事の発端はブログを公開しているSaaSであるLolipopから一通のメールを貰いました。

自分自身、管理者画面に入ることは稀ではあるので多分アタックなのでしょうね。アタック自体は特に問題が無いのですが、厄介な事は管理者画面のアクセス禁止法方がhtaccessによるというもの。IPアドレス制限 or DNS逆引きによる解決となるので例えば、PC・携帯(MVNO、キャリアなど)複数のアクセス手段を持つ場合には非常に設定が面倒なのです。

これを一本化するのであれば私の場合はVPNがあるので、VPN経由のHTTP-Proxyさせれば自宅IPのみフィルタすれば安全なわけですよね。とは思いつつもここ数年でのWindowsにおけるプロクシ事情はさっぱりなのでざっと調べてみました。

• Forefront Threat Management Gateway (TMG) … [有償] 次期バージョンが無く、2015年までのサポートだけが決まっている状態
• Squid … 昔からおなじみの通称イカ。非常に高レスポンスを誇るProxyサーバー
• DeleGate … 日本製の多機能(POP, IMAP, etc…)Proxyサーバー
• WinGate … [有償] アクティビティモニタは勿論、アンチウィルス(Kaspersky)やVPNインテグレーションを幅広くサポート

の4つが有力そうです。ぶっちゃけやりたいことなんて上記の通り相手側(Loliop)から見たIPが自宅のIPになればいいのでどれでもいいと言えば良いです。って事で日本製のDeleGateの導入。

1. 公式サイトからダウンロード

DeleGateの公式サイトからバイナリでのダウンロードをします。展開場所はどこでも良いようなのですが、VPNサーバー上にサービスとして展開するので C:\Windows\DeleGate にしました。よってパッケージまでのパスは C:\Windows\DeleGate\DGROOT になります。

2. 構成ファイルの作成

今回はHTTPのみのプロクシを行えば良いのですが、ログも一応は吐いて欲しいしローテーションもして欲しいので以下のファイルを準備します。confファイルはbinディレクトリからの指定となるようなのでフォルダ分けをして C:\Windows\DeleGate\DGROOT\bin\conf\http.conf としています。そして肝心の中身はこんな感じ。

ADMIN=root@localhost       # mail-address of the administrator of this DeleGate
SERVER=http                # the protocol DeleGate speaks with its clients
-P8080                     # the entrance port on which DeleGate waits clients
LOGDIR=${DGROOT}/log       # directory under which logfiles are located
LOGFILE=${LOGDIR}/HTTP/${PORT}.log.[date+%d]  #

3. サービスの登録と実行

構成ファイルを指定して実行すると(場合によっては3つの)以下が聞かれます。

C:\Windows\DeleGate\DGROOT\bin>con32-dg9_9_13.exe +=conf/http.conf

• [既にサービス登録されている場合] 既存のサービスを削除するか？
• 新しいサービスとして登録するか？
• スタートアップサービスとして登録するか？

基本的には全て”y”と答えて問題ありません。上記が完了したら自動起動されているはずなのでservices.mscから DeleGate Server –P8080 が実行されていることを確認します。

4. ファイヤーウォールの設定

Windows Serverの場合は場合によってポートを開放しないとローカルホストのみしかProxyできませんので、Windows Firewallに対して穴を空けます。ポートの指定でもよいのですが、HTTP以外に空ける場合、ポートの変更したい場合を加味してプログラムに対してアクセスを許可します。

対象のプログラムを許可する以外には特にすることはありません。セキュリティを気にするのであればプロファイルをドメイン・プライベートに絞っておきましょう。

5. プロクシの確認

というわけで、プロクシ経由でアクセスできるかどうか確認します。お好きなブラウザでプロクシ先を今回設定したPCのIP + ポート番号に向けてあげるだけです。

というわけで、全ての準備が整いました。後はiPhoneからのVPN設定でプロクシを設定してあげれば、VPN経由でIPが自宅IPによるWebアクセスが可能でしょう！、というはずでした・・・・。

が、非常に残念なことにVPN接続をしてから通常のHTTPアクセス(safari上)をすると自宅のゲートウェイを通っているっぽいです。(＝プロクシをする必要が無し)

VPN接続環境は以下の通り。

• サーバー: Wiindows Server 2012 R2 (L2TP)
• クライアント: iPhone 5s (OCNモバイルONE, iOS 7.0.6)

また、DeleGateログは以下の通り

• Wi-Fi + プロクシ無し : ログは流れない + Lolipopアクセス可能
• Wi-Fi + プロクシ有り : ログ有り+ Lolipopアクセス可能
• 3G のみ : Lolipopアクセス不可能
• 3G + VPN + プロクシ無し : ログは流れない + Lolipopアクセス可能
• 3G + VPN + プロクシ有り : ログ有り + Lolipopアクセス可能

VPNのプロクシ設定自体は生きているっぽいので正しいのですが・・・、目的の為にProxyを立てた意味は皆無だったようです。まぁ、2chまとめとかで邪魔な広告だったりiOSアプリでもトラッキングとかでユーザーが意図しない情報が盗られてはいるのでプロクシサーバーがあるに越したことはないでしょう。

というわけで、年末滑り込みのネタでしたとさ。

構成が必要な個所はいつもの通り3ヶ所です。

• VPNサーバー上でのL2PT構成
• ネットワークルーター上のポートマッピング
• VPNクライアント

■ VPNサーバー上でのL2PT構成

VPNサーバー上で行うことは2つ(正確には3つなのですが)、IPSecで使用する鍵の決定とVPNポートの構成。鍵は証明書が発行できるようにADDS(Active Directory Domain Server)上で構成はしているものの、面倒なので事前に決定した文字列を使います。

次にポートの確認、L2PTのポート数があること、及びこれを使ってネットワークアクセスを許可するのでデマンドダイヤルルーティング接続を許可しておくこと。

3つ目は割愛しますがNPS(Network Policy Service)が正しく構成されていること。PPTPでも使うのでL2PTに限ったことではないです。

■ ルーター上のポートマッピング

ルーター側で行うポートマッピングは3つ、UDP 500/4500, ESP(50)です。私の場合はNEC Atermを使っていますがこんな感じ。

赤線以外のところはL2PT/IPSec以外の設定(PP2P, SSH, HTTP, IPSecを使わないL2PT)なので無視してください。面倒なのがESPでIPでいうプロトコル番号50なのですが、IPSecパススルーという設定をONにする必要がありますのでルーターを確認しましょう。

■ VPNクライアント構成

VPNクライアントは一見してPPTPと同じような感じだと思っていますがNATを経由している場合は一部ハマる部分があります。とりあえず普通にL2PT/IPSecのネットワーク接続を構成。

この段階でローカルにいるVPNサーバーに直接接続が行えるようになります。で、次は3G回線など外部回線を利用してVPN接続を試みると・・・・ 809エラーが発生して接続できません。原因としては接続するWindowsがNAT-Tの背後にある場合はIPSecを確立しないらしい、とのこと。

How to configure an L2TP/IPsec server behind a NAT-T device in Windows Vista and in Windows Server 2008

上記に解決策があるように、レジストリを変更すればいけるらしいです。というわけで解決なのですが・・・・KB885348を見てみるとプライベートネットワークにおけるセキュリティ上の複雑な事情があるようです。見た感じではVPN接続を行うクライアントが直接パブリックIPの場合はその制約を受けないように書かれていますが、残念なことにPCをパブリックで接続する危険なことはしないので。。。。

ネットワークは奥が深いです orz

私が自宅への接続を行うために使っているのは以前から頻繁に出てくるVPN接続です。自宅のネットワーク光ネクスト隼なのでルーターの不意な再起動(ルーターが稀にハングアップしたり・・・)によってIPの変更は避けられません。そのIP変更に対応するために恐らくは10年以上に渡ってDynDNS(海外系の無料ダイナミックDNSサービス)を使ってきました。が・・・、DynDNSから先日最後通告があって『7日後に無料DDNSサービス終了するからね！』、と。DynDNSサービス自体は別に不自由は感じていませんしPro版にしてそのまま使い続ける選択肢もありましたが、5US$/mon=60US$/yearを払ってサブドメインというのはやはり魅力がないのですよね。

ってことで調べた感じ『お名前.com』はかなり良さそうだ、と。

• DDNSサービスに対応
• 同然、gTLD, ccTLDのトップドメイン取得から各レコードの操作は全て可能
• ドメインに寄りけりですが、年間費用は少なくともDynDNSである年60US$よりは低そう

ってことで急遽、ドメインの取得へ。因みにお名前.comをためらっていたのですがその理由が「楽天みたいなショボイデザインの雑多なサイトで、信頼性がちょっと不安だったから」です。　GMOの内部的な組織事情はわかりませんが、同じGMOで展開しているムームードメインがDDNS対応なら間違いなくそこでしたけどね。というか、なんで分けた・・・・と。

取得→利用までは12時間程度でした。支払いがクレジットカードを使いたくなくてコンビニ決済でしたのでその分のディレイが一番大きかったですが。ドメイン取得期間も選択できる最長の10年間契約で。可能であれば50年更新とかでもよかったのですけどね・・・・。

こんな感じでvpn用のサブドメインをddns用に登録と。サブドメインの数に関しての制約はまだ調べていないですが、vhostによる切り分けも同一IPであればこれを複数個登録しておけばよさそうですね。

後は覚えづらいサイトだったり、直接IP指定で繋げているサイトに関してもCNAMEだったりAレコードを追加してあげればいつでもどこでも簡単につなげられるようになったりと。メール以外の用途で割と利用用途がありそうですね。(メールに関してだけは中途半端な知識では個人でやるべきではないので・・・・)

VPNサーバーも先日ようやく Windows Server 2008 → Windows Server 2012 R2 への更新を行ったので、IKEv2を利用したWindows PhoneからのVPN接続環境の整備に挑戦してみたいですね。

あと、ご参考までにですが、今回は20,000円/10年契約です。ggTLDは安価ではありますが欲しいものが既に取得されているのが痛いですね。

そして現在23:45という真夜中で野郎が一人喫茶店ですることと言えば、通信試験。データ通信契約をするもそれを使ったVPN経由リモートデスクトップを使ったことがなく、果たしてこれは実用に耐えうるものなのだろうか、と。当然、直接のリモートデスクトップである方が通信容量的に軽いはずですが、やはり実用ではVPNを最低限通しますので。(VPN圧縮通信は使いません)

というわけで、データ端末のテザリングを有効化して、VPNを張りながらping + リモートデスクトップのコンビネーションを試験してみました。通信的には

Microsoft Surface RT ⇔ テザリング機器 ⇔ VPNエンドポイント(PPTP) ⇔ Windows 8(RDPホスト)

のような構成となります。結果はスクリーンショットの通り無事つながりました。

レイテンシ(latency)はリモートデスクトップ対象のPCにpingを1000回投げ続けて以下のようになります。

192.168.1.10 の ping 統計:
    パケット数: 送信 = 1000、受信 = 997、損失 = 3 (0% の損失)、
ラウンド トリップの概算時間 (ミリ秒):
    最小 = 108ms、最大 = 2290ms、平均 = 254ms

最少最大のふらつきもありますし、パケットロスも見られるもののそこまでクリティカルなものではないです。この記事の途中まではテザリング経由で書いていましたが、文字を打つ分にもそこまで句ではありません。

というわけで、月額980円のテザリングでも出先のリモートデスクトップにはある程度耐えられるものだ、というのが私の所感です。但し、恐らくは日次30MB制限内でのものなので途中でその制限を超えた場合はどのような状態になるか、まで試験しきれていません。ただ、費用対効果という点では非常に優れているなー、というところです。

VPN設定する箇所あるぢゃん・・・・ orz

『一般』→『VPN』という場所で設定できるだけなのに、なぜここまで気が付かなかったんだ・・・・。ほんと恥ずかしいです、申し訳ない。

というか、自分もドラッグ & ドロップの方法がわからない部分もあります。なので、私がどのようにしているかをSplashtopツール群という側面でまとめてみました。

★Slpashtopって？

米Splashtopの会社、若しくはそこがリリースする製品群。私が知ったきっかけとなるのは1.5年ほど前に”Slpashtop Remote”というiPhone向けリモートデスクトップアプリケーションをダウンロードしたこと。現在は”言葉通りの”リモートデスクトップだけに限らず、Webカメラ・ファイル転送などPCを遠隔操作するための一連の機能を1つのパッケージとして提供するようになっています。

★動作環境

Windows XP以降、Machintosh Snow Leopard以降のはずですが、最新版の情報はSplashtop製品群を利用するためのベースパッケージである”Splashtop Streamer”のダウンロードサイトをご確認ください。”Splashtop Streamer”をインストールした後にセキュリティコード(リモートセッションを接続するためのパスワード)を入力すれば準備完了です。

★モバイル環境での製品と役割

製品はぶっちゃけ、AppStoreで確認した方が早いですが現状で8製品、その中で一般の人が使うのは恐らく4種類のみ。

• Splashtop Remote Desktop (iPhone, iPad, Android) … Slpashtop社が恐らく最も力を入れているであろう製品です。その名の通りRemote Desktop環境を提供するもので、タッチ & ドラッグによるドラッグ　& ドロップのサポート、3ホン指タップによるメニューコール・及びマルチディスプレイ対応などのサポートなど、モバイルに最適化されています。但し、iPhone(iPod Touch)でリモート操作を行う場合は状況によってFileHoundを使った方がいいかもしれません。
• Splashtop CamCam (iPhone, iPad) … PCにつないだWebCamをリモートで閲覧するためのソフトウェア。使ったことは無いので情報が怪しいですがレビューを見る限りは録画機能が無い模様。いわば、自宅監視ツールと言えるものだと思われます。
• Splashtop Touchpad (iPhone) … Macで言うマジックパッドに似たような機能を提供するアプリケーション。これも使ったことないので情報が怪しいですが、スクリーンショットを見る限りはキーボードモードもサポートされているようです。Lion以降で見られるフルスクリーンスライドに対応しているかどうかはわかりません。ちなみに、画面は接続した物理ディスプレイとなるので、リモートデスクトップではありません。Splashtop社が製品アピールのために提供しているものだと思ってよいでしょう。
• File Hound (iPhone) … 製品アピール上はファイルマネージャとなっています。が、リモートデスクトップとしての機能も持っていて、iPhone上のSlpashtop Remote Desktopで不便なドラッグ & ドロップを簡単に扱うことができます。

★”Slpashtop Remote Desktop”と”File Hound”の使い分け

似たような製品が出ていますが、結局どっちを使えばいいの？ということになると思うので、私的な使い分けをまとめてみました。

	Remote Desktop	File Hound
主な機能	リモートデスクトップ	ファイル操作 リモートデスクトップ
操作方法	タッチ場所がマウスポインタの移動という直観的な移動 タッチ & ホールドによる右クリックサポート ピンチイン・アウトによる任意倍率の拡大縮小	[ファイル操作] エクスプローラの一階層分に対応するファイル、フォルダ表示 ファイル選択時に”ファイルを開く”を実行し、デスクトップを表示 [デスクトップ操作] マウスカーソル表示の相対移動による画面操作 タップ=クリック、ダブルタップ=ダブルクリック、及び直接的なドラッグ & ドロップ タッチ & ホールドによる右クリックサポート
スクリーンショット
使い分け	iPad上では通常のリモートデスクトップとして使用 iPhoneではドラッグ & ドロップを伴わない大まかな操作を要求するリモートデスクトップ作業	ファイルビュワーとしては一切使用しない (これは別途書くつもりですが、ファイル専用アプリが高機能) 誤差数ピクセル以内の細かいマウス操作を要求するリモートデスクトップ作業、及びドラッグ & ドロップを要求する作業

2011年12月20日現在で両ツールともに85円(Tier1)のようです。本来は14.99US$だよ、とか書いてあるのは無視しましょう。私としてはiPhone/iPad上でリモートデスクトップを安価で手軽に利用したいということであれば2アプリ共に支払うべきでしょう。また、Splashtop群がサポートしきれないファイル操作に関しては別ツールを使った方がいいです。

そして、これらの製品を紹介するたびに毎度書きますが、直接”Slpashtop Streamerの接続”を公開しない方がいいと私的に思っています。セキュリティ脆弱性などが報告されたということは聞いたことが無いですが、ログとしての機能はあまり強くありませんし、ユーザ別による細かい設定も行うことができません(=個人向けのリーズナブルな環境)。ログは”C:\Program Files (x86)\Splashtop\Splashtop Remote\Server\STRLOG”にありますが、いつ、どのツールで接続したか、程度しか読み取れません。

ファイル操作アプリ、VPN環境については軽く1記事となるのでここでは書きませんが、また書く気が湧いたら書いてみようかと思います。ファイル操作アプリは近々必ず書きます (12月26日追記)こちらの記事として書きました。

Remote Desktop (Topperware)

残念ながらふつーにRemoteDesktopという名前のアプリ名です。が、名前に反して割と普通に動きます。WP7は試用が可能なので自分で試してみてね、と言いたい所ですが以下のスペックがあります。

• 解像度…320×200, 640×480, 800×480, 800×600, 1024×768, 1280×1024, 1600×1200
• カラー…8bit, 16bit
• Network Level Authentication: on, off (←よーわからん！)
• Bitmap Caching: on, off
• ポート…3389標準、切り替え可能
• 名前解決…IPv4, DNS
• 試用…最長5分間のセッション、その後60秒のインターバル制約
• 価格…5.99$

Wi-Fi接続で行ったところ、1600×1200(16bit)でも割と動きます。が、何が原因かはよく分かりませんがデータ伝送量が多いと内部エラーが起きてセッションが切れます。普通に使う分には恐らく大丈夫でしょう。

操作に関しては割と独特？な気がします。

• キーボード…通常レイアウト(英字+数字+ENTER+DEL)と、特殊キーレイアウト(PgUP, PgDN, Windowsキーなど)の切り替え
• 左クリック…タップ → タップ
• 右クリック…タップ → タッチ
• マウス移動…タッチ & スクロール
• 拡大縮小…ピンチイン、ピンチアウト
• 日本語切り替え…キーボードからは恐らく無理、インジケータバーから切り替えができるかもしれないけど試してないです

緊急の家庭サーバとかのメンテナンスには使えるんぢゃないかな～と思っています。なので個人的にはリモートデスクトップとしての役目は果たしているかなというレベル、値段もそこそこ安いし。

でもね。結局最大の問題があるのですよ。生のRDPを外部に公開するなんて、自ら踏み台サーバを提供するようなもので(まぁ、恐ろしいであろう海外の回線を落とすために接続ホストがauキャリア外のIPをフィルタリングすればある程度は大丈夫、だと思いたいです。が、そんなものにぶら下がって安心することは私には無理です)。

マイクロソフトさん、WP7でVPN対応してください！！！

一応VPN対応をするということで動いているようです、多分、私の脳内英訳が間違っていなければ。。

Microsoft Answers: vpn support on window phone 7

現在のところ、Windows Phone 7にVPNをサポートする機能はありません。しなしながら、近い将来のアップデートとして何かしらあるという事を聞いています。(但し)私はそれについての確約を行う事はできませんが、

ということで、恐らくビジネスマンが多く利用しているであろうWP7にVPNが導入されるのを待ちましょう。あ、もし現状のWP7でセキュアな接続方法がある、という方がいましたらご教示お願いします。 m(_”_)m