L2TP/IPsecで自宅にVPN接続~YAMAHA NVR500

DDNS関係, VPN関係, YAMAHA NVR500, ルーターAndroid, iOS, L2TP/IPSec, VPN, Windows, YAMAHA, セキュリティ, 通信

もう何年もまえから、民生用のルーターはWi-Fiアクセスポイントを兼ねているものがほとんどで、ウリは電波の強さと見栄え重視のスループット値、それにお仕着せのセキュリティ機能とか、さして効果のなさそうなおざなりの節電機能とか、ルーター本来の性能とは全然別のところにあります。

さらにひどいことを言えば、コストダウンのためにぎりぎり動作するかしないかレベルのプロセッサで動いているため、少しばかり負荷がかかるとすぐ音を上げたり、設定を変えるたびに再起動で何十秒も待たされたり、という具合です。

というわけでNOMI宅には贅沢にもYAMAHA NVR500が鎮座しています。

NOMI宅のYAMAHA NVR500|L2TP/IPsecで自宅にVPN接続

ちなみに向かって右ののっぽなヤツがNVR500です。

NVR500 仕様

NVR500は家庭用ではなくオフィス用なので、家庭では使わない電話関係の機能が多く、ちょっともったいない感じもありますが、ルーターとしての基本性能もオフィスユースレベルです。2010年の新発売直後に買ってから今まで8年、一度もトラブルを起こしたことはありません。

一昨年の2016年9月、ついにNVR500の後継機種NVR510がYAMAHAより発売されました。

NVR510 仕様

NVR500と比べて性能は抜群に良くなりましたが、家族四人のNOMI宅ではこれ以上性能が上がっても宝の持ち腐れ。ただ、NVR510では、YAMAHAの上位機種のルーターにしか搭載されていなかったL2TP/IPsec方式のVPNが使える、というのは買い替え衝動を刺激しました。でもそれだけのために「まだまだ使えるNVR500を放り出して、何万円かをかけてNVR510を買いますか?」といわれると…。

ところが我慢した甲斐がありました。なんと2017年10月リリースのファームウェア"Rev.11.00.36″にアップデートすると、NVR500でもL2TP/IPsec方式のVPNが使えるとのこと。YAMAHAサン、ありがとう!。

我慢できずにNOMIと同じ動機でNVR510を買った人、残念がってるかなぁ。

とはいえ、エンバグが怖いので慌てずに次のファームウェアのリリースを待つのがNOMI流です。で、"Rev.11.00.38″が出たのが2018年の5月。結構待たされましたね。

ファームウェアのアップデート前に、NVR500のVPN設定を見てみると、

アップデート前のNVR500|L2TP/IPsecで自宅にVPN接続

と、PPTPしかありません。

PPTPはセキュリティ上の問題があるのはわかっていたので、2017年の1月にアップルがサポートを終了してからは使うのをやめていました。

“Rev.11.00.38″のリリースノートを読むと特に問題はなさそうなので早速アップデートです。

YAMAHA NVR500のリビジョンアップ

NVR500のトップ画面→[詳細設定と情報]→ [リビジョンアップの実行] と進みます。

NVR500リビジョンアップの実行|L2TP/IPsecで自宅にVPN接続

最新までアップデートするので「ヤマハのwebサイト」を選択して[実行]をクリックします。

2013年からアップデートしていなかったのですね。ありゃー。

NVR500リビジョンアップの確認|L2TP/IPsecで自宅にVPN接続

リビジョンを確認して[実行]をクリックします。

NVR500ライセンス契約の確認|L2TP/IPsecで自宅にVPN接続

定番のライセンス契約確認です。下までずるるるとスクロールして[同意する]をクリックします。するとファームウェアのダウンロードが始まります。

NVR500リビジョンダウンロード完了|L2TP/IPsecで自宅にVPN接続

リビジョンアップして自動で再起動してくれます。仰せのとおりそのまま待ちます。

NVR500リビジョンアップ完了|L2TP/IPsecで自宅にVPN接続

リビジョンアップ終わりました。[トップへ戻る]をクリックします。

NVR500リビジョンアップの確認|L2TP/IPsecで自宅にVPN接続

無事"Rev.11.00.38″へアップデートできたようです。

些細なことですが、FireFoxでNVR500のトップ画面を見ると一番上のバナーが少しずれて見えます。実害はないのですが、微妙に気になります。

引き続きL2TP/IPsecのVPN接続設定を行います。

L2TP/IPsecのVPN接続設定

[トップ]→[詳細設定と情報]→[VPN接続の設定]から[追加]をクリックすると、

NVR500 L2TP/IPSecを選択|L2TP/IPsecで自宅にVPN接続

はい、ちゃんとL2TP/IPsecの選択肢が追加されていました。早速(Anonymous)を選択して[次へ]をクリックします。

NVR500 L2TP/IPSecの設定1|L2TP/IPsecで自宅にVPN接続

「設定名」は適当に、「事前共有鍵」は数桁の文字列を入れます。

ポイントは次の「認証アルゴリズム」のところで、デフォルトの[HMAC-MD5]だと何故かWindows10から接続できないので[HMAC-SHA]に変更しておきます。

Windows10 Home バージョン1803、OSビルド17134.286(2018/9/30現在)の話です。バージョンが変わればデフォルトの[HMAC-MD5]でも接続できるようになくかもしれません。

「ユーザーID」、「接続パスワード」はそれなりにきちんと設定します。

下にスクロールします。

NVR500 L2TP/IPSecの設定2|L2TP/IPsecで自宅にVPN接続

「接続先に割り当てるIPアドレス」はDHCPからもらえば良いのでそのまま。自動切断までの時間はデフォルトの60秒では少し短いので600秒に変更します。入力ができたら[設定の確定]をクリックします。

NVR500 L2TP/IPSecの設定完了|L2TP/IPsecで自宅にVPN接続

[トップへ戻る]をクリックします。

NVR500 L2TP/IPSecの設定確認|L2TP/IPsecで自宅にVPN接続

トップ画面のステータスに接続設定が現れました。

次にWindows10のクライアント設定です。

Windows10をVPNクライアントとして設定する

Windows10で、「設定」→「ネットワークとインターネット」→「VPN」と開きます。

Windows10のVPN設定開始|L2TP/IPsecで自宅にVPN接続

[VPN接続を追加する]をクリックします。

Windows10のVPN設定1|L2TP/IPsecで自宅にVPN接続

「VPNプロバイダー」には[Windowsビルトイン]、「接続名」は適当に決めます。

「サーバー名またはIPアドレス」には自宅のIPアドレスへ正引きできるホスト名を設定すればよいので、【SynologyのDDNS設定~DiskStation DS218j】でSynologyに登録しているDDNSホスト名"wwq.myDS.me"、

あるいは【MyDNSでDDNSを利用する】でMyDNSに登録しているDDNSホスト名"wwq.mydns.jp"、及びそのサブドメイン、

例えば、"hogehoge.wwq.myDS.me"や"hagehage.wwq.mydns.jp"でも良いということですね。

またはYAMAHAのネットボランチに登録しているDDNSホスト名(参考【SSL証明書の取得~DiskStation DS218j】)などが使用できます。

ここではNVR500にL2TP/IPsecを実装してくれたYAMAHA様に敬意を表してネットボランチのDDNSホスト名"????.netvolante.jp"を設定します。

「VPNの種類」は[事前共有キーを使った L2TP/IPsec]を選択。「事前共有キー」にはNVR500に設定した[事前共有鍵]と同じ文字列を設定し、下にスクロールします。

Windows10のVPN設定2|L2TP/IPsecで自宅にVPN接続

「サインイン情報の種類」は[ユーザー名とパスワード]を選択し、「ユーザー名(オプション)」、「パスワード(オプション)」にはNVR500に設定した「ユーザーID」、「接続パスワード」と同じものをそれぞれに設定します。このWindows10のアカウントは自分専用なので「サインイン情報を保存する」にチェックを入れ、[保存]をクリックします。

Windows10のVPN設定変更へ|L2TP/IPsecで自宅にVPN接続

設定ウィンドウが閉じたら、「接続名」のVPN接続が作られていることを確認し、[アダプターのオプションを変更する]をクリックします。

Windows10 アダプターオプションの変更|L2TP/IPsecで自宅にVPN接続

「接続名」の接続アダプタを選択して[この接続の設定を変更する]をクリックします。

Windows10 プロトコル許可設定の変更|L2TP/IPsecで自宅にVPN接続

「セキュリティ」タブを開き、「次のプロトコルを許可する(P)」を選択して「チャレンジ ハンドシェイク認証プロトコル(CHAP)(H)」にチェックを入れて[OK]をクリックします。設定はこれでOKです。

ここで設定したWindows10パソコンを自宅外から繋ぎます。NOMIはスマホのテザリングを使ってパソコンを繋いでテストしました。

Windows10 からのVPN接続|L2TP/IPsecで自宅にVPN接続

タスクバーからネットワークアイコンをクリックし、作成した「接続名」を開いて[接続]をクリックして、ステータスが「接続済み」に変わればOKです。ちなみにVPN接続中のNVR500のトップ画面のステータスは、

VPN接続中のNVR500のステータス|L2TP/IPsecで自宅にVPN接続

と変わります。

NVR500のトップ画面の「通信中」ステータスにはアニメーションGIF が貼ってあり、ビュンビュン通信している感が醸し出されています。お見せできないのが残念です。

続いてiPad(iOS)のクライアント設定です。

iPad(iOS)をVPNクライアントとして設定する

iPhoneでも基本的にやり方はWindows10と同じ(はず)です。

[設定]→[VPN]→[VPN構成を追加…]を開きます。

iPadのL2TP/IPsec VPN設定|L2TP/IPsecで自宅にVPN接続

「タイプ」は"L2TP"。「説明」は適当に。「サーバ」はWindows10の接続設定で説明した「サーバー名またはIPアドレス」と同じ。「アカウント」、「パスワード」、「シークレット」にはNVR500に設定した「ユーザーID」、「接続パスワード」、「事前共有鍵」と同じものをそれぞれに設定します。

設定が終わったら[完了]をタップします。

iPadでL2TP/IPsec VPN接続|L2TP/IPsecで自宅にVPN接続

保存されたVPN接続を選択し、スイッチを入れます。

iPadでL2TP/IPsec VPN接続中|L2TP/IPsecで自宅にVPN接続

接続が確立するとスイッチが緑に代わり、通知領域にVPNマークが表示されます。

次はAndroidです。

AndroidをVPNクライアントとして設定する

Androidは機種とバージョンによって多少設定手順が異なります。

NOMIの手持ちの"Moto Z Play(Androidバージョン8.0.0)では、「設定」→「ネットワークとインターネット」→「VPN」→「+」と進み、

AndroidのL2TP/IPsec VPN設定(1)|L2TP/IPsecで自宅にVPN接続

「名前」→適当に

「タイプ」→"L2TP/IPSec PSK"

「サーバーアドレス」→Windows10の接続設定で説明した「サーバー名またはIPアドレス」

AndroidのL2TP/IPsec VPN設定(2)|L2TP/IPsecで自宅にVPN接続

「IPSec事前共有鍵」→NVR500に設定した「事前共有鍵」

「ユーザー名」→NVR500に設定した「ユーザーID」

「パスワード」→NVR500に設定した「接続パスワード」

と設定し、[保存]をタップします。

時々思うのですが、どうして同じパラメータなのに提供するメーカーやシステムによって呼び名が違うのでしょうか。

AndroidでL2TP/IPsec VPN接続|L2TP/IPsecで自宅にVPN接続

保存した接続設定をタップし、[接続]をタップしたらVPN接続が行われます。接続中は通知領域に鍵マークが表示されます。

VPNについてNOMIが思うこと

VPN接続を使うと外出先から自宅LANにあるSynology DiskStation DS218jのデータを安全に取り出せるというメリットがあります。

もともとVPNはそういう目的で作られているのですが、「自宅を経由してインターネット空間に接続できる」という仕組みによって、GoogleやLINEなどへのアクセスが遮断されている中国からでも、アクセスが可能になる、というメリットがあり、最近はその恩恵のほうが大きいのではないかと思います。

特にNOMIは時折仕事で中国に行くことがあるので、これはもう手放せないサービスですね。YAMAHA NVR500はまだまだイケてます。

ところで実はSynology DiskStation DS218jにもVPN接続を実装できるパッケージ「VPN Server」があり、"OpenVPN"を使ってYAMAHA NVR500のL2TP/IPSecとは別のVPN接続環境も構築しています。

また、万が一に備えてDS218jでもL2TP/IPSecが利用できるようにしています。

「NVRは持ってないけどDS218jなら使ってるゾ」な方はこちらを参考にしてみてくださいね。