自作テレワークシステム
テレワークシステム
今年後半は、このところ仕事でお世話になっている元同僚と病院システム構築のお仕事することになっているが、あまり工数をかけずにテレワークシステムになるものを付けましょう、ということになり、お金をかけずにプロトタイプを作成した。
- ラズパイにSoftEtherVPNクライアント、もしくはブリッジを仕掛けた端末
- SoftEtherVPNブリッジを仕掛けたWindowsパソコン
- クラウド(Amazon Web Services)に用意したSoftetherVPNサーバ
パソコンは性能的にも少し前の使っていないパソコンでも良いし、最新ラズパイの4でも1万円以内で組み込めるし、AWSはネットワーク中継点だけなので、1年無料枠でお金がかからないようにした。 システム構成図としては以下の感じ。
テレワークシステム構成イメージ | クラウド上の SoftEtherVPNサーバには 仮想Hubがあり、 各拠点ごとに ネットワークが わけられています。 これによって、 セキュリティ境界の設定ができる上に、 個別の仮想Hubへの接続を切り替えるだけで 簡単に拠点間の境界を越えて、 端末どおしを接続する ことができます。 |
SoftetherVPNの機能を使って、まずはベースのネットワーク機能を作り込みました。
- VPN接続して、拠点間は同一ネットワークとなるので、ラズパイからWakeOnLanを使うことで、遠隔地のサーバを自動起動できます。
ラズパイであれば常時起動でも、消費電力がほぼゼロですし、サーバも操作が終われば電源断できるので、セキュリティ的にも安心です。 - 匿名認証、パスワード認証から、セキュリティを高めたデジタル証明書に、管理者がツールを使って、短い時間で設定変更できます。
(SoftEther提供ツールで、セキュリテイのグレードを管理者がコントロールできます) - LANの接続口にあるルータやファイアーウォールでアドレス変換がされていても、これを通過してVPNを確立することが簡単にできます。
新たにネットワーク機器を追加する必要もなく、ネットワークの設定を変更することもなく、数分の操作で、拠点間接続が簡単にできます。
また、Amazon Web Servicesは、中継点としてだけ使うので、万が一セキュリティを破られることがあっても、基本的にからっぽシステムなので、侵略者にとって面白いことが何一つできるものではありません。その意味でとってもセキュアです。 - ネットワーク要件によっては、既存LANとはまったく違うネットワーク(セグメントの違うIPアドレスを配る)にしたり、同一LANにブリッジした上で、レイヤ3レベルでアクセス制御して、既存LANの通信をコントロールするなど、幅広くネットワークをデザインできます。
テレワーク環境をより良いものにするために、色々試してみました。 そして「からくり」追加によって、オープンソースであるNextCloudを使って、オンラインストレージ機能とWeb会議を組み込めました。
- NextCloudは自分のプライベート領域に、自分の好きなようにデザインして、機密データであっても安全に配置して、しかも管理権限を適切に設定してセキュア―に使用できます。
Webブラウザからの管理画面で、簡単な操作で管理業務も把握できるので、運用面でもスマートです。 - Dropbox、GoogleDriveなど、ちまたのオンラインストレージサービスでは、世界のどの国のクラウド領域に管理されているのか分からないし、最近はやりの「ZOOM」などWeb会議システムでは、プロトコル上での公表の強度よりも弱い設定で通信がされていたとか、実は中国国内の中継サーバを経由していたとか、その仕組みが公開されているわけではないので、完全に安心して運用できない問題があります。
そこで、SoftEthetVPN、NextCloudを使って、自分でシステム構成をデザインして、完全に自分が掌握した環境内で便利に利用できる仕組みを考えました。 - 仕組み作り込みでひらめいたのが、SoftEtherの拠点ごと仮想HUB以外に、NextCloud Talk:Web会議用の仮想Hubを生成して、そこに接続した上で、Web会議を利用する方法です。
これであれば間違いなく悪意のある外部接続をガードできますので、ZOOMの代替案になると思います。実際に試すと、SoftEtherVPNの接続を切ると、遠隔通信は操作時点で即通信不可になりました。
また、重要ではない大人数の会議はZOOMなどで行い、重要な意思決定の会議はVPN内のWeb会議という切り替え運用もできそうです。 - NextCloudを使ったプライベートストレージでは、ストレージの調達の仕方にも色々バリエーションがありそうです。
今回、モニタシステムでは、NextCloudサーバはAWSクラウド上に置きましたが、自分の事業所内にストレージを置いても良いし、自分の事業所内の余っているサーバにNextCloudサーバを構築しても構いません。さらに、ラズパイ用のデストリビューションとして、「NextCloudPi」というものがあります。
ラズパイ4上でこれを動かしてみましたが、ほぼ同じ操作で運用できました。ラズパイであれば最新のラズパイ4でもアクセサリ込み1万円以内で追加できます。 - NextCloudについては、試した範囲で、ベースのデータ管理周りの機能以外にも、WebDAVやらWeb会議やらありましたが、さらにプラグイン機能によって、2段階認証機能やらグループウエア機能やら、いっぱいありました。
アプリメニューには使えるアプリがてんこ盛りで、「注目のアプリ」メニューに並んでいる機能を数えてみると、61個もありました。さらに、Talkでもスマホ用のクライアントアプリが利用できましたし、その画面メニューにも、アプリのボタンが並んでいました。
アプリケーション環境としても魅力的だと思いました。
運用のイメージ
自宅からオフィスに接続
自宅からオフィスに接続して、サーバを起動 |
①オフィスにSoftErtherVPNクライアントから接続する ②オフィスのラズパイにUlrtaVNCで接続する ③ラズパイのデスクトップアイコンクリックし、WakeOnLanでオフィスのサーバを起こす ④ラズパイのリモートデスクトップソフトからサーバに接続する |
オフィスサーバのメールチェックとEXCELを操作 |
オフィスのサーバで、会社のメールアカウントをチェックします。 EXCELを直接、操作もできますし、ファイル転送して、自宅で操作することもできます。 また、これにNextCloudを使ったWeb会議などを使えば、直接会話するなどのコミュニケーションも取れます。 |
オフィスから自宅に接続
オフィスから自宅にリモート接続 |
こちらは、オフィスのパソコンから自宅にSoftEtheVPNクライアントを使って、VPN接続したところです。 オフィスに居ながら、自宅パソコンを操作できます。 同一LANになるので、Chromeブラウザから自宅1Fの状況と、2Fから前の家の状況をWebカメラで見ています。 (前の家から、不審者を心配しての相談があった) |
テレワークシステムにWebカメラシステムの要素も組み込めます。
自宅2FのWeb画面 これまでの撮影状況を 確認するために 画面をクリックします。 |
|
設定で映像については 一週間の保存データが 蓄積されています。 動態検知設定によって、 状況に変化があった時に 撮影されて残っています。 ※ 保存時間はラズパイの MicroSDカードの 保存容量と相談 |
|
ライブビュアーを使って、 その時の内容をその場で 確認できます。 また、過去の映像、画像も 蓄積していて、その場で 確認できます。 不審者も確認できます。 |
|
リモートソフト UltraVNC のファイル転送機能を使って 自宅のノートのデータを オフィスのパソコンに 転送しました。 |