Raspberry Piを使用したリモートVPN接続ポイントの構築

先日、固定IP接続を実現するために職場で使用しているVPN接続サービスのルータ配置を自宅に移動しました。現在職場はオフィスビルに立地しているにも関わらず、Clear(WiMax接続サービス)以外に現実的に使用できる回線がなくローカル、リモートの接続とともにボトルネックになりつつあったからです。VPN接続ポイントを外に配置することにより、アクセススピードの高速化を実現することになりました。

職場に設置していた時にはLinuxを走らせているPCでアクセスを制御していましたが、自宅に設置するにあたり、より電源効率の良い、ポータブルなものにする、ということで、Raspberry Piを採用することにしました。(一応自宅にもLinuxマシンは常時走っているのは走っているのですが、責任分界的にも自宅LANと会社LANは完全に隔離しておきたかった、という狙いもあります。)

リモートからVPNにアクセスするにあたっていろいろと検討した上で、最近オープンソフトされたSoftEtherを採用することにしました。

  • 設定が比較的簡単であること
  • OpenVPNやL2TP/IPSecなどを使用できること。特にMac用のSoftEther接続ソフトは現在提供されていない(サーバはある)ため、これは重要な判断基準となりました。

また、以前、UT-VPNは試用していたことがあるため、SoftEtherはそれに近い、ということも判断の一つでした。

SoftEtherの設定は非常に簡単に行えましたが、カーネルモードのNATが使用されている場合、スタックの関係上からか、DHCPがVPNより下のレイヤーからIPを取得してしまう問題があり、DisableKernelModeSecureNATを使用し、ユーザーモードでNAT環境を作ることで解決しました。SoftEtherの独特な設定環境(例えばnattableとsecurenattableが別の意味を持っていることなど)で少し混乱があり、NATが有効になっていなかった、という問題などはありましたが、無事環境を構築することができました。

パフォーマンス的にどこまでいけるか、という不安はありましたが、接続時などのCPUのロードは20%でぐらいで、問題なく使用できると判断でき、専用のRaspberry Piを購入し、現在実運用中です。

VPNサービスに関するあれこれ

日本国外に住んでいて、GSMや3Gでスマフォを使っている人はかなりセキュリティ強度に問題があるので、VPNのサービスを買うことをおすすめする。スマフォであればVPNに繋がるし、その値段も月々だとコーヒー一杯分程度。PCでも使えるので公共Wi-fiからつなげるのにも使える。(あと、近くのカフェにあるサービスはかなり誤検知が多いパレンタルフィルタかけてるので、それを回避するためにも使ってる……。)

なぜ日本国内だとおすすめ出来ないか、というと、簡単な話、日本にゲートウェイを持っているVPNサービスというのが皆無なので使えないサービスがあるかも、という見地で。(ただ、多くのVPNプロバイダは購入者の国は問わない場合が多い。)

もちろんVPNオペレーターが悪意を持っていれば通信を覗き見ることは可能ではあるけどそれは電話会社でも、Wi-fiのオペレーターも同じなので。(また、特に最近は電話会社に対する政府機関などからの盗聴なども強いため、こちらを信頼するのも危険だったりする。)
最近は一部ISPの6ストライク制度の開始などにより、ログを残さないことをうたっているVPNも急増しているのでそういう口から探すのもいいかもしれない。

個人的にも結構いろいろと吟味したので、VPNの選び方も書いておこう。

1.対応プロトコル
対応しているプロトコルは多いほどいい。PPTPとIPSec/L2TP対応しているところが多いけど、LinuxなユーザはOpenVPNに対応しているところの方がいいかもしれない。(PPTPはセキュリティ的に少し不安があるし、IPSec/L2TPはUbuntuなんかではイマイチ親和性が良くないので。)

2.帯域
もちろん広いほどいいけど、帯域制限があるかどうかが重要。とはいっても敢えてリミットがあると言っているところは少ないけど。

3.同時接続数
最近は複数のデバイスからの接続を許しているVPNプロバイダも多い。スマフォでつなぎながらPCから、という使い方もすることはあるだろうから、2〜3同時接続ができる方が便利。

4.ゲートウェイの数
ゲートウェイの数が少ないと多くのユーザーが特定のゲートウェイに集中することになるので、これは多い方がいい。ただ、あまり広げすぎていて個々のゲートウェイの帯域が狭い、という問題もあるのでその辺りの情報を公開しているプロバイダの方がいい。大抵のVPNプロバイダはいろいろな地域にゲートウェイを持っていることが多いけどこれはお好みで。他の地域のゲートウェイを使いたいという目的がある場合は接続を任意に切り替えることが許容されるかもチェック。

4.ログのポリシー
違法なことをするんじゃないんだからログを気にする必要はない、というのはある意味楽観的で、どのようなポリシーでログを保持して、開示しているのかを調べるのは重要。

基本的にはこの記事にあるようなVPNを調べてみることから始めてみるといいかもしれない。