VPN Serverで自宅にVPN接続~DiskStation DS218j

DDNS関係, Synology DiskStation DS218j, VPN関係, YAMAHA NVR500, ルーター

NOMIはたま~にですが仕事で中国に行くことがあります。

困ったことに中国からはGoogleをはじめとして日米欧の多くの有用なインターネットサービスにアクセスすることができません。理由はご存知の通り、

中国のネット検閲

中国のネット検閲(ちゅうごくのネットけんえつ)とは、中華人民共和国におけるインターネットに対する検閲である。法律に従って60以上の条例が中国政府によって作られ、地方の国有インターネットサービスプロバイダの一部や、中国政府、商社、団体などが検閲を実施している[1][2]。ただし、中国の特別自治区である香港マカオには適用されない[要出典]

出典:ウィキペディア

です。今のところこの検閲を逃れるには、中国と日本の間にVPNでトンネリングをして、日本国内からインターネットに接続するという形にしてしまうのが一番です。

NOMIの場合は自宅のYAMAHA NVR500にL2TP/IPsecのインターネットVPNで接続し、中国から自宅経由でGoogleやTwitter、Facebookなどのサービスを利用してます。

L2TP/IPsecで自宅にVPN接続~YAMAHA NVR500

ところがインターネットプロバイダのレンタルルーターや、電器屋さんで普通に売っている民生用ルーターで、OpenVPNやL2TP/IPsecのVPN接続機能を実装している機種はまずありませんから、NOMI宅のような美味しい環境は作れません。世にインターネットVPNの実装を謳っているルーターは結構ありますが、「使ってはいけないVPN」のPPTPが使えるだけ、というケースが多いです。

なぜPPTPを使ってはいけないのかというと、既に解読方法がわかっている危険な暗号化方式(RC4)を使っているためです。じゃあなんでPPTP開発元のマイクロソフト社はこれを改善しないかというと、がんばって改善しても商売にならないからで、本音は「皆さん、もうPPTPのことは忘れて他のベンダーの優秀なVPNを使ってください。ついでにWindows VistaとWindows 8もきれいさっぱり忘れていただければ幸いです。」という感じなのだと思います。業界によくある黒歴史のひとつですね。
なぜ民生用ルーターの多くがいまだにPPTPを実装しているのかというと、とりあえず実装しておけば「インターネットVPN対応」がアピールできることと、機能を廃止することによって、PPTPの危険性を理解できない愛用者の怒りを買いたくないからですね。ユーザーの顔色を窺ったりせずに2017年に正式にPPTPのサポートを終了したアップルを見習うべきでしょう(それでも遅かったですけどね)。
PPTPのもう一つの欠点は、サーバー側だけでなく、リモート側のルーターもVPNパススルーに対応していなければならないことで、例えば宿泊先のホテルのルーターが古く、VPNパススルーに対応していなければVPNを張ることができません。技術的には、手動でGREプロトコルを通過させる設定をすれば良いだけですけど、ホテルにリクエストしても多分無理でしょう。
もちろん、業者のVPN接続サービスを利用する、というテもあります。使えるか使えないかはやってみてのお楽しみのようです。無料のサービスより有料のサービスのほうが良くつながるという話は聞きます。が、堅実派でケチなNOMIの選択肢には、これはありません。

ところが自宅LANのSynology DiskStation DS218jに「VPN Serverパッケージ」をインストールすれば、PPTPだけでなく、OpenVPNやL2TP/IPsecで自宅にインターネットVPN接続できるようになります。

というわけで、Synologyの公式サイトの解説

VPN Server の設定 | Synology Inc.

を参考に設定します。

DSMにログインして、[パッケージセンター]を開きます。

「VPN Server」パッケージのインストール|VPN Serverを使う

「VPN Server」の[インストール]をクリックします。ほどなくインストールは終わります。

「VPN Sever」の起動|VPN Serverを使う

[メインメニュー]を開いて[VPN Server]をクリックします。

OpenVPNを選択|VPN Serverを使う

「VPN Server」では三種類のVPNが利用できます。

前述のとおり、オワコンのPPTPは却下です。

L2TP/IPSecのほうはルーターYAMAHA NVR500で使用中ですからNOMI宅の現在の環境では使えません。

DSMの「VPN Server」でL2TP/IPSecを利用するには、ポート番号1701、500、4500をDS218jのローカルIPアドレス”192.168.100.201″にポートフォワーディングする必要がありますが、NOMI宅では既にルーターYAMAHA NVR500の”192.168.100.1″にポートフォワーディング済み、だから使えない、というわけです。もちろん、YAMAHA NVR500でのL2TP/IPSecの利用をやめれば「VPN Server」でL2TP/IPSecを利用することはできます。

というわけで、ここは”OpenVPN”の一択ですので「OpenVPN」を選択します。

OpenVPNの設定|VPN Serverを使う

「OpenVPN サーバーを有効にする」にチェックを入れると設定可能になります。

「ダイナミックIPアドレス:」、「最大接続数:」、「同じアカウントで接続できる数:」はデフォルトのまま、「ポート:」はセキュリティを考えてデフォルトの”1194″から適当なものに変更します(ここは内緒)。

「VPNリンクで圧縮を有効にする」はとりあえずON。負荷が大きいなら速度を犠牲にしてオフにする予定。「クライアントにサーバーの LAN にアクセスさせる」も試験的にとりあえずON。LANにアクセスする必要がなければセキュリティ上はオフが正解ですので後で考えます。

設定が終わったら「適用」をクリックします。

ルーター設定のダイアログ|VPN Serverを使う

ダイアログが表示されます。つまり「ルーターからDS218jのIPアドレス”192.168.100.201″に対して「ポート:」に設定したポート番号をUDPで通過させる設定をしなさい。」ということですね。これは後程やります。ひとまず「OK」をクリックしてダイアログを閉じます。

OpenVPN設定のエクスポート|VPN Serverを使う

設定が有効になると、[エクスポート設定]ボタンが押せるようになりますのでクリックします。

意味としては「設定をエクスポート」するボタンですから、これは微妙な誤訳ですね。

OpenVPN設定の保存|VPN Serverを使う

設定ファイルのアーカイブ”openvpn.zip”の保存ダイアログが表示されますので、「OK」をクリックしてパソコンに保存しておきます。

「OpenVPN」の設定はひとまずここまで。続いてルーターの設定に移ります。