以上でインストールしたSoftether VPN Serverを設定していきます。
設定
初回起動時の設定
前ページで「完了」をクリックすると、サーバー管理マネージャが表示されます。
localhostのまま、「接続」をクリック。
管理者パスワードを設定しないといけないので、自分だけが知っている強固なパスワードを入力し、「OK」をクリックします。
- リモートアクセスVPNサーバー
通常のVPN接続を構成。外出先のスマホやPCから家庭内LANに接続する際にチェックを入れる。 - 拠点間接続VPNサーバーまたはブリッジ
単身赴任中に家庭内LANを実家に接続する場合、本社と支社のLANを接続する場合。個人で利用する場合はチェックしなくて良いです。 - 高度な機能を用いたVPN
気にしなくて良いです。
「リモートアクセスVPNサーバー」のみ選択し、「次へ」をクリック。
「OK」をクリック。
サーバー内の仮想的なスイッチの名前を決める。デフォルトの「VPN」でOK。
ダイナミックDNS名を決める。「○○.softether.net」の○○に入る自分が使いやすい・覚えやすい名前を入れ、「上記のDNSホスト名に変更する」をクリックし、「閉じる」をクリック。
iPhoneやAndroid等のOS標準のVPN機能を使用する場合は、
- L2TPサーバー機能を有効にする(L2TP over IPsec)
- L2TPサーバー機能を有効にする(暗号化されていないL2TP)
を選択し、「IPsec事前共有鍵」を、8文字以上で設定する。
IPsec事前共有鍵が10文字以上だと表示されますが、バグがある機種を使っている方はほぼいないはずなので「いいえ」をクリック。
強固なファイアウォール内のサーバーにアクセスしたい場合は「有効」にチェックを入れますが、WindowsかSoftether VPN Clientが必要なので、特に利用する予定がなければ「無効」にし、OKをクリック。
「ユーザーを作成する」をクリック。
- ユーザー名:任意
- パスワード:任意
これだけ入力すれば、あとは初期値のままで大丈夫です。今回は「user」を入力し、OKをクリック。
「user」がきちんと追加されていることを確認し、閉じるをクリック。
すると、「ユーザーを作成する」をクリックした画面に戻るので、ローカルブリッジから、自分が主に使用しているLANカードを選択し、閉じるをクリック。
- Wi-Fi→Wi-Fiや802.11acと書いているLANカード
- 有線LAN→GigabitやEthernetと書いているLANカード
この画面になったら、ひとまずは完了です。
サーバーPCのIPアドレスを固定
ここで詳しく説明されているので、設定したIPアドレスを控えておいてください。
ポート開放
ルーターから、特定のポートを1つのPCへ転送する設定を行います。
以下のポートを開放しましょう。
- UDP 500(L2TP over IPsec)
- UDP 1701(暗号化なしL2TP)
- UDP 4500(L2TP over IPsec)
- (Softether VPN Clientを使う場合)リスナーポートのうち1つ以上をUDP
また、ルーターのメーカーによってポート開放の用語や方法が違うので、以下のサイトさんから確認してください。
- NTT:静的IPマスカレード設定
- Buffalo:ポート変換
- NEC:ポートマッピング設定
解放ができたら、各ポートを以下のサイトでチェックしてみましょう。
セキュリティ向上のための設定
暗号化アルゴリズムの変更
Softether VPN Clientから接続する際しか変わりがありませんが、 サーバー管理マネージャ中部のサーバー情報の参照および設定から「暗号化と通信関係の設定」をクリックし、暗号化アルゴリズムを「AES256-SHA256」に変更する。
サーバー管理マネージャへ接続可能なIPアドレスの制限
ポート開放していないと基本は外部からの接続はできませんが、リスクは無いに越したことはないので、以下のIPを許可しましょう。
127.0.0.0/8 192.168.0.0/16 172.16.0.0/12 10.0.0.0/8
接続端末の設定
次回紹介します。
まとめ
YAMAHAのRTX1210を買って、ルーターのみでVPNを作ることもできますが、スペースの問題と値段の問題で断念し、Raspberry piでの運用にしました。
「パケ死」ならぬ「ギガ死」が発生するようになり、また町中にもフリーWi-Fiが飛び交う現代において、個人情報が抜き取られるかもしれないという懸念を排除するためにこの記事を書きましたが、こんなマニアックなことは大多数の方は行わないでしょう。
あくまでも参考程度、自己責任でお願いします。
コメント