UDPポート番号について

SoftEther VPN に関するご質問はこのフォーラムにお気軽にご投稿ください。
Post Reply
Jack777
Posts: 5
Joined: Tue Oct 18, 2016 12:24 am

UDPポート番号について

Post by Jack777 » Tue Oct 18, 2016 1:14 am

はじめまして。

iPhoneなどの携帯端末(クライアント)からサーバーであるRaspberry PiへのVPN接続についての質問です。
VPN サーバー側に NATがあり、かつL2TP over IPsec を使用しているため、
ルーターのポートマッピング機能でUDP 500 と UDP 4500のポートをサーバーのIPアドレスへとつないでいます。
ここまでは問題なくVPN接続ができているのですが、
1つのルーター(1つのグローバルIPアドレス)で複数のサーバーにVPN接続できるのかどうかがわかりません。

インターネットからサーバーへとVPNアクセスする場合、
使用しているのはルーターのグローバルIPアドレスとポート番号という理解ですから、
UDP 500 と UDP 4500のポートを既に1つのサーバーのIPアドレスへとつなぐと、
これらのポートは(同一のルーターを使用した)他のサーバーのIPアドレスへとつなぐことはできない、
というように考えていますがいかがでしょうか?

複数のルーター(複数のグローバルIPアドレス)があれば可能なのでしょうが、
他にやり方があれば教えていただきたいと思います。

使用環境は以下の通りです。
サーバー: Raspberry Pi 3 Model B (OS: Raspbian Wheezy) SoftEtherVPN v4.20をインストール済
クライアント: iPhone 6 (VNC Viewerをインストール済)
ルーター: W03 (UQ CommunicationsのWiMax)

どうぞよろしくお願いいたします。

cedar
Site Admin
Posts: 2070
Joined: Sat Mar 09, 2013 5:37 am

Re: UDPポート番号について

Post by cedar » Tue Oct 18, 2016 8:38 am

L2TP/IPsec のクライアントは、一般的に使用するポート番号を変更できないので、基本的には 1 つのグローバル IP アドレスで複数の VPN サーバーは使用できません。
SoftEther VPN には仮想 HUB といって、1 つのVPN サーバー上に複数の VPN を構築する機能がありますので、そちらを使用することをお勧めします。

Jack777
Posts: 5
Joined: Tue Oct 18, 2016 12:24 am

Re: UDPポート番号について

Post by Jack777 » Tue Oct 18, 2016 10:49 am

ご回答ありがとうございます。

>L2TP/IPsec のクライアントは、一般的に使用するポート番号を変更できないので、基本的には 1 つのグローバル IP アドレスで複数の VPN サーバーは使用できません。

やはりそうでしたか。

>SoftEther VPN には仮想 HUB といって、1 つのVPN サーバー上に複数の VPN を構築する機能がありますので、そちらを使用することをお勧めします。

「1 つのVPN サーバー上に複数の VPN を構築する」というのは、たとえば1つのRasberry PiをVPNサーバーにして、そこから更に別の複数のRasberry PiにVPN接続することで、1台のルーター(1つのグローバルIPアドレス)だけで複数のRasberry Piにアクセスするという理解でよろしいでしょうか? SoftEtherのマニュアルの中で参考になる章・セクションをご教示いただければ幸いです。(マニュアルの「1.6.5 MAC アドレスとの関連付け」や「3.4.6 MAC アドレステーブル」あたりでしょうか?)

cedar
Site Admin
Posts: 2070
Joined: Sat Mar 09, 2013 5:37 am

Re: UDPポート番号について

Post by cedar » Tue Oct 18, 2016 11:49 am

複数の Rasberry Pi にアクセスするだけであれば、VPN を分ける必要もなく、複数の Rasberry Pi が接続した仮想 HUB にアクセスするだけでよいと思います。

強いてマニュアルの項目で言うと、こちらでしょうか。
http://ja.softether.org/4-docs/1-manual/A/10.3

Jack777
Posts: 5
Joined: Tue Oct 18, 2016 12:24 am

Re: UDPポート番号について

Post by Jack777 » Tue Oct 18, 2016 2:18 pm

Cedar様

お返事ありがとうございます。

> 複数の Rasberry Pi にアクセスするだけであれば、VPN を分ける必要もなく、複数の Rasberry Pi が接続した仮想 HUB にアクセスするだけでよいと思います。

これは
①1つのRaspberry PiにSoftEther VPN Serverを入れる。
②別の複数のRaspberry Piそれぞれに「SoftEther VPN Client」を入れる。
③ ①のRaspberry Piの中に作成した仮想HUBに ②のRaspberry Piを接続する。
という流れでよろしいでしょうか?

つまり、「iPhone → インターネット → ルーター → VPN Server(①のRaspberry Pi)内の仮想HUB」はいわゆるリモートアクセスVPNを使い、「仮想HUB→VPN Client(②のRaspberry Pi)」はコンピューター間VPNを使う、という理解でしょうか?

よろしくお願いいたします。

cedar
Site Admin
Posts: 2070
Joined: Sat Mar 09, 2013 5:37 am

Re: UDPポート番号について

Post by cedar » Tue Oct 18, 2016 11:13 pm

ローカルブリッジ機能を使用したリモートアクセス VPN では、サーバーが Linux のときにはサーバー自身にはアクセスできません。
サーバー自身にアクセスするには、tap モードのローカルブリッジを使用するか、サーバー自身にも VPN クライアントを導入して、自分自身に接続する必要があります。(これはOSから見ると同じ動作となります。)

LAN 上の他の機器へのアクセスが不要であれば、ローカルブリッジは作成しないほうが簡単だと思います。

Jack777
Posts: 5
Joined: Tue Oct 18, 2016 12:24 am

Re: UDPポート番号について

Post by Jack777 » Wed Oct 19, 2016 11:18 am

cedar様

いつもご回答ありがとうございます。

>ローカルブリッジ機能を使用したリモートアクセス VPN では、サーバーが Linux のときにはサーバー自身にはアクセスできません。
>サーバー自身にアクセスするには、tap モードのローカルブリッジを使用するか、サーバー自身にも VPN クライアントを導入して、自分自身に接続する必要があります。(これはOSから見ると同じ動作となります。)
>LAN 上の他の機器へのアクセスが不要であれば、ローカルブリッジは作成しないほうが簡単だと思います。

Linuxの構造上の問題はtapデバイスとイーサネットをつなぐブリッジにIPアドレスを付けることで回避していますが、サーバー自身にVPNクライアントを入れる方法もあるのですね。試してみます。

ところでiPhoneなどの外部からサーバー内の仮想HUBにVPNアクセスした後、その仮想HUBに接続したクライアントのIPアドレスをiPhoneにインストールしたVNC Viewerに打ち込むことで特定のクライアントにアクセスする、という流れでよろしいでしょうか?

よろしくお願いいたします。

cedar
Site Admin
Posts: 2070
Joined: Sat Mar 09, 2013 5:37 am

Re: UDPポート番号について

Post by cedar » Thu Oct 20, 2016 1:11 am

VPN 上の通信も、普通の LAN と同様です。
VPN クライアントや tap ローカルブリッジに割り当てた IP アドレスで通信を行えます。

Jack777
Posts: 5
Joined: Tue Oct 18, 2016 12:24 am

Re: UDPポート番号について

Post by Jack777 » Fri Oct 21, 2016 9:43 am

cedar様

VPNクライアントをインストールしたRaspberry PiからVPNサーバーのRaspberry Piの接続ができました。
アドバイスありがとうございました。

Post Reply