マニアックといえばマニアックなネタなので、
興味が無い方はここでブラウザバック推奨です(^▽^;)
----
外出先から自宅ネットワークに入ってファイルを取り出したい!
とか、
外出先からパソコンの電源を入れたい(WOL)!
などの目的を叶えてくれる
VPN(Virtual Private Network)。
VPNを実現するため利用されるプロトコルは、SSL/SSH/TLS/PPTP/IPsec/L2TP/L2F/MPLSなどがあります。
しかし、一般家庭で簡単に導入できるものではなく、セキュリティ面での問題も。
今回はバッファローの無線LANルータに搭載されている事が多いPPTPを使った方法でのVPN接続を実現する為の設定について、メモを残しておこうかと思います。
・NTT系とは違って、auひかりでチャレンジする人が少ない模様。
・ネット上でも余り情報が多くなく、構築してみたい方にはちょっと敷居が高い。
・au系のサービスなどとの関係で、動作しなくなってしまう事もあるので注意。
使用した機材は以下のとおり。
・光回線終端装置(住友電工ネットワークス H02NU3)
・ホームゲートウェイ(NEC BL900HW)
・auフェムトセル(3G)(日立製作所 BC6v1.5)
・無線LANルーター(バッファロー WZR-HP-G450H)
・ひかり電話
まずはサンプルのネットワーク図。
主に3ブロックに分かれます。
※絵心が無いので、2時間もかけて作った力作なんですw
①WAN(Wide Area Network)
インターネットと繋がる部分。
auひかりでは光回線終端装置がその出入り口となります。
②LAN(Local Area Network) 1
今回の手順では「auサービス用」という区切りで表現しています。
ひかり電話、auフェムトセルを使う上では重要な部分になります。
③LAN(Local Area Network) 2
今回の手順では「家庭内ネットワーク用」という区切りで表現しています。
パソコンやタブレット、ネットワーク機能をもった家電などを接続します。
----
ホームゲートウェイ
BL900HW(NECプラットフォームズ)
auひかりでレンタルされるホームゲートウェイです。
もし旧機種をご利用な方は、auひかりで3000円を出すと新しいBL900HWに変更する事が出来ます。
※auスマフォを使っていて、スマートパスに加入していると、BL900HWの内蔵無線LANが月額料永年無料で使えるというサービスもあります。
auサービス機器を利用する場合は、
・ルーター機能ON
・DHCP機能ON
・ローカルIPアドレスは変えない
とすることをお薦めします。
①LAN側設定
・IPアドレス/ネットマスク(ビット指定)は「192.168.0.1/24」のまま。
・DHCPサーバー機能は「使用する」。
・アドレス割り当てパターンは自動でも良いですが、PPTPをやるときにPPTPサーバーだけは固定しておいた方が良いので、「手動設定」にします。
・割当先頭アドレスはご自由ですが、ここでは「192.168.0.2」とします。
・割当数は必要最低限にしておくとセキュリティ的にも良いかと思います。
・WINSサーバーアドレスは不要です。
②DHCP固定割当設定
・DHCP固定割当エントリには今回使用する「バッファロー WZR-HP-G450H」のMAC/IPアドレスを指定。
PPTPでサーバ指定するので、IPアドレスは固定化しましょう。
※ちなみに10:6F:3FはMACアドレス内のベンダ識別子で「Buffalo Inc.」を示します。
③ポートマッピング設定
・NATエントリにはPPTPで利用するポート番号を指定します。
優先度がありますので、必ず図の通りに設定してください。
PPTPでは、トンネル制御に「TCPポート1723」、データ通信で「GREプロトコル ポート47」を使います。それぞれ登録します。
④静的ルーティング設定
・家庭内ネットワークへの経路を指定してあげます。
今回は家庭内ネットワークを「192.168.100.0/24」とするとして話しを進めます。
宛先IPアドレスに「192.168.100.0/24」を、ゲートウェイに無線LANルータのIPアドレス「192.168.0.2」を指定して登録します。
これでホームゲートウェイ側の設定は完了です。
↓↓↓↓↓↓↓↓↓↓↓↓↓重要↓↓↓↓↓↓↓↓↓↓↓↓↓
ホームゲートウェイの「LANポート」と、無線LANルーターの「WANポート」をイーサーケーブルで接続してください。
他サイトで記述されている方法ですと、無線LANルーターの「LANポート」となっていますが、今回の方法は「WANポート」です。
----
無線LANルーター
バッファロー WZR-HP-G450H
無線LANルーターは各自で用意してください。
PPTP(VPN)を実現したい場合は、該当機能が搭載されていることを確認してください。
バッファローの無線LANルーターでは、上位機種であれば搭載されている可能性が高いです。
今回はWZR-HP-G450Hを用いて、PPTPサーバーを運用することとして話しを進めます。
①Internet設定
・IPアドレス取得方法は、ホームゲートウェイから割り当てられるので「DHCPサーバーからIPアドレスを自動取得」を選択します。
ホームゲートウェイでDHCPの固定割当設定をしているので、「192.168.0.2」が割り当てられます。割り当てられない場合はホームゲートウェイの設定を見なおして下さい。
・デフォルトゲートウェイは、ホームゲートウェイのローカルIPアドレスを指定します。今回の場合は「192.168.0.1」を指定してください。
・DNSサーバーアドレスは未指定でも構いません。
・Internet側MACアドレスは「デフォルトのMACアドレスを使用」を選択してください。
②PPTPサーバー設定
・PPTPサーバー機能を「使用する」にチェックします。
・認証方式は「MS-CHAPv2認証(40/128bits暗号鍵)を指定します。
※
MS-CHAPv2はセキュリティ的にすでに危険なので、利用する場合は認識した上で利用してください。
→
MS-CHAP v2 の認証情報漏えいの問題に関する注意喚起
・サーバーIPアドレスは「自動設定」とします。
・クライアントIPアドレスは「自動設定」とします。 192.168.100.xxxが割当られます。
・DNSサーバーIPアドレスは「エアステーションのLAN側IPアドレス」を指定します。
③PPTP接続ユーザーの新規追加
・ユーザー名は推測されにくいものを利用すると良いです。
・パスワードも推測されにくく、長いパスワードを利用することをお薦めします。
・IPアドレス割り当て方法は、無線LANルーターから割り当てられる「DHCPサーバー設定の範囲から取得」としてください。
④LAN設定
・LAN側IPアドレスはここでは「192.168.100.1」として説明します。
・サブネットマスクはローカルネットワークですので、台数も多くないことから「255.255.255.0」とします。
・DHCPサーバー機能は「使用する」にチェックしてください。
・割当IPアドレスは各自開始アドレスをご自由に設定してください。ここでは「192.168.100.2」から15台分としています。セキュリティ的には、使用する台数を設定し、多くしておかない方が良いでしょう。
・リース期間は「DHCP」機能で割り当てたIPアドレスの有効時間を指定します。
・デフォルトゲートウェイは「エアステーションのLAN側IPアドレス」を指定します。
・DNSサーバーの通知は「エアステーションのLAN側IPアドレス」を指定します。
・WINSサーバーの通知は「通知しない」で構いません。
・ドメイン名の通知は「取得済みのドメイン名」で問題ありません。ドメインをお持ちでも、お持ちでなくてもこれで構いません。
----
主な設定は以上で完了です。
外部から接続可能かなどは別途確認してみてください。
・ひかり電話
正しく電話機からコール可能かどうか確認してください。
異常な場合は、配線確認やここまで設定した内容に間違いがないか確認してください。
・auフェムトセル
本体のステータスランプを確認し、正常に動作しているか確認してください。
もし正常を示していない場合は、一度電源OFFかリセットを行ってみてください。
異常状態が続く場合は、ここまで設定した内容に間違いがないか確認してください。
・PPTP接続
auひかりでは、グローバルIPアドレスが固定で割り当てられるわけではないので、必ずしも同じIPアドレスであるとは限りません。
現在割当られているグローバルIPアドレスは、ホームゲートウェイの状態で確認することが出来ます。
IPアドレスでのアクセスが面倒な場合は、DDNSサービスを利用するなどしてドメイン名を取得し、IPアドレス変更時に動的通知する仕組みを導入すると、ドメイン名でアクセスできるようになります。
多段ネットワーク構成ですが、バッファローの無線LANルーター配下においたPCから計測してみると、スループット性能が高いのか、ほとんどオーバーヘッドなく速度が出ています。
以上、ご参考になれば幸いです。
ps..
偉そうな事を言えるような立場ではないですが、
理屈が分かった上で設定し、利用してください。
わからない用語や、仕組みがある場合はネットなどで調べ理解した上でないとセキュリティ面などでの対応がとれなかったり、ネットワークに問題が出た場合に対処できないなど、陥ってしまうポイントが多いです。
設定によって、接続できない等の問題がおきた場合はルーター初期化などの方法も熟知しておいてください。
すべて、各自の自己責任です。こちらで責任は負いかねます。
ps..
SOHO向けのVPNルーターを導入しようかな~・・・。
とセキュリティ的には思うわけです(^▽^;)
例えば、YAMAHAさんが出してる
ギガビットVPNルーター RTX810とか。
バッファローから新しく発売された
WXR-1900DHPなんかは、PPTPに加えてIPSecまで利用出来るようになったようなので、手軽にIPSecでのVPNを導入するには良いかもしれませんね。
・NATエントリにはPPTPで利用するポート番号を指定します。
