RT2600acのVPN Plusを設定する

RT2600ac の目玉機能 VPN Plus Serverについて紹介します。

RT2600acの初期設定はこちらから

VPN Plus搭載 機能豊富なSynology RT2600ac を初期設定する 前編 VPN Plus搭載 機能豊富なSynology RT2600ac を初期設定する 後編

この製品はSSL-VPNという443ポート(https)を利用したVPNを使うことが出来ます。 その他、SSTP、OpenVPN、L2TP/IPSec、PPTPといった複数のVPNプロトコルも用意されているため、これにまさる個人向けルーターはほとんどないと思います。

国策でVPNを規制している国(たとえば中国)であっても、一般的な通信プロトコルのhttpsポートを使っているVPNを規制することは難しいのが現状です。規制自体は可能のようですが、個人で利用しているVPNサーバーを個別に規制するのは現実的ではありません。

すべてのVPN遮断を中国政府が要請 – 技術的に可能か考察してみた

ただ、こんな記事を見つけたので中国でVPNを利用するのは自己判断になりそうです。前述のように443ポートを利用しているので通信はできるとは思いますが。中国は規制の緩急があるので情報収集が肝心です。

中国のネット規制を回避するVPNが全面禁止に

もちろん、国内でも公衆WiFiを安全に利用したり、自宅自社サーバーにアクセスしたいときに使うのはなんの問題もありませんので積極的に利用しましょう。

インストール

ルーターにログインしてパッケージセンターを開きます。

ベータパッケージから「VPN Plus Server」の「ベータ版を試す」をクリック

しばらく待つと自動的にインストールされます。

VPN Plus Server 設定

概要

VPN接続で通信しているトラフィックの状態が表示されます。

過去二時間のアップロード、ダウンロードの合計です。

Synology VPN

SSL VPN

Synology SSL VPNを有効化」をチェック

ドメインを所有している場合は(編集)でドメインを入力します。

ポートはhttpsを利用するので「443」です。

設定はそのままでOKです。

SSLv3、TLSv1.2、暗号化方式についての参考リンク

暗号スイートの暗号強度と、公開鍵のビット数の設定

リモートデスクトップ

Windows OSのPro版でないとリモートデスクトップのホストになれないので注意

Macをホストにするには

「システム環境設定」「共有」から「リモートマネジメント」をオンにします。 オプションは必要なもののみチェックしましょう。

動作はもっさりという感じで数テンポ遅れて表示されます。 タブレットなどからも操作できますが、タッチのみのため実用的ではありません。

WindowsのブラウザからMacをリモート操作するとこんな感じです。

Macでは5900番のポートを利用します。

WebVPN

WebVPNを利用することで、ウェブブラウザのみでVPN接続できます。接続ソフトなどは不要です。ログインしたり、Cookieを利用するサイトにはアクセスできない場合があります。GmailやFacebook、Twitterなどはログインできません。

WebVPN」を有効にするにチェック

カスタムWebVPNプレフィックス」:設定したものが、そのままアドレスに反映されるので、短いものか分かりやすいものにしたほうがよさそうです。

HTTPSポート」:基本的に443ですが、SSL-VPNとかぶるため動作が少し思いくなるようです。

混合コンテンツを含むWebページを検出」:オフでOKです。

自分のドメインを設定している場合は、DNSレコードをこのルーターに向けるのを忘れないでください。

記事の最後のメモに記載しています。

WebVPNポータル

ここにサイトを追加すると、ワンタッチでVPN接続でそのサイトに飛びます。 YahooなどはVPN接続にならないほか、twitter、Gmailはログインできませんでした。 おそらくCookieを利用していたりログインが必要なサイトは表示できません。

ポート名」:表示名

ポータルアドレス」:サイトのURL (:80や:443は自動で追加されます)

許可されたユーザー/グループ」:接続させたいユーザーやグループを追加します。

デフォルトポータルでの表示」:お好みで

「ポータルエイリアスのカスタマイズ」:ここで入力する文字は、SSL証明書に記載されたドメインしか使えません。ドメインのエイリアスか、ワイルドカードの証明書を使う必要があります。

非SSLサイトに接続されるときは、「https://43wa90as.xxx.com」のようにランダムな文字列が生成されるようです。

ドメイン設定

WebVPNで利用するドメインをします。

ネットワークセンター」でSynology DDNSを取得している場合は、チェックマークをすればOKです。

自分のドメインを持っている場合は「その他」にドメインを入力します。

 

個人的メモ
なぜかこの「ドメイン設定」と「リモートデスクトップ」タブが消えてしまうとことがあったのですが、一度アンインストール(データはそのまま)して、再インストールしたところ直りました。原因は不明。SRM 1.1.7-6941 Update 1で挙動がおかしくなった気がします。

標準VPN

それぞれの特徴についてはこちらが参考になりました。

VPNプロトコルの比較と特徴 – PPTP, L2TP, SSTP, IKEv2, OpenVPN

SSTP

TECHNICAL MANUAL SSTPの特徴 

Microsoftが開発したVPNプロトコルです。SSL-VPNのように443ポートを利用しSSL通信するため、セキュリティに優れています。

Macから接続するには標準ではできないようなので「iSstp」というソフトを使って接続します。iSstp

OpenVPN

互換性が高く、あらゆるデバイスで利用できる。オープンソースのため柔軟に設定でき、セキュリティ、速度のバランスが良い。

L2TP/IPsec

比較的強固なセキュリティを持っているため、公衆WiFiスポットやホテルなどでも使える。「事前共有鍵」を設定してください。

PPTP

セキュリティ上から多くのデバイスで非推奨となっている場合があります。

最新のMac、iPhoneでは利用できません。

Site-to-Site VPN

複数拠点にあるネットワークで互いに安全な接続ができます。

30日間無料で試せます。

利用するシーンが限られるので割愛します。

権限

サービス

VPNを利用できるユーザーを追加できます。LDAPのユーザーも設定可能です。

速度制限

ゲストユーザーなど、帯域を制限したい場合は、制限したい速度と、サービス、ユーザーを指定します。

ブロックリスト

接続を制限したいIPアドレス、ユーザー、グループを指定します。

オブジェクト

アドレスプール

基本的にデフォルトのままでOK

接続

履歴

オンライン

現在接続しているユーザーの使用状況がモニタリングできます。

WebVPNモニター

特定のドメイン/Web サイトにアクセスしているユーザーや WebVPN の数を参照できます。

ログ

管理

設定や、サービスの状況のログ

ユーザー

ユーザーの接続、切断時間のログ

ログ設定

500MB、1GB、2GBからログの容量を選びます。

レポート

レポートを作成

日間、週間、月間のレポートを作成して、指定のメールアドレスにレポートを送信できます。

また、レポートの右端のアイコンをクリックすることでレポートを見ることが出来ます。

レポートタスクの管理

レポートの作成スケジュールの管理

レポートはこんな感じです。(通信を行ってない状態ですが)

ライセンス

クライアントVPNアクセス

同時に同じユーザーがアクセスすることができないので、必要な場合はライセンスを購入できます。(試したところタイミング次第ではログインできましたが)

1ライセンス = 9.99 USD (1,100円くらい)で販売していてクレジットカードで買うことができます。

Web上からVPNアクセスする

https://RT2600acのアドレス/ へアクセス

VPNの権限のあるユーザーでログイン

WebVPN ポータルで設定したリストが表示されています。

それぞれのサイトをクリックすると、ブラウザのみでもVPNアクセスできます。

継続的にVPN接続するには、下の、「SSL  VPN」から接続します。

ソフトをWindowsやMacにインストールしないといけないので「ダウンロードクライアント」を選択

インストール後、「接続」するとこのような画面になります。

自動的に再接続したり、ブラウザを閉じても接続が必要な場合は、チェックをしておきましょう。

VPN Plus Serverの設定は以上です。

多少設定に手間がかかると思いますが、様々なVPNを利用することができるので便利です。

注意
私の環境だけかもしれませんが、MacbookProだと、ブラウザからSSL-VPN接続する際に、たまにクライアントを再インストールしてください。というメッセージが出ます。そのとおりに再インストールすれば普通に使えるので問題はありません。まだベータ版ということなので長い目でみましょう。



ドメインとSSL証明書を取得する

VPNの接続に独自ドメインを利用したい場合参考にしてください。

参考記事

freenom+Cloudflare+Synology NASでhttps 独自ドメイン運用 (Let’s Encrypt ワイルドカードSSL対応)

メモ

DNSレコードの設定方法

私はSynology NASとこのルーターを同じドメインで運用していますが、ある時からWebVPNで設定したサブドメイン ( vpn.xxxx.com のような)で、なぜか内部からルータにアクセスできなくなってしまいました。NASの方のWebサイトが表示されてしまう状態です。

その場合は、NASの「DNS Server」アプリを設定することで解決しました。

パッケージセンターから 「DNS Server」をインストールして以下のように設定。

左のメニューの「ゾーン」を開いて、「作成」、「Masterゾーン」を作成します。

ドメインタイプは「正引きゾーン

マスターDNSサーバーは、ルーターのIPアドレスを入力するといいと思います。

OKをクリックして、個別の設定をします。

「編集」から「リソースレコード」を編集

「作成」、「A Type」を選択。

「名前」:にはWebVPNで設定したサブドメインを入力します。

例) 「vpn」.xxx.com

IPアドレスはRT2600acのプライベートIPアドレスを指定します。

続いて、ワイルドカードの「*」.xxx.com を登録します。

同様に、名前に「*」.xxx.comを追加してIPをRT2600acに向ければOKです。

最後に、NAS自身の利用しているドメイン「xxx.com」を追加します。

「名前」: xxx.com にしてIPアドレスをNASのものにします。

以上の設定で、WebVPNにアクセスできるようになりました。 OSのネットワーク設定、「DNS」でNASのIPアドレスを追加するのを忘れないでください。

リバースプロキシの設定

Synology NASを同時に動かしている時、RT2600acにアクセスすると、NASのサイトに引っ張られてしまうことがあるので、NASの「リバースプロキシ」をルーターに向けたところ改善しました。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です