v6プラスなどにより、SoftEther VPN ServerへのVPN接続の対策としてOpenVPNを導入しました。
安定していつでも通信できるようにするにはモバイルIPv6通信が必須ですが、制限付きならモバイルIPv4通信でもVPN接続は可能です。
<目次>
v6プラスの致命的な問題は、複数の利用者間でグローバルIPv4アドレスを共用で使うため、各利用者の使えるポートが制限されることです。
L2TP/IPsec接続では500/udpと4500/udpを使いますが変更はできません。制限されるのがIPv4だけならIPv6で通信すればと考えましたが、モバイル端末側(iPhoneやAndroid)がIPv6でのL2TP/IPsec接続をサポートしていませんでした。
そのためv6プラス環境でのL2TP/IPsec接続をあきらめて、IPv6に対応したOpenVPNを導入しました。利用方法についてはこちらの記事で説明しました。
IPv6に対応していてSoftEther VPN Serverでも接続がサポートされている方法としてOpenVPNを選択しましたが、OpenVPNには通信ポートを変更する機能があります。
OpenVPNは既定では1194/udpで通信を行いますが、このポート番号をv6プラスでも使えるポート番号に変更すればIPv4でも通信は行えます。
では何故、この方法を最初に説明しなかったかですが、それは一度設定してしまえば必ず使えるIPv6によるVPN通信と異なり、v6プラス環境でのIPv4によるVPN通信は必ず使えるという保証が無いからです。
IPv6での通信では利用できるポートに制限がありません。(厳密にはあるでしょうが通常使用するうえでは問題になりません)しかし、v6プラスで利用できるポートは一時的に割り当てられているものですので、継続して使える保証がありません。
この点についてプロバイダーに確認したところ、このような趣旨の回答がありました。
したがって以下で説明する方法で設定しても、テストのときは問題無くとも実際に使うときになったら使えなかったということがあることを承知の上で利用してください。
IPv6でのリモートVPN接続環境構築手順と対比するため、こちらの記事と手順の番号を一致させています。
IPv4でのリモートVPN接続環境を構築するために、次の機器への設定が必要です。
とは言ってもそれほど大きな作業ではなく、30分もかからないでしょう。
以下に手順を説明しますが、「SoftEther VPNによるVPN環境構築(6) SoftEther VPN Serverのインストールと設定」までは完了していることを前提としています。
「設定シート」の内容はこのようになっていることとします。
SoftEther VPN Server設定シート Ver.3.0 作成日:20XX/XX/XX 1.ネットワークアドレス:192.168.2.0 |
今回はiOS端末だけを想定して説明しますが、Android端末については異なる部分だけを説明したこちらの記事を参照願います。
まず、v6プラスでIPv4において使えるポート番号を調べます。
インターネットブラウザーのアドレスバーに次のように入力して[Enter]を押します。
例えば、設定シートに従うと、このようなURLとなります。
正しくアクセスできるとこのように表示されますので「IPv4設定」をクリックします。
このようなページが表示されますので「利用可能ポート」に表示された番号を見て、この中から任意のポート番号をひとつ決めます。
割り当てられるポート番号は利用者ごとに違いますので自分の環境に合わせて、あなたが決めてください。
ここでは「53501」と決めたことにします。
SoftEther VPN Serverのバージョンを確認してください。
SoftEther VPN Serverパソコンで「SoftEther VPNサーバー管理マネージャ」を起動して「バージョン情報」をクリックします。
リモート管理を行っている場合は、管理に使っているSoftEther VPNサーバー管理マネージャと、SoftEther VPN Serverでバージョンが違っている可能性がありますので、必ずSoftEther VPN Serverパソコンで確認してください。
表示されたバージョンが「Version 4.31 Build 9727」より古い場合は、「Version 4.31 Build 9727」以上へのバージョンアップが必要です。
安定した環境の維持などでバージョンアップしたくない場合でも、新しいバージョンに含まれる機能が必要であり、以下の手順を進めるためにバージョンアップは必須です。
バージョンアップは以下の手順で行います。
こちらのサイトから「Version 4.31 Build 9727」以上のSoftEther VPN Serverをダウンロードします。
Windows 10用なので、このように選択します。
ダウンロードするソフトウェア | SoftEther VPN (Freeware) |
コンポーネント | SoftEther VPN Server |
プラットフォーム | Windows |
CPU | Intel (x86 and x64) |
SoftEther VPN Serverパソコンで、ダウンロードしたファイルをダブルクリックしてインストールを開始します。
「次へ」をクリックします。
ユーザーアカウント制御が表示されますので「はい」をクリックします。
SoftEther VPN Serverをバージョンアップしますので「SoftEther VPN Server」を選択して「次へ」をクリックします。
使用許諾契約書を読んで同意する場合は「使用許諾契約書に同意します」をチェックして「次へ」をクリックします。
重要事項説明書を読んだら「次へ」をクリックします。
「上級者のためのインストールオプション」をチェックして、「このコンピュータのWindowsにインストール」が選択されていることを確認したら、「次へ」をクリックします。
「次へ」をクリックします。
インストールが完了するのを待ちます。
「SoftEther VPNサーバー管理マネージャを起動します」がチェックされていることを確認して「完了」をクリックします。
SoftEther VPNサーバー管理マネージャが起動しますので「バージョン情報」をクリックします。
正しくバージョンアップされていることを確認したら「OK」をクリックしてバージョン情報を閉じます。
SoftEther VPNサーバー管理マネージャで「localhost(このサーバー)」を選択して「接続」をクリックします。
「OpenVPN/MS-SSTP設定」をクリックします。
「OpenVPNサーバー機能を有効にする」にチェックを入れます。
「OpenVPNサービスを提供するUDPポート」は先ほど、あなたが決めたポート番号に変更します。ここでは「53501」に変更しました。
「OK」をクリックして一度閉じてポート番号を確定させます。
ポート番号を変更した場合は、必ず一度閉じてください。閉じないと「OpenVPNクライアント用のサンプル設定ファイル」に反映されません。
再度「OpenVPN/MS-SSTP設定」をクリックして開き直します。
そして「OpenVPNクライアント用のサンプル設定ファイルを生成」をクリックします。
「OpenVPNクライアント用のサンプル設定ファイル」を任意のフォルダーに保存します。
すぐに内容を確認するか問われるので「いいえ」をクリックしてファイルを保存します。
最後に「OK」をクリックして閉じます。
OpenVPNクライアントからIPv4で接続できるように、ブロードバンドルーターのファイアウォールに「穴」をあけます。
穴をあける方法についてはL2TP/IPsec接続ではこちらの記事で説明しました。
しかし、v6プラスを契約している場合はブロードバンドルーターの設定画面からは設定できなくなり、事業者ソフトウェアで行います。
なお、事業者ソフトウェアの使用方法はこちらのマニュアルを参照してください。
先ほどと同じようにインターネットブラウザーのアドレスバーに次のように入力して[Enter]を押します。
例えば、設定シートに従うと、このようなURLとなります。
正しくアクセスできるとこのように表示されますので、「IPv4設定」をクリックします。
この画面が表示されたら左側の「IPv4パケットフィルタ設定」をクリックします。
ユーザー名とパスワードを登録していない場合は、登録画面が表示されますので登録してください。ユーザー名とパスワードを忘れるとブロードバンドルーターを初期化しないとアクセスできなくなりますので、忘れないようにしてください。ユーザー名とパスワードはブロードバンドルーターに設定したものとは別管理となります。
登録してある場合は、ユーザー名とパスワードを入力して「IPv4パケットフィルタ設定」画面を表示させます。
1から4は予め設定されていますので、5以降のエントリーに設定します。ここでは5に設定することとして「5」をクリックします。
「IPv4パケットフィルタエントリ編集」画面が表示されるので以下の様に設定します。
設定したら「設定」をクリックします。
(2021/4/27 宛先アドレスを訂正)
設定したエントリ番号に正しく設定されていることを確認します。
IPv4ではIPv6のようにインターネット側から直接SoftEther VPN Serverパソコンのアドレスを指定できないため、SoftEther VPN Serverパソコンへの転送設定が必要です。
左側の「静的NAPT設定」をクリックします。
設定されていない最初のエントリーに設定します。ここでは「1」をクリックします。
「静的NAPT設定エントリ編集」画面が表示されるので以下の様に設定します。
設定したら「設定」をクリックします。
(2021/4/27 宛先アドレスを訂正)
設定したエントリ番号に正しく設定されていることを確認します。
ブロードバンドルーターの設定はこれで終わりなのでインターネットブラウザーを閉じます。
「2.OpenVPN接続設定」で保存した「OpenVPNクライアント用のサンプル設定ファイル」を展開します。
展開したファイルの中で「<SoftEther VPN Serverパソコンのコンピューター名>_openvpn_remote_access_l3.ovpn」というファイルをだけを使います。
このファイルは元々IPv4接続用ですので編集する必要はありません。
ファイル名がVPN接続名の一部になりますので、分かりやすいファイル名に変更します。ここでは「vpnXXXXXXXXX.ovpn」に変更することにします。
iOS端末にOpenVPN Connectをインストールします。
「4.設定ファイルの変更」で保存した設定ファイルを、iOS端末に読み込ませるにはいくつかの方法があります。ここではメールに添付して読み込ませる方法で説明します。
「vpnXXXXXXXXX.ovpn」をメールに添付して自分宛に送信して、iOS端末のメールアプリで受信します。受信したメールを開いたら、添付されている設定ファイルをタップします。
読み込ませるアプリのリストが表示されるので左にスワイプして
「…」その他をタップします。
今度は上にスワイプして
「OpenVPNにコピー」をタップします。
OpenVPN Connectアプリに切り替わりますので、「ADD」をタップします。
「設定シート」を参照して各項目に入力します。
Usernameは「12.仮想HUB ユーザー名」だけでもよいのですが、デフォルトで接続する仮想HUBが設定されていない場合のことを考慮して、「@」に続けて「9.仮想HUB名」も指定しておいた方がよいでしょう。
すべて設定したら「ADD」をタップします。
OpenVPNプロファイルを追加すると「設定」アプリの「VPN構成」に追加されるため、警告が表示されます。
「許可」をタップすると生体認証またはパスコードで認証した後、追加されます。
OpenVPN Connectアプリに戻るので、プロファイルが追加されていることを確認します。
リモートVPNの接続・切断は簡単です。
OpenVPN Connectアプリを開いて、スイッチをタップします。
スイッチの色が変わり接続処理を始めます。
接続できると「CONNECTED」と表示され、合わせていろいろな情報が表示されます。
これでリモートVPN接続はできていますので、自宅のNASやBDレコーダーなどにアクセスしてみてください。
画面をスクロールさせると、接続しているアカウント、接続先でのiOS端末のIPv4アドレス、SoftEther VPN ServerのダイナミックDNSホスト名、パブリックIPv4アドレスなどが表示されます。
「PORT」には変更したポート番号が、「VPN PROTOCOL」には「UDPv4」とあり、IPv4でVPN接続していることが分かります。
VPN接続中のOpenVPN Connectアプリのスイッチをタップします。
警告が表示されますので「OK」をタップします。
切断するたびに警告を表示したくない場合は、「Don't Show Again」をチェックしてから「OK」をタップします。
スイッチが元の状態に戻り、いろいろな接続情報が消えます。
iPadでは画面が変わりますが、設定手順、接続・切断手順は同じです。
Wi-Fi版iPadでVPN接続する場合は、テザリングするモバイル端末でVPN接続するのではなく、iPad側でVPN接続を行います。
VPN接続ができなくなった場合は、あなたが決めたポート番号が使える状態なのか、ブロードバンドルーターの事業者ソフトウェアで確認してください。
変わっていた場合は、ほぼすべての設定はやり直しとなります。
出先で変わっていることに気付いても、SoftEther VPN Serverやブロードバンドルーターの設定変更も必要なので、TeamViewerなどでアクセスできる環境を予め準備しておく必要があります。
個人で趣味などに使う分には問題無いでしょうが、業務での利用には向かないことは理解願います。
ここで説明した方法はあくまで暫定的な使用と考えてください。いつ使えなくなるか分からないためです。恒久的な使用としてはIPv6に対応したキャリアに乗り換えてIPv6で使うことをお勧めします。
この連載も始めてから時間が経ちIPv6も無視できなくなって、いろいろと不整合が起きてきています。そのため今回で連載は終了として仕切り直すつもりです。
SoftEther VPN連載記事: