L2TP/IPsecで自宅にVPN接続~YAMAHA NVR500
自宅に設置しているYAMAHA NVR500を利用して、外出先から自宅のネットワークに直結する方法の解説です。中国の検閲逃れ、テレワークやリモートに利用できますので興味のある方はどうぞ。後継機種のYAMAHA NVR510でも同じ手順で行けると思います。
まずは回りくどい事情説明です。
もう何年もまえから、民生用のルーターはWi-Fiアクセスポイントを兼ねているものがほとんどで、ウリは電波の強さと見栄え重視のスループット値、それにお仕着せのセキュリティ機能とか、さして効果のなさそうなおざなりの節電機能とか、ルーター本来の性能とは全然別のところにあります。
さらにひどいことを言えば、コストダウンのためにぎりぎり動作するかしないかレベルのプロセッサで動いているため、少しばかり負荷がかかるとすぐ音を上げたり、設定を変えるたびに再起動で何十秒も待たされたり、という具合です。
というわけでNOMI宅には贅沢にもYAMAHA NVR500が鎮座しています。
ちなみに向かって右ののっぽなヤツがNVR500です。
NVR500は家庭用ではなくオフィス用なので、家庭では使わない電話関係の機能が多く、ちょっともったいない感じもありますが、ルーターとしての基本性能もオフィスユースレベルです。2010年の新発売直後に買ってから今まで8年、一度もトラブルを起こしたことはありません。
一昨年の2016年9月、ついにNVR500の後継機種NVR510がYAMAHAより発売されました。
NVR500と比べて性能は抜群に良くなりましたが、家族四人のNOMI宅ではこれ以上性能が上がっても宝の持ち腐れ。ただ、NVR510では、YAMAHAの上位機種のルーターにしか搭載されていなかったL2TP/IPsec方式のVPNが使える、というのは買い替え衝動を刺激しました。でもそれだけのために「まだまだ使えるNVR500を放り出して、何万円かをかけてNVR510を買いますか?」といわれると…。
ところが我慢した甲斐がありました。なんと2017年10月リリースのファームウェア"Rev.11.00.36″にアップデートすると、NVR500でもL2TP/IPsec方式のVPNが使えるとのこと。YAMAHAサン、ありがとう!。
我慢できずにNOMIと同じ動機でNVR510を買った人、残念がってるかなぁ。
とはいえ、エンバグが怖いので慌てずに次のファームウェアのリリースを待つのがNOMI流です。で、"Rev.11.00.38″が出たのが2018年の5月。結構待たされましたね。
ファームウェアのアップデート前に、NVR500のVPN設定を見てみると、
と、PPTPしかありません。
PPTPはセキュリティ上の問題があるのはわかっていたので、2017年の1月にアップルがサポートを終了してからは使うのをやめていました。
“Rev.11.00.38″のリリースノートを読むと特に問題はなさそうなので早速アップデートです。
YAMAHA NVR500のリビジョンアップ
NVR500のトップ画面→[詳細設定と情報]→ [リビジョンアップの実行] と進みます。
最新までアップデートするので「ヤマハのwebサイト」を選択して[実行]をクリックします。
2013年からアップデートしていなかったのですね。ありゃー。
リビジョンを確認して[実行]をクリックします。
定番のライセンス契約確認です。下までずるるるとスクロールして[同意する]をクリックします。するとファームウェアのダウンロードが始まります。
リビジョンアップして自動で再起動してくれます。仰せのとおりそのまま待ちます。
リビジョンアップ終わりました。[トップへ戻る]をクリックします。
無事"Rev.11.00.38″へアップデートできたようです。
些細なことですが、FireFoxでNVR500のトップ画面を見ると一番上のバナーが少しずれて見えます。実害はないのですが、微妙に気になります。
引き続きL2TP/IPsecのVPN接続設定を行います。
L2TP/IPsecのVPN接続設定
[トップ]→[詳細設定と情報]→[VPN接続の設定]から[追加]をクリックすると、
はい、ちゃんとL2TP/IPsecの選択肢が追加されていました。早速(Anonymous)を選択して[次へ]をクリックします。
「設定名」は適当に、「事前共有鍵」は数桁の文字列を入れます。
ポイントは次の「認証アルゴリズム」のところで、デフォルトの[HMAC-MD5]だと何故かWindows10から接続できないので[HMAC-SHA]に変更しておきます。
Windows10 Home バージョン1803、OSビルド17134.286(2018/9/30現在)の話です。バージョンが変わればデフォルトの[HMAC-MD5]でも接続できるようになくかもしれません。
「ユーザーID」、「接続パスワード」はそれなりにきちんと設定します。
下にスクロールします。
「接続先に割り当てるIPアドレス」はDHCPからもらえば良いのでそのまま。自動切断までの時間はデフォルトの60秒では少し短いので600秒に変更します。入力ができたら[設定の確定]をクリックします。
トップ画面のステータスに接続設定が現れました。
次にWindows10のクライアント設定です。
Windows10をVPNクライアントとして設定する
Windows10で、「設定」→「ネットワークとインターネット」→「VPN」と開きます。
「VPNプロバイダー」には[Windowsビルトイン]、「接続名」は適当に決めます。
「サーバー名またはIPアドレス」には自宅のIPアドレスへ正引きできるホスト名を設定すればよいので、【SynologyのDDNS設定~DiskStation DS218j】でSynologyに登録しているDDNSホスト名"wwq.myDS.me"、
https://wwq.mydns.jp/366/あるいは【MyDNSでDDNSを利用する】でMyDNSに登録しているDDNSホスト名"wwq.mydns.jp"、及びそのサブドメイン、
例えば、"hogehoge.wwq.myDS.me"や"hagehage.wwq.mydns.jp"でも良いということですね。
またはYAMAHAのネットボランチに登録しているDDNSホスト名(参考【SSL証明書の取得~DiskStation DS218j】)などが使用できます。
ここではNVR500にL2TP/IPsecを実装してくれたYAMAHA様に敬意を表してネットボランチのDDNSホスト名"????.netvolante.jp"を設定します。
「VPNの種類」は[事前共有キーを使った L2TP/IPsec]を選択。「事前共有キー」にはNVR500に設定した[事前共有鍵]と同じ文字列を設定し、下にスクロールします。
「サインイン情報の種類」は[ユーザー名とパスワード]を選択し、「ユーザー名(オプション)」、「パスワード(オプション)」にはNVR500に設定した「ユーザーID」、「接続パスワード」と同じものをそれぞれに設定します。このWindows10のアカウントは自分専用なので「サインイン情報を保存する」にチェックを入れ、[保存]をクリックします。
設定ウィンドウが閉じたら、「接続名」のVPN接続が作られていることを確認し、[アダプターのオプションを変更する]をクリックします。
「接続名」の接続アダプタを選択して[この接続の設定を変更する]をクリックします。
「セキュリティ」タブを開き、「次のプロトコルを許可する(P)」を選択して「チャレンジ ハンドシェイク認証プロトコル(CHAP)(H)」にチェックを入れて[OK]をクリックします。設定はこれでOKです。
ここで設定したWindows10パソコンを自宅外から繋ぎます。NOMIはスマホのテザリングを使ってパソコンを繋いでテストしました。
タスクバーからネットワークアイコンをクリックし、作成した「接続名」を開いて[接続]をクリックして、ステータスが「接続済み」に変わればOKです。ちなみにVPN接続中のNVR500のトップ画面のステータスは、
と変わります。
NVR500のトップ画面の「通信中」ステータスにはアニメーションGIF 
が貼ってあり、ビュンビュン通信している感が醸し出されています。お見せできないのが残念です。
続いてiPad(iOS)のクライアント設定です。
iPad(iOS)をVPNクライアントとして設定する
iPhoneでも基本的にやり方はWindows10と同じ(はず)です。
[設定]→[VPN]→[VPN構成を追加…]を開きます。
「タイプ」は"L2TP"。「説明」は適当に。「サーバ」はWindows10の接続設定で説明した「サーバー名またはIPアドレス」と同じ。「アカウント」、「パスワード」、「シークレット」にはNVR500に設定した「ユーザーID」、「接続パスワード」、「事前共有鍵」と同じものをそれぞれに設定します。
設定が終わったら[完了]をタップします。
保存されたVPN接続を選択し、スイッチを入れます。
接続が確立するとスイッチが緑に代わり、通知領域にVPNマークが表示されます。
次はAndroidです。
AndroidをVPNクライアントとして設定する
Androidは機種とバージョンによって多少設定手順が異なります。
NOMIの手持ちの"Moto Z Play(Androidバージョン8.0.0)では、「設定」→「ネットワークとインターネット」→「VPN」→「+」と進み、
「名前」→適当に
「タイプ」→"L2TP/IPSec PSK"
「サーバーアドレス」→Windows10の接続設定で説明した「サーバー名またはIPアドレス」
「IPSec事前共有鍵」→NVR500に設定した「事前共有鍵」
「ユーザー名」→NVR500に設定した「ユーザーID」
「パスワード」→NVR500に設定した「接続パスワード」
と設定し、[保存]をタップします。
時々思うのですが、どうして同じパラメータなのに提供するメーカーやシステムによって呼び名が違うのでしょうか。
保存した接続設定をタップし、[接続]をタップしたらVPN接続が行われます。接続中は通知領域に鍵マークが表示されます。
VPNについてNOMIが思うこと
VPN接続を使うと外出先から自宅LANにあるSynology DiskStation DS218jのデータを安全に取り出せるというメリットがあります。
もともとVPNはそういう目的で作られているのですが、「自宅を経由してインターネット空間に接続できる」という仕組みによって、GoogleやLINEなどへのアクセスが遮断されている中国からでも、アクセスが可能になる、というメリットがあり、最近はその恩恵のほうが大きいのではないかと思います。
特にNOMIは時折仕事で中国に行くことがあるので、これはもう手放せないサービスですね。YAMAHA NVR500はまだまだイケてます。
ところで実はSynology DiskStation DS218jにもVPN接続を実装できるパッケージ「VPN Server」があり、"OpenVPN"を使ってYAMAHA NVR500のL2TP/IPSecとは別のVPN接続環境も構築しています。
また、万が一に備えてDS218jでもL2TP/IPSecが利用できるようにしています。
「NVRは持ってないけどDS218jなら使ってるゾ」な方はこちらを参考にしてみてくださいね。
https://a.r10.to/hIQZke