そこでRussell Sutherland氏はOpenVPNをトロント大学で活用するVPNソリューションとして採用したと説明。OpenVPNはSSL/TLSを活用して動作するVPNの統合ツールだ。複雑な作業・設定を行うことなく簡単にVPNが実現できるようにSSL/TLSや各種機能が統合されている。

氏はOpenVPNの利点を次のようにまとめている。

  • ユーザレベルの認証が可能
  • 多くのOSで動作する
  • 無料で使用できる
  • オープンソースソフトウェアである
  • クライアントとサーバが同一であるという特徴がある
  • レイヤ2およびレイヤ3カプセル化に対応
  • UDPトンネルおよびTCPトンネルが可能
  • ファイアウォールやNATと親和性が高い
  • 設定が簡単
  • 柔軟性が高い
  • WindowsおよびMac OS XへのGUIの提供
  • 高性能なログ機能の提供

Russell Sutherland氏が管理しているトロント大学には2万人に及ぶ教職員・スタッフと、1万人に及ぶ大学院生がいる。これら合計3万人に対して大学のネットワークへのアクセスを提供する必要があり、そのために最終的に選ばれた候補がOpenVPNだったというわけだ。

UTORid、3万人にVPNを提供する統合システム

Russell Sutherland氏は最終的に次のコンポーネントで構築されたVPNシステムを開発した。同システムはUTORidと呼ばれている。もともとOSにはDebianを採用していたそうだが、2008年5月、BSDCan 2008が開催されている最中にOpenSSLに誤ったパッチを適用していたため脆弱性があることが発覚し、それを機にFreeBSD 7.0へ移行したという。

  • FreeBSD 7.0
  • OpenVPN
  • Apache HTTP Server
  • PHP
  • MySQL
  • NSIS (nullsoft scriptable install system)
  • Kerberos + LDAP
  • Local CA + Self Signed Certifilacates
  • Dell PowerEdge 2950

Dell PowerEdge 2950

UTORidの管理画面はPHPで開発されたものだ。クライアント側はWindows、Mac OS X、Linux、FreeBSDなどそれぞれに専属のインストーラが開発され、ダウンロードして初期設定を済ませばものの10分で大学のネットワークにVPN経由でアクセスできるようになるという。Russell Sutherland氏は実際に発表しながらインストーラをダウンロードしてきて大学にVPNでログインして作業するデモをしてみせた。

UTORidの管理画面 - ユーザの状況や通信量などが一目瞭然

Mac OS Xにインストーラからシステムを入れてVPN接続をするデモンストレーション

参考価値の高い発表内容

Russell Sutherland氏の発表は次の点で興味深い。

  • VPNを構築するにあたって複数ある選択肢が簡単に紹介されている
  • OpenVPNを選択して実際に3万人に対してサービスを提供している
  • 実際に使っているソフトウェアの構成とハードウェアが紹介されている

VPNが必要とされるシーンは多いが、実際にどの程度のハードウェアを用意して、どのコンポーネントを組み合わせればいいかというのは頭の痛い問題だ。Russell Sutherland氏の発表はその点で価値のあるものと言える。大規模VPNを構築する際の参考にするとよさそうだ。