差分
このページの2つのバージョン間の差分を表示します。
| 両方とも前のリビジョン 前のリビジョン 次のリビジョン | 前のリビジョン | ||
|
network:nanopi_r2s_build_softether_vpn_bridge_box [2024-07-14 23:12] Decomo |
network:nanopi_r2s_build_softether_vpn_bridge_box [2024-09-16 19:27] (現在) Decomo |
||
|---|---|---|---|
| 行 1: | 行 1: | ||
| ====== NanoPi R2SでSoftEther VPNの拠点間L2-VPN中継器を作る ====== | ====== NanoPi R2SでSoftEther VPNの拠点間L2-VPN中継器を作る ====== | ||
| - | 知り合いの会社では、遠隔地という名の役員の自宅にデータバックアップサーバーを置いてある。昨今の電気代高騰と猛暑により、バックアップ開始時に自動的にサーバーの電源が入り、終わったら自動的に電源が切れるようにできないか、という相談を受けた。 | + | 知り合いの会社では、遠隔地という名の役員宅にデータバックアップサーバーを設置している。昨今の電気代高騰と猛暑による廃熱問題のため、バックアップ開始時に自動的にサーバーの電源が入り、終わったら自動で電源が切れるようにできないか、という相談を受けた。 |
| - | サーバーはBMC/ | + | サーバーにはBMC/ |
| - | バックアップサーバー自体はOS側のSoftEther VPN Clientで社内に繋がっている。であるならば、BMC側もSoftEtherで社内に繋がってくれれば都合がよい。かと言って、BMCで動くSoftEtherなんてものは当然存在しないので、NanoPi R2SでSoftEther VPN Bridgeを動かし、BMCを社内LANにVPN接続してしまおうというわけで記事タイトルに繋がる。 | + | バックアップサーバー自体はOS上のSoftEther VPN Client経由で社内に繋がっている。であるならば、BMC側もSoftEtherで社内に繋がってくれれば都合がよい。かと言って、BMCで動くSoftEtherなんてものは当然存在しないので、NanoPi R2SでSoftEther VPN Bridgeを動かし、BMCを社内LANにVPN接続してしまおうというわけで記事タイトルに繋がる。 |
| ===== 試した環境 ===== | ===== 試した環境 ===== | ||
| + | |||
| + | ネットワークの構成図は以下のような感じ。 | ||
| + | |||
| + | {{ : | ||
| + | |||
| + | NanoPi R2SのWAN側を宅内LANセグメント、LAN側をSoftEther VPN BridgeのL2ブリッジによる社内LANセグメントとし、宅内サーバのBMCネットワークを社内LANに中継してやる。 | ||
| + | |||
| + | こんなこともあろうかと、サーバ設置の時点でBMCには社内セグメントのIPアドレスを振った状態だったりする。もしDHCP使うにしても、社内側のDHCPサーバから降ってくるので、FriendlyWrtの余計なサービスは止め、NanoPi R2SはVPNブリッジ箱に徹してもらう。 | ||
| * [[https:// | * [[https:// | ||
| - | * SoftEtherが簡単に動きそう、物理LANポート2個、お手頃価格、低消費電力あたりを重視して選定。 | + | * SoftEtherが簡単に動きそう、物理LANポート2個、お手頃価格、低消費電力というあたりを重視して選定。 |
| * 性能は二の次(と言っても十分すぎる性能だけど) | * 性能は二の次(と言っても十分すぎる性能だけど) | ||
| * FriendlyWrt 23.05-20240314 | * FriendlyWrt 23.05-20240314 | ||
| * OpenWrtをNanoPi向けにカスタマイズした公式ディストリビューション | * OpenWrtをNanoPi向けにカスタマイズした公式ディストリビューション | ||
| * とっつきやすそう、[[https:// | * とっつきやすそう、[[https:// | ||
| + | * eth0 : WAN側ポート | ||
| + | * eth1 : LAN側ポート | ||
| + | |||
| * SoftEther VPN Bridge 4.38-9760-2 | * SoftEther VPN Bridge 4.38-9760-2 | ||
| 行 26: | 行 37: | ||
| 何種類かあるようだけど、最新版で軽量そうなFriendlyWrt 23.05を選んだ。 | 何種類かあるようだけど、最新版で軽量そうなFriendlyWrt 23.05を選んだ。 | ||
| - | gzを展開したimgファイルをDD for WindowsなりでmicroSDカード(8GB以上)に書き込む。 | + | gzを展開したimgファイルをDD for WindowsなりでmicroSDカード(8GB以上)に書き込んで、NanoPiにmicroSDカードを挿入、USB-C経由で電源を供給すればFriendlyWrtが起動する。 |
| - | NanoPi R2SにmicroSDカードを挿し、USB-C経由で電源を供給するとFriendlyWrtが起動する。 | + | 初回は初期設定で少し時間がかかるが、完了すればNanoPiのLAN側のEthernetポートから192.168.2.1で管理Webページにアクセスできるようになる。また、この時点でWAN側のDHCPクライアント、LAN側のDHCPサーバ、WAN-LAN間のNAPTが動いている。つまり、PC <--> [LAN] NanoPi [WAN] <--> ルータ と接続し、PCのIPアドレスをDHCP取得にしておけば、何も考えずにPCからFriendlyWrtの設定とインターネットアクセスができる状態となる。名前のとおり大変フレンドリーでありますね。 |
| - | + | ||
| - | 初回は初期設定で少し時間がかかるが、完了すればNanoPiのLAN側のEthernetポートから192.168.2.1で管理Webページにアクセスできるようになる。また、この時点でWAN側のDHCPクライアント、LAN側のDHCPサーバ、WAN-LAN間のNAPTが動いている。すなわち、PC <--> [LAN] NanoPi [WAN] <--> ルータ と接続し、PCのIPアドレスをDHCP取得にしておけば、デフォルトでFriendlyWrtをいじりながら、いつも通りネットが使える状態となる。大変フレンドリーでありますね。 | + | |
| ==== ファイヤウォールの停止 ==== | ==== ファイヤウォールの停止 ==== | ||
| 行 36: | 行 45: | ||
| NanoPiのWAN側ポートを宅内LANセグメント、LAN側ポートをSoftEther VPN Bridgeによる社内LANセグメントとする。 | NanoPiのWAN側ポートを宅内LANセグメント、LAN側ポートをSoftEther VPN Bridgeによる社内LANセグメントとする。 | ||
| - | つまり、この先はWAN側からFriendlyWrtの管理Webページにアクセスできた方が都合が良いが、デフォルトではファイヤウォールで遮断されている。 | + | つまり、ここからはWANポート側からFriendlyWrtの管理Webページにアクセスする必要がある。デフォルトではファイヤウォールで遮断されているため、ファイヤウォール自体を止めてしまう。生かしたままポリシーを変える方法もあるが、なるべくシンプルに行きたいので止めてしまう。 |
| - | よって、ファイヤウォールを止めてしまう。生かしたままポリシーを変える方法もあるが、なるべくシンプルに行きたいので止めてしまう。 | + | FriendlyWrtの管理画面のシステムメニュー→スタートアップページと遷移し、'' |
| - | FriendlyWrtの管理画面、システム> | + | {{ : |
| WAN側ポートに振られたIPアドレスで管理画面にアクセスできることを確認する。 | WAN側ポートに振られたIPアドレスで管理画面にアクセスできることを確認する。 | ||
| - | |||
| - | |||
| ==== DNSサーバ、DHCPサーバの停止 ==== | ==== DNSサーバ、DHCPサーバの停止 ==== | ||
| 行 50: | 行 57: | ||
| LAN側ポートは社内LAN側で管理を掌握したいので、DNSサーバ、DHCPサーバを停止する。 | LAN側ポートは社内LAN側で管理を掌握したいので、DNSサーバ、DHCPサーバを停止する。 | ||
| - | FriendlyWrtの管理画面、システム> | + | 上記ファイヤウォール同様、スタートアップページで'' |
| + | |||
| + | ==== ブリッジの削除とLAN側インタフェースの追加 ==== | ||
| + | |||
| + | FriendlyWrtのデフォルト状態では、LAN側(eth1)はブリッジ'' | ||
| + | |||
| + | FriendlyWrtの管理画面のネットワークメニュー→インタフェース→インタフェースタブで'' | ||
| + | |||
| + | その後、インタフェースタブの「インタフェースを新規作成」から'' | ||
| + | |||
| + | ^ 項目 | ||
| + | | 名前 | lan (何でも良い) | | ||
| + | | プロトコル | アンマネージド | | ||
| + | | デバイス | eth1 | | ||
| + | |||
| + | 最終的にインタフェース画面は以下のようになっていればよい。 | ||
| + | |||
| + | {{ : | ||
| + | |||
| + | ==== SoftEther VPN Bridgeのインストールと設定 ==== | ||
| + | |||
| + | FriendlyWrtの管理画面のシステムメニュー→ソフトウェアページから、SoftEther VPN Bridgeをインストールする。 | ||
| + | |||
| + | 接続先のSoftEther VPN Serverが4系統なのに合わせ、NanoPi側は2024-07-21現在最新の'' | ||
| + | |||
| + | 無事インストールが終われば、< | ||
| + | |||
| + | SoftEther VPN Bridgeの設定方法は割愛するが、要旨は以下のとおり。 | ||
| + | |||
| + | * SoftEther VPNサーバー管理マネージャを使うと楽 | ||
| + | * 仮想HUB'' | ||
| + | * 仮想HUB'' | ||
| + | * リスナーのポートTCP/ | ||
| - | ==== ブリッジの削除 ==== | ||
| - | LAN側のネットワークブリッジも不要なので消す。 | ||
| - | FriendlyWrtの管理画面、ネットワーク> | + | ==== NanoPi R2S経由で社内LANに接続 ==== |
| - | 同様に、デバイスタブで br-lan | + | NanoPi R2SのWAN側ポートを宅内LANのルータ、LAN側ポートを適当なPCに接続し、PCのNICはDHCPでIPアドレスを取得するように設定する。 |
| - | ==== SoftEther VPN Bridgeのインストール ==== | + | 正しく設定されていれば、NanoPiの電源を抜き差し後、ほどなくしてPCのNICに社内LANのIPアドレスが降ってきて、社内にアクセスできるようになる。 |
| - | FriendlyWrtの管理画面、システム> | + | 気になる速度はNTttcpの計測で30Mbpsほど。この時のNanoPi R2Sのロードアベレージは1に達しない程度だったので、もうちょい速くなってもよさそうな…?BMC/ |
| - | 安定性重視で、バージョン4系統の4.38をインストールした。 | + | ===== 参考サイト |
| + | * [[https:// | ||
| + | * [[https:// | ||
| + | * [[https:// | ||