だいぶ間があいてしまいました (^^;) が、
VPN-Warp の応用例の第二回目を、お送りします。
前回は、「盗まれたノートPC を外部から操作する方法」という、
やや特殊な例だったので、
今回は、とてもオーソドックスに、
イントラの Windows マシンの「ファイル共有」を、
社外から利用できるようにする方法の紹介です。
その前に... そもそも Windows のファイル共有とは何なのか?を、
おさえておく必要があります。
といっても「Microsoft ネットワーク」は
仕様が完全に公開されているわけではありませんし、
過去のしがらみで無暗に複雑になってしまっているプロトコルなので、
深入りはしません (^^;)。
詳しく知りたい方は、
アンドキュメンテッドMicrosoftネットワーク
誰も知らなかった「ネットワークコンピュータ」の秘密
高橋基信 著, 翔泳社 (2002/06)
などを参照してください。
CIFS (Common Internet File System)
当初は TCP/IP とは似ても似つかない独自プロトコルとして始まった
Microsoft ネットワークも、
TCP/IP がネットワークの事実上の標準になるに従って、
しだいに TCP/IP に適合するように変化してきました。
まず NetBIOS が TCP/IP の上で動くようになり
(NetBIOS over TCP/IP, 略して NBT と呼ばれる)、
さらに TCP/IP に馴染まない点を整理して、
フツーの TCP/IP 上のプロトコルっぽくなったのが
CIFS (Common Internet File System) です。
CIFS は NetBIOS名でコンピュータが指定できるなど、
TCP/IP の世界とは相容れない点がまだ残っているものの、
NetBIOS名を使わずに
「ホスト名」や「IP アドレス」でコンピュータを
指定することもできるので、だいぶ使いやすくなりました。
「ネットワーク コンピュータ」でコンピュータ名が表示されない
(ブラウズ リストに含まれていない) コンピュータでも、
「\\192.168.1.1」などと指定してアクセスすることができるように
なったわけです。
NetBIOS名の名前解決 (つまり、コンピュータ名からマシンを特定する方法ですね)
には UDP/TCP 137番および UDP/TCP 138番が使われますが、
これを省略して、ファイル共有サーバの TCP 139番ポートへアクセスするだけでも、
ファイル共有を行なうことができます。
この TCP 139番ポートへのアクセスは、
SMB (Server Message Block) セッションと呼ばれます。
「VPN-Warp 入門編 (3)」で説明したのと全く同様の方法で、
ローカルホストの 139番ポートを、
リモートホストの 139番ポートへ転送するようにしておけば、
ローカルホストの 139番ポートへ接続するだけで、
リモートホストへ SMB セッションを確立することができて、
ファイル共有が可能になる、というわけです。
ローカルホスト リレー リモートホスト
stone ─────→ サーバ ←──── relayagent─→ ネットワーク アダプタ
139番ポート …………………………………………………→ 139番ポート
転送先の「ネットワーク アダプタ」は、
ファイル共有サービスを行なっている IP アドレスを指定します。
後述するように 139番ポートのサービスは、
アダプタごとに有効/無効を指定できるので、
有効になっているアダプタを指定する必要があります。
Direct Hosting of SMB (Server Message Block)
Windows 2000 以降だと、
NetBIOS 名の解決を行なわない
「Direct Hosting of SMB」
というプロトコルも使えます。
TCP/IP で名前解決 (つまり、ホスト名から IPアドレスを求める方法) を行ない、
ファイル共有サーバの TCP 445番ポートへ接続して
即 SMB セッションを確立します。
「Microsoft ネットワーク」が理解しにくいプロトコルであった一因は
NetBIOS と SMB が一体化していたことにあったわけで、
NetBIOS を必要としない SMB の登場は、
SMB が何であったかを明確化する意味も持っていたように思います。
話が脱線しますが、ふつう何かの複雑なシステムを作るときは、
単純なものから始めて、それらを一般化して標準技術として確立した上で、
それらを組合わせて複雑なシステムを構築していくものだと思いますし、
インターネットはそのようにして発展してきました。
「Microsoft ネットワーク」は逆の方向に発展 (つまり退化? ;)
したのでしょうか?
このような最初に唐突に複雑なものが登場する傾向は、
Windows に限らず他のプロプライエタリなソフトウェアに共通してみられる
傾向のようにも思われます。
「NetBIOS over TCP/IP を無効にする」設定
Windows XP 等で、
「ネットワーク接続」の各アダプタのプロパティの中の、
「インターネット プロトコル (TCP/IP)」のプロパティにて、
「詳細設定」を選択すると、
WINS タブの中に、
この「NetBIOS over TCP/IP を無効にする」という設定があります。
この設定 (以下、「NBT を無効にする」と略記) はどういう意味でしょうか?
実は、
「このアダプタにおいて『NetBIOS 付 SMB』サービスを行なわない」
という意味です。
「NetBIOS over TCP/IP」という表現で「SMBサービス」を指すのは
分かりにくいと思うのですが、それはサテオキ
この設定を行なうと、
「NetBIOS 付 SMB」すなわち 137, 138番ポートと TCP 139番ポートを
使用しなくなります (つまり listen しなくなる)。
VPN-Warp で 139番ポートを転送するには、
139番ポートを空けておかねばなりませんから、
いずれかのアダプタでこの「NBTを無効にする」設定を行なう必要があります。
ファイル共有サービスを外部へ提供しない PC
(ノートPC などでは安全のためにも共有サービスは提供すべきではないでしょう)
ならば、
どのアダプタの NBTを無効にしても問題なさそうに見えますが、
「メイン」のアダプタ (正確に言えばデフォルトルートになっているアダプタ)
の NBT を無効にすると、
SMB サービスへアクセスするクライアント機能まで無効にされてしまうので
注意が必要です。
「Microsoft ネットワーク」が分かりにくい理由の一つに、
「クライアント」と「サーバ」の機能がきちんと区別されていない、
という点もあるのではないかと思います。
「NBTを無効にする」という表現では、
SMB サービスを利用するクライアント機能を無効にするのか、
SMB サービスを提供するサーバ機能を無効にするのか判然としませんよね?
実際には「クライアント機能」も「サーバ機能」も
同時に無効にされてしまうので、
確かに表現としては間違いではないのですが...
クライアント機能まで無効にされては、
なんのために VPN-Warp で 139番をポートフォワードするのか分からなくなるので、
NBT を無効にする専用のアダプタを (メインのアダプタとは別に)
追加するのがよいでしょう。
まず
「コントロールパネル」から「ハードウェアの追加」を選び、
「新しいハードウェア デバイスの追加」をクリックして、
「一覧から選択したハードウェアをインストール」を選びます。
そして「ネットワーク アダプタ」の中から、
「Microsoft Loopback Adapter」を追加インストールします。
インストールした Loopback Adapter の「TCP/IP 詳細設定」を開くと、
「IP アドレスを自動的に取得する」がデフォルトになっていますが、
ループバックに DHCP サーバを走らせても仕方がないので、
「次の IP アドレスを使う」を選択して、
適当な IP アドレス、例えば「192.168.168.1」を設定します。
そしてもちろん、
WINS タブの中の「NetBIOS over TCP/IP を無効にする」を設定します。
「NetBios over Tcpip」ドライバを使わない設定
前述したように「NetBIOS 付 SMB」はアダプタごとに
無効にすることができるのですが、
「Direct Hosting of SMB」すなわち「NetBIOS 無し SMB」は
全てのアダプタをまとめて無効にすることしかできません。
しかも Microsoft 流 (?) に、
クライアント機能とサーバ機能の区別がついてませんから、
サーバ機能だけ無効にするということができないようです。
「コンピュータの管理」の「デバイス マネージャ」で、
「プラグ アンド プレイではないドライバ」
(「表示」メニューにて「非表示のデバイスの表示」を選択すると表示されます)
の中から「NetBios over Tcpip」を選んで
「このデバイスを使わない(無効)」設定にすれば、
「NetBIOS 無し SMB」を無効にできますが、
これを設定してしまうと SMB に関する全ての機能が利用できなくなってしまうので
現実的ではありません。
繰り返しになりますが (くどい? ^^;)、
「NetBIOS 無し SMB」を有効/無効するための設定が、
「NetBios over Tcpip」ドライバを使う/使わない、という名称なのは、
なんとかならないのでしょうかねぇ?
なんだかわざと分かりにくくしようとしているんじゃないかと
勘繰りたくなります。
したがって、
Windows PC の 445番ポートを転送させることは現実的ではありません。
私は Windows なノート PC 上で
coLinux を走らせているので、
この Linux 上の 445番ポートを VPN-Warp でポートフォワードしたりしていますが、
まあそこまでやらなくても、139番をポートフォワードするほうがよいでしょうね。
VPN-Warp の設定
長々と Microsoft ネットワークについて説明してしまいましたが、
要約すれば Windows PC の Loopback Adapter の 139番ポートを
VPN-Warp を使ってファイル共有サーバの 139番ポートへ転送すればよい、
ということになります。
そして (いままでの説明が長かったこととは裏腹に ;-)、
VPN-Warp 自体の設定はとても簡単です。
まずファイル共有サーバ側で走らせる relayagent の設定は次の通りです:
-c "C:/Program Files/KLab Security/VPNワープ relayエージェント/user.pem"
-k "C:/Program Files/KLab Security/VPNワープ relayエージェント/user.pem"
-n
relay.klab.org:443 192.168.1.129:139
フォワード先が 192.168.1.129 (この IP アドレスは私の PC の場合の例です) の
139番ポートになっている他は、
前回の「盗まれたノートPC を外部から操作する方法」と同様ですね。
「192.168.1.129」は、
「NetBIOS 付 SMB」サービスを行なっているアダプタの IP アドレスで
読み替えてください。
一般的には「ローカル エリア接続」などの名称になっているアダプタでしょう。
次に、ローカルホスト側、
つまりファイル共有サーバを利用するクライアント側 (ノートPC など) は、
stone を以下の設定で動かすだけです:
-q cert=user.pem
-q key=user.pem
relay.klab.org:443/ssl,http 192.168.168.1:139 "GET / HTTP/1.1"
これも、前回と異なるのは転送元の指定である「192.168.168.1:139」の
部分だけですね。
Loopback Adapter の IP アドレス (この例では 192.168.168.1) と、
139番ポートを指定します。