SoftEtherでVirtual Hubを分けて二世帯LANを制御する方法

未分類
2025.08.23

在宅ワークや二世帯住宅のネットワーク設計では、LANの分離VPNによる固定IPアクセスが重要になります。
特に「業務システムには固定IPからしかアクセスできない」「二世帯でLANを完全に分けたいが、一部のサーバー(NASや監視カメラ)は共用したい」といったニーズはないでしょうか?(私にはありました)。

そこで活躍するのが SoftEther VPN です。SoftEtherは日本発のオープンソースVPNソフトウェアで、Windows / Linuxサーバーに簡単に導入でき、Virtual Hub機能でネットワークを柔軟に分離・制御できます。

本記事では、私が実際に二世帯LANを設計する上で検討した「SoftEtherでVirtual Hubを分けてアクセス制御を行う方法」を紹介します。

1. 背景:VPSと固定IP出口

私の場合、既にさくらのVPSでWebサーバーを運用しており、そのVPSには固定IPアドレスが割り当てられています。
このVPSにSoftEtherを導入し、自宅とVPN接続することで、業務用のアクセス元を固定IP化できます。

さらに、SoftEtherは「Virtual Hub」を複数作成できるため、

  • 子世帯用(開発LAN)
  • 親世帯用(家庭LAN)
    といった形でVPN接続先を分けることも可能になります。

2. SoftEtherのVirtual Hubとは?

SoftEther VPNは「Virtual Hub」という単位で仮想スイッチを作成します。

  • Virtual Hub A → VLAN10(子世帯LAN)にブリッジ
  • Virtual Hub B → VLAN20(親世帯LAN)にブリッジ

このように設定すると、VPN接続したクライアントがどのLANに参加できるかを制御できます。

さらに、Access Control List(ACL)機能を使えば「このHubからは共用LAN(VLAN30)のサーバーだけアクセス許可」といった柔軟なルール設定も可能です。

3. 実現するネットワーク構成例

Internet

[さくらのVPS: SoftEther]
├─ Virtual Hub A → VLAN10(子世帯LAN: 開発環境)
├─ Virtual Hub B → VLAN20(親世帯LAN)
└─ 共用LAN VLAN30(NAS / 監視カメラ)

  • VPN-A(子世帯用アカウント)
  • VLAN10+VLAN30にアクセス可能
  • VLAN20(親世帯LAN)はアクセス禁止
  • VPN-B(親世帯用アカウント)
  • VLAN20+VLAN30にアクセス可能
  • VLAN10(子世帯LAN)はアクセス禁止

4. SoftEtherでの設定手順

ステップ1:SoftEtherのインストール

VPSや自宅サーバーにSoftEtherを導入します。https://ja.softether.org/4-docs/1-manual/7/7.3 に公式手順があるので、参考にして作業を進めます。

```bash
wget https://github.com/SoftEtherVPN/SoftEtherVPN_Stable/releases/download/v4.43-9799-beta/softether-vpnserver-v4.43-9799-beta-2023.12.31-linux-x64-64bit.tar.gz
tar xzvf softether-vpnserver-*.tar.gz
cd vpnserver
サービス登録:
make
sudo mv vpnserver /usr/local/
cd /usr/local/vpnserver
sudo ./vpnserver start

ステップ2:管理ツールで接続

  • Windowsから「SoftEther VPN Server Manager」を使って接続
  • VPSのIPを入力し、管理パスワードを設定

ステップ3:Virtual Hubを作成

  • **Virtual Hub A(子世帯用)**を作成
  • **Virtual Hub B(親世帯用)**を作成

それぞれにユーザーアカウントを発行します。
例:

  • user_child → Hub Aに接続
  • user_parent → Hub Bに接続

ステップ4:ローカルブリッジ設定

Hubごとに自宅LANのVLANと接続します。

  • Hub A → VLAN10インターフェースにブリッジ
  • Hub B → VLAN20インターフェースにブリッジ

これによりVPNクライアントがそれぞれのLANに直結されます。

ステップ5:アクセス制御(ACL)

共用サーバー(例:192.168.30.10)にだけアクセスを許可する場合、HubのAccess Listを設定します。

例:Hub Aにて

  • 許可:宛先 192.168.10.0/24(子世帯LAN全体)
  • 許可:宛先 192.168.30.10(共用サーバー)
  • 拒否:宛先 192.168.20.0/24(親世帯LAN)

同様にHub B側も設定します。

5. メリットとデメリット

メリット

  • Virtual HubでVPN接続先を完全に分離できる
  • 世帯ごとにユーザーアカウントを分けられる
  • ACLで「共用サーバーだけ許可」といった柔軟な制御が可能
  • SoftEtherは**多様なプロトコル(L2TP, SSTP, OpenVPN互換)**に対応し、スマホからも接続できる

デメリット

  • サーバーを常時稼働させる必要がある(VPSや自宅サーバー必須)
  • ルーター内蔵VPN(ASUS, TP-Link)と比べると設定項目は多い
  • 高機能な分、トラブルシューティングも複雑になる

6. まとめ

二世帯住宅や在宅ワーク環境では、LAN分離と一部リソース共有が求められます。
SoftEtherのVirtual Hub機能を使えば、

  • 子世帯用VPNは子LAN+共用LANだけアクセス可能
  • 親世帯用VPNは親LAN+共用LANだけアクセス可能
  • お互いのLANには一切干渉できない

という構成を簡潔に作ることができます。

業務用ルーターを導入せずとも、VPS+SoftEtherの組み合わせで、柔軟でセキュアな環境が実現可能です。

コメント

タイトルとURLをコピーしました