PacketiX VPN4.0 アプライアンスを検証しました。

投稿者: | 2014年12月16日
0件のコメント

○アプライアンスって便利。

弊社では、VPN環境の構築にあたって、
Softether PacketiX VPN4.0を推しています。

利用にあたっては、
Packetix VPNを動作させるサーバが必要です。

Packetix VPN ServerはWindows、Linuxどちらにも対応するバイナリが用意されているおり、
1セッションあたりの負荷低く、スペックの要求も高くないので、
サーバとして動作させるマシンについても選択肢が広いということが特長です。

しかしながら、Packetix VPN Serverを0ベースで構築する場合、
OSのインストールやセットアップ作業でひと手間必要です。
また、サーバとしてマシンを動作させる場合、
安定した動作を保証していく必要ががあり、
(PC筐体、サーバ筐体でも)HDDや電源ユニット故障が懸念されたりと
不安な要素はたくさんあります。

そんな時、アプライアンス製品というのは魅力的な選択肢の一つです。

○今回の検証マシン

検証したPacketix VPN Serverのアプライアンス製品は

ぷらっとホーム EasyBlocks PacketixVPNアプライアンス
http://openblocks.plathome.co.jp/products/eb/packetix/

です。

・製品購入時にOSは設定済み。
・設定はネットワーク関連の設定だけ(←もっと高度な設定もありますが。。。)
・PacktixVPNもインストール済み

と、手間が省ける申し分ない状況。

・内蔵FlashROMの利用で、HDDレス・SSHレスという構成
・そのうえ、ファンもついていない(本体がヒートシンク形状)

で故障の心配もないという安心設計です。

 

検証した製品は、小規模向けのStandard Edition 「EBAX/P4x」です。

○設定は2段階。ネットワークの設定とPacktiX VPNの設定

EasyBlocks PacketixVPNのアプライアンスの設定は
2段階で行います。

1段階目はアプライアンスのネットワークの設定、
2段階目はPacketixVPNの設定を行います。

[ネットワークの設定]

まず、最初にネットワーク関連の設定を行います。

WEBブラウザから設定を行います。

特に難しいことはないです。
Buffaloレベルのルータを手動で設定できるスキルがあれば
問題なく設定できるレベルです。

OSそのものはLinuxが組み込まれているので、
ネットワークインタフェースが、eth0、eth1と記載されているので、
Linuxを扱いなれていないと「?」となる方がいらっしゃるかもしれません。

eth0の利用を前提としてもらえればOKです。

[Packetix VPNの設定]

ネットワーク関連の設定が完了したら、
次はPacktixVPNの設定です。

PacketixVPNの設定については、WEBの設定画面での設定ではなく、
Packetix VPN Serverマネージャから行います。

Packetix VPN ServerマネージャはSoftetherのサイトで
ダウンロード(無料)できるツールです。
Packetix VPNの管理者であれば、なじみ深いツールです。
(余談ですが、たまにバージョンアップされているので、
 都度バージョンアップしましょう。)
 
PacketixVPNのサーバ設定については、
過去のブログ記事でも取り扱ったことがあるので、
今回は省略!!

※設定画面のキャプチャを取り忘れていました。
 次回検証する際に載せます。

○価格感はやや割高?しかし、手間を考えれば。

OpenBlocksのサイトでの価格はオープン表示。
http://openblocks.plathome.co.jp/products/eb/packetix/price.html

ダイワボウさんなどのディストリビュータとお付き合いのある会社さんであれば
そちらからの購入も可能だと思うので、価格は要確認です。

ぷらっとホームのオンラインストアでも購入は可能です。
・ぷらっとホームオンラインストア
(リンク先:http://online.plathome.co.jp/%E3%81%B7%E3%82%89%E3%81%A3%E3%81%A8%E3%83%9B%E3%83%BC%E3%83%A0/PacketiX-VPN-%E3%82%A2%E3%83%97%E3%83%A9%E3%82%A4%E3%82%A2%E3%83%B3%E3%82%B9/

最近は、格安のサーバ等もあるのでそれと比べるとやや割高感はある。
しかし、アプライアンスとしての特徴や初期構築の手間を考えると
納得感のあるプライスと考えることもできるかなといった形。

製品の選定にあたっては、PacktixVPNのライセンスの有無についても注意したい。

○サポートもわりと悪くない。
 
 製品の保証としては、
  ・弊社出荷日よりセンドバック1年間
  ・添付品は弊社出荷日より30日間、欠品の充当、または 初期不良交換のみ
 となっていて、いたって標準的。

 記事の後ろの方に書くが、
 サポートに問合せをさせて頂いたが、レスポンスよく回答があった。
 
 次年度以降のサポートも準備されているので、
 必要であれば考えてみてもよいかもしれない。

○IPv6には未対応なので要注意。

さて、今回の検証で一番はまったのは
「IPv6の折り返し通信」
の検証だ。

割とIPv6の折り返し通信については、
パフォーマンス等についても評価しているので、
この検証項目は外せない。

しかし、結論から言うと
「IPv6の折り返し通信」は「NG」でした。
(正確に言うとブリッジのセッション確立には成功した。
 ただ、いろいろな理由で実用には。。。という状況だ)

サポートに問い合わせて判明したのだが、
このアプライアンス製品については、「IPv6未対応」なのだ。
↑仕様書等には記載がない。(ぷらっとホームさんには是非記載してほしい。。。)

※本音トーク
アプライアンスと名乗るからには、
その製品のサポートする機能はすべからく網羅して対応してほしい
SoftetherのオフィシャルサイトでもIPv6対応は謳っているのだから
対応してほしかった。。。。
むしろ対応していれば、もっと評価は高かった。

同じトラップにはまる人がいないように
なぜ「NG」なのか記載しておきたいと思う。

今回の検証では、
2台の「EBAX/P4x」を利用して1台をServer、もう一台をBridgeとして
利用している。
また、各インタフェースについては
eth0をNTTフレッツ網側にDHCPで接続、
eth1をローカルネットワーク側に接続
するという構成で検証した。

NG要素① ipv6の名前解決ができない。

 一番のNGだった理由は「NTTフレッツのipv6ネーム」の名前解決ができないのだ。
 
 通常IPv6の折り返し通信をする際には、
 ブリッジ接続の宛先として、Server側のIPv6ネームを指定する。
 しかし、「EBAX/P4x」ではv6の名前解決をしないため、
 フレッツ網側のDNSによる名前解決が行われず、
 接続先のIPアドレスが不明な状態でセッションの確立できないのだ。
 
 いろいろ逃げ道はないかと考え、
 v6のIPアドレスを直接指定する方法では、
 ブリッジセッションを確立することができた。
 
 ただ、v6のIPアドレスをDHCPで取得しているので、
 IPアドレスが変わるとセッションが切れてしまうというデメリットもあり、
 いまいち感がたっぷりある。
 
 IPv6で固定IPで利用すればと思うが
 そもそも、「EBAX/P4x」はipv4で利用するのが大前提の製品。
 web画面でのネットワーク設定はipv4の設定項目だけで、
 v6による設定項目はない。
 
NG要素② v6のiptablesが編集できない。

 packetixVPNで外せない話題がFW・パケットフィルタの話題だ。

 前述したが、「EBAX/P4x」はipv4で利用するのが大前提の製品。
 web画面でのネットワーク設定はipv4の設定項目だけで、
 v6による設定項目はない。

 ということで、iptablesの編集ができるのは、
 ipv4のiptableのみということだ。
 
 一応、ip6tableの状況としては、443は空いているので、
 セッションとしては確立できるし、
 softetherの仕組みから、接続に使用するポートが空いていれば、
 十分という話もある。
 
 ただ、443以外のポートについては、利用できる確証はないので、
 443以外のポートを利用したい方にはおすすめできない。
 
ipv6折り返し通信については、
この2つの条件でNGとなってしまったので、
速度の計測等は行っていないので、あしからず。
 
○総論
 
 はまった項目を長々と書いてしまったが、
 ipv4の世界でPacketixVPNを利用するにはいい製品だと思います。
 
 ただIPv6に対応していたのであれば、
 もっといい製品だと思ったのも事実。
 
 ぷらっとホームさんには対応した次期製品を期待したいと思いながら、
 今回の検証は終了。