「PacketiX VPN 4.0」ベータ版公開、L2TPやOpenVPNなどのプロトコルに対応 - クラウド Watch(情報元のブックマーク数)
Packetix VPN 4.0 RC1がリリース、ベータ中にバグを見つけて報告すれば正規ライセンスを貰えるみたい!
ソフトイーサ株式会社は26日、VPN構築用ソフトウェア「PacketiX VPN」の次期版となるバージョン4.0のベータ版(RC1)を公開した。対応OSはWindows、Linux、FreeBSD、Solaris、Mac OS X。2013年3月31日まで無償で利用できる。
http://cloud.watch.impress.co.jp/docs/news/20121126_575312.html
PacketiX VPN 4.0では、従来のHTTPSベースのVPNプロトコルに加え、新たにL2TP/IPsec、OpenVPN、MS-SSTP、L2TPv3、EtherIPなどのVPNプロトコルに対応。iPhoneやAndroid端末からのVPN接続や、CiscoなどのルーターからのVPN接続に対応した。
NATやファイアウォールを通過するためのNATトラバーサル機能や、固定IPアドレスがない環境で動作するためのダイナミックDNS機能、ICMPやDNSしか通信できないような通信不良が発生している公衆無線LANなどでもVPN通信を可能にするVPN over ICMP/DNS機能を搭載する。
通信速度については、PacketiX VPN 3.0と比較してVPN内でのファイル転送速度を最大2倍程度に高速化するWAN高速化機能を搭載。NTT東西のフレッツサービス向けの網内IPv6折り返し通信機能も搭載した。
これはやばいw
NATやファイウォールを通過するためのNATトラバーサル機能や、固定IPアドレスがない環境で動作するためのダイナミックDNS機能、ICMPやDNSしか通信できないような通信不良が発生している公衆無線LANなどでもVPN通信を可能にするVPN over ICMP/DNS機能を搭載する。
「PacketiX VPN 4.0」ベータ版公開、L2TPやOpenVPNなどのプロトコルに対応 - クラウド Watch
UDPホールパンチングについて、、、、結構厳しそう・・・
Wikipediaを見て貰えば早いのだが、要するにUDPホールパンチングである。
PacketiX VPN 4.0の新機能を試す(1) - 図書館Pの実験日誌
元々UDP高速化機能(PacketiXではWAN高速化機能と言っている)が実装されているため、その延長線上にUDPホールパンチングを実装したのではないのだろうか。
動作の仕組みとしては、既知の第三者サーバ(恐らくソフトイーサ社が設置している)に対してサーバ側からパケットを投げると、NATサーバにそのエントリが残る。この時NATサーバの実装によっては、宛先IPアドレスとポートをちゃんと紐付けしていないこともある(このポートへのアクセスはどのホストからも許可するようになる)ので、これを利用して擬似的にポートを解放させている。
もちろんこの状態ではクライアントは接続先ポートを知らないので接続出来ない。そのため、クライアント側は「このホストに対応するポートはあるのか?」という問い合わせを第三者サーバに送り、得たポート番号を元に接続を行う。
これによりサーバとクライアントで一対一で接続が出来るようになり、高速な通信が可能になる。防ぐのやっぱり難しいのか・・・
つらつらとPacketiX VPN 4.0に搭載されているNAT-Tについて書いてきたが、これを防ぐのは大変難しい。
PacketiX VPN 4.0の新機能を試す(1) - 図書館Pの実験日誌
NAT-Tを防ぐには第三者のサーバを突き止めアクセスコントロールを行う必要があるが、現在の所第三者サーバは非公開のためパケットキャプチャを行うしかなく、第三者のサーバIPが変わった場合にも対応しなければならない。
また、NAT-Tを防いだとしてもVPN Azureという機能も実装されているため、ファイアーウォールでのブロックをより困難にしている。そして、VPN Azure。代理サーバと通信を行うことで社外や自宅から、社内にもつなぐことができる素晴らしいサービス(何
VPN Azureの公式サイトを見てもらえると良いと思いますが、簡単に言うとNAT内に居るVPN Serverと代理サーバが通信を行い、クライアントからの接続は代理サーバが受け持つことで通信を実現するのがVPN Azureです。
PacketiX VPN 4.0の新機能を試す(2) - 図書館Pの実験日誌
基本的には複雑な設定を要するMicrosoft SSTPを受けるためのサービスですが、一応VPN Clientからも接続が出来るようです。前回も説明したが、ファイアーウォールでのブロックはこちらも困難になっています。
PacketiX VPN 4.0の新機能を試す(2) - 図書館Pの実験日誌
恐らく複数の代理サーバが設置されているであろう状態のため、一つをアクセスコントロールしても他のサーバへ接続に行ってしまうことが考えられます。
また、VPN Azureを塞いだところでDDNS機能やNAT-T機能を封じていなければNAT-T機能により突破される可能性もあり、もし「PacketiXを止めたい!」と思っているので有ればVPN AzureとDDNS機能、NAT-T機能の三つを同時に封じる必要があるため、難易度はより高くなります。
まぁ、なにより、以下の公式ページが一番モラル上やばいだろって話じゃないかな。
一般社員も自宅や社外から会社PCにアクセスできちゃう、それも管理権限が不要と・・・
VPN Azure サービスは、社内のパソコンに VPN サーバーをインストールして自宅や外出先から社内 LAN にアクセスしたいと考える、一般社員の方々の強力な味方です。会社が VPN を導入していなくても、あなた個人の自力で社内 LAN へのリモートアクセス環境を構築できます。VPN Azure クラウドを経由して VPN 通信を行うため、システム管理者によるファイアウォールや NAT のポートの開放は不要です。社内パソコンへの VPN サーバーのインストールも一般権限で可能で、システム管理者の手を煩わせる必要がありません。そして VPN クライアント側のパソコンでは Windows に標準付属の VPN クライアントを利用でき、特殊なソフトウェアをインストールする必要がありません。VPN Azure サービスにより、会社全体で VPN を導入しなくても、社員 1 人 1 人が自分専用の VPN サーバーを自分のパソコンで立ち上げることができるのです。これからは社外から社内の共有サーバーやグループウェアに VPN アクセスし、楽しく安全に仕事をしましょう。
VPN Azure Cloud Service - Build VPN from Home to Office without Firewall Permission
会社サーバは一般ユーザでも大丈夫!
ユーザー権限:
VPN Azure Cloud Service - Build VPN from Home to Office without Firewall Permission
一般ユーザー権限でもインストール・動作が可能
(Administrators ユーザーによる設定は不要)
もう泣けちゃう・・・
昼間、会社にいる間にやっておこう。
VPN Azure Cloud Service - Build VPN from Home to Office without Firewall Permission