SORACOM プラットフォームを活用して店舗や工場、オフィスなどに設置する複数の機器へのリモートアクセスのネットワーク構成を解説します。1 台の PC や機器にリモートアクセスする場合は、リモートアクセスに活用する を参照ください。
構成の概要
機器とローカルネットワークで接続し SORACOM IoT SIM の 3G/LTE 通信を介するハードウェア/通信機器を、ここでは ローカルゲートウェイ と呼びます。市販製品では LTE ルーターや IoT ゲートウェイがあり、SORACOM IoT SIM 動作確認済みの SORACOM 認定デバイス が候補として挙げられるでしょう。SORACOM のリモートアクセスサービスとローカルゲートウェイの中継・転送機能を組み合わせて複数機器へのリモートアクセスを実現します。
利用する SORACOM サービス
SORACOM IoT SIM は日本国内や世界各国で利用できる 3G/LTE セルラー通信を提供します。SIM にはプライベート IP アドレスが割り当てられインターネットから直接アクセスできないセキュアなネットワーク構成になっているため、リモートアクセスのための以下 2 つの SORACOM サービスのいずれかを組み合わせます。
SORACOM Napter は、インターネットからアクセスできる一時的な IP アドレスおよびポート番号を提供します。遠隔からインターネット経由で IP アドレスおよびポート番号に接続すると、Napter は SORACOM IoT SIM のプライベート IP アドレスおよび指定のポート番号に通信を転送します。これにより、ローカルゲートウェイへのリモートアクセスを可能にします。
SORACOM Gate は、SORACOM IoT SIM 同士の通信 (Device to Device: D2D) およびクラウドやオンプレミスからのプライベートネットワーク接続 (Cloud to Device: C2D) を提供します。遠隔から SORACOM IoT SIM のプライベート IP アドレスに接続し、ローカルゲートウェイへのリモートアクセスに利用します。また、セキュアリンクサービス SORACOM Arc を利用してインターネット VPN 経由で SORACOM Gate D2D を利用することもできます。
2 つのサービスの差異を以下に示します。
| 項目 | SORACOM Napter | SORACOM Gate |
|---|---|---|
| 有効期限 | 最長 8 時間 | なし |
| プロトコル、ポート | TCP のみ、任意のポート番号を指定 | プロトコルを問わない TCP/IP 通信 が可能 |
| インターネット | 経由する (TLS による暗号化オプション有) | 経由しない |
| VPG | 不要 | 必要 |
メンテナンスなど一時的なリモートアクセスには SORACOM Napter、遠隔監視など定常的なリモートアクセスには SORACOM Gate が向いていると言えるでしょう。それぞれのサービスの使いかたは以下を参照してください。
ローカルゲートウェイの機能と仕組み
ローカルゲートウェイは、SORACOM のリモートアクセスサービスの通信をローカルネットワークの機器に中継する機能を持ちます。大きく分けて 2 通りの方式を利用します。
- 転送 : ポートフォワード/ポートマッピング、リバースプロキシ
- リモートログイン : SSH/RDP
転送
ローカルゲートウェイが特定ポートの通信を待ち受け、ローカルネットワークの IP アドレスおよびポート番号に通信を転送します。これは、ルーター機器では ポートフォワード や ポートマッピング 、または DMZ や バーチャルサーバー など様々な機能名で呼ばれています。機能の名称や具体的な設定方法についてはご利用の機器の取扱説明書を参照ください。また、ローカルゲートウェイが Linux OS を実行するマシンの場合は Netfilter (iptables) やリバースプロキシソフトウェアを利用します。
SORACOM Napter と組み合わせる場合は、Napter の デバイス側ポート とローカルゲートウェイで待ち受けるポート番号を合わせて構成します。転送先の機器が複数ある場合または転送する通信が複数の場合は、Napter およびローカルゲートウェイの転送設定をそれぞれ増やして対応します。以下は、3 台の機器のそれぞれのポートに Napter でアクセスする設定を例示したものです。
たとえば、リモートアクセス元から Napter の XX.XX.XX.XX:12300 に接続すると、Napter が SIM1 の 65001 番ポートに転送し、ローカルゲートウェイはそれをローカルネットワークのホスト 192.168.1.10 の 3389 番ポートに転送します。
SORACOM Gate では、リモートアクセス元からローカルゲートウェイの SIM の IP アドレスおよび転送設定のポート番号にアクセスします。
たとえば、リモートアクセス元から SORACOM IoT SIM の プライベート IP アドレス 10.128.10.10 の 65001 番ポートに TCP 接続すると、ローカルゲートウェイはそれをローカルネットワークのホスト 192.168.1.10 の 3389 番ポートに転送します。
リモートログイン
リモートアクセス元からローカルゲートウェイにリモートログインの仕組みで接続し、さらにリモートログインした画面やターミナル上でローカルネットワークの機器にアクセスする方式です。
リモートアクセスに活用する と同様にリモートデスクトップや SSH などを利用するため、ローカルゲートウェイには PC など Windows OS や Linux OS が動作する機器を用います。
注意点とヒント
ローカルゲートウェイのルーティング
ローカルゲートウェイがセルラー通信とローカルネットワークのマルチホーム構成になるので、ルーティング設定に注意が必要です。ローカルネットワークが別のゲートウェイを通じてインターネットに接続する場合、ローカルゲートウェイのデフォルトゲートウェイ設定がローカルネットワークに向いていることが多いため、SORACOM のリモートアクセスサービスが利用する CIDR (100.64.0.0/10) を静的ルーティング設定などでセルラー通信に向ける必要があります。
ローカルネットワークの IP アドレス配布方法
ローカルネットワークの IP アドレス配布方法が DHCP の場合、機器の接続のたびに IP アドレスが変わるため、ローカルゲートウェイの転送先として固定することが難しい場合があります。以下の方式などで、機器の IP アドレスを固定する構成を検討します。
- ルーターの DHCP 設定での IP アドレス予約、機器での静的 IP アドレス設定
- リモートログインの場合は、ローカルネットワークの機器にホスト名でアクセスできる Bonjour/Zeroconf も有効
トラブルシューティング
設定して上手く通信できないときには、以下の機能が原因の切り分けに役立ちます。
- SORACOM Peek は SORACOM IoT SIM の通信をキャプチャするサービスです。リモートアクセスを試行する際にパケットキャプチャを実行し、IoT SIM にリモートアクセス通信が届いているか確認できます。
- Napter 監査ログ は、Napter によるリモートアクセスのログを確認できる機能です。リモートアクセスが Napter によるなんらかの制限で拒否されていないかどうか確認できます。