3.7 仮想 NAT および仮想 DHCP サーバー
PacketiX VPN Server または PacketiX VPN Bridge の仮想 HUB には、「SecureNAT
機能」が搭載されています。ここでは SecureNAT の概念、設定方法および注意事項について解説します。
3.7.1 SecureNAT とは
SecureNAT の概要
「SecureNAT (セキュアナット) 」機能は、PacketiX VPN
のために独自に開発された、これまでに存在しなかった画期的な機能です。SecureNAT
を使用すると、セキュリティ的により安心なネットワークを構築することができます。
SecureNAT 機能には、大きく分けて「仮想 NAT 機能」と「仮想 DHCP サーバー機能」の 2 つが搭載されています。仮想 HUB
の管理者は、SecureNAT を有効にした状態で「仮想 NAT」と「仮想 DHCP サーバー」の両方、またはどちらか 1
つを有効にすることができます。
なお、SecureNAT 機能の具体的な使用方法についての詳細は、「10.11 SecureNAT 機能を用いた権限不要のリモートアクセス」 を参照してください。
SecureNAT
機能は、システム管理者やネットワークに関して詳しい知識のある方向けの機能です。SecureNAT
機能を正しく使用すると、VPN
を経由した安全なリモートアクセスが実現できます。しかし、誤った方法で使用すると、ネットワーク全体を危険な状態にする可能性もあります。ネットワークに関する十分な知識をお持ちでない場合や、ネットワーク管理者の許可を得ていない場合は、SecureNAT
機能を有効にしないでください。 |
ブロードバンドルータ機能の仮想化
業務用途およびコンシューマ用途で開発され、製品化されている多くの一般的な「ブロードバンドルータ」には、「NAT 機能」と「DHCP
サーバー機能」の 2 つの機能が統合されており、ブロードバンドルータの内側にコンピュータを接続すると、そのコンピュータに自動的にプライベート IP
アドレスが割り当てられると共に、グローバル IP ネットワーク (インターネットなど) に対して NAT
を経由してアクセスすることができるようになります。
PacketiX VPN において、このような一般的な「ブロードバンドルータ」に搭載されている「NAT 機能」と「DHCP
サーバー機能」を仮想化し、しかも「ユーザーモードのみ」ですべての処理を行うことによって、ブロードバンドルータと同等の機能を、仮想 LAN と物理的な
LAN との間でも利用可能にしたのが「SecureNAT」機能です。
図3-7-1 SecureNAT 機能 |
SecureNAT の仮想的なインターフェイス
SecureNAT 機能は仮想 HUB ごとに設定し、有効化 / 無効化することができます。ローカルブリッジ機能と違い、SecureNAT
機能の設定は仮想 HUB の管理者が自らすべての設定を行うことができます。SecureNAT 機能を有効にすると、仮想 HUB
の内部に「SecureNAT セッション」と呼ばれる仮想の VPN セッションが作成され、その VPN セッション内にまるで 1 枚の LAN
カードがあるかのようにして仮想のネットワークインターフェイスが作成されます。これを「仮想ホストのネットワークインターフェイス」と呼びます。
仮想ホストのネットワークインターフェイスは、仮想 HUB に対してレイヤ 2 で直接接続されている状態になっています。したがって、仮想 HUB
に接続している他の VPN Client コンピュータや、仮想 HUB が別の仮想 HUB や物理的な LAN
とカスケード接続およびローカルブリッジされている場合はカスケードやブリッジ先のコンピュータから見ると、SecureNAT
機能の仮想ホストのネットワークインターフェイスは 1 台のコンピュータと同等に認識されます。また、仮想ホストのネットワークインターフェイスには
IP アドレスを割り当てることができます。
一般ユーザー権限による SecureNAT の使用
SecureNAT 機能および仮想 NAT / 仮想 DHCP
サーバーは、すべて「ユーザーモードプログラム」として動作しています。特に仮想 NAT
のような複雑な仕組みを実現するためには、通常はオペレーティングシステム内のカーネルモジュールを使用する必要があります。
仮想 NAT を実現するために、PacketiX VPN
は、オペレーティングシステムのカーネルモードで特殊な処理を行ったり、カーネルモードの NAT
機能を使用したりすることは一切ありません。したがって、仮想 NAT 機能を含めたすべての SecureNAT
機能は、一般ユーザー権限で自由に実行することが可能です。
この特徴によって、SecureNAT
機能を使用するためには、そのコンピュータのシステム管理者権限は一切不要ということになります。一般ユーザーで VPN Server
/ VPN Bridge を起動する方法については、「3.2.2 ユーザーモード」 をお読みください。
一般ユーザーがこの機能を使用すると、ネットワーク管理者またはシステム管理者による許可を得ているがシステム管理者のアカウントは持っていない場合に、SecureNAT
機能を使用して通常は一般ユーザー権限ではできないような VPN
通信を実現することができます。具体的な利用方法については、「10.11 SecureNAT 機能を用いた権限不要のリモートアクセス」 をお読みください。
また、システム管理者は、SecureNAT を「安全な NAT ソフトウェア」として利用することができます。通常の NAT
プログラムは「カーネルモードモジュール」として動作します。もし NAT
プログラムの部分にバッファオーバーランなどの脆弱性がある場合は、それが原因となって悪意のある者によってシステムに侵入されカーネル権限が奪われたり、またバグによってシステム全体がクラッシュしてしまったりする危険性があります。それと比較して、PacketiX
VPN の SecureNAT
プログラムは、すべてユーザー空間で動作させることができ、動作にあたっては特別なシステム権限は不要です。もし SecureNAT
プログラムに不具合があった場合でも、影響を受けるのは VPN Server / VPN Bridge
を起動させていたユーザーの空間だけに限定され、他のユーザーやシステム全体が影響を受ける危険性はなくなります。 |
SecureNAT の利用目的
「SecureNAT 機能」は、下記のような目的で利用することができます。
- 簡易的なネットワークゲートウェイとしての利用
VPN Server と仮想 HUB を設置し、リモートからその仮想 HUB に接続したとしても、そのままでは仮想 HUB
の中だけで通信が完結してしまうため、その VPN Server
が動作しているコンピュータが接続している物理的なネットワークに対して通信を行うことができます。このような場合は、「ローカルブリッジ接続」を使用することにより仮想
HUB と物理的なネットワークとの間を「レイヤ 2」で接続するのが一般的ですが、SecureNAT 機能を使用すると仮想 HUB
の仮想ホストのネットワークインターフェイスを経由して VPN Server
が動作しているコンピュータが接続しているネットワークに対して通信を行うことができます。したがってローカルブリッジ機能を使用したくない場合や、コンピュータのシステム管理者権限を持っていないためにローカルブリッジ機能を使用できない場合、および
Windows、Linux および Solaris 以外の他の UNIX オペレーティングシステム版の VPN Server または VPN Bridge
を使用しておりローカルブリッジ機能が使用できない場合には、SecureNAT の「仮想 NAT 機能」を活用することができます。
- DHCP サーバーとしての利用
SecureNAT 機能のうち「DHCP サーバー機能のみを有効化」することができます。つまり、仮想 HUB の Ethernet
セグメント内で動作する DHCP サーバー機能だけを利用することができます。これにより、仮想 HUB に対してリモートアクセスした
VPN Client やローカルブリッジ先のクライアントコンピュータなどが、仮想 DHCP サーバーから IP
アドレスの割り当てを受けることができます。
本来、仮想 HUB の中で DHCP による自動 IP アドレス割り当てを使用する場合は、その仮想 HUB を DHCP
サーバーがある別のネットワークにローカルブリッジするか、または仮想 HUB に対して DHCP サーバーから VPN Client
と仮想 LAN カードで接続する必要がありますが、SecureNAT 機能の「仮想 DHCP
サーバー機能」を使用することによりこれらのことが不要になります。
- 遠隔拠点にリモートアクセスするための簡易的なゲートウェイとしての利用
遠隔拠点 (たとえばネットワーク経由で機材を保守管理したいような拠点) に対して、PacketiX VPN を使用してリモートアクセス
VPN を行いたい場合は、通常では遠隔拠点上のコンピュータに VPN Server や VPN Bridge
をインストールし、それに対して VPN Client で「VPN 接続」したり、または別の場所に設置した VPN Server
に対して、その拠点から「カスケード接続」をし続けるように設定したりすることにより、PacketiX VPN
を使用して遠隔拠点上のコンピュータノードに対して通信を行うことができます。しかし、セキュリティ上やコスト上の制限があり、遠隔拠点上のコンピュータでローカルブリッジを設置することができないような場合や、使用しているオペレーティングシステムが
PacketiX VPN のローカルブリッジ機能に対応していないような場合は、「SecureNAT 機能」によって代用することができます。
特にこのような使用方法については 「10.11 SecureNAT 機能を用いた権限不要のリモートアクセス」 をお読みください。
SecureNAT 機能の有効化
「SecureNAT 機能」は、デフォルトでは「無効」になっています。SecureNAT 機能を有効にするには、「VPN サーバー管理マネージャ
」の
[仮想 NAT および仮想 DHCP サーバー機能] ボタンをクリックして、[仮想 NAT および仮想 DHCP サーバー機能
(SecureNAT) の設定] 画面を表示します (以後、SecureNAT
に関する説明では、この画面を開いていることを想定して解説します)。次に [SecureNAT 機能を有効にする] をクリックしてください。
「vpncmd」では、SecureNAT 関係のコマンドはすべて "SecureNat"、"Nat" および
"Dhcp" という名前が始まっています。例えば、SecureNAT 機能を有効にするには、「SecureNatEnable」コマンドを使用
します。
図3-7-2 SecureNAT 機能の管理画面 |
SecureNAT 機能の一部である「仮想 NAT 機能」と「仮想 DHCP
サーバー機能」は、SecureNAT 機能が無効状態になっている場合は両方とも動作しません。これらの機能を使用する前に、必ず
SecureNAT 機能を「有効」にしてください。 |
3.7.2 仮想ホストのネットワークインターフェイス設定
SecureNAT 機能によって、仮想 HUB 内に生成される仮想的なノード (仮想ホスト)
の仮想のネットワークインターフェイスに関する情報を設定することができます。
「VPN サーバー管理マネージャ」で、[SecureNAT の設定] ボタンをクリックし、[仮想ホストのネットワークインターフェイスの設定]
項目を入力してください。設定することができる項目とデフォルト値の一覧は以下のとおりです。
項目名 |
説明 |
デフォルト値 |
MAC アドレス |
仮想ホストのネットワークインターフェイスは、通常のコンピュータの LAN カードや仮想 LAN
カードのように、Ethernet の規格に対応した仮想的なネットワークアダプタですので、1 つの MAC
アドレスを使用することができます。使用する「MAC アドレス」を指定します。 |
"00:AC" で始まる合計 6 バイトの乱数データ。 |
IP アドレス |
仮想ホストのネットワークインターフェイスが持つ「IP アドレス」を指定します。 |
192.168.30.1 |
サブネットマスク |
IP アドレスで指定したアドレスが所属する IP ネットワークの「サブネットマスク」を指定します。 |
255.255.255.0 |
図3-7-3 仮想ホスト管理画面 |
3.7.3 仮想 NAT 機能
仮想 NAT 機能の設定項目
SecureNAT の「仮想 NAT 機能」を使用する場合は、「VPN サーバー管理マネージャ」の [仮想 NAT 機能を使用する]
チェックボックスを「有効」状態にします。使用しない場合は、「無効」状態にします。SecureNAT 機能を開始すると、デフォルトで仮想 NAT
機能が有効な状態になります。
仮想 NAT 機能で設定することができる項目とデフォルト値の一覧は、以下のとおりです。
各オプションを設定するには、「VPN サーバー管理マネージャ」では [SecureNAT の設定] 画面の [仮想 NAT の設定]
の項目を入力してください。「vpncmd」では、「NatSet」コマンドを使用できます。
項目名 |
説明 |
デフォルト値 |
MTU 値 |
仮想 NAT 機能が、仮想ネットワークインターフェイス側で使用する「MTU」の値を指定できます。この値には、「Ethernet
フレームのペイロードサイズの最大長 (MAC ヘッダを除いた長さ)」を指定してください。 |
1500 バイト |
TCP セッションのタイムアウト |
仮想 NAT 機能を経由して確立された NAT セッションエントリのうち、TCP/IP
セッションが無通信状態で何秒間経過したらタイムアウトと見なすかを設定します。 |
7,200 秒 |
UDP セッションのタイムアウト |
仮想 NAT 機能を経由して確立された NAT セッションエントリのうち UDP/IP
セッションが無通信状態で何秒間経過したらタイムアウトと見なすかを設定します。 |
600 秒 |
図3-7-4 仮想 NAT 機能管理画面 |
仮想 NAT 機能の使用方法
仮想 NAT 機能を使用して TCP/IP および UDP/IP 通信を行う場合は、次のように使用します。
- 仮想 HUB において、「SecureNAT」および「仮想 NAT 機能」を適切に設定し、有効化します。特に、仮想ホストの IP
アドレスおよびサブネットマスクは、その仮想 HUB 内で使用している IP
ネットワークアドレスおよびサブネットマスクに一致させてください。
- 仮想 HUB 側の別のクライアントコンピュータ
(物理的にローカルブリッジやカスケード接続を経由して接続されているものでも、VPN Client
経由で接続されているものでも構いません) の TCP/IP 設定において、仮想 HUB で動作している SecureNAT
の仮想ホストの IP アドレスを「デフォルトゲートウェイ」に設定します (後述する仮想 DHCP
サーバー機能と組み合わせることによって自動的に設定することもできます)。
- クライアントコンピュータが TCP/IP または UDP/IP で通信を行おうとすると、仮想 NAT 機能がまるで一台の NAT
機能付きルータとして動作し、仮想 HUB
が動作しているコンピュータを経由して、そのコンピュータの既存のネットワークインターフェイスを用いて物理的なネットワーク上のホストに対してアクセスすることができます。この際、仮想
NAT 機能では、NAT セッションテーブルに新しいセッションが登録されます。NAT セッションテーブルを表示するには、「VPN
サーバー管理マネージャ」で、[仮想 NAT ルータの状況] ボタンをクリックしてください。「vpncmd」では「NatTable」コマンドを使用します。
仮想 NAT 機能の動作原理
「仮想 NAT 機能」は、通常カーネルモードで実行される IP ルーティングおよび NAT (IP マスカレード)
の処理を、ユーザーモードで行うことによって実現しています。
カーネルモードで NAT 機能を持っているシステムでは、ネットワークプロトコルスタックの階層関係は下図のようになります。
図3-7-5 通常のカーネルモード NAT と PacketiX VPN を組み合わせた NAT
における各ネットワークモジュールのスタック図 |
上記の図のうち、赤い部分がカーネルモードで動作しているコードです。通常は、この部分と同等の機能を実現するには、必ずカーネルモードプログラミングが必要になりました。しかしカーネルモードでプログラムを実行すると
、セキュリティ上の致命的な脆弱性が増える可能性やプログラムにバグがあった場合に、システム全体が不安定になってしまう可能性があり、できればユーザーモードですべての処理を行うのが望ましいと言えます。
ユーザーモードでこれらの処理を行うことができるようにするため、ソフトイーサ株式会社は SecureNAT 機能のためだけに用いる
TCP/IP スタックを独自に設計し、これをユーザーモード内で実装することに成功しました。SecureNAT の「仮想 NAT
機能」は、仮想ネットワークから受け取る TCP/IP や UDP/IP
パケットをルータとして受信し、それらのパケットをセッションごとに管理してトランスポート層までのレイヤで正しく解釈します。また、TCP/IP
プロトコルの場合は、そのコネクション内でのシーケンス番号などを元にして TCP/IP
ストリームを再構成します。これらの再構成されたペイロードデータは、内部的な FIFO バッファに格納されるとともに、VPN Server /
VPN Bridge を動作させているオペレーティングシステムのソケット API
を用いて、できる限り高速に目的のホストに対して伝送します。通信先ホストから受け取ったデータは逆の経路を通って仮想 HUB
による仮想ネットワークに戻ってきます。この際にもユーザーモードで動作する TCP/IP スタックが使用され、自動的に TCP/IP
プロトコル規格に適合した再送およびフロー制御アルゴリズムによってデータグラム化されます。このような非常に複雑な処理により、SecureNAT
の仮想 NAT 機能が実現されています。ただし、一般ユーザーは、特にこのような動作原理を意識する必要はありません。
図3-7-6 SecureNAT の仮想 NAT 機能を使用した NAT における各ネットワークモジュールのスタック図 |
3.7.4 仮想 NAT 機能の注意事項
「仮想 NAT 機能」は大変便利な機能ですが、使用するにあたっていくつかの注意事項があります。
- 仮想 NAT の使用方法
「仮想 NAT
機能」は、システム管理者権限がなかったり、オペレーティングシステムがローカルブリッジ機能をサポートしていなかったりするような環境で VPN
Server / VPN Bridge を動作させる際、つまりローカルブリッジ機能を使用することができないような場合において、仮想
HUB のレイヤ 2 セグメント内のコンピュータが仮想 HUB
を実際に動作させているコンピュータの物理的なネットワークインターフェイスを経由して、物理的なネットワーク上のホストに対してアクセスする必要がある場合に使用することが推奨される機能です
(特に 「10.11 SecureNAT 機能を用いた権限不要のリモートアクセス」 に挙げられるような使用方法に適しています)。
ローカルブリッジ機能などによって、仮想 HUB
と物理的なネットワークとを接続することができるような場合には、セキュリティ上の問題がある場合を除いて、あえて仮想 NAT
機能を使用して仮想ネットワークと物理的なネットワークを接続する必要はありません。
- パケットの無限ループが発生するような接続方法の防止
仮想 NAT 機能を有効にした仮想 HUB に対して、そのコンピュータ自身に VPN Client
をインストールして自分自身の仮想 HUB に仮想 LAN カードから接続したり、またはその仮想 HUB と物理的な LAN
カードとローカルブリッジ接続する場合において、それらの LAN カードに対するデフォルトゲートウェイが仮想 HUB 内の
SecureNAT 機能の仮想ホストのネットワークインターフェイスに割り当てられている IP アドレスを指している場合は、任意の IP
アドレスに対して接続しようとする通信は、その通信は仮想 HUB 内の仮想 NAT 機能を使用しようとし、仮想 NAT
機能がさらにオペレーティングシステムのネットワーク通信 API を呼び出して、宛先の IP
アドレスに対して通信を行おうとするので、接続パケットが無限ループしてしまいます。通常、ローカルブリッジ接続や VPN Client
によって localhost に対して VPN 接続するような接続方法と、仮想 NAT
機能を同時に使用することはありません。もしそのような接続を行っている場合には、ネットワーク設計が間違っている可能性があります。
- パフォーマンスに関する注意事項
SecureNAT 機能は内部で仮想の TCP/IP スタックを持つことによって、一度 TCP/IP スタックによってパケット化した
TCP/IP ストリームを再度組み立て、さらにそれをオペレーティングシステムを通じて、TCP/IP
パケット化するというような大変高度な処理を行っています。したがって、これらの処理にかかわるオーバーヘッドは大きく、十分高速なコンピュータを用いる場合でも
、仮想
NAT 機能を経由したスループットは物理的な最大スループットと比較して大きく低下してしまいます。そのため、仮想 NAT
機能はパフォーマンスが重視されるような用途には使用しないでください。前述のとおり、仮想 NAT
機能はあくまでも技術的またはセキュリティ上の理由があるため、ローカルブリッジ機能などを使用することができない場合に、「代用」として使用できる機能です。ローカルブリッジなどの高速な手段が利用可能な場合は、そちらを使用してください。
- ICMP パケットの取り扱いについて
仮想 NAT 機能が有効になっている場合、仮想ホストのネットワークインターフェイスに対して割り当てられた IP
アドレスをルータとして経由してさらに別のホストに対して ICMP パケットを送信した場合、すべての ICMP
エコー要求パケットに対して仮想 NAT 機能がダミーの ICMP
エコー応答パケットを返します。これは、大半のオペレーティングシステムは、ユーザー権限で呼び出すことができるネットワーク API
において任意の ICMP パケットの送出を許可していないため、やむを得ずこのような動作になっているものであり、PacketiX VPN
の仕様です。したがって、仮想 NAT 機能を使用する場合は ICMP パケットを用いて仮想 NAT
ルータの向こう側にあるホストの存在確認を行うことはできません。
- DNS リダイレクトについて
仮想 NAT が有効な場合、仮想ホストのネットワークインターフェイスの IP アドレス自体に対する UDP 53 番ポート宛のパケット
(DNS パケット) は、自動的に仮想 HUB を動作させているコンピュータが DNS サーバーとして使用している DNS
サーバーに対して転送されます。これは、通常のブロードバンドルータと同様の動作です。
- 対応していない機能
仮想 NAT で内部使用しているユーザーモード TCP/IP スタックは、ウインドウスケーリングオプション、選択的 ACK、Nagle
アルゴリズム、その他の高度な TCP/IP の機能の一部を実装していません。また仮想 NAT はその性質上、仮想ネットワーク同士の IP
ルーティングや NAT には対応していません。仮想ネットワーク間の IP ルーティングには、「仮想レイヤ 3
スイッチ機能」を使用してください。
3.7.5 仮想 DHCP サーバー機能
仮想 DHCP サーバー機能について
SecureNAT では、「仮想 DHCP サーバー機能」を使用することもできます。使用方法によっては、仮想 NAT 機能を使用せずに、仮想
DHCP サーバー機能を利用しても問題ありません。仮想 DHCP サーバー機能を使用すると、仮想 HUB のレイヤ 2
セグメントに接続したコンピュータが DHCP サーバーから IP アドレスの配布を受け、一時的にその IP アドレスを使用することができます。
仮想 DHCP サーバーは、物理的なコンピュータ上の DHCP サーバープログラムとほぼ同様の動作を行うことによって IP
アドレスの配布を行います。ただし、たとえば Windows
のサーバー版に含まれているような多くのオプションを設定できる細かな機能は提供されていません。
仮想 DHCP サーバー機能は、本格的な DHCP サーバーというよりも、簡易的な DHCP によるアドレス配布を可能にします。たとえば、仮想
HUB を設置して、その仮想 HUB 内のコンピュータに IP アドレスを割り当てる作業を DHCP プロトコルによって自動化したいが、DHCP
サーバーソフトウェアを仮想 HUB と同じセグメントで動作させるのは手間がかかるのでできないような場合に最適です。
仮想 DHCP サーバー機能は簡易的ではありますが、IP
アドレスの有効期限の設定や、リーステーブルの管理、いくつかの必須のオプションの配布などは問題なく使用できます。
図3-7-7 仮想 DHCP サーバー機能 |
仮想 DHCP サーバー機能の設定項目
SecureNAT の仮想 DHCP サーバー機能を使用する場合は、VPN サーバー管理マネージャの [仮想 DHCP
サーバー機能を使用する] チェックボックスを有効状態にします。使用しない場合は、無効状態にします。SecureNAT
機能を開始すると、デフォルトで仮想 DHCP サーバー機能が有効な状態になります。
仮想 DHCP サーバー機能で設定することができる項目とデフォルト値の一覧は以下のとおりです。
以下のオプションを設定するには、「VPN サーバー管理マネージャ」では [SecureNAT の設定] 画面の [仮想 DHCP
サーバーの設定] の項目を入力してください。「vpncmd」では、「DhcpSet」コマンドを使用できます。
項目名 |
説明 |
デフォルト値 |
配布 IP アドレス帯 |
この仮想 DHCP サーバーがクライアントに対して配布する「IP アドレスの範囲」を指定します。 |
192.168.30.10 から
192.168.30.200 まで |
サブネットマスク |
クライアントに対して IP アドレスと共に割り当てる「サブネットマスク」の値を指定します。 |
255.255.255.0 |
リース期限 |
リースする IP アドレスの「有効期限」を指定します。 |
7,200 秒 |
クライアントに割り当てるデフォルトゲートウェイアドレス |
クライアントに案内する設定値である「デフォルトゲートウェイ」のアドレスを指定します。デフォルトでは、仮想 NAT
機能と同時に使用することを想定していますが、別の値に変更することもできます。何も指定しないことも可能です。 |
192.168.30.1 |
クライアントに割り当てる DNS
サーバーのアドレス |
クライアントに案内する設定値である「DNS サーバーのアドレス」を指定します。デフォルトでは、仮想 NAT
機能と同時に使用することを想定していますが、別の値に変更することもできます。何も指定しないことも可能です。 |
192.168.30.1 |
クライアントに割り当てるドメイン名 |
クライアントに案内する設定値である「DNS ドメインサフィックス」の値を指定します。何も指定しないことも可能です。 |
仮想 HUB が動作しているコンピュータが所属するドメイン名 |
図3-7-8 仮想 DHCP サーバー機能管理画面 |
IP アドレスリーステーブルの取得
仮想 DHCP サーバーが割り当てた IP アドレスの割り当て一覧表 (IP アドレスリーステーブル) は、いつでも表示させることができます。
「IP
アドレスリーステーブル」を表示させるには、「VPN サーバー管理マネージャ」で [仮想 DHCP サーバーの状況] をクリックしてください。「vpncmd」の場合は
、「DhcpTable」コマンドを使用できます。
図3-7-9 仮想 DHCP サーバーの IP アドレスリーステーブル表示画面 |
3.7.6 仮想 DHCP サーバー機能の注意事項
仮想 DHCP サーバー機能は便利な機能ですが、使用するにあたっていくつかの注意事項があります。
- 仮想 DHCP サーバーの使用方法
仮想 DHCP サーバー機能は、簡易的な DHCP
サーバー機能を提供します。動作させるにあたってシステム管理者権限も必要ありません。仮想 DHCP
サーバー機能で十分でない場合は、UNIX 用や Windows 用の本格的な DHCP
サーバーソフトウェアを使用されることを推奨します。
- DHCP スコープの有効範囲
仮想 DHCP サーバーによって、IP アドレスの配布を受けることができる「スコープ (範囲)」は、その SecureNAT
が動作している仮想 HUB の「レイヤ 2 セグメント」に限定されます。したがって、特にローカルブリッジ接続などで物理的な LAN
との接続を行っていない場合は、その DHCP サーバーによって影響される範囲は仮想 HUB 内部に限定され、仮想 HUB に VPN
接続してきたコンピュータだけが仮想 DHCP サーバーから IP アドレスを受け取ることができます。仮想 HUB
が実際に動作しているコンピュータが接続している LAN 上は影響されません
(ローカルブリッジ接続を行った場合はこの限りではありません)。もちろん仮想 HUB
同士をカスケード接続したり、別の拠点との間でブリッジ接続したりした場合は、レイヤ 2 セグメント全体が DHCP サーバーによる IP
アドレス割り当ての対象となります。
- 初期設定に関する注意
仮想 DHCP サーバー機能の初期設定値としては、192.168.30.0/24
のアドレス空間をクライアントコンピュータに対して割り当て、また仮想 NAT
機能を同時に使用することを想定してデフォルトゲートウェイおよび DNS サーバーアドレスを設定しようとします。仮想 NAT
機能を使用しない場合には、ここのような初期設定のうちデフォルトゲートウェイおよび DNS
サーバーアドレスは無意味ですので、必ず変更してください。
- デフォルトゲートウェイや DNS サーバーアドレスを配布せずに IP アドレスのみ配布する場合
仮想 DHCP サーバー機能で、クライアントに対してデフォルトゲートウェイ設定や DNS
サーバー設定を配布せずに、純粋にクライアントコンピュータの IP
アドレスだけを配布したい場合は、クライアントに対して割り当てるオプションのうち [デフォルトゲートウェイのアドレス] および [DNS
サーバーのアドレス] をそれぞれ空欄にして設定してください。この場合、IP
アドレスの割り当てを受けたクライアントコンピュータは使用するルータや DNS サーバーを変更しません。
なお、クライアントコンピュータが Windows である場合は、前回 DHCP
サーバーから割り当てを受けた際に受け取ったデフォルトゲートウェイや、DNS
サーバーに関するオプションをキャッシュしており、次回接続時にこれらの値が空欄であれば、前回取得したものを使用してしまうというような不具合が報告されています。これは
Windows オペレーティングシステムの仕様のようですが、解決するためには一旦別の DHCP
サーバーに接続するなどの処理を行ってみてください。
3.7.7 SecureNAT セッション
仮想 HUB で SecureNAT 機能が動作している場合は、仮想 HUB のセッション一覧に「SecureNAT
セッション」という仮想の特殊なセッションが登録されます。このセッションには、SecureNAT
機能によって動作している仮想ホストの仮想ネットワークインターフェイスが仮想的 (ソフトウェア的) に内部接続しています。
仮想 HUB の管理者は、通常のセッションと同様に、このセッションに関して情報を取得することが可能です。
3.7.8 SecureNAT 動作状況のログ保存
SecureNAT の仮想 NAT 機能および仮想 DHCP サーバー機能の動作状況は、すべて仮想 HUB
のセキュリティログに保存されます。下記は保存されたログの一例です。
2005-12-06 15:44:52.557 SecureNAT: DHCP
エントリ 1 が作成されました。MAC アドレス: 00-AC-85-40-B5-50, IP アドレス:
192.168.30.10, ホスト名: NT4, 有効期限: 7200 秒
2005-12-06 15:45:08.104 SecureNAT: TCP セッション 1 が作成されました。接続元
192.168.30.10:1079, 接続先 207.46.0.166:1863
2005-12-06 15:45:08.401 SecureNAT: TCP セッション 1: ホスト
"baym-sb26.msgr.hotmail.com (207.46.0.166)", ポート 1863
への接続に成功しました。
2005-12-06 15:45:08.666 SecureNAT: TCP セッション 1 が削除されました。
2005-12-06 15:45:14.604 SecureNAT: UDP セッション 2 が作成されました。接続元
192.168.30.10:1048, 接続先 192.168.30.1:53
2005-12-06 15:45:14.760 SecureNAT: TCP セッション 3 が作成されました。接続元
192.168.30.10:1080, 接続先 65.54.239.140:1863
2005-12-06 15:45:15.479 SecureNAT: TCP セッション 4 が作成されました。接続元
192.168.30.10:1081, 接続先 61.197.235.212:143
2005-12-06 15:45:15.494 SecureNAT: TCP セッション 4: ホスト "us.softether.co.jp
(61.197.235.212)", ポート 143 への接続に成功しました。
2005-12-06 15:45:16.416 SecureNAT: TCP セッション 3: ホスト
"65.54.239.140 (65.54.239.140)", ポート 1863 への接続に成功しました。
2005-12-06 15:45:16.869 SecureNAT: TCP セッション 5 が作成されました。接続元
192.168.30.10:1082, 接続先 207.46.4.73:1863
2005-12-06 15:45:17.057 SecureNAT: TCP セッション 5: ホスト
"baym-cs205.msgr.hotmail.com (207.46.4.73)", ポート 1863
への接続に成功しました。
2005-12-06 15:45:17.526 SecureNAT: TCP セッション 6 が作成されました。接続元
192.168.30.10:1083, 接続先 65.54.179.192:80
2005-12-06 15:45:17.682 SecureNAT: TCP セッション 6: ホスト "loginnet.passport.com
(65.54.179.192)", ポート 80 への接続に成功しました。
2005-12-06 15:45:18.369 SecureNAT: TCP セッション 7 が作成されました。接続元
192.168.30.10:1084, 接続先 65.54.179.192:443
2005-12-06 15:45:18.541 SecureNAT: TCP セッション 7: ホスト "loginnet.passport.com
(65.54.179.192)", ポート 443 への接続に成功しました。
2005-12-06 15:45:19.229 SecureNAT: TCP セッション 8 が作成されました。接続元
192.168.30.10:1085, 接続先 65.54.179.192:80
2005-12-06 15:45:19.401 SecureNAT: TCP セッション 8: ホスト "loginnet.passport.com
(65.54.179.192)", ポート 80 への接続に成功しました。
2005-12-06 15:45:20.135 SecureNAT: TCP セッション 9 が作成されました。接続元
192.168.30.10:1086, 接続先 207.46.216.62:80 |
|