拠点間接続VPN検討

SoftEther VPN に関するご質問はこのフォーラムにお気軽にご投稿ください。
Post Reply
element87
Posts: 2
Joined: Fri Apr 15, 2022 2:40 am

拠点間接続VPN検討

Post by element87 » Fri Apr 15, 2022 3:44 am

下記URLを拝見し、拠点間接続VPNついて検討を始めようとしています。
https://ja.softether.org/4-docs/2-howto ... Bridge_VPN
先ずは、下記確認についてご教示願います。

<要件>
①データセンターとオフィス間をSoftEtherVPNを使用したい。
②データセンター⇒オフィス内のActiveDirectoryにて認証を行いたい。
③同じくデータセンター⇒オフィスのプリンターを使用したい。

<確認>
(1)この場合、オフィスにVPN Server、データセンターにVPN Bridgeの配置となる認識で良いですか?
(2)ハブスポのイメージで、VPN Bridge⇒VPN Serverに接続することになると思いますが、
   VPN ServerがFWの内側にいる場合、別途GIPを用意しIPフォワード等で接続する方法になるの
   でしょうか?
   ※オフィス・データセンター間はインターネットVPNイメージです。
   ※VPN BridgeはFWの内側にあり、アクセスするにあたりFWのWAN IPをNAPTすることになります。
(3)セキュリティ面でVPN Serverによるユーザ認証が必要であり、VPN Bridge設置拠点側のユーザを
   作成することが必須という記載がありますが、
   このユーザ認証はVPN BridgeがVPN Serverに接続する際の認証である認識ですが正しいですか?
   (※IPsecイメージで上記要件の②③の通信おいて認証が必要とならなければ問題ないです)
(4)データセンター内プライベートとオフィス内のプライベートでは別々のセグメントとしたいと
   考えております。要件にある②③のようなオフィス宛の通信については、データセンタ内での
   ルーティングでVPN ServerをNextHopとすれば良いと考えていますが、この認識で問題ない
   でしょうか?
(5)「オフィス⇒データセンター」の要件も追加となった場合、
   データセンター、オフィス共にVPN ServerとVPN Bridgeを立てることになるのでしょうか?
   また、その場合、VPN ServerとVPN Bridgeは同じマシンで稼働させることは可能なのでしょうか?

cedar
Site Admin
Posts: 2070
Joined: Sat Mar 09, 2013 5:37 am

Re: 拠点間接続VPN検討

Post by cedar » Fri Apr 15, 2022 5:56 am

1.データセンター側の機器構成・ネットワーク構成にもよりますが、仮想環境を使用している場合、ローカルブリッジ機能が上手く動作しない可能性があります。
オフィスに接続する必要があるホストが少数の場合は、個別に VPN Client でリモートアクセスする構成にしたほうが簡単かと思います。

2.はい。NAPTの内側にサーバーを置く場合はポートフォワードするほうがベターです。
NAT トラバーサル機能によって、NAPT 内のサーバーにも接続できるケースがありますが、環境によっては動作が不安定となる可能性があります。

3.はい。そうです。

4. SoftEther VPN は、イーサネットを模擬するソフトウェアなので、仮想 HUB 自身は IP アドレスを持たないため、そのような設定はできません。
ルーティングを行わせたい場合は、ルーターのあるセグメントにローカルブリッジするか、仮想L3スイッチ機能を使用します。
あるいは、ルーティングを行わせたい PC に VPN Client を導入して、同一仮想 HUB に接続する方法もあります。

5.特に制限しない限り、拠点間接続では双方向の通信ができます。
なので、両建てする必要はありません。(もし2回線接続してしまうと、イーサネットのループでき、ブロードキャストストームが発生します。)

element87
Posts: 2
Joined: Fri Apr 15, 2022 2:40 am

Re: 拠点間接続VPN検討

Post by element87 » Fri Apr 15, 2022 6:02 am

cedar様

早速の回答ありがとうございました。
再度確認することあるかもしれません。その際は宜しくお願い致します。

Post Reply