タグ: security

はじめに

VPN clientでVPN serverに接続すると、そのVPN serverで設定されたローカルのIPアドレスが与えられます。そうすることで、Internetにアクセスする場合、そのローカルIPからルーターのグローバルIPを窓口としてアクセスすることになります。すなわち、ローカル環境を手に入れたことになる訳です。

VPN提供業者のサービスでは、仮装ロケーション、位置情報の隠蔽などが可能と謳っていますが、この原理は、VPN接続したクライアントのIPアドレスが、サーバーのIPアドレスになるためです。VPNサーバーがアメリカにあれば、そのアメリカのIPアドレスがクライアントのIPアドレスになります。複数の国にVPN serverを持っているVPN提供業社では、それに応じたグローバルIPアドレスの取得が可能なようです。

SynologyのVPN Plus Serverは、L2TPやOpen VPNなどに対応していますが、やはり、VPN Plus独自のSSL VPNは、L2TPよりも通信速度は高速でした。

SSL VPNの使用をお勧めします。

因みに、VPN提供業者の評価は、以下のリンクが参考になります。

2022年のベストVPN – TOP10VPN –

https://www.top10vpn.com/japan/v/asia/?bsid=c0jpse1kw005&gclid=CjwKCAjwloCSBhAeEiwA3hVo_TtrjkTThBdk9NnkZ9cm1orW3ZQhSPOEpOmR3EH6rN_QluEOXBgYzhoCqhkQAvD_BwE

最近の管理

Synology VPN Plusには無料のSSL VPN clientライセンスが1つ付いています。また、これまで、追加で最大19のライセンスを1ライセンス当たり約千円で追加可能な設定になっていました。このコロナ禍で自宅からのテレワーク需要が増えたことに対して、Synologyは、有償であった追加のSSL VPNライセンスを無償化しました(2021/9、下記リンク参照)。

今回、Mr.はりきりは、海外からの作業が必要になったことから、これまでに有効化していた無償ライセンスを使用してRT2600acのVPN Plus serverに出先の海外から接続し、残り19ライセンスを有効化をしてみました。結果は、あっさり有効化することができました(2022/04/08 by Mr. Harikiri)。

複数のVPN PlusのSSL VPN clientを使えるようになったことで、iPhoneやiPadなど、所持している複数の端末からローカル接続が可能になりました。その結果、端末の使用を切り替える度に、その端末からVPN Plusサーバへの接続着替えの必要性がなくなり、煩雑な作業から解放されました。もちろん、VPN Plus serverへはWidowsからも接続可能です。

無償クライアントの発表は以下のリンクを辿ってください。

無償クライアント VPN アクセスライセンス – Synology –

https://www.synology.com/ja-jp/products/Client_VPN_Access_License

WindowsからSynology VPN Plusに接続する方法については、は以下のリンクを辿ってください。

Windows PCからVPN Plus Serverに接続するにはどうすればよいですか？ – Synology –

https://kb.synology.com/ja-jp/SRM/tutorial/How_do_I_connect_to_VPN_Plus_Server_via_Windows

いろいろなプロトコル

vpnのプロトコルについて以下の表に示しました．古い順にしめしてあります．最も新しいのがOpenVPNです．

プロトコル	説明
PPTP	古いプロトコル．macOS/iOSに非対応
L2TP/IPsec	PPTP互換，速度遅い，ファイアウォールにブロックされることがある．
SSTP	Windows向け
IKEv2	モバイル向き
OpenVPN	開発進行中．オーブソース．

VPN対応ルーターとは? 初心者が知っておくべき選び方・注意点 ~ ITトレンド

https://it-trend.jp/vpn/article/48-0068

Synology VPN Plus

Synology RT2600ac ルーターは、パッケージセンターにあるVPN Plus Serverを導入することで、手軽にVPNサーバーを構築できます。

iOSのiPadやiPhoneでは、クライアントアプリから手軽にVPN接続することが可能です。

Windowsでは、ブラウザからVPNに接続すれば、クライアントのダウンロード/インストールが催促されます。一回、インストールすれば、この催促は表示されなくなり、ブラウザからVPNに接続できるようになります(前掲のリンクをご参照ください)。

インターネットからの接続の場合、証明書がエクスパイアしていて接続できない等、いざと言う時には、ローカル環境が必要な場面があります。その他、ID/PWによるログインにより、不運にも何度も失敗しアカウントが自動ブロックされた場合です。攻撃者であるなら、そのまま永遠にブロックリストに登録(等)されていてもいいのですが、自分自信の場合は、ブロックリストから解除しなければなりません。しかし、アクセスとして外部IPアドレスを許す設定はセキュリティ的には低くなるため、許可するIPアドレスとしてローカルのみを設定しています。そうすると、もしもの時には、自宅に帰ってローカル環境でブロックリストにアクセスすれば良いのですが、どうしても出先にいる場合は、VPNに接続して擬似的にローカル環境で作業を行う訳です。

RT2600ac

ハードウェアインストールに関する取扱説明書は、以下のリンクからご参照ください。

Synology Router RT2600ac

ハードウェア行くストールガイド

https://global.download.synology.com/download/Document/Hardware/HIG/Router/17-year/RT2600ac/jpn/Syno_HIG_RouterRT2600ac_jpn.pdf

出先からRT2600acにアクセスするには

不正にログインすることを防御するには、Two Factorを使うことが有効です。一方、通信途中の傍受(盗聴、改ざん)については、通信内容の暗号化技術の導入が有効です。それが、VPN (Virtual Private Network)です。

先ず、自宅のネットワークやSynology機器のDSMなどにアクセスする方法として、Internetからhttpsで入る方法があります。更にセキュリティを上げるには、追加で暗号化されたVPNを通じて入る方法があります。

Synology RouterのRT2600acに対して出先からアクセスする場合、DS routerというアプリを使用できます。DS router アプリは機能制限があるので、設定が必要な場合は、ブラウザからRT2600acにアクセスする必要があります。

VPN Plus Server – Synology –

https://kb.synology.com/ja-jp/SRM/help/VPNPlusServer/vpnplus_server_desc?version=1_2

VPN プロトコルの種類

SynologyのVPN Plus serverが提供するVPNは以下の通りです。

• Synologyが提供するVPN server
  • Synology VPN
    • SSL VPN : ライセンス数1 (同時アクセスできるユーザー数)、19の優勝クライアントライセンスは、2021/09に無償化された。
    • WebVPN : ライセンス数1
• 標準VPN
  • SSTP VPN : ライセンス数1
  • OpenVPN : ライセンスフリー (複数設定可能)
  • L2TP/IPSec VPN : ライセンスフリー (複数設定可能)
  • PPTP VPN : ライセンスフリー　(複数設定可能)

記事を書いた当時(2020)はL2TP以外のVPN接続を確認できていませんでしたが、Synology SSL VPNの接続も確認できました(2021/01/05)。

iOSは、SystemとしてL2TPに対応していますし、Synology SSL VNPへの接続には、接続アプリが提供されています。VPN Plusをアプリストアから探してインストールしてください。L2TPよりは、SSL VPNを使った方が接続は安定しています。

設定概要

1. 共通の設定(ここでは、詳細な説明はしません)
   • Internetからのアクセスには、DDNSによるドメイン名の取得が必要
   • RT2600acでSRMのポートを開放 (L2TPでは必要ではない)
   • iPhoneへのDS routerアプリのインストール (ネット管理のため)
   • iPad/iPhoneのファイルブラウザアプリ (FileBrowser Biz)のインストール　(ローカルアドレスによるファイルにアクセスするために使用しています)
     
2. VPN経由
   • VPN接続までの経路では、httpsのSSLで通信内容は暗号化されます。
   • VPN接続後の通信内容は、VPNにより暗号化され、その後のInternetへのアクセスは、1つ余分なVPNを経由します。これによってローカル環境を取得できます。具体的な接続のイメージは、
     Client → VPN (Server) → Internet、です。
   • 効率性 : 追加したVPNでの暗号化・複合化があるためレスポンスが低下はやむを得ないですが、RT2600acの性能次第です。2022上半期にSynologyは新しいルーター製品を販売開始するとアナウンスされています。性能がアップされているようなので、手に入れた際には性能比較をする予定です。
   • 設定概要
     • RT2600acへのVPN Plus Serverのインストール
     • iOSでの設定
       • L2TPでは : iPad/iPhoneの設定 → 「VPN構成を追加」にて設定
       • VPN Plus アプリ内で設定して接続
     • Wondowsでの設定
       • WebブラウザでRT2600acのVPN Plus Serverにアクセスして接続
     • 管理
       • ローカルネットの管理は、接続しているVPNのローカル環境からDS RouterアプリでRT2600acに接続にて行います。
       • VPNの管理は、接続しているVPNのローカル環境からRT2600acにログインし、VPN Plus Servrから、接続状況、ログなどで確認になります。
3. Internetのみの経由 (VPN接続との違い)
   • 端末からのローカル環境は利用できない。

VPNによる暗号化

VPNの暗号化通信には、RouterにVPN ServerとClient側の設定が必要です。以下の「VPNのインストールと設定」を行ってください。

VPNサーバー

下図は、RT2600acのデスクトップです。

下図は、パッケージセンターにあるパッケージです。VPN Plus Severをインストールします。

左上の窓アイコンから、使用できるアプリが表示されます。VN Plus Severを起動して設定してきます。

SSL VPN

SSL VPNサーバの設定

• クライアントIPの範囲
  • Local Networkに設定してください。この設定は、もしもの時に、Local Networkからはアクセスを許可する設定にしているため、外からVPNに入ってローカルIPアドレスを取得することで、外からローカルIPアドレスによりアクセスが可能とするためです。
  • NASの「コントロールパネル → アカウント → ホワイト/ブロックリスト」のホワイトリストには、ローカルIPアドレスを設定していることが前提です。
• ポート
  • 以降に解説しているL2TPの場合とは異なり、ポート番号が必要です。重要な事は、ポート番号は、その他のサービスと重ならない番号を設定することです。重ならないポート番号を設定することで、そのポート番号を使ったコールは、本RT2600acルーターのサービスとみなされ、SLL VPNサーバーをコールすることができます。
  • 割り当てられている「ポート番号」は、「ネットワークセンター → 転送」にて確認してください。

SSL VPN クライアント

DDNS名とポート番号(<your DDNS name>:<port no>)とUI/PWを入力して接続します。2ファクターを設定していれば、認証番号の入力を求めてきます。入力して接続します。

接続できれば、ローカル環境と同様に作業が可能です。NASの接続IPアドレスも、ローカルIPアドレスで可能になっています。

どのVPNを使うか

以下に示したL2TPの記事を書いたのは2020/7でした。最近、海外に行くことになり、海外からの接続をしたのですが、iPhoneからのL2TP接続では、そのネット速度が非常に遅く使い物になりませんでした。

Synology独自のSSL VPNでは、VPNを接続していない時と比べて速度は当然落ちますが、使用に耐えうるものでした。

SSL VPNの使用をお勧めします。

SSL VPN

SSL VPNサーバの設定

デフォルト設定でOKです。ただし、ルーター経由の内外の転送ボートは確認してください。

クライアント

iOSのクライアントは、App Storeから取得し、随時接続を実行します。

Windowsクライアントは、ブラウザからの最初の接続時にクライアントの導入が促されるので、それをダウンロード/インストールしてください。その後、接続のクライアントは、最初と同様ブラウザからの接続ですみます。クライアントの導入が促さ素れることは無くなっているはずです。

IPアドレスの確認

VPN接続ができていれば、IPアドレスは、VPN Serverが繋がっているグローバルIPアドレスに変わっているはずです。

「確認くん」、「nordVPN」などを使用して、IPアドレス/住所などを確認してください。

L2TP

L2TPサーバの設定

• iOSはL2TPに対応しています。
  • でも、iOS用に　Synology アプリとしてVPN Plusがあるので、上記に示したSSL VPNを使う方が素直です。
• VPN Plus Serverの標準VPN → L2TP、を開く
• クライアントIPの範囲 → (Local Network)にセットすること
• 事前共有鍵 : 最下の2カ所を入力
• [適用]

iPhoneの設定 (クライアント)

• iOSでのクライアントの設定手順は、設定 → VPN → VPN構成を追加に進みます。
  • タイプ : L2TP
  • 説明 : 任意の説明
  • サーバ : ドメイン名(インターネットからアクセスできる名前)
  • アカウント : ローカルのユーザーID
  • パスワード : 上記ユーザーIDのパスワード
  • シークレット : VPN Plus サーバの管理画面で設定したパスワード
  • プロキシ

まとめ

VPNを活用すると、出先からでも暗号化された通信が可能となり、割り当てられるIPアドレスをローカルのIPアドレスになるよう設定していれば、ローカル環境を享受できます。これにより、ローカル環境でしかできない作業でも、VPNによりリモートで作業ができます。

セキュリティ面のメリットだけでは無いことを理解して、是非、活用してください。

編集履歴
2020/07/15 Mr.HARIKIRI
2021/01/05 追記 (SSL VPNの設定、まとめ)
2022/03/27 追記 (VPN提供業者について、その他追記)
2022/04/08 追記 (VPN PlusのSSL VPNクライアントライセンスを無償で追加)
2022/04/10 文言整備
2022/6/16 追記(VPNプロトコルのいろいろ)