そこでRussell Sutherland氏はOpenVPNをトロント大学で活用するVPNソリューションとして採用したと説明。OpenVPNはSSL/TLSを活用して動作するVPNの統合ツールだ。複雑な作業・設定を行うことなく簡単にVPNが実現できるようにSSL/TLSや各種機能が統合されている。
氏はOpenVPNの利点を次のようにまとめている。
- ユーザレベルの認証が可能
- 多くのOSで動作する
- 無料で使用できる
- オープンソースソフトウェアである
- クライアントとサーバが同一であるという特徴がある
- レイヤ2およびレイヤ3カプセル化に対応
- UDPトンネルおよびTCPトンネルが可能
- ファイアウォールやNATと親和性が高い
- 設定が簡単
- 柔軟性が高い
- WindowsおよびMac OS XへのGUIの提供
- 高性能なログ機能の提供
Russell Sutherland氏が管理しているトロント大学には2万人に及ぶ教職員・スタッフと、1万人に及ぶ大学院生がいる。これら合計3万人に対して大学のネットワークへのアクセスを提供する必要があり、そのために最終的に選ばれた候補がOpenVPNだったというわけだ。
UTORid、3万人にVPNを提供する統合システム
Russell Sutherland氏は最終的に次のコンポーネントで構築されたVPNシステムを開発した。同システムはUTORidと呼ばれている。もともとOSにはDebianを採用していたそうだが、2008年5月、BSDCan 2008が開催されている最中にOpenSSLに誤ったパッチを適用していたため脆弱性があることが発覚し、それを機にFreeBSD 7.0へ移行したという。
- FreeBSD 7.0
- OpenVPN
- Apache HTTP Server
- PHP
- MySQL
- NSIS (nullsoft scriptable install system)
- Kerberos + LDAP
- Local CA + Self Signed Certifilacates
- Dell PowerEdge 2950
UTORidの管理画面はPHPで開発されたものだ。クライアント側はWindows、Mac OS X、Linux、FreeBSDなどそれぞれに専属のインストーラが開発され、ダウンロードして初期設定を済ませばものの10分で大学のネットワークにVPN経由でアクセスできるようになるという。Russell Sutherland氏は実際に発表しながらインストーラをダウンロードしてきて大学にVPNでログインして作業するデモをしてみせた。
参考価値の高い発表内容
Russell Sutherland氏の発表は次の点で興味深い。
- VPNを構築するにあたって複数ある選択肢が簡単に紹介されている
- OpenVPNを選択して実際に3万人に対してサービスを提供している
- 実際に使っているソフトウェアの構成とハードウェアが紹介されている
VPNが必要とされるシーンは多いが、実際にどの程度のハードウェアを用意して、どのコンポーネントを組み合わせればいいかというのは頭の痛い問題だ。Russell Sutherland氏の発表はその点で価値のあるものと言える。大規模VPNを構築する際の参考にするとよさそうだ。