これは、TAPデバイスを使わない「GL.iNet GL-AXT1800 で SoftEther VPN Server を立ち上げる(TAPなし)」の続きである。

GL.iNet GL-MV1000 (Brume) を SoftEther VPN Bridgeとし、 SoftEther VPN Server にカスケード接続をして、2拠点間の Layer 2 Bridge (L2 Bridge)を構築した。備忘録として記録しておく。

環境

「GL.iNet GL-AXT1800 で SoftEther VPN Server を立ち上げる(TAPなし)」に書いたことと同じであるが、以下のような構成でテスト環境を構築した。GL-AXT1800のEthernetポートでLAN2と印刷されているポート(３つあるポートの中央)と、GL-MV1000 の３つあるEthernetポートの中央のポートで L2 Bridge を構築する。GL-AXT1800で SoftEther VPN server を動作させ、GL-MV1000で SoftEther VPN bridge を動作させる。SoftEther VPN bridge から SoftEther VPN server にカスケード接続する。IPv4 のポート 443 で接続する。

この記事では、GL-MV1000での SoftEther VPN Bridge の設定を記録する。

デバイスのEthernetポートと内部デバイスの関係

GL-MV1000 (Brume)

印刷表示	内部デバイス名	使用法
地球(?)マーク	wan	外部ネットワーク
<…>	lan0	SoftEtherの仮想HUBにブリッジ
<…> 端のポート	lan1	内部ネットワーク(コンソール)

Dynamic DNS

Dynamic DNSとして、「GL.iNet GL-MV1000 の Dynamic DNS で DuckDNS.org を使う」の記事の設定がしてあるとする。

バージョン

GL.iNet GL-MV1000 のファームウェアのバージョンは、3.212 であった。

内部的には、以下のバージョンを利用している。

OpenWrt 19.07.8 r11364-ef56c85848
LuCI openwrt-19.07 branch (git-21.189.23240-7b931da)

以下では、OpenWrt の LuCI および PuTTY で ssh を利用して設定する。

SoftEther VPN Bridge の設定

Webサーバーがポート443 を使わないようにする

GL.iNet GL-MV1000 では、Admin Panel などのために Web Server の lighttpd が使用され、HTTPS　のためにポート 443 を listen している。

PuTTY などの SSH でログインし、 netstat -apn | grep 443 を実行すると次のようになり、nginx がポート 443 を listen していることがわかる。

そこで、SoftEther VPN でポート 443 を利用するので、lighttpd でポート 443 を利用しないようにする。/etc/lighttpd/conf.d/30-openssl.conf の拡張子を変えて、読み込まれないようにする。

cd /etc/lighttpd/conf.d
mv 30-openssl.conf 30-openssl.conf.orig

1 2	cd /etc/lighttpd/conf.d mv 30-openssl.conf 30-openssl.conf.orig

設定ができたら、 GL-MV1000を reboot してから SSH で netstat -apn | grep 443 を実行して、ポート 443 が listen されていないことを確認する。

SoftEther VPN Bridge のインストール

OpenWrt の LuCI の System / Software で　softethervpn5 でフィルターして表示し、softethervpn5-bridge　をインストールする。使用した softethervpn5-bridge のバージョンは、5.01.9674-1 であった。

インストールしてSoftEther VPN Bridge が起動されたら、SSH で netstat -apn | grep 443 を実行して、ポート 443 が vpnbridge によって listen されていることを確認する。

SoftEther VPN Server Manager による設定

SSH で接続後に vpncmd コマンドを利用して設定することもできるが、ここでは、Windows の SoftEther VPN サーバー管理マネージャを使って設定する。

SoftEther VPN サーバー管理マネージャの初期設定

初めて SoftEther VPN Bridge に接続したときは、パスワードを入れずにOKボタンを押し、パスワードを設定する。

仮想HUBへのカスケード接続

SoftEther VPN Server / Bridge 簡易セットアップでは、拠点間接続VPNサーバーまたはブリッジで、各拠点に設置するVPN Bridge の設定を行うために、[次へ]をクリックする。

接続先のVPN Serverへの接続設定

「2. 接続先のVPN Serverへの接続設定」の[接続先のVPN Serverへの接続設定を行う]ボタンをクリックして設定を行う。

新しい接続設定のプロパティのパネルで、接続設定名を指定する。ここでは ivy1 としている。

また、SoftEther VPN Server のホスト名を入力し、そこで作成した仮想 HUB 名を選択する。ここでは、ホスト名を XXXXXX-ivy1.duckdns.org、仮想HUB名は IVY-BRIDGEとしている。

さらに、SoftEther VPN Server で作成しておいたユーザ名とパスワードを[ユーザ認証]に入力する。必要な情報の入力が終わったら[OK]ボタンをクリックすることで、BRIDGE上のカスケード接続にその接続設定が表示されるはず。

サーバーの設定が済んでいて、うまくカスケード接続ができれば、[状態]がこの例のように、「オンライン(接続済み)」になるはず。

簡易セットアップの[接続先のVPN Serverへの接続設定を行う]が終わったら、次はローカルブリッジの設定をする。

ローカルブリッジの設定

「3. ローカルブリッジの設定」で、Ethernetデバイス（LANカード)として、ここでは Ethernet ポートの lan0 を選択する。

簡易セットアップの[閉じる]ボタンをクリックすると次のパネルが表示された。

ブリッジの確認

ここで、ローカルブリッジが考えていた通りに作られていることを確認する。仮想HUBとしてあらかじめ作成されている BRIDGE を選択し、[ローカルブリッジの設定]ボタンをクリックする。

仮想HUBのブリッジ先がこの例では lan0 になっていることを確認する。

OpenWrt での設定

OpenWrt での SoftEther VPN Bridge の設定保存

SoftEther VPN Server Manager による設定は、サーバーを停止させないとファイルに反映されないらしい(Softether+GL iNet GL-AR750で拠点側VPNルータを作る)。LuCI の System / Startup の Initscripts タブの　softethervpnbridge　をまずStopさせる。その後、GL-MV1000を reboot する。

OpenWrt でのインタフェース LAN の設定

OpenWrt で、ブリッジデバイスとして働いている LAN の設定をする。Ethernetポート lan0 が LAN と L2VPNの両者に含まれないように、LANから外す。

Network / Interfaces の Interfaces タブの LAN の[Configure]ボタンを押し、Physical Settings タブの Interface から lan0 を外す。この例では、lan1 と usb0 がLANに含まれるようにしている。

OpenWrt でのインタフェース L2VPN の作成

OpenWrt で、インタフェース L2VPN を作成する。

Network / Interface の Interfaces タブで[Add new interface…]ボタンを押し、Name に L2VPN、Protocol に Unmanaged 、Device に lan0 を選択する。

[Create interface]ボタンを押して、インタフェース L2VPN を作成する。

[Protocol]には Unmanaged を選択し、Bridge interfaces にチェックを入れ、Interface には Ethernet ポート lan 0 を選択する。

[Physical Settings] で設定する場合には、Bridge Interfaces にチェックを入れて、Interface に Ethernet ポート lan 0 を設定する。

他のタブの設定は以下の通りであった。

設定を保存して、Network / Interfaces のページに戻って L2VPN (br-L2VPN) ができていることを確認する。

ちなみに、通信が行われると RX の値は大きくなるが、TXの値は0のままであるようだ。

[Save & Apply]ボタンを押して設定を反映させる。

OpenWrt での Firewall の設定

WANからの Port 443 の通信を許可するルールを作成する。ここでは Allow-Port-443 という名前のルールとする。

LuCI の Network / Firewall の Traffic Rules タブで、「Add」ボタンを押し、Name を Allow-Port-443、Source zone が wan、Destination zone が Device (input)、Destination Port が 443、Action が accept のルールを作成する。

「Save & Apply」ボタンを押して設定を反映させる。

動作確認

これまでの設定で SoftEther VPN Server (GL-AXT1800)の Ethernet ポート(eth1 (筐体の表示はLAN2))と、SoftEther VPN Bridge (GL-MV1000)の Ethernet ポート(lan0 (3つあるEthernetポートの中央))の間で、Layer 2 Bridge ができているはずである。