NanoPi R2SでSoftEther VPNの拠点間L2-VPN中継器を作る

知り合いの会社では、遠隔地という名の役員宅にデータバックアップサーバーを設置している。昨今の電気代高騰と猛暑による廃熱問題のため、バックアップ開始時に自動的にサーバーの電源が入り、終わったら自動で電源が切れるようにできないか、という相談を受けた。

サーバーにはBMC/IPMIが載ってるので、リモートで電源ON/OFFをするのは造作もない。問題は現状BMC NICが物理的に繋がっておらず、また仮に繋いだとしてもルータ越しでアクセスできないってこと。ポートフォワードなりしてやれば技術的にはアクセス可能だけど、さすがにBMCをインターネッツに解き放つのはどうかと思うわけ。

バックアップサーバー自体はOS上のSoftEther VPN Client経由で社内に繋がっている。であるならば、BMC側もSoftEtherで社内に繋がってくれれば都合がよい。かと言って、BMCで動くSoftEtherなんてものは当然存在しないので、NanoPi R2SでSoftEther VPN Bridgeを動かし、BMCを社内LANにVPN接続してしまおうというわけで記事タイトルに繋がる。

ネットワークの構成図は以下のような感じ。

NanoPi R2SのWAN側を宅内LANセグメント、LAN側をSoftEther VPN BridgeのL2ブリッジによる社内LANセグメントとし、宅内サーバのBMCネットワークを社内LANに中継してやる。

こんなこともあろうかと、サーバ設置の時点でBMCには社内セグメントのIPアドレスを振った状態だったりする。もしDHCP使うにしても、社内側のDHCPサーバから降ってくるので、FriendlyWrtの余計なサービスは止め、NanoPi R2SはVPNブリッジ箱に徹してもらう。

NanoPi R2S
- SoftEtherが簡単に動きそう、物理LANポート2個、お手頃価格、低消費電力というあたりを重視して選定。
- 性能は二の次（と言っても十分すぎる性能だけど）
FriendlyWrt 23.05-20240314
- OpenWrtをNanoPi向けにカスタマイズした公式ディストリビューション
- とっつきやすそう、他のディストリビューションだとSoftEtherで速度が出ないらしいというあたりを加味して選定。
- eth0 : WAN側ポート
- eth1 : LAN側ポート

SoftEther VPN Bridge 4.38-9760-2

NanoPiの各モデルのページからダウンロードページをたどり、FriendlyWrtのSDカードイメージをダウンロードする。

何種類かあるようだけど、最新版で軽量そうなFriendlyWrt 23.05を選んだ。

gzを展開したimgファイルをDD for WindowsなりでmicroSDカード（8GB以上）に書き込んで、NanoPiにmicroSDカードを挿入、USB-C経由で電源を供給すればFriendlyWrtが起動する。

初回は初期設定で少し時間がかかるが、完了すればNanoPiのLAN側のEthernetポートから192.168.2.1で管理Webページにアクセスできるようになる。また、この時点でWAN側のDHCPクライアント、LAN側のDHCPサーバ、WAN-LAN間のNAPTが動いている。つまり、PC ←→ [LAN] NanoPi [WAN] ←→ ルータと接続し、PCのIPアドレスをDHCP取得にしておけば、何も考えずにPCからFriendlyWrtの設定とインターネットアクセスができる状態となる。名前のとおり大変フレンドリーでありますね。

NanoPiのWAN側ポートを宅内LANセグメント、LAN側ポートをSoftEther VPN Bridgeによる社内LANセグメントとする。

つまり、ここからはWANポート側からFriendlyWrtの管理Webページにアクセスする必要がある。デフォルトではファイヤウォールで遮断されているため、ファイヤウォール自体を止めてしまう。生かしたままポリシーを変える方法もあるが、なるべくシンプルに行きたいので止めてしまう。

FriendlyWrtの管理画面のシステムメニュー→スタートアップページと遷移し、firewallの停止ボタンを押し、「有効」ボタンを押して「無効」にする。下図は既に無効状態である。