nop_allのブログ一覧

VPNサーバ設定をしたArcher AX50 にWindows10 PCからクライアント接続をする手順の紹介です。

Windows10はVPN接続としてL2TP/IPsec VPNにはOS標準で対応をしていますが、OpenVPNは非対応です。
ということなので、別途OpenVPNに関するプログラムをインストール必要があります。

入手先はOpenVPN本家です。が、今では日本語情報サイトも充実してきていて、そちらにアクセスする方がお勧めです。

・ダウンロード （OpenVPN日本語情報サイト）

アクセスするとこのような画面が表示されます。


OpenVPNクライアント用ソフトウェアとして vpnux Client なるプログラムも公開されていますが、AX50でエクスポートされた OpenVPN-Config.ovpn を分解して設定をしてみましたが、うまく接続できませんでした。
簡単さで言えば vpnux Client かと思いますが、今回は正式な OpenVPN をインストールする方法で進めます。

Windowsインストーラ（Windows10用）の箇所からexeをダウンロードします。

さてここで、インストールをする前にWindows PCのネットワーク環境で、大事なポイントがあります。これはOpenVPN以外のVPN全般に言えることなので、L2TP/IPsecの方も同様です。
出先から宅内や社内のネットワークに接続をすることから、多くの場合ノートPCが使われていると思います。ノートPCには無線LANと有線LANポートが備わっているでしょうが、これらのTCP/IP設定で、IPアドレスの取得とDNSサーバアドレスの取得は「DHCPによる自動取得」に設定してください。両方必ずです。
固定の場合には、ちょっとした工夫が必要になることがありますが、これを解説すると、ただでさえ「お前のブログは意味不明なんじゃ」というご指摘に火を注ぐことになるので、別件名にてまた今度。

本題に戻ります。

ダウンロードした.exeファイルを実行すると、セットアップウィザードが起動します。

基本的には「Next」を押し続けるだけです。


必要なファイルがインストールされていきます。

インストールが完了するとデスクトップ上にOpenVPN GUIのショートカットアイコンが置かれます。
これを実行するとGUI画面でVPNの接続や切断のできるアプリが常駐します。
また、EthernetブリッジとしてTAPデバイスがインストールされ、ネットワーク接続の中にアイコンとして登場します。

VPN接続を行っていないので「赤×」になっている筈です。

ここで、AX50でエクスポートされた OpenVPN-Config.ovpn ファイルの登場です。


OpenVPNがインストールされることで、ユーザフォルダ内に「OpenVPN」なるフォルダが生成されます。
ここにはユーザ毎の設定ファイル（.ovpn）やログが記録されます。

具体的な場所としては、起動ドライブのユーザフォルダ内にログインユーザ名でフォルダがあります。
その中にOpenVPNというフォルダがあり、さらにその中には config と log のフォルダが作成されています。

OpenVPN-Config.ovpn は config フォルダ内に放り込んで(コピーなり移動)ください。
これで設定は完了です。
あ！サーバ接続のIPアドレス記載の部分は個々に変更するのをお忘れなく。（詳しくはサーバ設定紹介内で解説されています）

デスクトップ上のOpenVPN GUIのショートカットアイコンからOpen VPNを起動します。
タスクトレイ内にモニタに鍵のマークが付いたアイコンがそれにあたります。

アイコンを右クリックすると、このようなメニューが表示されます。
一番上の「接続」を左クリックすることで、OpenVPNサーバに接続が開始されます。


OpenVPN接続のダイアログが表示され、状態報告が流れて行きます。この内容はログファイルとして記録されていきますので、エラー等発生した際は先ほどのlogフォルダ内に残っているログファイルでも確認できます。

確か赤文字で2行ほどエラーというか警告がダイアログ内に出ますが、これは出ても問題ありません。


接続が完了すると、通知が表示されます。
OpenVPN-Configは.ovpnファイルの名前ですね。
割り当てられたIPアドレスは10.8.0.10で、これはAX50のOpenVPNサーバで設定した「VPNサブネット」の範囲内になっている筈です。

このPCとAX50間のVPNトンネルに使われるIPアドレスは 10.8.0.10 で行われるということです。（知らなくても問題ありませんが、知ってるとより知識が深まります）

さて、これでVPNトンネルが開通しましたので、その先の宅内LAN（ウチの場合は192.168.128.0/24）にアクセスをしてみましょう。


これはエクスプローラーでバッファローのNASにアクセスした状態です。
NetBIOS名がVPNクライアントまでは届かないので、IPアドレスで指定をする必要があります。が、きちんと表示されてファイルの読み書きも宅内同様に可能です。


これはリモートデスクトップ接続をした時。
RealVNCと違って画面描画はイメージ転送ではないので、快適です。


これは録画専用PC内で動いているhttpサーバの番組表
VPNクライアントPC上のwebブラウザからアクセスでき、番組確認や録画指示も行えます。

OpenVPNを使って一通り家の中にいることと同じ操作が可能なので、急な出張や旅行先でも普段と同じように過ごすことができます。

そんな必要性はあるのかい？と一般ピーポーの方からは疑問に思われるかもしれませんが、いわゆる電脳廃人＝ダメ人間と化した私のような者には必要な装備ですw

早く攻殻機動隊の世界のように、直接脳がネットに接続される時代が来ないかなぁ...

次回はスマートフォンからのOpenVPN接続について紹介します。

おうちエンタメの一環というわけではないですが、登録しているYoutubeチャンネルを赤裸々に公開して行くシリーズですw

先日のDressingさんに引き続き、この方もロコドルですね。

・かほなん（さばいどるチャンネル）

岐阜県出身で東海地方（without静岡）中心に活動をしています。

登山のYoutube動画を検索していて、その昔に見つけて以来登録しています。
キャンプや登山グッズの紹介もあり、参考になります。
Youtubeの動画には、ロコドル時代初期の動画（おそらく高校生？）も残ってますね。

こちらが公式サイトです。
・さばいどる（公式サイト）

正直このぐらいの年の娘がいてもおかしくない歳頃の私ですが、父親とキャンプをしたり、母親と登山をしている動画では、素のままでよい子なんだなと痛感させられる部分があり「あ～こんな子供がいればいいなぁ」という目線で見ています。（ので誤解なきようw）


開始12秒後の「カトキ立ち」が凛々しいです。

最近も母親と剣山を縦走した動画があり、こういう母娘っていいなぁと、ほのぼのとしてきます。

設置した Archer AX50 でのVPNサーバ構築に関する紹介です。

自宅では常時稼働PCが1台とNASが動作しています。会社や出先からこれらにはVPN経由でアクセスをしています。
さらに常時休止状態になっている録画用PCはVPN経由でWake On LANで起動させ、番組情報確認と録画指示など、家の中にいる感覚で外部からアクセスが可能です。

以前はRealVNCで常時稼働しているPCに接続していましたが、セキュリティの面やNASのデータをそのままアクセスできる利便性から、VPNに移行しました。

今回Archer AX50に切り替えた最大の理由が、VPN機能を持っている点です。

今までのVPN接続ですが、常時稼働するWindows PCを使っていました。
これを OpenVPNサーバ として動作させていたのですが、OSをWindows10に変えてから、Windows updateのたびにサーバ動作が正しく動かなくなるという症状に悩まされてきました。
どうやらWindowsのセキュリティに絡む更新があると影響を受けるようです。
しばらくするとOpenVPNがアップデートされて動くようになります。

OpenVPNのサーバ構築やルータのルーティング設定など、クライアント設定を含め紹介しようと企画していたのですが、このWindows10環境での不安定さに紹介ができずにいました。

ルータのファームバージョンアップの不安はありますが、VPN機能がある日突然使えなくなる可能性は少ないでしょう。
また、ルータをVPNサーバにすることの最大のメリットとして、VPNに関するルーティングの設定が不要になることがあります。（これについては後述）

さて、ではArcher AX50でのVPN設定です。
設定とは言っても、全く難しい部分はありませんでした。


web GUI設定の詳細設定の中にVPNサーバに関する設定項目があります。

AX50ではVPNサーバの機能として、OpenVPN形式とPPTP VPN形式の二つが選べます。
個人的には「今更PPTP？」とちょっと疑問には思います。PPTPはiOS 10やmacOS 10.12以降では使えなくなっています。
L2TP/IPsec VPNが必要最低限ではなかろうかと...

Windows10でOpenVPNは繋がらなくなると書きましたが、クライアント動作に関しては今の所大丈夫です。
ということで、OpenVPNを使うのですが、Windows10でもL2TP/IPsec VPNクライアントはOSの標準機能として搭載されていますので、ぜひとも今後はAX50でもL2TP/IPsecをサポートして欲しいものです。


これがOpenVPNサーバ動作の設定画面です。
簡単でしょw

チェックボックスで「有効にする」だけです。が、その前に証明書を生成しておきましょう。
真ん中の段にある「生成」のボタンを押します。
これで認証局（CA）の証明書が作成されます。
作成されても、証明書が出力されるわけではありません。AX50本体内に証明書が作成され保存されます。

証明書が作成されたら
チェックボックスで「有効にする」をチェックします。
ポート番号は1194が最初から表示されています、そしてこれはOpenVPNでは標準のポート番号ですので、変更の必要はありません。
サービスタイプもUDPが標準で最初から選択されています、TCPにすると速度が落ちるので、物好きでなければUDP一択です。
VPNサブネットも初期値のままで問題ないでしょう...ただし宅内LANが10.8.0.0/24のアドレスレンジだとするとバッティングするので、変える必要があります。
ウチは192.168.128.0/24なので、そのままで問題ありません。
これで「保存」を押します。

AX50がOpenVPNサーバとして動き出します。

このままでは、クライアントからの接続はできませんので、クライアント用の設定ファイルを入手する必要があります。
これが「エクスポート」のボタンですね。
エクスポートすると、OpenVPN-Config.ovpnというファイルがブラウザ経由でダウンロードされます。


.ovpnはOpenVPNではお馴染みの設定ファイルの拡張子ですね。

このOpenVPN-Config.ovpnには次の内容がテキスト形式で記録されています。
・OpenVPNクライアントの接続先と接続設定
・作成した認証局（CA）の証明書
・クライアント用の証明書と秘密鍵


実際の中身はこんなです。

この OpenVPN-Config.ovpn ファイルの赤線部分は、出力をした時のグローバルIPアドレス(ISPから取得したインターネット上のIPアドレス)が自動的にセットされて出力されます。

おそらく私を含む一般ピーポーは動的IPアドレスで接続していると思いますので、ここの記載で接続のたびに変わってしまうIPアドレスの対策をする必要があります。
固定IPアドレスサービスを使っているという方はそのままで構いませんが、動的IPアドレスの方は動的DNS（Dynamic DNS）サービスを使いましょう。これは動的に変わってしまうIPアドレスに固定のドメイン名を紐付けしてくれる仕組みです。赤線部分にIPアドレスではなくドメイン名を記載します。

AX50は動的DNSとして TP-Link/NO-IP/DynDNSの3つが設定でサポートされています。グローバルIPアドレスが変更になる度に設定されたDynamic DNSサービスに新しいグローバルIPアドレスを通知してくれます。

私はいずれも使っていませんが、TP-Linkの製品なのでTP-Link IDを作るでしょうから、TP-Linkを使うのが近道かもしれませんね。
NO-IPやDynDNSは世界的にも名の知れたDynamic DNSサービスですが、有料です。

TP-Link IDを作るか？とも思ったのですが、AX50の設定ログインに使うTP-Link IDとパスワードがTP-LinkのDBに登録されます。さらにTP-Linkに現在のグローバルIPアドレスが通知されることになります。
TP-LinkがハックされDBやIPアドレスが流出すれば、自宅で動いているAX50は丸裸です。
という理由からTP-Link IDは取得していませんw

私は昔から日本のDynamic DNSサービスであるmydns.jpを使っています。（無料です）
なので私の場合には、赤線部分は〇〇〇〇〇.mydns.jp と書き換えをします。

このOpenVPN-Config.ovpn ファイルを使ってクライアントの説明を、と思ったのですが、Windows PCやスマートフォンそれぞれの話になるので、もっと長くなります。
今回はサーバの設定ということで切りのよい、この辺で...

あ！ルータをVPNサーバにすることの最大のメリットの解説を忘れるところでした。
最後にこの説明をします。

今までWindowsPCをOpenVPNサーバとして構築していましたが、ルータの内側にPCは位置します。
このため、ルータでは次の設定が必要となります。

①インターネット網側（外部）からのOpenVPNクライアント接続のルーティング
②宅内や社内のLAN側（内側）からVPNサブネットへのルーティング

①に関してはOpenVPNで使われるUDPの1194ポートを開ける必要があります。
またその1194ポートに来たパケットを内側のどのIPアドレスに渡すのかをNATで定義します。

②はOpenVPNサーバとしたマシンのみにアクセスする場合は不要ですが、内側ネットワークの各機器にアクセスする場合には、VPNサブネットという新しいアドレスレンジが登場するので、ルーティングが必要になります。
この部分の理解が不足すると、OpenVPNでVPNトンネルは通したけど、そのトンネル先にアクセスができないという事態に陥ります。
内側のLANには内側LANのアドレスレンジが存在しますよね、例えばウチの場合には192.168.128.0/24ですので、アドレスレンジ（範囲）は192.168.128.1～254になります。この範囲外のIPアドレス通信に関してはGATEWAY（ルータ）を通すことになりますが、VPNサブネットの通信は指定をしないと範囲外として扱われます。
指定方法は二つです
・ゲートウェイとして動くルータが、VPNサブネットの通信をインターネット側に投げずにOpenVPNサーバに渡す
・ルータでその設定ができなければ、内側LANの各機器がVPNサブネットの通信をOpenVPNサーバに渡す

以前使っていたAterm WG1900HPは設定のどこを探っても、IP Routeの追加ができませんでした。ルータなのにそれは無かろうとNECに直接問い合わせをしたところ「ありません」とあっさり回答が来ました...orz
さて、こうなるとPCのように自由にIP Routeを追加できる機器は問題ないのですが、バッファローのNASなどIP Routeを追加できない機器はOpenVPN経由でアクセスができなくなります。WG1900HPでは諦めました。

ルータにVPNサーバの機能があると、①も②もルータの中で全て処理がされますので、これら面倒な設定から全て解放されます。

あとはOpenVPNサーバにするWindows PCの話ですが、Widnowsって標準ではNIC間のルーティング機能はオフになっています。
コマンドプロンプトで ipconfig /all すれば分かりますが、IPルーティング有効は「いいえ」になっています。

レジストリをいじって有効にする必要があります。

ルータにVPNサーバの機能があるのは私的には大歓迎です。

次回はこのVPNサーバに接続するクライアントの具体的説明になります。

大きなバラの花が咲きました。

私は園芸は趣味ではありませんので、屋敷内のこの手の花は年老いた母親が育てたものになります。
自分では何もしておりませんが、花は咲けば綺麗で和みますよね。


しかしデカイな。そういう品種？

などと思いつつ、i-MiEV後ろの花壇の異変に気が付きました！


か、花壇が、花壇が～、家庭菜園になっとるw

え～
以前何シテル？で報告したこちらの花

白い彼岸花はここに咲いていたのに～

オカンに聞いたところ、歳で畑に行くのが遠いから、いくつかは身近で作ることにした...そうです。

花は食べられないけど、ナスやスイカは食べられるからよいか...

無線LANルータを変更しました。

折角なので設置から、このルータを使ったVPN構築まで複数回に分けて紹介をします。誰も望んでいないでしょうが、要は自分への備忘録ですw
必然と横文字ばかりで「何を言ってるのかわからん」という内容になりますがご容赦を...

以前「無線LANルータ交換」にてNECのAterm WG1900HPを導入した記事をアップしていましたが、2月4日の何シテル？に挙げたtp-linkのArcher AX50に交換しました。
この製品、Archer AX50が正式名称？AX3000とも記載されてるんだけど、どっち？

・AX3000 デュアルバンド Wi-Fi 6ルーター Archer AX50

理論値の速度になりますが、それぞれの性能です。
Aterm WG1900HPは、5GHz帯が1300Mbps、2.4GHz帯が600Mbps
Archer AX50は、5Ghz帯が2402Mbps、2.4GHz帯が574Mbps で Wi-Fi6対応

調べてみたらAX3000は通信クラスを表す単語のようですね。2402+574＝2976で両方足して約3000Mbpsの通信理論値を持っているのがAX3000ということだそうです。
ん？WG1900HPは1300+600＝1900だから1900という数字が型式に入っているのか。知らなかったw

WG1900HPを使っていて、安定もしているし、使い続けても良かったのですが、ルータ機能の一つにVPN接続がないのが不便になってきました。
WG1900HPをアクセスポイントモードにしてしまって、ヤマハのルータを使うというのも手なのですが、そうすると無線LANのゲストモードの構築がちょっと面倒になってきます。

ちなみに我が家ではNTT西日本のフレッツ光ネクストを使っていて、ONU一体型のひかり電話ルータ PR-400KI がレンタルされています。


PR-400KIは ONU+ルータ+無線LANアクセスポイント の各機能が搭載されていますが、ONU以外の機能は殺して使っています。
ウチはONUだけでいいんですけど＞NTT西日本

壊れたわけではないので、入れ替え作業は2月初旬に購入してからズルズルと延ばしていましたが、GW休暇ということもあり気分一新入れ替えをしました。


設置完了！


設定はweb GUI画面のみで、ヤマハのルータのような面倒さはありませんでした。

でも、その分細かい設定ができないのですけどね...が、とりあえず今までと違ってVPNの機能がルータに搭載されているので、個別の機器向けにルーティングの設定をする必要もなく使える筈です。

5Ghz帯が2402Mbpsの理論速度が出るようになったので、最新のWi-Fi6対応機器なら、快適な通信速度が得られる筈です。
確かOclus Goも5Ghz帯が使えるので恩恵があるでしょう。

運用開始して気が付いたのは、宅内で電波が届かなかった場所でも電波が届くようになりました。
WG1900HPと比較すれば、4本のアンテナが思いっきり主張したデザインになっているので、まぁ当然でしょうね。

機器の発熱に関しては、WG1900HPより多いかも。
Intel GRX350（2コア / 800 Mhz）が搭載されているので電気食いかもしれませんね。


3台子機を接続しYoutube動画を再生した状態の実測では13～15Wでした。
アイドル時は13Wです。

13Wだとすると、24時間で13W×24ｈ＝312Whで、月間で312Wh×30day＝9360Wh...9.36kWhですね
現在家の常時稼働しているPCや本機はデマンド圧縮で運用していますので、16.3円/1kWhです。
9.36kWh×16.3円≒153円が月間の電気代になります。

付属のACアダプタは12V/2Aなので12×2×0.8＝19.2W
最大でも18Wくらいは覚悟しないといけないかもしれません。

設定の中には、曜日と時間でワイヤレスオフ時間スケジュールが指定できるようなので、平日の出勤から帰宅まではオフにしないといけないでしょうね。
WG1900HPでも設定ができたので使っていましたが、祝日の仕事休みや長期休暇の月曜に「無線LANが繋がらない」と結構慌てますw
ワイヤレスオフにすると11Wの消費電流になります。意外と省電力にはならないな...

さて、設置に関しては以上です。
以降はVPNに関してサーバ設定やクライアントの設定について紹介します。