トップ 製品・サービス 導入事例 パートナー ダウンロード サポート 報道発表 企業情報 お問い合わせ
トップページ PacketiX VPN 2.0 Web サイト 製品概要 仮想 NAT および仮想 DHCP サーバー機能Select Language:

 

仮想 NAT および仮想 DHCP サーバー機能

PacketiX VPN Server または PacketiX VPN Bridge の仮想 HUB には「SecureNAT 機能」が搭載されています。ここでは SecureNAT の概念、設定方法および注意事項について解説します。

 

SecureNAT とは

SecureNAT の概要

SecureNAT (セキュアナット) 機能は PacketiX VPN のために独自に開発された、これまでに存在しなかった画期的な機能です。SecureNAT を使用すると、セキュリティ的により安心なネットワークを構築することができます。

SecureNAT 機能は、大きく分けて「仮想 NAT 機能」と「仮想 DHCP サーバー機能」の 2 つが搭載されています。仮想 HUB の管理者は、SecureNAT を有効にした状態で「仮想 NAT」と「仮想 DHCP サーバー」の両方またはどちらか 1 つを有効にすることができます。

なお、SecureNAT 機能の具体的な使用方法については 「10.11 SecureNAT 機能を用いた権限不要のリモートアクセス」 をお読みください。

SecureNAT 機能はシステム管理者やネットワークに関して詳しい知識のある方向けの機能です。SecureNAT 機能を正しく使用すると、VPN を経由した安全なリモートアクセスが実現できます。しかし、誤った方法で使用すると、ネットワーク全体を危険な状態にする可能性もあります。ネットワークに関する十分な知識をお持ちでない場合や、ネットワーク管理者の許可を得ていない場合は、SecureNAT 機能を有効にしないでください。

ブロードバンドルータ機能の仮想化

最近、業務用途およびコンシューマ用途で開発され製品化されている多くの「ブロードバンドルータ」には、「NAT 機能」と「DHCP サーバー機能」の 2 つの機能が統合されており、ブロードバンドルータの内側にコンピュータを接続するとそのコンピュータに自動的にプライベート IP アドレスが割り当てられると共に、グローバル IP ネットワーク (インターネットなど) に対して NAT を経由してアクセスすることができるようになります。

PacketiX VPN において、このような一般的な「ブロードバンドルータ」に搭載されている NAT 機能と DHCP サーバー機能を仮想化し、しかもユーザーモードのみですべての処理を行うことによってブロードバンドルータと同等の機能を仮想 LAN と物理的な LAN との間でも利用することをできるようにしたのが「SecureNAT」機能です。

SecureNAT 機能

SecureNAT の仮想的なインターフェイス

SecureNAT 機能は仮想 HUB ごとに設定し、有効化 / 無効化することができます。ローカルブリッジ機能と違い、SecureNAT 機能の設定は仮想 HUB の管理者が自らすべての設定を行うことができます。SecureNAT 機能を有効にすると、仮想 HUB の内部に「SecureNAT セッション」と呼ばれる仮想の VPN セッションが作成され、その VPN セッション内にまるで 1 枚の LAN カードがあるかのようにして仮想のネットワークインターフェイスが作成されます。これを「仮想ホストのネットワークインターフェイス」と呼びます。

仮想ホストのネットワークインターフェイスは、仮想 HUB に対してレイヤ 2 で直接接続されている状態になっています。したがって、仮想 HUB に接続している他の VPN Client コンピュータや、仮想 HUB が別の仮想 HUB や物理的な LAN とカスケード接続およびローカルブリッジされている場合はカスケードやブリッジ先のコンピュータから見ると、SecureNAT 機能の仮想ホストのネットワークインターフェイスは 1 台のコンピュータと同等に認識されます。また、仮想ホストのネットワークインターフェイスには IP アドレスを割り当てることができます。

一般ユーザー権限による SecureNAT の使用

SecureNAT 機能および仮想 NAT / 仮想 DHCP サーバーはすべてユーザーモードプログラムとして動作しています。特に仮想 NAT のような複雑な仕組みを実現するためには、通常はオペレーティングシステム内のカーネルモジュールを使用する必要があります。

仮想 NAT を実現するために、PacketiX VPN はオペレーティングシステムのカーネルモードで特殊な処理を行ったり、カーネルモードの NAT 機能を使用したりすることは一切ありません。したがって、仮想 NAT 機能を含めたすべての SecureNAT 機能は一般ユーザー権限で完全に自由に実行することが可能です。

この特徴によって、SecureNAT 機能を使用するためにはそのコンピュータのシステム管理者権限は一切不要ということになります。一般ユーザーで VPN Server / VPN Bridge を起動する方法については、「3.2.2 ユーザーモード」 をお読みください。

一般ユーザーがこの機能を使用すると、ネットワーク管理者またはシステム管理者による許可を得ているがシステム管理者のアカウントは持っていない場合に、SecureNAT 機能を使用して通常は一般ユーザー権限ではできないような VPN 通信を実現することができます。具体的な利用方法については、「10.11 SecureNAT 機能を用いた権限不要のリモートアクセス」 をお読みください。

また、システム管理者は SecureNAT を「安全な NAT ソフトウェア」として利用することができます。通常の NAT プログラムはカーネルモードモジュールとして動作します。もし NAT プログラムの部分にバッファオーバーランなどの脆弱性がある場合は、それが原因となって悪意のある者によってシステムに侵入されカーネル権限が奪われたり、またバグによってシステム全体がクラッシュしてしまったりする危険性があります。それと比較して、PacketiX VPN の SecureNAT プログラムはすべてユーザー空間で動作させることができ、動作にあたっては特別なシステム権限は不要です。もし SecureNAT プログラムに不具合があった場合でも、影響を受けるのは VPN Server / VPN Bridge を起動させていたユーザーの空間だけに限定され、他のユーザーやシステム全体が影響を受ける危険性はなくなります。

 

 

SecureNAT の利用目的

SecureNAT 機能は、下記のような目的で利用することができます。

  • 簡易的なネットワークゲートウェイとしての利用
    VPN Server と仮想 HUB を設置しリモートからその仮想 HUB に接続したとしても、そのままでは仮想 HUB の中だけで通信が完結してしまうため、その VPN Server が動作しているコンピュータが接続している物理的なネットワークに対して通信を行うことができます。このような場合はローカルブリッジ接続を使用することにより仮想 HUB と物理的なネットワークとの間をレイヤ 2 で接続するのが一般的ですが、SecureNAT 機能を使用すると仮想 HUB の仮想ホストのネットワークインターフェイスを経由して VPN Server が動作しているコンピュータが接続しているネットワークに対して通信を行うことができます。したがってローカルブリッジ機能を使用したくない場合や、コンピュータのシステム管理者権限を持っていないためにローカルブリッジ機能を使用できない場合、および Windows と Linux 以外の他の UNIX オペレーティングシステム版の VPN Server または VPN Bridge を使用しておりローカルブリッジ機能が使用できない場合に SecureNAT の仮想 NAT 機能を有効活用することができます。
  • DHCP サーバーとしての利用
    SecureNAT 機能のうち DHCP サーバー機能のみを有効化することができます。つまり、仮想 HUB の Ethernet セグメント内で動作する DHCP サーバー機能だけを利用することができます。これにより、仮想 HUB に対してリモートアクセスした VPN Client やローカルブリッジ先のクライアントコンピュータなどが仮想 DHCP サーバーから IP アドレスの割り当てを受けることができます。
    本来仮想 HUB の中で DHCP による自動 IP アドレス割り当てを使用する場合は、その仮想 HUB を DHCP サーバーがある別のネットワークにローカルブリッジするか、または仮想 HUB に対して DHCP サーバーから VPN Client と仮想 LAN カードで接続する必要がありますが、SecureNAT 機能の仮想 DHCP サーバー機能を使用することによりこれらのことが不要になります。
  • 遠隔拠点にリモートアクセスするための簡易的なゲートウェイとしての利用
    遠隔拠点 (たとえばネットワーク経由で機材を保守管理したいような拠点) に対して PacketiX VPN を使用してリモートアクセス VPN を行いたい場合は、通常では遠隔拠点上のコンピュータに VPN Server や VPN Bridge をインストールし、それに対して VPN Client で VPN 接続したり、または別の場所に設置した VPN Server に対してその拠点からカスケード接続をし続けるように設定したりすることにより、PacketiX VPN を使用して遠隔拠点上のコンピュータノードに対して通信を行うことができます。しかし、セキュリティ上やコスト上の制限があり遠隔拠点上のコンピュータでローカルブリッジを設置することができないような場合や、使用しているオペレーティングシステムが PacketiX VPN のローカルブリッジ機能に対応していないような場合は、SecureNAT 機能によって代用することができます。 特にこのような使用方法については 「10.11 SecureNAT 機能を用いた権限不要のリモートアクセス」 をお読みください。

SecureNAT 機能の有効化

SecureNAT 機能はデフォルトでは無効になっています。SecureNAT 機能を有効にするには、VPN サーバー管理マネージャの [仮想 NAT および仮想 DHCP サーバー機能] ボタンをクリックして [仮想 NAT および仮想 DHCP サーバー機能 (SecureNAT) の設定] 画面を表示します (以後、SecureNAT に関する説明ではこの画面を開いていることを想定して解説します)。次に [SecureNAT 機能を有効にする] をクリックしてください。

vpncmd では、SecureNAT 関係のコマンドはすべて "SecureNat""Nat" および "Dhcp" という名前が始まっています。SecureNAT 機能を有効にするには、SecureNatEnable コマンドを使用してください。

SecureNAT 機能の管理画面

SecureNAT 機能の一部である仮想 NAT 機能と仮想 DHCP サーバー機能は、SecureNAT 機能が無効状態になっている場合は両方とも動作しません。これらの機能を使用する前に、必ず SecureNAT 機能を有効にしてください。

 

仮想ホストのネットワークインターフェイス設定

SecureNAT 機能によって仮想 HUB 内に生成される仮想的なノード (仮想ホスト) の仮想のネットワークインターフェイスに関する情報を設定することができます。

VPN サーバー管理マネージャで [SecureNAT の設定] ボタンをクリックし、[仮想ホストのネットワークインターフェイスの設定] 項目を入力してください。設定することができる項目とデフォルト値の一覧は次のとおりです。

項目名 説明 デフォルト値
MAC アドレス 仮想ホストのネットワークインターフェイスは通常のコンピュータの LAN カードや仮想 LAN カードのように、Ethernet の規格に対応した仮想的なネットワークアダプタですので、1 つの MAC アドレスを使用することができます。使用する MAC アドレスを指定します。

"00:AC" で始まる合計 6 バイトの乱数データ。

IP アドレス 仮想ホストのネットワークインターフェイスが持つ IP アドレスを指定します。 192.168.30.1
サブネットマスク IP アドレスで指定したアドレスが所属する IP ネットワークのサブネットマスクを指定します。 255.255.255.0

仮想ホスト管理画面

 

仮想 NAT 機能

仮想 NAT 機能の設定項目

SecureNAT の仮想 NAT 機能を使用する場合は、VPN サーバー管理マネージャの [仮想 NAT 機能を使用する] チェックボックスを有効状態にします。使用しない場合は、無効状態にします。SecureNAT 機能を開始すると、デフォルトで仮想 NAT 機能が有効な状態になります。

仮想 NAT 機能で設定することができる項目とデフォルト値の一覧は次のとおりです。

項目名 説明 デフォルト値
MTU 値 仮想 NAT 機能が仮想ネットワークインターフェイス側で使用する MTU の値を指定できます。この値は、Ethernet フレームのペイロードサイズの最大長 (MAC ヘッダを除いた長さ) を指定してください。 1500 バイト
TCP セッションのタイムアウト 仮想 NAT 機能を経由して確立された NAT セッションエントリのうち TCP/IP セッションが無通信状態で何秒間経過した場合にタイムアウトとして見なすかを設定します。 7,200 秒
UDP セッションのタイムアウト 仮想 NAT 機能を経由して確立された NAT セッションエントリのうち UDP/IP セッションが無通信状態で何秒間経過した場合にタイムアウトとして見なすかを設定します。 600 秒

上記のオプションを設定するには、VPN サーバー管理マネージャでは [SecureNAT の設定] 画面の [仮想 NAT の設定] の項目を入力してください。vpncmd では、NatSet コマンドを使用できます。

仮想 NAT 機能管理画面

仮想 NAT 機能の使用方法

仮想 NAT 機能を使用して TCP/IP および UDP/IP 通信を行う場合は、次のように使用します。

  1. 仮想 HUB において SecureNAT および 仮想 NAT 機能を適切に設定し有効化します。特に、仮想ホストの IP アドレスおよびサブネットマスクはその仮想 HUB 内で使用している IP ネットワークアドレスおよびサブネットマスクに一致させてください。
  2. 仮想 HUB 側の別のクライアントコンピュータ (物理的にローカルブリッジやカスケード接続を経由して接続されているものでも、VPN Client 経由で接続されているものでも構いません) の TCP/IP 設定において、仮想 HUB で動作している SecureNAT の仮想ホストの IP アドレスをデフォルトゲートウェイに設定します (後述する仮想 DHCP サーバー機能と組み合わせることによって自動的に設定することもできます)。
  3. クライアントコンピュータが TCP/IP または UDP/IP で通信を行おうとすると、仮想 NAT 機能がまるで一台の NAT 機能付きルータとして動作し、仮想 HUB が動作しているコンピュータを経由して、そのコンピュータの既存のネットワークインターフェイスを用いて物理的なネットワーク上のホストに対してアクセスすることができます。この際、仮想 NAT 機能では NAT セッションテーブルに新しいセッションが登録されます。NAT セッションテーブルを表示するには、VPN サーバー管理マネージャで [仮想 NAT ルータの状況] ボタンをクリックしてください。vpncmd では NatTable コマンドを使用します。

仮想 NAT 機能の動作原理

仮想 NAT 機能は、通常カーネルモードで実行される IP ルーティングおよび NAT (IP マスカレード) の処理をユーザーモードによって行うことによって実現しています。

カーネルモードで NAT 機能を持っているシステムでは、ネットワークプロトコルスタックの階層関係は下図のようになります。

通常のカーネルモード NAT と PacketiX VPN を組み合わせた NAT における各ネットワークモジュールのスタック図

上記の図のうち赤い部分がカーネルモードで動作しているコードです。通常は、この部分と同等の機能を実現するには必ずカーネルモードプログラミングが必要になりました。しかしカーネルモードでプログラムを実行するとセキュリティ上の脆弱性が増える可能性やプログラムにバグがあった場合システム全体が不安定になってしまう可能性があり、できればユーザーモードですべての処理を行うのが望ましいと言えます。

ユーザーモードでこれらの処理を行うことができるようにするため、ソフトイーサ株式会社は SecureNAT 機能のためだけに用いる TCP/IP スタックを独自に設計し、これをユーザーモード内で実装することに成功しました。SecureNAT の仮想 NAT 機能は、仮想ネットワークから受け取る TCP/IP や UDP/IP パケットをルータとして受信し、それらのパケットをセッションごとに管理してトランスポート層までのレイヤで正しく解釈します。また、TCP/IP プロトコルの場合はそのコネクション内でのシーケンス番号などを元にして TCP/IP ストリームを再構成します。これらの再構成されたペイロードデータは内部的な FIFO バッファに格納されるとともに、VPN Server / VPN Bridge を動作させているオペレーティングシステムのソケット API を用いて、できる限り高速に目的のホストに対して伝送します。通信先ホストから受け取ったデータは逆の経路を通って仮想 HUB による仮想ネットワークに戻ってきます。この際にもユーザーモードで動作する TCP/IP スタックが使用され、自動的に TCP/IP プロトコル規格に適合した再送およびフロー制御アルゴリズムによってデータグラム化されます。このような非常に複雑な処理により、SecureNAT の仮想 NAT 機能が実現されています。ただし、一般ユーザーはこのような動作原理を意識する必要はありません。

SecureNAT の仮想 NAT 機能を使用した NAT における各ネットワークモジュールのスタック図

 

仮想 NAT 機能の注意事項

仮想 NAT 機能は便利な機能ですが、使用するにあたっていくつかの注意事項があります。

  • 仮想 NAT の使用方法
    仮想 NAT 機能は、システム管理者権限が無かったりオペレーティングシステムがローカルブリッジ機能をサポートしていなかったりするような環境で VPN Server / VPN Bridge を動作させる際、つまりローカルブリッジ機能を使用することができないような場合において、仮想 HUB のレイヤ 2 セグメント内のコンピュータが仮想 HUB を実際に動作させているコンピュータの物理的なネットワークインターフェイスを経由して物理的なネットワーク上のホストに対してアクセスする必要がある場合に使用することが推奨される機能です (特に 「10.11 SecureNAT 機能を用いた権限不要のリモートアクセス」 に挙げられるような使用方法に適しています)。
    ローカルブリッジ機能などによって仮想 HUB と物理的なネットワークとを接続することができるような場合には、セキュリティ上の問題がある場合を除いて、あえて仮想 NAT 機能を使用して仮想ネットワークと物理的なネットワークを接続する必要はありません。
  • パケットの無限ループが発生するような接続方法の防止
    仮想 NAT 機能を有効にした仮想 HUB に対して、そのコンピュータ自身に VPN Client をインストールして自分自身の仮想 HUB に仮想 LAN カードから接続したり、またはその仮想 HUB と物理的な LAN カードとローカルブリッジ接続したりした場合において、それらの LAN カードに対するデフォルトゲートウェイが仮想 HUB 内の SecureNAT 機能の仮想ホストのネットワークインターフェイスに割り当てられている IP アドレスを指している場合は、任意の IP アドレスに対して接続しようとする通信は、その通信は仮想 HUB 内の仮想 NAT 機能を使用しようとし、仮想 NAT 機能がさらにオペレーティングシステムのネットワーク通信 API を呼び出して宛先の IP アドレスに対して通信を行おうとするので、接続パケットが無限ループしてしまいます。通常、ローカルブリッジ接続や VPN Client によって localhost に対して VPN 接続するような接続方法と仮想 NAT 機能を使用することは排他であり、もしそのような接続を行ってしまうような場合はネットワークに関する知識が不足しているか、ネットワーク設計が間違っています。
  • パフォーマンスに関する注意事項
    SecureNAT 機能は内部で仮想の TCP/IP スタックを持つことによって、一度 TCP/IP スタックによってパケット化した TCP/IP ストリームを再度組み立て、さらにそれをオペレーティングシステムを通じて TCP/IP パケット化するというような大変高度な処理を行っています。したがって、これらの処理にかかわるオーバーヘッドは大きく、十分高速なコンピュータを用いる場合でも仮想 NAT 機能を経由したスループットは物理的な最大スループットと比較して大きく低下してしまいます。そのため、仮想 NAT 機能はパフォーマンスが重視されるような用途には使用しないでください。前述のとおり、仮想 NAT 機能はあくまでも技術的またはセキュリティ上の理由があるためローカルブリッジ機能などを使用することができない場合に代用として使用できる機能です。ローカルブリッジなどの高速な手段が利用可能な場合は、そちらを使用してください。
  • ICMP パケットの取り扱いについて
    仮想 NAT 機能が有効になっている場合、仮想ホストのネットワークインターフェイスに対して割り当てられた IP アドレスをルータとして経由してさらに別のホストに対して ICMP パケットを送信した場合、すべての ICMP エコー要求パケットに対して仮想 NAT 機能がダミーの ICMP エコー応答パケットを返します。これは、大半のオペレーティングシステムはユーザー権限で呼び出すことができるネットワーク API において任意の ICMP パケットの送出を許可していないため、やむを得ずこのような動作になっているものであり、PacketiX VPN の仕様です。したがって仮想 NAT 機能を使用する場合は ICMP パケットを用いて仮想 NAT ルータの向こう側にあるホストの存在確認を行うことはできません。
  • DNS リダイレクトについて
    仮想 NAT が有効な場合、仮想ホストのネットワークインターフェイスの IP アドレス自体に対する UDP 53 番ポート宛のパケット (DNS パケット) は、自動的に仮想 HUB を動作させているコンピュータが DNS サーバーとして使用している DNS サーバーに対して転送されます。これは、通常のブロードバンドルータと同様の動作です。
  • 対応していない機能
    仮想 NAT で内部使用しているユーザーモード TCP/IP スタックは、ウインドウスケーリングオプション、選択的 ACK、Nagle アルゴリズムその他の高度な TCP/IP の機能の一部を実装していません。また仮想 NAT はその性質上、仮想ネットワーク同士の IP ルーティングや NAT には対応していません。仮想ネットワーク間の IP ルーティングには、仮想レイヤ 3 スイッチ機能を使用してください。

 

仮想 DHCP サーバー機能

仮想 DHCP サーバー機能について

SecureNAT では仮想 DHCP サーバー機能を使用することもできます。使用方法によっては、仮想 NAT 機能を使用せずに仮想 DHCP サーバー機能を利用することも問題ありません。仮想 DHCP サーバー機能を使用すると、仮想 HUB のレイヤ 2 セグメントに接続したコンピュータが DHCP サーバーから IP アドレスの配布を受け、一時的にその IP アドレスを使用することができます。

仮想 DHCP サーバーは、物理的なコンピュータ上の DHCP サーバープログラムとほぼ同様の動作を行うことによって IP アドレスの配布を行います。ただし、たとえば Windows のサーバー版に含まれているような多くのオプションを設定できるような細かな機能は提供されていません。

仮想 DHCP サーバー機能は、本格的な DHCP サーバーというよりも、簡易的な DHCP によるアドレス配布を可能にします。仮想 HUB を設置してその仮想 HUB 内のコンピュータに IP アドレスを割り当てる作業を DHCP プロトコルによって自動化したいが、DHCP サーバーソフトウェアを仮想 HUB と同じセグメントで動作させるのは手間がかかるのでできないような場合に最適です。

仮想 DHCP サーバー機能は簡易的ではありますが、IP アドレスの有効期限の設定やリーステーブルの管理、いくつかの必須のオプションの配布などは問題無く使用できます。

図3-7-7 仮想 DHCP サーバー機能

仮想 DHCP サーバー機能の設定項目

SecureNAT の仮想 DHCP サーバー機能を使用する場合は、VPN サーバー管理マネージャの [仮想 DHCP サーバー機能を使用する] チェックボックスを有効状態にします。使用しない場合は、無効状態にします。SecureNAT 機能を開始すると、デフォルトで仮想 DHCP サーバー機能が有効な状態になります。

仮想 DHCP サーバー機能で設定することができる項目とデフォルト値の一覧は次のとおりです。

項目名 説明 デフォルト値
配布 IP アドレス帯 この仮想 DHCP サーバーがクライアントに対して配布する IP アドレスの範囲を指定します。 192.168.30.10 から
192.168.30.200 まで
サブネットマスク クライアントに対して IP アドレスと共に割り当てるサブネットマスクの値を指定します。 255.255.255.0
リース期限 リースする IP アドレスの有効期限を指定します。 7,200 秒
クライアントに割り当てるデフォルトゲートウェイアドレス クライアントに案内する設定値であるデフォルトゲートウェイのアドレスを指定します。デフォルトでは仮想 NAT 機能と同時に使用することを想定していますが別の値に変更することもできます。何も指定しないことも可能です。 192.168.30.1
クライアントに割り当てる DNS サーバーのアドレス クライアントに案内する設定値である DNS サーバーのアドレスを指定します。デフォルトでは仮想 NAT 機能と同時に使用することを想定していますが別の値に変更することもできます。何も指定しないことも可能です。 192.168.30.1
クライアントに割り当てるドメイン名 クライアントに案内する設定値である DNS ドメインサフィックスの値を指定します。何も指定しないことも可能です。

仮想 HUB が動作しているコンピュータが所属するドメイン名

上記のオプションを設定するには、VPN サーバー管理マネージャでは [SecureNAT の設定] 画面の [仮想 DHCP サーバーの設定] の項目を入力してください。vpncmd では、DhcpSet コマンドを使用できます。

図3-7-8 仮想 DHCP サーバー機能管理画面

IP アドレスリーステーブルの取得

仮想 DHCP サーバーが割り当てた IP アドレスの割り当て一覧表はいつでも表示することができます。IP アドレスリーステーブルを表示するには、VPN サーバー管理マネージャで [仮想 DHCP サーバーの状況] をクリックしてください。vpncmd の場合は、DhcpTable コマンドを使用できます。

仮想 DHCP サーバーの IP アドレスリーステーブル表示画面

 

仮想 DHCP サーバー機能の注意事項

仮想 DHCP サーバー機能は便利な機能ですが、使用するにあたっていくつかの注意事項があります。

  • 仮想 DHCP サーバーの使用方法
    仮想 DHCP サーバー機能は簡易的な DHCP サーバー機能を提供します。動作させるにあたってシステム管理者権限も必要ありません。仮想 DHCP サーバー機能で十分でない場合は、UNIX 用や Windows 用の本格的な DHCP サーバーソフトウェアを使用されることを推奨します。
  • DHCP スコープの有効範囲
    仮想 DHCP サーバーによって IP アドレスの配布を受けることができるスコープ (範囲) は、その SecureNAT が動作している仮想 HUB のレイヤ 2 セグメントに限定されます。したがって、特にローカルブリッジ接続などで物理的な LAN との接続を行っていない場合はその DHCP サーバーによって影響される範囲は仮想 HUB 内部に限定され、仮想 HUB に VPN 接続してきたコンピュータだけが仮想 DHCP サーバーから IP アドレスを受け取ることができます。仮想 HUB が実際に動作しているコンピュータが接続している LAN 上は影響されません (ローカルブリッジ接続を行った場合はこの限りではありません)。もちろん仮想 HUB 同士をカスケード接続したり、別の拠点との間でブリッジ接続したりした場合は、レイヤ 2 セグメント全体が DHCP サーバーによる IP アドレス割り当ての対象となります。
  • 初期設定に関する注意
    仮想 DHCP サーバー機能の初期設定値としては、192.168.30.0/24 のアドレス空間をクライアントコンピュータに対して割り当て、また仮想 NAT 機能を同時に使用することを想定してデフォルトゲートウェイおよび DNS サーバーアドレスを設定しようとします。仮想 NAT 機能を使用しない場合には、ここのような初期設定のうちデフォルトゲートウェイおよび DNS サーバーアドレスは無意味ですので、必ず変更してください。
  • デフォルトゲートウェイや DNS サーバーアドレスを配布せずに IP アドレスのみ配布する場合
    仮想 DHCP サーバー機能でクライアントに対してデフォルトゲートウェイ設定や DNS サーバー設定を配布せずに純粋にクライアントコンピュータの IP アドレスだけを配布したい場合は、クライアントに対して割り当てるオプションのうち [デフォルトゲートとウェイのアドレス] および [DNS サーバーのアドレス] をそれぞれ空欄にして設定してください。この場合、IP アドレスの割り当てを受けたクライアントコンピュータは使用するルータや DNS サーバーを変更しません。
    なお、クライアントコンピュータが Windows である場合は、前回 DHCP サーバーから割り当てを受けた際に受け取ったデフォルトゲートウェイや DNS サーバーに関するオプションをキャッシュしており、次回接続時にこれらの値が空欄であれば前回取得したものを使用してしまうというような不具合が報告されています。これは Windows オペレーティングシステムの仕様のようですが、解決するためには一旦別の DHCP サーバーに接続するなどの処理を行ってみてください。

 

SecureNAT セッション

仮想 HUB で SecureNAT 機能が動作している場合は、仮想 HUB のセッション一覧に「SecureNAT セッション」という仮想の特殊なセッションが登録されます。このセッションには SecureNAT 機能によって動作している仮想ホストの仮想ネットワークインターフェイスが仮想的 (ソフトウェア的) に内部接続しています。

仮想 HUB の管理者は、通常のセッションと同様にこのセッションに関して情報を取得することが可能です。

 

SecureNAT 動作状況のログ保存

SecureNAT の仮想 NAT 機能および仮想 DHCP サーバー機能の動作状況はすべて仮想 HUB のセキュリティログに保存されます。下記は保存されたログの一例です。

2005-12-06 15:44:52.557 SecureNAT: DHCP エントリ 1 が作成されました。MAC アドレス: 00-AC-85-40-B5-50, IP アドレス: 192.168.30.10, ホスト名: NT4, 有効期限: 7200 秒
2005-12-06 15:45:08.104 SecureNAT: TCP セッション 1 が作成されました。接続元 192.168.30.10:1079, 接続先 207.46.0.166:1863
2005-12-06 15:45:08.401 SecureNAT: TCP セッション 1: ホスト "baym-sb26.msgr.hotmail.com (207.46.0.166)", ポート 1863 への接続に成功しました。
2005-12-06 15:45:08.666 SecureNAT: TCP セッション 1 が削除されました。
2005-12-06 15:45:14.604 SecureNAT: UDP セッション 2 が作成されました。接続元 192.168.30.10:1048, 接続先 192.168.30.1:53
2005-12-06 15:45:14.760 SecureNAT: TCP セッション 3 が作成されました。接続元 192.168.30.10:1080, 接続先 65.54.239.140:1863
2005-12-06 15:45:15.479 SecureNAT: TCP セッション 4 が作成されました。接続元 192.168.30.10:1081, 接続先 61.197.235.212:143
2005-12-06 15:45:15.494 SecureNAT: TCP セッション 4: ホスト "us.softether.co.jp (61.197.235.212)", ポート 143 への接続に成功しました。
2005-12-06 15:45:16.416 SecureNAT: TCP セッション 3: ホスト "65.54.239.140 (65.54.239.140)", ポート 1863 への接続に成功しました。
2005-12-06 15:45:16.869 SecureNAT: TCP セッション 5 が作成されました。接続元 192.168.30.10:1082, 接続先 207.46.4.73:1863
2005-12-06 15:45:17.057 SecureNAT: TCP セッション 5: ホスト "baym-cs205.msgr.hotmail.com (207.46.4.73)", ポート 1863 への接続に成功しました。
2005-12-06 15:45:17.526 SecureNAT: TCP セッション 6 が作成されました。接続元 192.168.30.10:1083, 接続先 65.54.179.192:80
2005-12-06 15:45:17.682 SecureNAT: TCP セッション 6: ホスト "loginnet.passport.com (65.54.179.192)", ポート 80 への接続に成功しました。
2005-12-06 15:45:18.369 SecureNAT: TCP セッション 7 が作成されました。接続元 192.168.30.10:1084, 接続先 65.54.179.192:443
2005-12-06 15:45:18.541 SecureNAT: TCP セッション 7: ホスト "loginnet.passport.com (65.54.179.192)", ポート 443 への接続に成功しました。
2005-12-06 15:45:19.229 SecureNAT: TCP セッション 8 が作成されました。接続元 192.168.30.10:1085, 接続先 65.54.179.192:80
2005-12-06 15:45:19.401 SecureNAT: TCP セッション 8: ホスト "loginnet.passport.com (65.54.179.192)", ポート 80 への接続に成功しました。
2005-12-06 15:45:20.135 SecureNAT: TCP セッション 9 が作成されました。接続元 192.168.30.10:1086, 接続先 207.46.216.62:80

 

 

Copyright © 2004-2024 SoftEther Corporation. All Rights Reserved.
 Web サイトについて | 個人情報の管理 | SoftEther VPN プロジェクト | お問い合わせ

SSL 暗号化通信中