有馬総一郎のブログ

(彼氏の事情)

TP-Link AC2600でVPNを試す3(OpenVPNサービス有効化)

ちんたら、一回でコンパクトに書ける内容をチンタラ書いてきたが、いよいよVPN有効化だ。

PPTPOpenVPNと2種類があるが、VPNプロトコルの比較と特徴 - PPTP, L2TP, SSTP, IKEv2, OpenVPN | べすとVPN.jpなど他サイトを見ても PPTPはセキュリティ観点からオススメしないとある。

ただ、 PPTPはWindows, Chomebookともに標準機能として使えるので、多少のリスクは構わないという方は PPTPを選択するのが良い。私は OpenVPNを使うことにした。

まずは証明書の生成だ。数分経てば完了する。

生成されれば、"現在、証明書がありません。VPNサーバーを有効にする前に生成してください。"の文言が消える。

VPNサーバーを有効にするをチェックする。また、外部から使うので クライアントアクセスインターネットとホームネットワークに変更する。

そして、保存する。

次にクライアントがVPNサーバーに繋ぐための設定ファイル(client.ovpn)をエクスポートする。これを接続したい各端末に渡してやればOKだ。

ちなみにTP-Link DDNS機能は使えなくても、VPNサーバーは使える。その場合、OpenVPNサーバーと繋ぐための ovpnファイルの接続先がIPアドレスになるので、別のDDNS使っているならそこに変えれば使える。

TP-Link DDNSを利用したときは、OpenVPNサーバーの opvnファイルは、以下のようにdnsが設定されてエスクポートされる。

remote arimasou16.tplinkdns.com 1194

TP-Link DDNS利用していないときはローカルIPアドレスで opvnファイルがエクスポートされる。

remote 192.168.1.13 1194
↓
remote <利用しているDDNS> 1194

なので、利用しているDDNSに変えれば無事に繋げられる。

ちなみに、もし家のルータが、Docomoひかり電話に加入している関係で、 NTTのフレッツ光用ブロードバンドルータを挟んでAC2600を使っている場合は、ブロードバンドルータに、VPNするためのポート1194を開ける必要がある。AC2600は不要。

下の画像は我が家のPR-S300HIだけど、他の機種でもそこまでの違いはないと思う。静的NAT設定でも静的IPマスカレード設定どちらでも行けると思うのだけど、マスカレードの方は外から中、NATのほうは双方向というイメージがあるので、マスカレードが一般的なのかも知れない。

また、何故かNATで設定しても繋がらなかったのに、マスカレードにしたら繋がった(ような気がする)体験を筆者はした。そして、拠点間インターネットVPN (NAT超え)に関する整理 | Check!Site

本来、VPNとNATとの相性は良くない。

NATはアドレス変換時にヘッダ内の値を変更するが、VPN側で暗号化されたヘッダにアクセスできなくなり、データの整合性が取れなくなる現象が出る為らしい。

とあるので、やはりマスカレードにした方が良いかも知れない。(でも、その後マスカレードを削除して、NATにしても繋ったから私の勘違いなんだろう)

Comments