
これまで Windows PC からのみ接続できた VPN Server の仮想 HUB に Mac OS X
からも接続できるようになったことで、自宅等の PC から社内 LAN にリモートアクセスして安全に業務を遂行するといったことが可能になります。
また、iPhone や Android
などのスマートフォンやタブレット端末に対応したことにより、出張先や海外においても、いつでもどこからでも社内 LAN
にアクセスし、社内のグループウェアの Web ページを表示したり、メールを送受信したり、リモートデスクトップクライアントを用いて社内の
Windows PC を操作したりといった社内 LAN に直接接続していなければ不可能であったことが可能になります (写真 4)。
さらには、市販の EtherIP 対応ルータを各拠点に設置し、センター拠点には PacketiX VPN Server
を設置することにより、安価なコストで高スループット (数百 Mbps) の管理性に優れた多拠点の常時接続レイヤ 2 VPN
を構築することができます。市販の EtherIP ルータの中には消費電力が少なく、保守性に優れ、かつ価格も安価であるといった特徴がありますが
(例: NEC の UNIVERGE IX2015 等。写真
5)、こういった安価なルータは拠点側に設置することはできても、性能不足によりセンター側に設置することが難しい場合がありました。このような場合に、センター側
VPN サーバーとして PacketiX VPN Server を使用することができるようになります。
(写真4: 出張先のホテルから iPhone から社内 LAN に VPN 接続しリモートデスクトップに接続を行う様子)
(写真5: 多数台数の NEC 製 IX2015 を各拠点の VPN 装置として設置・設定するイメージ写真)
意義
iPhone、iPod Touch、iPad、Android 等のスマートフォンが対応している VPN プロトコルには、PPTP と
L2TP の 2 種類があります。しかし、PPTP は NAT 経由で通信することが困難であり、様々な制約があります。一方、L2TP は RFC
3947 の NAT 透過規格に対応していれば NAT を容易に通過して VPN 通信を行うことが可能です。したがって、グローバル IP
アドレスが不足し、NAT が携帯電話のパケット通信網や無線 LAN ホットスポットなどで多様されている現在においては、L2TP
がスマートフォンから社内 LAN にリモートアクセスするためにどのような環境でも安定して利用できる事実上唯一のプロトコルです。
L2TP over IPsec、EtherIP over IPsec はいずれも標準規格化 (RFC)
されたプロトコルです。これらのクライアント機能を有する OS
や製品は多数存在しますが、残念ながらサーバー機能を有する製品として、市場において対応している VPN
製品やブロードバンドルータ製品は非常に数が少ないのが現状でした (市販の VPN サーバー機能が搭載されている製品の多くは、PPTP
には対応していますが、L2TP には対応していないものが多く存在します)。
また、一部対応している製品であっても、設定が大変難解であり、安定して導入・運用するために多大な労力や専門知識が必要なものが多くありました。さらには、多くの場合
VPN 対応のルータは安価なものについては処理能力が十分ではなく、かといって処理能力が高いルータは高価であり導入が困難な場合がありました。
PacketiX VPN Server が L2TP over IPsec および EtherIP over IPsec
に対応したサーバー機能を有し、および今後オープンソース版の UT-VPN においても同様に対応することにより、L2TP や EtherIP
を利用することができる Mac や iPhone、iPod Touch、iPad、Android
および業務用ルータをはじめとする多くの製品からの VPN 接続を受け付けることができる高性能な VPN
サーバーを少ないコストで簡単に構築することができます。
IPsec サーバー機能の仕様・準拠規格
機能 |
項目 |
値 |
IKE (ISAKMP) |
暗号化アルゴリズム |
DES, 3DES, AES-128, AES-192, AES-256 |
ハッシュアルゴリズム |
SHA-1, MD5 |
Diffie-Hellman
グループ |
Group 1, 2, 5 |
認証方法 |
IPsec 事前共有鍵 (PSK) |
モード |
メインモード
アグレッシブモード |
最大セッション数 |
約 30,000 セッション (論理制限値) |
IPsec (ESP) |
暗号化アルゴリズム |
DES, 3DES, AES-128, AES-192, AES-256 |
ハッシュアルゴリズム |
SHA-1-96, MD5-96 |
PFS Diffie-Hellman
グループ |
Group 1, 2, 5 |
モード |
クイックモード |
伝送方式 |
トランスポートモード (L2TP / EtherIP)
トンネルモード (EtherIP 使用時のみ) |
最大セッション数 |
約 30,000 セッション (論理制限値) |
L2TP / PPP |
ユーザー認証方式 |
PAP |
IPv4 IPCP |
対応 |
IPv6 IPCP |
非対応 |
通信可能プロトコル |
IPv4 |
MTU 自動調整 |
対応 |
EtherIP |
クライアント識別方式 |
IKE の Phase-1 ID による識別 |
MTU |
1518 |
タグ付き VLAN の透過 |
対応 (IEEE802.1Q) |
通信可能プロトコル |
IPv4, IPv6, その他 Ethernet 対応すべて |
NAT 対応 |
NAT トラバーサル対応 |
RFC 3947 Negotiation of NAT-Traversal
draft-ietf-ipsec-nat-t-ike |
DPD 対応 |
RFC 3706 A Traffic-Based Method of Detecting Dead Internet
Key Exchange (IKE) Peers |
VPN Server 側
占有通信ポート |
IPsec 通信 |
UDP 500, 4500 |
L2TP 通信 (IPsec
を用いない) |
UDP 1701 |
今後の開発予定
- L2TPv3 サーバー機能の追加
(Cisco 社や IIJ 社 SEIL 等の市販ルータから L2 VPN を接続できるようになります。
EtherIP サーバー機能と同等の機能となります。)
- OpenVPN 互換サーバー機能の追加
英語圏を中心に普及している OpenVPN というオープンソースの VPN ソフトウェアは、設定が大変難解です。PacketiX VPN
Server に OpenVPN 互換サーバー機能を実装することにより、OpenVPN
サーバーとして動作させることができるようになります。
PacketiX VPN について
PacketiX VPN は日本国内で約 4,580 社 (総ユーザー数: 約
53,300 CAL) の導入実績を有するソフトイーサの主力ソフトウェア製品です (2012 年
1 月 18 日現在)。
UT-VPN について
UT-VPN は 2010 年 6 月 7 日に発表したオープンソース版の
PacketiX VPN で、ソースコードが公開され、無料で使用することができるフリーソフトウェアです。
さらに詳しい情報は
本日公開した以下の Web ページに掲載させていただいております。
ベータ版のダウンロードも下記リンクから可能です。
※ 記載されている他社の製品名、会社名はそれぞれの会社の登録商標または商標です。
※ 他社の IPsec 対応ルータから PacketiX VPN Server
に接続可能であるという旨の表示は、当該他社と当社とが技術提携や協業等を実施していることを示すものではありません。
本件に関するお問い合わせ先
〒305-0005 茨城県つくば市天久保 2-9-2 リッチモンドビル 1F ソフトイーサ・コア内
ソフトイーサ株式会社 技術開発部
お問い合わせ:
Web フォーム
からお願いします
|
|