自宅にVPN環境を構築してみた

はじめに

こんにちは大野です。
今回は、自宅にYAHAMA RTX1200を導入し、インターネット、無線LANに加えてVPN環境を導入したことについて書きます。

まず、私の一番の趣味は旅行です。
自宅にはNAS(Network-Attached Storage)があり、自宅ネットワークに接続しており、趣味や雑用に関する多くのデータはこのNASに保存しています。

コロナ禍で大きく普及したテレワークでは、自宅から社内ネットワークを利用するためにはVPNを利用されていると思います。
それに加え、VPNでは接続元のIPアドレスを匿名化できるため、セキュリティを高めるためにVPNサービスも普及しつつあります。

ここで、旅先から自宅のNASに接続することを主目的として、自宅にVPN環境を構築しようと思います。

注意事項

私用のPCは、Windows 10とMacBook Proを使用しています。
画面のスクリーンショットは、WindowsとMacのものが混在していますが、eo光多機能ルーター(eo-RT100)、YAMAHA RTX1200のコントロールパネルの操作画面、操作方法はどちらも共通になります。

今回使用する機器と配線

私の自宅のインターネット環境はオプテージ社のeo光を利用しています。
固定電話もeo光電話です。
それを前提に作業を進めて行きます。

ONU

eo光の契約時にオプテージ社よりレンタルしているONU(Optical Network Unit＝光回線終端装置)です。
光信号とデジタル信号を相互に変換し、インターネット接続を行うための機器なので、光通信には必要不可欠な機器です。
ONUは家庭用、業務用の環境を問わず、回線契約時に回線事業者よりレンタルするのが一般的です。

eo光多機能ルーター (eo-RT100)

eo光の契約時にオプテージ社よりレンタルしているルーターです。
eo光多機能ルーターは大きく分けて下記の3つの機能を有しています。

• eo光電話アダプター機能
• ルーター機能
• 無線LANアクセスポイント機能

今まではこの3機能全てを使用してきました。
自宅の固定電話はeo光電話を使用しているため、通常の固定電話機でeo光電話を使用するためには、eo光電話アダプターか、同等の機能を持つeo光多機能ルーターが必要です。

eo光多機能ルーターは民生向け(家庭用)のルーターなので、本来は機器を適切に接続するだけで自動設定で簡単に通信が行える代わり、業務用と比較して設定の自由度は低く、VPNには対応していません。

そのため、今回はeo光多機能ルーターは「eo光電話アダプター機能」のみを使用するように設定を変更し、ルーター機能を「YAMAHA RTX1200」、無線LANアクセスポイント機能を「YAMAHA WLX202」で担うように設定していきます。

YAMAHA RTX1200

YAMAHAのイーサネット、VPNに対応した業務用のルーターです。
業務用なので新品は高価(十万円以上)ですが、古い機種ということもあり、中古では安価(数千円)で購入可能です。
古い機種と言えど耐久性、性能は十分です。

YAMAHA WLX202

YAHAMA RTX1200には無線LANアクセスポイント機能は無いため、無線LAN(Wi-Fi)を使用するためには、無線LANアクセスポイント機器が必要です。
今回は無線LANアクセスポイント機器はYAMAHA WLX202を使用します。
ルーターと同じYAMAHA製なので、連携して設定を行いやすいことが大きな特長です。
こちらも業務用なので新品では高価ですが、古い機種なので中古では安価で購入可能です。

配線図

各種機器を配線すると、このようになります。

WAN用ポートは青色、LAN用ポートは黄色、電話用ポートは赤色で分けてポートを描いています。
eo-RT100は分かりやすいように、WAN専用ポート、LAN専用ポート、電話専用ポートがあります。
RTX1200はユーザが設定する想定なので、LAN1、LAN2、LAN3という名前ですが、基本的にLAN2をWAN用ポート、LAN1をLAN用ポートとして使用します。
eo-RT100はLANポートが4つなのに対し、RTX1200のLAN1ポートは8つで、より多くの機器を有線LANで接続できることも大きなポイントです。

コロナ禍以降はテレワークする機会も増え、ゲームはオンライン対戦時のタイムラグを減らすために通信を安定させるには有線LANが必要なので、有線LANのポートが多いことはメリットが大きいです。

下準備 (eo-RT100の設定)

下準備として、配線が完了したら、eo光多機能ルーター「eo-RT100」の設定を変更します。

「eo光ネット ルーター設定」、「ルータモード」の「使用する」のチェックを外し、設定を保存すると「eo光電話機能」のみを使用するように設定が変更され、LANポートから市販ルータのWANポートに繋ぐと、ルーティングせずにONUから市販ルータへそのまま回線を横流しするようになります。

この設定を行うと、RTX1200、WLX202の設定を完了するまで、今まで利用出来ていたeo光のインターネット、及び有線LAN、無線LANの通信が利用出来なくなるので注意が必要です。

今回の設定例はeo光、及びeo光電話を利用している場合になります。
eo光以外のプロバイダーを利用している場合は設定画面が全く異なり、eo光を利用していてもeo光電話を利用していない場合はeo-RT100を介さずにONUから直接RTX1200に接続することも可能になります。

ネットワーク環境の構築

初期設定は、下記のYAHAMA RTX1200の公式ドキュメントに沿って作業を進めて行けば基本的な設定は可能です。
L2TP/IPsecを使用したリモートアクセス : RTX1200 Web GUI設定

まずは公式ドキュメントの「インターネット接続設定」より、初期ログインから、「23」のLAN2で「PPPoE」がUPになり、有線LANでインターネット接続ができるようになるまで設定を進めます。

大方はこの公式ドキュメントの「インターネット接続設定」通りに進めていけば初期設定は可能ですが、私が詰まった点を中心に軽く解説していきます。

LANの設定

「インターネット接続設定」の「12」～「14」のLANの設定です。

ここでは、LANで用いるローカルIPアドレスの設定を行います。

ネットワークアドレスとサブネットマスクにより、使用するローカルIPアドレスの範囲を設定します。

こちらでは、先ほど設定したローカルIPアドレスの範囲より、LANに接続した機器にDHCPで自動的に割り当てるローカルIPアドレスを設定します。

ネットワークアドレスとブロードキャストアドレスを除く、その間のローカルIPアドレスで範囲設定が可能ですが、今回は200番台は後述するVPNの割り当て設定で使用するため、「192.168.102 ～ 192.168.100.191」に設定しています。

プロバイダの設定

「インターネット接続設定」の「18」～「19」の回線の種類と接続情報、及びプロバイダの設定です。
ここでは、インターネット通信を行うための、契約しているプロバイダの設定を行います。

eo光多機能ルーター (eo-RT100)を始め、プロバイダの契約時にレンタルしたルーターでは、正しく配線を行うだけで自動的に設定されることが多いですが、今回は社外品のルーターを使うため、自分で設定を行う必要があります。

手元にプロバイダの契約書類を用意し、そのIDやパスワードを参照しながら進めます。

プロバイダ、回線に合わせて回線の種類を選びます。

分からない場合は、ヘルプ、プロバイダの公式ホームページやドキュメントを参考にしながら確認します。

次に、プロバイダの情報を入力し、常時接続するにチェックを入れます。

L2TP/IPsec VPNを使用する設定

「インターネット接続設定」の「21」のセキュリティフィルターの設定です。

ここでは、そのアプリケーションや通信を許可するか拒否するかの設定が可能ですが、今回はVPNを構築するので「L2TP/IPsec VPNを使用する」に必ずチェックを入れる必要があります。

後でも設定可能ですが、私の場合はウィザードでチェックを入れなければ、後で設定を行っても上手くVPN通信が行えませんでした。

ここでは、あくまで通信の許可設定のみを行います。
この許可設定に際してVPNの設定は必須では無いため、まずは許可設定を行いましょう。

無線LAN (WLX202) の構築

スイッチ制御

スイッチ制御に対応したYAMAHA製の機器をRTX1200に接続した場合、RTX1200の管理画面からスイッチ制御で簡単にその機器の管理画面へアクセスすることが可能です。

左ペインの「スイッチ制御」をクリックし、スイッチ制御の設定を行います。

WLX202はRTX1200でLAN用のポートとして使用しているインタフェース「LAN1」に接続しているので、LAN1のスイッチ制御を「する(ON)」に設定します。

これで設定が完了です。

設定が完了したら、「実行」ボタンをクリックしてスイッチ制御を実行します。

このように、RTX1200に接続した機器がトポロジーとして表示されていれば、成功です。

今回接続した機器は赤四角形で囲ったWLX202です。
機器が表示されない場合は配線、若しくはスイッチ制御の設定が間違っているなどの可能性があります。

機器のアイコンをクリックすると、機器のステータスが表示されます。

機器の情報(機器名、ローカルIPアドレス、MACアドレス、給電状態)のほか、各ポートのアイコンの上にマウスカーソルを載せると通信の状態を確認することも出来ます。

更にステータスの画面でクリックすると、対象の機器のコントロールパネルに飛びます。

今回は、WLX202のコントロールパネルが新しいタブで開きます。

無線LANの設定

詳細な通信設定は一旦はデフォルトのままで問題無いので、SSIDの設定に進みます。

これは既に2つのSSIDを追加した画面になりますが、2.4GHz、5GHzの2つの周波数帯用のSSIDを設定するのが一般的です。

なお、動作モードを「VAP(Virtual Access Point)」、VLAN IDをSSIDごとに割り当てる設定以外の設定項目は、民生用の多くのルーターと同じです。

端末のローカルIPアドレスの固定化

端末のローカルIPアドレスは、ネットワーク接続時にDHCPにより自動的に割り当てが行われます。
特に、設定画面へのアクセスや接続時にローカルIPアドレスが必要なNAS、リモートデスクトップやVNCの接続を想定しているPCなどは、ローカルIPアドレスを固定化する設定が必要です。

まずは、「DHCP認証」の設定画面にアクセスします。

ここでは、LANに接続している端末の一覧が表示されます。

ホスト名、MACアドレス、ローカルIPアドレスが表示されます。

「新しい端末を登録する」から、MACアドレスとローカルIPアドレスの対応を設定するとローカルIPアドレスを固定化できます。

設定可能なローカルIPアドレスの範囲は、最初に設定した「IPアドレスの割り当て範囲」に準拠します。

なお、本設定を行っておらず、ローカルIPアドレスが変わり設定画面などにアクセスできなくなった場合は、各端末のローカルIPアドレスはこの画面で確認できますが、毎回の確認は非常に不便なので、固定化を推奨します。

VPNの構築

eo光でインターネット通信を行うだけならば、従来通りeo光多機能ルーター(eo-RT100)だけで十分だったと言えます。
インターネット、無線LANの環境が整ったので、今回の主目的と言えるVPNを構築していきます。

NetVolante DNSサービスへの登録

グローバルIPアドレスが固定では無い環境を利用している場合、当然ですがグローバルIPアドレスが勝手に変わってしまう場合があります。
その場合は、グローバルIPアドレスが変わるたびに、VPNの接続先サーバの設定を新しいグローバルIPアドレスに変更しなければならなくなります。

その問題を解決するためのサービスがYAMAHAの「NetVolante DNSサービス」です。
NetVolante DNSサーバに任意のホスト名を登録し、登録したホストアドレスをVPNの接続先サーバに設定することで、グローバルIPアドレスが変更されても、常にホストアドレスから名前解決できるようになるため、グローバルIPアドレスの変更監視や、変更時のVPN設定の変更の必要が無くなり、運用が容易になります。

ここまでの設定は基本的にGUIで行うことが出来ましたが、NetVolante DNSサービスはGUIでは登録出来ないので、CLIでの登録が必要です。
コントロールパネル上でコマンドを入力する方法と、TelnetでRTX1200にログインしてコマンドを入力する方法があります。

Telnetで接続する場合、WindowsではTera Termなどのターミナルエミュレータから接続可能です。

Macでは2017年にリリースされたmacOS High SierraからはTelnetコマンドが入っていないため、インストールなど一工夫が必要です。(MacへのTelnetの導入方法はこちらの記事で紹介しています。)

下記の順にコマンド入力していきます。

pp select 1
netvolante-dns hostname host pp server=1 {ホスト名)
netvolante-dns go pp 1

※ホスト名には、登録したい任意のホスト名が入ります。
※TelnetでNetVolante DNSサービスに登録する場合は管理者権限が必要なので、最初に「admin」コマンドを入力して管理者ユーザーになる必要があります。

実行結果は下記のようになります。

# pp select 1
pp1# netvolante-dns hostname host pp server=1 {ホスト名)
pp1# netvolante-dns go pp 1

(Netvolante DNS server 1)
[{ホスト名}.aa2.netvolante.jp] を登録しました
新しい設定を保存しますか? (Y/N)Yセーブ中... CONFIG0 終了

「[{ホスト名}.aa2.netvolante.jp] を登録しました」と出れば、登録が完了済みです。
既に同じホスト名が登録されている場合など、エラーになる場合があります。
エラーになった場合は別のホスト名での登録が必要です。

「show status netvolante-dns pp」で登録情報を確認することが可能です。

pp1# pp select 1
pp1# show status netvolante-dns pp

(Netvolante DNS server 1)
ネットボランチDNSサービス:     AUTO
インタフェース:                PP[01]
ホストアドレス:                {ホスト名}.aa2.netvolante.jp
IPアドレス:                    ***.***.***.***
最終更新日時:                  2024/05/08 23:13:06
タイムアウト:                  90 秒

(Netvolante DNS server 2)
ネットボランチDNSサービス:     AUTO
インタフェース:                PP[01]
ホストアドレス:
IPアドレス:
最終更新日時:
タイムアウト:                  90 秒

例えば、ホスト名に「hogehoge」を登録したならば、「hogehoge.aa2.netvolante.jp」がホストアドレスになります。

digコマンドでも正常に引けることを確認します。

# dig {ホスト名}.aa2.netvolante.jp

; <<>> DiG 9.10.8 <<>> {ホスト名}.aa2.netvolante.jp
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 49243
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 4

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;{ホスト名}aa2.netvolante.jp.      IN      A

;; ANSWER SECTION:
{ホスト名}.aa2.netvolante.jp. 60    IN      A       ***.***.***.***

;; AUTHORITY SECTION:
netvolante.jp.          76613   IN      NS      nvdns03.netvolante.jp.
netvolante.jp.          76613   IN      NS      nvdns02.netvolante.jp.
netvolante.jp.          76613   IN      NS      nvdns01.netvolante.jp.

;; ADDITIONAL SECTION:
nvdns03.netvolante.jp.  76613   IN      A       18.176.11.117
nvdns01.netvolante.jp.  76613   IN      A       13.114.245.95
nvdns02.netvolante.jp.  76613   IN      A       54.178.176.150

;; Query time: 14 msec
;; SERVER: ***.***.***.***#53(***.***.***.***)
;; WHEN: Mon May 13 12:05:21 JST 2024
;; MSG SIZE  rcvd: 183

サーバ等が手元に無く、すぐにdigコマンドを実行できない場合はインターネット上で気軽にnslookupコマンド、digコマンドが実行できるnslookup(dig)テストサービスを使用すると便利です。

L2TP/IPsecの設定

L2TP/IPsecのVPNの設定を行います。

ほぼ公式ドキュメント通りで設定可能ですが、赤線で引いた「設定名」は設定名(省略可能)、「認証鍵(pre-shared key)」、「接続ユーザーID」、「接続パスワード」はVPN接続時に使う名前で、任意の文字列で設定します。

画面下部では、VPNを介して接続する機器に割り当てるローカルIPアドレスを設定します。

大きめの数字で手動で20個設定しています。

設定画面とL2TP/IPsecのステータスです。

ここからVPNアカウントの設定や追加、削除なども行えます。

「anonymous」を選択して新規登録を行うと、VPNアカウントを追加できます。

VPNへの接続

自宅でVPNの動作確認を行う場合、スマートフォンのテザリング機能でPCをスマートフォンのモバイル回線に接続して確認を行うことで容易に確認出来ます。

Windowsの場合の設定例です。

接続先に「NetVolante DNS」に設定したホスト名を登録するというのが大きなポイントで事前共有キー、ユーザー名、パスワードなども設定した通りに入力します。

VPN接続後、VPN越しに、自宅のLANに接続されているRTX 1200の管理画面が表示出来れば、VPN接続に成功している状態になります。

また、VPNの接続中は、確認くんなどのサービスで自分の接続元のグローバルIPアドレスなどは、VPNを繋いでいる先のネットワークの情報になります。

SMBを許可するための静的フィルター設定

VPN構築の主目的である、VPN越しにNASを利用するための設定を行います。
NASへの接続は、基本的にSMB(Server Message Block)というプロトコルを使用します。
主にWindowsを中心とした環境で用いられてきましたが、近年はMacでも対応しており、私のMacBook ProもSMBに対応しています。

このSMBは、SMB1が使用する139番ポート(TCP)、SMB2、SMB3が使用する445番ポート(TCP)を使用するため、これらのポートを使用して通信できるように設定する必要があります。

VPNの接続が確立出来ているならば、NASの管理画面はNASのプライベートIPをブラウザのアドレスバーに入力すれば表示出来ます。

では、SMBでNASに接続してみます。

Macならばサーバへの接続(command + K)、Windowsならばエクスプローラーのアドレスバーに「\\{NASのローカルIPアドレス}」を入力して接続します。

しかし、中々繋がりません。

これはMacでもWindowsでも同様にタイムアウトでエラーになります。

デフォルトでは、この画像のように139番ポート(TCP)と445番ポート(TCP)はIN、OUT共にreject(拒否)の設定になっているので、こpass(許可)の設定に変更する必要があります。

①の通り左横にチェックを付け、②でフィルタールールを「reject」から「pass」に置換すると一括で設定変更可能で、INとOUTの両方で設定します。

こちらのように、139番ポート(TCP)と445番ポート(TCP)が「pass」になると設定完了です。

IN、OUTの両方で設定を行います。

再度接続し、ファイルシステムでNASに入れると成功です。
下記にmacOSでの画面の例を紹介します。

macOSの場合、NASにアクセス成功すると、マウントするボリューム(共有フォルダ)の選択画面になります。

VPN構築前から自宅で利用してきたNASなので、自分のアカウントで読み書き可能な共有フォルダのみ自動選択されています。
BUFFALO製のNASを使用しているため、infoは全アカウントで読み取りのみ可能な製品情報ファイルが保存された共有フォルダです。
家族で共用利用しているため、読み書き不可能なフォルダは自分以外の家族用のフォルダになっています。

接続に成功すると、共有フォルダが表示されます。

全く初めてNASを利用する場合は、共有フォルダをクリックすると資格情報(アカウント名、パスワード)の入力を求められます。
自分のアカウントで利用可能な共有フォルダにアクセスできたら、ファイルの読み取り/書き込み/ファイル設置やフォルダ作成などの基本操作が正常に行えるか試してみましょう。

まとめ

今回はYAMAHA RTX1200を使用して自宅ネットワークにVPNを構築しました。

YAMAHAは、一般には楽器メーカーとして知られていますが、IT業界では、業務用ルーターで最も多くのシェアを占めているメーカーとして知られています。
今ではGUIのコントロールパネルが充実しているので、設定・導入の敷居が下がっていることに驚きました。
民生用よりも機能が充実し、VPNや高度な設定にも挑戦できます。

ディーネットに入社し、RTX1200とVPNを知ってからやりたかった設定ですが、漸く実行に移せました。
実際にやってみると、基礎知識があり、基本的な機器を揃えてしっかり手順を踏むと意外と難しくないことが分かります。

RTX1200は中古ならば安価で購入できるので、自宅のネットワーク環境の改善にも、ネットワークの勉強にもおすすめです。

実はVPNの設定は5月末完了し、当記事の執筆も進めていましたが、執筆に時間が掛かったので7月末の公開になってしまいました。
その分、達成感は非常に大きいものがあります。

おわりに

VPN構築後、最初の遠征は「Pokémon GO Fest 2024：仙台」でした。
毎年日本、アメリカ、ヨーロッパの各1都市で開催される、Pokémon GO最大のリアルイベントです。

写真は「ぶらんど～む一番町商店街」。

東北三大祭りに数えられる仙台七夕まつり同様の大きな七夕飾りが飾られており、「Pokémon GO Fest 2024：仙台」閉幕の翌週は「東北絆まつり2024仙台」だったため、益々盛り上がりを見せている雰囲気でした。

旅先で自宅のNASを利用できる恩恵は大きいですが、特に容量が大きなファイルの編集ややり取りには、それ相応の通信速度が必要ということ、モバイル回線を使用する場合は容量(ギガ数)が必要になるということに注意が必要です。

特に、ホテルや商業施設で利用するならばWi-Fiへの接続しての利用がおススメです。

では…。