安全なネットワークを簡単に（出来ること=やったこと）：VPN

本格的な「UTM」がSOHOでも「食えます」

これまで基本の設定は書いてみましたが、家庭用としては十二分すぎ、フリーとは言え、中身は本物のUTMですから、もっと様々な事ができます。

これまでに実際に組んだネットワークの例から、できる事を見てみます。

VPNの利用

まだ書いていない大きな機能として「VPN(Virtual Private Network)」があります。

離れたネットワークをつないで、まるで同一のネットワークの如く見せる技術です。

大元の拠点、まあ、本社としましょうか。ここのサーバやプリンタなどに、支店や工場、店舗や自宅から接続する、また逆もできる、そんな技術です。

接続する経路にインターネットを利用するのが「インターネットVPN」。
「安い早い」のですが、魑魅魍魎のはびこるインターネットを経由するので、それだけで警戒する人や、自社のバカ高い専用回線を使わせるために「危ない危ない」を連呼する人とかもいます。

企業で実際に構成するときには、何をしたいかで答えが変わってきますので、インターネットか専用回線か現在ブームの「Cloud」か、じっくりと検討することになります。

家庭用でも、スマホやPCからの接続、実家とアパートをつなぐなど、利用方法は膨らみます。

IPsecVPN：Netscreen、FortigateとEndianUTM

今ならEndianUTMだけで構築可能ですが、以前は市販UTMの先駆者Netscreen、定番のFortigateを母艦にして接続するパターンがほとんどでした。

全ての場所にNetscreenやFortifateを配置するのは簡単ですが、接続数が増えるとコスト負担がかなりなものになります。そこでEFWを使います。
大元＝本社のインターネット回線に余裕があれば、EFWをただ単に接続のために使い、回線帯域を稼ぎたい場合は、各拠点から直接インターネットに出し、VPNと分離します。
以前と比べると大分接続はし易くなっていると思いますが、それでも異機種との接続を公開しているところは少ないです。さらにフリーのEndianUTMとなんて言ったら…。やってる人はいるのでしょうか？

Mobileからの接続は、「Netscreen Remote」とか「FortiClient」とかの専用クライアントソフトを使うのが簡単ですが、汎用のIPsecClientでも出来ないことはありません。Windows内蔵のものは時々問題を起こしますけれど。

OpenVPN：SophosXGとEndianUTM

OpenVPNが普及してきて、ダイアルアップやモバイルからの接続にはOpenVPNを使うようになってきました。
市販のUTMでもOpenVPNを実装しています。
EndianUTMは、元々IPsecとOpenVPNの両刀使いでしたから、活躍の場が広がりました。

メイン接続を一番安全なIPsecに、管理用接続を繋がりやすいOpenVPNにして運用。
さらに、モバイルや単体PCからの接続のメインもOpenVPN-(この場合は)Sophos XGに接続しました。

大体の規模は、IPsec接続が20~60個、OpenVPNが管理用を除いて10~30個ほどで運用しています。
結構な規模ですが、問題なく動いています。