自宅から職場のパソコンを操作する。

　私は、職場と自転車で15分程度のところに医院を開いています。問い合わせの電話が携帯にかかってきたときなどに、電子カルテを確認して、アドバイスをしたいために構築いたしました。カルテは個人情報そのものですから、

• セキュリティは万全とする
• 出来る限り、安価に
• ここで紹介しているソフトは、すべてフリーです。Wake On LAN用のボード(3750+600)/台　・・　以外には費用はかかりません。

は、必要です。ネットを探しましたところ、仮想LAN(Virtual Private Network)という技術があり、これを用いれば、実現できます。主なソフトは、下記の通りでしょうか。

• OPENVPN・・・・・GNUに属し、フリーで公開されています。インストールは面倒ですが、フリーで公開されており、スピードもまずまずです。私はこのソフトを使用してます
• SoftEther・・・・・日本製のフリーソフトです。公開は2003年12月。インストールも簡単で、動作させるのもそれほど難しくありません。私も最初は、これで練習しました。が、公開は終了し、現在は有料版のみとなっています。ネットで検索すれば、まだ入手できるようです。
• TinyVPN・・・・・・使いやすそうですが、制限があるようなので、使用したことはありません。
• PPPTP・・・・・・・Windows 標準の簡易VPNです。標準なので、インストールなど簡単ですが、ルーターを乗り越えるのがかなり難しい。一般的なルータ、光フレッツなどでは、無理です。
• IPsec・・・商用利用では、一般的な用ですが、個人で利用するのは。。。
• ルーターを用いたVPN接続・・Yamahaのルーターなどでサポートされているようですが、詳しくは知りません。。。

　はじめは理解するのが困難ですが、触っているうちにわかるようになるかと思います。ネットワークは、下記の通りとなります。

図１

注意点

• 自宅と職場ではLANアドレスのグループが異なってなければなりません。光フレッツプレミアムの場合は、そのままですと192.168.24.xxとなってしまいますので、どちらかの設定のし直しが必要です。ここでは、自宅アドレスを192.168.20.xxとしています。
• OPENVPNは、物理的なLANポートと仮想的なLANポートの２つを持つことになります。
• OPENVPNクライアントが、UDP Port 1194(デフォルトのOPENVPN)を通して、Global Address 122.21.217.102にあるOPENVPNサーバーに接続されます。接続後、OPENVPNサーバー内で、職場のLANとブリッジされ、OPENVPNクライアントは、192.168.24.11のアドレスをもらいます。こうすれば、自宅のパソコンはあたかも職場にあるパソコンのLAN内にあるかのように振る舞います。この接続がされれば、職場のどのパソコンにもアクセス可能です。
• Global Addressを固定で持つには、それなりのコストがかかります。私の場合は、Dynamic DNSサービスを利用して、たとえば、shokuba.dyndns.orgと指定してあげることで、接続可能となります。（別途、Diceなどのソフトを使うとよいでしょう）
• これでも十分なセキュリティとは思いますが、私の場合はさらに下記の構成としています。

図２

• 院内LANからは、直接はインターネットに接続できません。(Proxyサーバーを通してのみのアクセスとなります）・・もちろん内部ルータの設定いかんによりますが。
• 先ほどのOPENVPNサーバーは、パケットリピータstoneを動作させるのみとなります。UDP 1195にきたOPENVPNのパケットは、UDP 1194に変更され、内部ルーター(192.168.24.79)を通って、院内LANにあるOPENVPNサーバーに接続されます。
• 図1と同じようにOPENVPNサーバーを通して、自宅のOPENVPNクライアントは、192.168.11.51をもらい、院内LANと同じアドレスグループとなります。
• セキュリティ向上のためには、最初図１の構成でつないで、その後、リモートデスクトップなどの方法でstoneを起動し、一度VPNを切断。再度、図２のルートで接続すれば、院外からの攻撃もほとんど不可能となると思われます。
• 必ずしも、すべてのパソコンの電源が投入されている必要はありません。サーバーのみ電源が入っていれば、WOL(Wake On LAN)の手法で、ネット内にあるパソコンは電源投入できます。
• サーバの電源が入っている場合には、やはり攻撃を受ける可能性があります。私は、WOLshooterを改変して、電源投入していますが、最近はこんな機器も発売されています。一般的にWOLパケットは、ルーターを超えることは出来ません。
• 院内のパソコンのプリンタも使えるようになりますが、クライアントで使えるプリンタも同じように使えますので、紹介状を作成してプリントなども可能です。
• まずは、図１の構成がうまくいくようになってから、次に図2とステップアップしていくことをおすすめいたします。