SSブログ

【TS-253D】二重ルーター環境におけるOpenVPNの設定について【1】 [PC]

TS-253Dを購入してLinux Stationや Virtualization Stationなどを導入したら、何がしたくなりますか?

外部から「Windows」や「Linux」はガジェヲタの基本的標準な夢ですよね。


ということでその設定をしようと思ったのでいろいろ調べました。

まずうちの環境が特殊ということもありましてちょっと苦労したのでメモとして残そうかと思います。

環境は以下のようになってます。

1. 二重ルーター環境(NTTのCTUと、自前バッファロー無線ルータ)
2. フレッツ隼とV6プラス環境

まず 1 についてですが、「バッファロールーターをブリッジにすれば済むやろ」という話はありますが
意図的に二重にしているのでそれはできません。
多分同じ理由でやってる人もいるかと思いますが、セキュリティの関係です。





ここでは仮に
  【外側のLAN(NTT):192.168.0.XXX】
 【内側のLAN(バッファロー):192.168.1.XXX】
という設定になっているとします。

図にするとこんな感じ
ネットワーク図.png

気休め程度ですが、192.168.0.XXXのネットワークでテレワークとかはするようにしてます。
192.168.1.XXXのネットワークはプライベート含めてすべて。
192.168.0.XXXからは192.168.1.XXXにいけないんだけど(特定の端末だけ限定でいけますけど)
その逆はいけるようにしてます。

さて、設定の話にいくまえのQNAPのVPNの話をしましょう。

QNAPのVPSには以下の方法が選べます。

QNAPVPN.png

■QBelt
QNAP独自のものらしく、プロトコルで何が使われているか不明です。(たぶんOpenVPNのような気がするが)
OpenVPNのようにポートが選べるのと、証明書を使わずにIPSecのように事前認証キーで承認するという形。
見た目はOpenVPNとIPSecを合わせたような感じ。
接続にはQVPNクライアントというものをインストールする必要があります。
Win/Mac/Android/iOS用とアプリが用意されてます。

こちらもポートが自由設定できるのでV6プラス環境で使用することが可能です。

「V6プラス環境で使用することが可能」というのはどういうことかというと、V6プラスは仕様上
解放できるポートが各ユーザ事に異なっていたりします。
なのでポートが固定されているプロトコルは使えないということになります。
(偶然そこが使えるユーザなら使えたりしますが・・・)

■PPTP
昔からあるVPNのプロトコルですが、脆弱性が発見されたりしてあんまり使ってるところもなくなったと思います。
アカウントとパスワードで認証する形式です。
ポートが固定されているのでV6プラスでは使えないのとセキュリティの観点から採用から外れています。

■L2TP/IPSec(PSK)
PPTPの代わりによく使われるようになったプロトコルになります。
セキュリティが向上したことがあるのですが、こちらもポートが固定されているため
V6プラス環境では使いにくい使えないということで採用見送りです。

■OpenVPN
OpenVPN( https://openvpn.net/ )が提唱してるVPNで自由に使える形式です。
電子証明書などの設定が必要でセキュリティ的にも強いところと、接続については
専用のGUIが用意されているということでサーバ側の設定さえしてしまえば
OpenVPNが用意してるアプリを接続させたいPCやスマホ、タブレットにいれて
証明書と設定ファイルを読み込ませるだけなので非常に簡単です。
またポートを選べるためV6プラスユーザにはぴったりというか選択肢がこれしかないです。

QBeltに似てますが、認証が証明書ファイルを使うなど認証キーで行うよりはセキュリティ的に安心感があります。



以上、4つの方式がQNAP NASでは使えるのですが、V6プラス環境下で使えるのは
 ●QBelt
 ●OpenVPN
実質この2つのみになります。
私はセキュリティの観点からOpenVPNを採用しましたが、QBeltもやってみたのでそちらも少し書いてみます。


●二重ルータのポート開放について
OpenVPNではUDPのポートを1つ利用します。
ここでは説明で「62000」ポートを仮に使う前提で設定の説明をしていきます。

NTTのCTUは「RT-500MI」なのでその設定画面をベースに説明していきます。


まず2重ルータに存在する IPアドレス についてまとめます。

1. インターネット側(プロバイダから配布されるIPアドレスで変更しようがない)
2. NTT RT-500MI(1重目)の内側のLANのIPアドレス(仮に 192.168.0.1とします)
3. バッファロールータ(2重目)の外側(最初はDHCPで割り当てられるので仮に192.168.0.Xとします)
4. バッファロールータ(2重目)の内側のLANのIPアドレス(仮に 192.168.1.1とします)

図にすると以下のような感じ
ネットワーク図2.png

これのRT-500MIとバッファロー無線ルータの両方の静的NAT設定で UDP62000ポートを開放しないと
インターネットからNASまで通信が届かないということになります。
NASのIPアドレスは 192.168.1.100 で固定IPになっているとします。

まずネックとなる設定はどこでしょうか?

図をみると不確定要素が1つあるのに気が付きますか?

そうです。
「3. バッファロールータ(2重目)の外側(最初はDHCPで割り当てられるので仮に192.168.0.Xとしま
す)」
▲これがまずダメです。

現在設定されているIPを調べたらできないこともないですがDHCPだとIPアドレスが変わる可能性が
あるので望ましくないです。

まずバッファロールータの設定を確認するためにルータの設定画面にブラウザからログインしてください。
バッファロー.png

バッファローのルータの種類によって画面は違うと思いますが、だいたい「システム」っていう項目で確認できます。

見るべく項目は「Internet」の項目です。
二重ルータであるバッファローから見るとNTT側は「Internet」側にあたります。
ここで割り振られている「192.168.0.XXX」側のIPはDHCPによってRT-500MIに割り振られたものになります。
これを固定割り当てする必要がありますので、まずバッファロールータのMACアドレスをメモってください。

メモったら次は RT-500MIの設定画面にいきます。
NTTのCTUのユーザ名とパスワードなんてめったにログインしないと忘れているので
契約書類とかひっぱりだしてきてください。

rt500mi.png
「詳細設定」>「DHCPv4サーバ設定」の画面にある「DHCP固定IPアドレス設定」を選択

rt500mi2.png

ここでエントリ1番の「編集」を選び、先ほど覚えたMACアドレスを入力して
固定させたいIPアドレスをいれてください。
ここでは仮に絶対被らないように「192.168.0.100」とします。
これで保存してから、バッファロールータを再起動してください。

バッファロールータを再起動したら、また先ほどの「システム」情報を確認してください。
Internet側のIPアドレスが「192.168.0.100」になってたら固定化成功です。
これで準備が整いました。

次はRT-500MIのポート開放設定です。
こちらはV6プラス契約している場合は特殊な方法が必要になります。

例として 192.168.0.1 がRT-500MIのIPアドレスとしていますので
IP部分を自分のCTUのIPに変えて実施してください。

http://192.168.0.1:8888/t

事業者向けメニューがでます。
rt500mi3.png

「IPv4設定」を選択してください。

rt500mi4.png

するとこの画面になると思います。
ここで覚えておかないといけないことですが、開放したいポート番号を
「利用可能ポート」から選んでおいてください。
あなたが使えるポート番号はこの範囲になります。人によって異なります。

次に「静的NAT設定」を選びます。

ルールを1つ追加してください。

対象プロトコル:UDP
公開対象ポート:「利用可能ポート」であなたが決めたポート番号
宛先アドレス:バッファロールータで固定したIP(ここの例だと192.168.0.100)
宛先ポート:「利用可能ポート」であなたが決めたポート番号


これでCTU側の設定は終わりです。

次はバッファロールータ側の設定をします。

バッファロー2.png

ポート変換を選択して「新規追加」してください。
グループ:新規追加(名前は任意)
Internet側IPアドレス:エアステーションのInternet側のIPアドレス
プロトコル:TCP/UDP を選択して「任意のUDPポート」「あなたが前述で決めたポート番号(ここでは例で62000)」
LAN側IPアドレス:OpenVPNサーバ(ここの例ではQNAPのNASの固定IP 192.168.1.100)の固定IP
LAN側ポート:あなたが前述で決めたポート番号(ここでは例で62000)


これで設定が完了しました。

ネットワーク図3.png

NASに対して UDP62000で通信が可能となった状態です。

ここから残りはNAS側のVPNサーバ設定となります。
サーバ設定とクライアント設定については次の記事で書きたいと思います。

私が参考にさせていただいたサイトとしまして以下の記事をご紹介しておきます。
『v6プラスの説明とフレッツNTTルータの静的NATメニューが無くポート開放出来ない問題の改善案内』
https://www.akakagemaru.info/port/faq-v6plus.html

『IPv6接続に変更したことによって使えなくなったVPNをOpenVPNで使えるようにしたお話』
https://another.rocomotion.net/15823735565943.html

お疲れ様でした。





QNAP TS-253D-4G [プロフェッショナル向け 2ベイNAS(4GB)]

QNAP TS-253D-4G [プロフェッショナル向け 2ベイNAS(4GB)]

  • 出版社/メーカー: QNAP
  • メディア: Personal Computers






ADATA 2.5インチ ポータブルHDD 11.5mm スリムタイプ USB3.0対応 1TB ブラック AHV620S-1TU3-CBKEC

ADATA 2.5インチ ポータブルHDD 11.5mm スリムタイプ USB3.0対応 1TB ブラック AHV620S-1TU3-CBKEC

  • 出版社/メーカー: エイデータ(Adata)
  • 発売日: 2018/01/15
  • メディア: Personal Computers



QNAP(キューナップ) 2ベイ 単体モデル TS-251D メモリ 2GB HDD-LESS NAS 2年保証

QNAP(キューナップ) 2ベイ 単体モデル TS-251D メモリ 2GB HDD-LESS NAS 2年保証

  • 出版社/メーカー: QNAP(キューナップ)
  • メディア: Personal Computers






nice!(0)  コメント(0) 
共通テーマ:パソコン・インターネット

nice! 0

コメント 0

コメントを書く

お名前:[必須]
URL:
コメント:
画像認証:
下の画像に表示されている文字を入力してください。

※ブログオーナーが承認したコメントのみ表示されます。

この広告は前回の更新から一定期間経過したブログに表示されています。更新すると自動で解除されます。