弱者のネット活用術
パソコンを用いたお得なネット活用方法を中心とした情報を配信します。
05 | 2018/06 | 07
S M T W T F S
- - - - - 1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
OpenVPNサーバーの導入 - VPN構築で外出先から自宅LANにアクセス -
WindowsでのVPNサーバー化を行っている中で、OpenVPNの活用が浮上しました。
OpenVPNはオープンソースソフトウェアで無料で利用することができます。
無料なので大した技術ではないのではないかといったイメージがありますが、
オープンソースの例としてandroid、Firefox、QGISなど非常に優秀なソフトがあります。
世界中の技術者が寄り集まって開発が進められているので、1企業が手がけるソフトよりある面優秀なわけです。
ただ、シェアソフトとは異なり商品ではないため、マニュアル等のサポート面で取り扱いにくい面があります。

OpenVPNはSSLを使用するので、PPTPやL2TP/IPsecよりセキュアなVPNを構築することができます。
PPTPやL2TP/IPsecはスノーデンの警告にあるようにNASに解読されております。
SSLを用いることでこれらよりもさらに強固なセキュリティを保持することができます。

おもしろそうだったので、早速、取りかかりました。

OpenVPNサーバーを自宅サーバーに立てます。
こちらよりダウンロードします。
WindowsXPにインストールしたい場合はopenvpn-install-2.3で利用可能です。
過去のインストーラーはこちらに落ちております。



●OpenVPNのインストール
我が家の自宅サーバーはWindowsなのでWindows用インストーラーからインストールします。
openvpninst1.png
EasyRAS 2は現在のバージョンではデフォルトでチェックが付いておりません。
難しいので使いません。
そのまま進んでいきます。

この画面がポップアップされたらインストールします。
openvpninst2.jpg
TAP-WindowsProvider V9はVPNネットワークアダプタの構成ソフトです。
OpenVPNでは複数のバーチャルネットワークアダプタを作成して、同時に複数のVPNに接続することができます。
サーバー側でも複数のサーバーを同時に立てることができます。

あとは画面に従ってインストールを完了させます。



●OpenVPNサーバーの設定ファイル解説
OpenVPNはOpenVPN GUIで接続できますが、設定ファイルはテキストデータで作成します。
デフォルトではOpenVPNの「config」フォルダに設定ファイルを配置することでGUIソフトで接続を実行できます。
設定はコンピューターとユーザーごとの両方に行うことができます。
コンピューター全体に設定する場合は、
C:\Program Files\OpenVPN\config
に設定ファイルを配置します。
ユーザーごとに設定する場合は、
C:\Users\******\OpenVPN\config  (Win10の場合)
に設定ファイルを配置します。
******は各ユーザー名を示します。

OpenVPNの設定ファイルはサンプルファイルを参考に作成すると簡単です。
設定ファイルのサンプルは
C:\Program Files\OpenVPN\sample-config
にあります。
OpenVPNサーバーの設定ファイルは「server.ovpn」を参考に作成します。
別途、SSL通信に必要なデジタル証明書を作成する必要があります。
デジタル証明書は後述します。
OpenVPNサーバーの設定内容について紹介します。
サンプルには英語でコマンドの解説が加えられております。
分かる範囲内で紹介します。
「#」と「;」はコメント行やコメントブロックを意味します。
以下にサンプルにあるserver.ovpnの内容を示します。
;local a.b.c.d・・・OpenVPNのローカルIPアドレス 特に指定する必要なし。

port 1194・・・ポート番号 任意に指定することができる。

proto udp・・・プロトコルの指定 UDPポートを使用する場合 TCPポートを使用する場合は「proto tcp」とする。
通常UDPの方がスループットがでるとのことです。
クライアント側でプロキシを通過させる必要がある場合などはTCPを選択します。

dev tun・・・VPNデバイスの設定をTUNに設定する。 TAPにしたい場合は「dev tap」とする。
TUNとはtunnelを意味し、ネットワーク層をシミュレートしますのでルーティング方式になります。(レイヤー3)
TAPとはTerminal Access Pointを意味し、データリンク層をシミュレートしますのでブリッジ方式になります。(レイヤー2)
OpenVPNはPPP通信を母体としたPPTPやL2TPとは異なり、TCPやUDP通信を母体としております。
TCPやUDP通信のTAPについてはandroidやiOSでは認められておりません。
TUNとTAPとの主な違いはVPNでつくられる仮想ネットワークがサーバー側ネットワークと同一か否かになります。

;dev-node MyTap・・・VPNネットワーク名を指定して読み込む。
VPNネットワークカードを複数使用する場合は各ネットワークカードに名前を付けて、各設定にて名前を呼び出します。
サンプルでは「MyTap」と言う名前のVPNネットワークカードを指します。
Windowsではネットワーク接続にある
「TAP-Windows Adapter V9」というデバイス名のネットワークアダプタの名前を変更して使い分けます。

ca ca.crt・・・デジタル証明書のcaデータを指定します。
cert server.crt・・・サーバー用公開鍵のデータを指定します。
key server.key …サーバー用秘密鍵のデータを指定します。
dh dh2048.pem…DHグループに関するデータを指定します。
これらのデータはデジタル証明書関係データを作成することで生成されます。
配置する場所はOpenVPNのconfigフォルダ以下になります。(Windowsの場合)
configフォルダ以下のフォルダに配置する場合は「****/ca.crt」のように設定します。

;topology subnet・・・ネットワークトポロジーの設定で、TUNモード時に設定できます。
デフォルトではnet30となっております。(Windows等をサポート)
その他にsubnetやp2pが設定できる。

server 10.8.0.0 255.255.255.0・・・TUNモード時の仮想ネットワークアドレスの設定です。
この設定ではVPNサーバーの仮想IPアドレスが10.8.0.2となります。
クライアント側の仮想IPアドレスは10.8.0.6以降に割り振られます。
他のネットワークIPアドレスが重複しないように注意します。

ifconfig-pool-persist ipp.txt・・・OpenVPN再起動時に再接続するクライアントが以前に割り当てられた仮想IPアドレスを使用する。

;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100・・・TAPモード時に設定するIPアドレスです。
サーバー側のネットワークアドレスを指定し、環境に応じて修正して使います。
10.8.0.4はサーバーのIPアドレスを指します。
255.255.255.0はサブネットマスクを意味し、サーバー側ネットワークの設定に合わせます。
10.8.0.50はVPNクライアントに割り当てる開始IPアドレスで、サーバー側ネットワークに合わせます。
10.8.0.100はVPNクライアントに割り当てる終了IPアドレスで、サーバー側ネットワークに合わせます。
ここで、サーバー側ネットワークのDHCPと重複しないようにクライアントIPアドレスを割り当てることに注意が必要です。

;server-bridge・・・TAPモード時にDHCPでクライアントIPアドレスを割り当てる場合に設定します。
上記のIPアドレスを指定した場合には設定しません。

;push "route 192.168.10.0 255.255.255.0"・・・サーバー側のネットワーク情報を通知する設定です。
TUNモードの時に仮想ネットワークとサーバー側ネットワークを接続する場合に設定します。
VPNサーバーがルーティング機能を持っていないと機能しないと思います。
Windowsでは難しいです。

;client-config-dir ccd・・・クライアント側のネットワーク情報を配置するフォルダ名の指定です。
ここでは「config」フォルダの下の「ccd」フォルダ内にクライアント側ネットワーク情報が格納されているという意味になります。
;route 192.168.40.128 255.255.255.248・・・クライアント側のネットワーク情報です。
192.168.40.128がクライアント側のセグメントで255.255.255.248がサブネットマスクになります。
この設定と合わせて、ccdフォルダ内にクライアント用証明書名と同じファイル名(拡張子なし)で
「iroute 192.168.40.128 255.255.255.248」
と記載したファイルを配置します。

クライアントに割り当てるIPアドレスを固定したい場合は次のような設定を行います。
;client-config-dir ccd・・・クライアント側のネットワーク情報を配置するフォルダ名の指定です。
;route 10.9.0.0 255.255.255.252・・・クライアント側のネットワーク情報です。
この設定と合わせて、ccdフォルダ内にクライアント用証明書名と同じファイル名(拡張子なし)で
「iroute 10.9.0.1 10.9.0.2」
と記載したファイルを配置します。
これで設定したクライアント証明書で接続された場合に10.9.0.1が割り当てられるようです。

;learn-address ./script・・・クライアントグループを設けてグループポリシーを設定できるようです。
難しくて分かりません。

;push "redirect-gateway def1 bypass-dhcp"・・・VPNクライアントのデフォルトゲートウェイがVPNサーバーとなります。
すべてのIPトラフィックがVPNサーバー経由となるようです。

;push "dhcp-option DNS 208.67.222.222"・・・DNSサーバーアドレスを設定します。
;push "dhcp-option DNS 208.67.220.220"・・・代替DNSサーバーを設定する場合に有効にします。
DNSのIPアドレスはVPNサーバーが使用しているDNSサーバーアドレスを設定します。
DNSのIPアドレスはグローバルIPアドレスである必要があると思います。

;client-to-client・・・クライアント同士の接続を許可する設定です。
TAP接続の場合は同一サーバーに接続したクライアントは同一セグメントとなるため接続できます。
ただし、クライアントのファイアウォールの設定によります。

;duplicate-cn・・・クライアントごとに証明書を発行しない場合に設定します。
クライアントごとの証明書を発行しないとセキュリティレベルが落ちます。

keepalive 10 120・・・キープアライブの設定で、ここでは10秒ごとにpingし、120秒応答がなければダウンと判断します。

tls-auth ta.key 0・・・SSL/TLSによるセキュリティを有効にします。
ta.keyがSSL/TLSでconfigフォルダ以下に配置します。
サーバーに設定した場合はクライアントにも同様のta.keyが必要になります。
ta.keyはユーティリティとしてインストールされた「Generate a static OpenVPN key」を実行することで生成できます。
configフォルダにkey.txtというファイルが生成されるので、ファイル名をta.keyと変更して利用します。
このファイルはクライアントにもコピーする必要があります。

cipher AES-256-CBC…暗号化の種類を設定します。
CA認証局により決まります。

;compress lz4-v2…圧縮する場合に有効にする。(Ver2.4以上にのみ有効)
;push "compress lz4-v2"…圧縮形式を通知する。
この圧縮を有効にした場合はcpmp-lzoを無効にしておく。

;comp-lzo・・・圧縮する場合に有効にする。(旧バージョンとの互換あり)
この圧縮を有効にした場合はcompress lz4-v2を無効にする。

;max-clients 100・・・同時接続クライアント数の設定

;user nobody・・・ユーザーの権限を減らす設定(Windows以外のみ設定可能)
;group nobody・・・グループのの権限を減らす設定(Windows以外のみ設定可能)

persist-key
persist-tun
これらは特定のリソースへのアクセスを回避する設定のようで、よく分かりませんが有効にしてます。

status openvpn-status.log・・・ステータス表示を短くする。毎分切り捨てる

ログファイルの出力設定
;log openvpn.log・・・起動時に過去のログデータを削除する。(デフォルト設定)
;log-append openvpn.log・・・過去のログデータを追記する。
openvpn.logはログ出力ファイルの指定で、c:\users\****\OpenVPN\logに保存されます。
OpenVPNをサービスできどうしている場合はC:\Program Files\OpenVPN\logに保存されます。

verb 3・・・ログファイルの出力レベルの設定
番号の意味
0:致命的なエラーのみ
4:一般的な出力
5or6:接続の問題を解決するのに役立つ
9:非常に詳細な出力
とのことで3は一般的なものより少し簡単なログになります。

;mute 20・・・ログの出力数を指定する。例では20個のログを出力する。

explicit-exit-notify 1・・・サーバーが再起動するとクライアントに通知する設定
注)この設定はUDPポートのみ可能で、TCPポート選択時に設定した場合はサーバーが接続できない。

長い解説になってしまいましたが、要は以下の3工程を行えばOpenVPNサーバーを設定できます。



●SSL/TLS鍵ファイルの生成
セキュリティレベルを上げるためにSSL/TLS鍵を作成します。
SSL/TLSを無効にする場合は不要です。
OpenVPNインストール時に作成された「Generate a static OpenVPN key」を管理者権限で実行するだけです。
実行すると
C:\Program Files\OpenVPN\config に
key.txt が生成されます。
この「key.txt」を「ta.key」に変更します。
SSL/TLSを有効にした場合はクライアントにもta.keyを配布する必要があります。



●証明書認証局の設定
SSL通信に必要なデジタル証明書を作成する必要があります。
EasyRSAはコマンドラインで作業する必要がありますが、vpnux PKI Managerを用いることで作業が容易になります。
ここでvpnux PKI Managerを入手します。
「CAの新規作成」で認証局の場所を設定します。
場所は管理しやすい場所でよいが、OpenVPNのconfig下に配置するとコピーの手間が省ける。
「サーバー用 秘密鍵/証明書」でサーバー用の証明書を発行します。
「クライアント用 秘密鍵/証明書」でサーバー用の証明書を発行します。
生成された各証明書を配布する必要があります。

サーバーに必要な鍵ファイル
・ca.crt
・ca.key
・dh{n}.pem
・server.crt・・・任意に作成した共通名
・server.key・・・任意に作成した共通名
・ta.key・・・SSL/TLSを有効とする場合
認証局をOpenVPNのconfig下に作成した場合はコピー不要です。

クライアントに必要な鍵ファイル
・ca.crt
・client1.crt
・client1.key
・ta.key・・・SSL/TLSを有効とする場合



●サーバーの設定ファイル例
UDPポートでブリッジ接続(tap)した場合の設定例です。
ルーティング接続(tun)の方が推奨されておりますが、Windowsの場合はルーティング設定が面倒です。
AndroidやiOSとの接続が不要な場合はブリッジ接続(tap)が簡単です。
サーバー側LANは192.168.0.0/24で、VPNサーバーのアドレスが192.168.0.254としてます。
使用ポートは任意に設定可能ですが、ここでは1194とし、ルーターからサーバーへのポート転送設定は済んでいるものとします。
ブリッジ接続の場合はWindowsでネットワークアダプタをブリッジしておく必要があります。
[コントロールパネル]→[ネットワークとインターネット]→[ネットワーク接続]で
openvpnbridge1.jpg
ローカルネットワークアダプタと仮想ネットワークアダプタ(TAP-Windows AdapterV9)を選択して、
右クリックでブリッジ接続(G)をクリックします。

ポート転送が必要になるので、生成されたブリッジ接続のIPアドレスを設定します。
openvpnbridge2.jpg
Windows7で、再起動時にブリッジ接続アダプタのデフォルトゲートウェイが消えてしまう現象が発生したものがありました。
再起動後にサーバーへアクセスできなくなった場合はブリッジ接続アダプタのデフォルトゲートウェイを確認してみてください。
ブリッジ接続アダプタのデフォルトゲートウェイが消えてる場合はレジストリを確認します。
openvpnbridge3.jpg
ネットワークアダプタの設定は
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\
にアダプタの数分あります。
{  }内に複雑な文字がありますが、このうちのどれかがブリッジ接続アダプタの設定になります。
IPアドレスを固定設定した場合はDefaultGatewayが生成されるので、設定したデフォルトゲートウェイが空白のものが
ブリッジ接続アダプタの設定になると判断できます。
その他のIP情報からもブリッジ接続アダプタであることは推察できます。
DefaultGatewayをダブルクリックして、デフォルトゲートウェイを入力します。
サーバーとなるWindowsで行う設定は以上になります。

OpenVPNサーバー設定例は以下のコマンドになります。
port 1194
proto udp
dev tap
ca CA/ca.crt
cert CA/server_1.crt
key CA/server_1.key # This file should be kept secret
dh CA/dh2048.pem
ifconfig-pool-persist ipp.txt
server-bridge 192.168.0.254 255.255.255.0 192.168.0.230 192.168.0.235
keepalive 10 120
tls-auth ta.key 0 # This file is secret
cipher AES-256-CBC
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
explicit-exit-notify 1




         ↓↓↓↓参考記事には↓↓下記↓↓に1票よろしく!↓↓↓↓
    blogramのブログランキング    FC2ブログランキング  くつろぐ

テーマ:サーバ - ジャンル:コンピュータ

eo光電話を外出先で利用 - eo多機能ルーター下にVPNサーバーを立てる②Win2008 -
クライアントOSであるWin7をVPNサーバーとすることで、eo多機能ルーターと同じネットワークに仮想ネットワークアドレスを
割り当てることができましたが、Windows7では1台ずつしか接続できないことが分かりました。
同時に複数台接続するためにはサーバーOSが必要とのことでしたので、Windows2008をVPNサーバーにしました。

Windows Server2008ではリモートアクセスサーバーをインストールして行います。
リモートアクセスサーバーであればややこしい設定は不要です。
インストール手順を紹介します。

サーバーマネージャーで役割を追加します。
役割画面で役割の追加をクリック
win2008vpn01.jpg
「ネットワークポリシーとアクセスサービス」にチェックを入れて[次へ(N)>]をクリック

「ルーティングとリモートアクセスサービス」にチェックを入れて[次へ(N)>]をクリック
win2008vpn02.jpg
順次進んでいきインストールを完了させる。

VPNの設定を行います。
win2008vpn03.jpg
ネットワークポリシーとアクセスサービスの下にあるルーティングとリモートアクセスを右クリックして
「ルーティングとリモートアクセスの構成と有効化(C)」をクリックする。

win2008vpn04.jpg
「カスタム構成(C)」を選択して[次へ(N)>]をクリック

win2008vpn05.jpg
「VPNアクセス(V)」にチェックを入れて[次へ(N)>]をクリック

ルーティングとリモートアクセスのプロパティ設定を行う。
win2008vpn06.jpg win2008vpn07.jpg
[全般タブ]はIPv4のみチェックを入れる。
[セキュリティ]タブで「カスタムIPsecポリシーをL2TP接続に許可する(L)」にチェックを入れて任意の事前共通キーを設定。
カスタムIPsecポリシーをL2TP接続に許可することで、L2TP/IPsecを有効にする。

仮想ネットワークに割り当てるIPアドレスを設定する。
win2008vpn08.jpg win2008vpn09.jpg
[IPv4]タブで仮想ネットワークに割り当てるIPアドレスを設定します。
「静的アドレスプールを使う(S)」を選択して[追加(D)]をクリックすることでIPアドレスの範囲を設定できる。
ここで、eo多機能ルーターと同じネットワークのIPアドレスにしておく。
[IPv6]タブは念のためチェックをすべて外す。

不要なデバイスをとめておく。
ネットワークポリシーとアクセスサービスの下にあるルーティングとリモートアクセスの下にあるポートを右クリックして
ポートのプロパティを開く。
win2008vpn10.jpg win2008vpn11.jpg
             変更前                           変更後
L2TPのみ有効にしておく。
PPTPでも接続したければ両方有効にすることで併用できます。
ここで、ゲートウェイからVPNに必要なポートを転送する必要があります。
L2TP/IPsecとPPTPに必要なポートは次のとおり。
●L2TP/IPsec
 プロトコル:ESP プロトコル番号50
       UDPポート500
       UDPポート4500
●PPTP
 プロトコル:GRE プロトコル番号47
       TCPポート1723
必要な物のみeo多機能ルーターでサーバーへ転送させます。

設定が完了したらルーティングとリモートアクセスを再起動します。
win2008vpn12.jpg
「ルーティングとリモートアクセス」を右クリックして、[すべてのタスク(K)]→[再起動]をクリック

VPNに接続させるユーザーの設定を行います。
接続許可させたいユーザーのプロパティを開きます。
VPN接続用のユーザーが必要な場合はユーザーを新規作成しておきます。
ユーザーのプロパティで許可できます。
win2008vpn13.jpg
[ダイヤルイン]タブにあるリモートアクセス許可で「アクセスを許可(W)」を選択します。

設定完了したらスマホでVPN接続できるか確認します。

Windows Serverであれば同時に複数接続できました。
128台まで同時に接続できるようです。
同時接続時のスループットについてはサーバーの力量によるようです。


         ↓↓↓↓参考記事には↓↓下記↓↓に1票よろしく!↓↓↓↓
    blogramのブログランキング    FC2ブログランキング  くつろぐ

テーマ:Windows - ジャンル:コンピュータ

eo光電話を外出先で利用 - eo多機能ルーター下にVPNサーバーを立てる①Win7 -
eo多機能ルーターを導入してeo光電話をスマホで利用してみた結果、同一ネットワーク内で利用できることが分かったので、
外出先でeo光電話を使うためにVPNとの連動を模索してました。
VPNについてはVPNルーターを考えておりましたが、eo多機能ルーターとの連携に四苦八苦した結果、
eo多機能ルーターの下でVPNルーターによるネットワークを構築することで、VPNの接続が可能になりました。
しかし、eo多機能ルーターの下にVPNルーターを置いた場合、eo多機能ルーターのネットワークと同一にすることができず、
VPN経由でeo光電話を外出先で利用することができませんでした。
この要因はVPNルーターはeo多機能ルーターのネットワークに経路を持ってますが、
eo多機能ルーターにVPNルーターのネットワークへの経路を設定できないためだと思います。

NTTの光電話ルーターであれば、光電話ルーターにVPNサーバー機能を備えることができるので簡単です。

eo多機能ルーターにおいてはまだVPN対応されていないので、eo光電話を外出先で利用するには工夫が必要です。
ここで思いついたのが自宅サーバーの活用です。
Windows7でVPNサーバーを立ててみました。
手順は次の3ステップです。
1)証明書の設定
 必要なのかどうかよく分かりません。
2)新しい着信接続
 ここで、eo多機能ルーターと同一ネットワークにVPN接続した機器のIPアドレスを振る。
 win7vpn.jpg
3)セキュリティが強化されたWindowsファイアウォールで接続セキュリティの規則を作成
 L2TP/IPsec接続の設定を行う。
 PPTP接続する場合は不要。
詳細な設定手順は超私的まとめもさんの記事を参考にしました。
WindowsクライアントマシーンでのVPNサーバー構築方法は他にも記事が出ていると思います。
eo多機能ルーターからWindows7に次のポート転送設定が必要です。
●L2TP/IPsec
 プロトコル:ESP プロトコル番号50
       UDPポート500
       UDPポート4500
●PPTP
 プロトコル:GRE プロトコル番号47
       TCPポート1723

Windows7をVPNサーバーにしたのですが、いくつか問題が出てきました。
ネットワークに×印が付いております。
win7vpn1.jpg
ネットワークアダプタを確認すると問題ありません。
win7vpn2.jpg
スマホで試してみると問題なく接続できておりますので、気にしないことにしました。

VPNサーバー化したWindows7を再起動してみました。
再起動後は自動ログオンする設定になっておりますが、スマホからVPN接続できなくなりました。
セキュリティが強化されたWindowsファイアウォールの接続セキュリティの規則に作成した規則を一旦無効化してから
再度有効化することでVPN接続できるようになります。
win7vpn3.jpg
作成した接続セキュリティの規則を選択した状態で「規則の無効化」をクリックし、「規則の有効化」をクリックします。

よくよく観察しているとネットワークアダプタの接続に少し時間を要していることが分かりました。
要は接続セキュリティの規則は着信接続が立ち上がってから有効にする必要があるようです。
これではアップデートによる再起動が生じた際に外出先からコントロールできなくなります。
この問題を回避するためにコマンドラインで接続セキュリティの規則を無効化して再度有効化することにしました。
netshコマンドを使います。
ここで注意が必要なのは接続セキュリティの規則はfirewallではなくconsecであることです。
無効化するコマンドは
netsh advfirewall consec set rule name="規則の名前" new enable=no
有効化するコマンドは
netsh advfirewall consec set rule name="規則の名前" new enable=yes
になります。
"規則の名前"には作成した接続セキュリティの規則の名前を記入します。

着信接続が立ち上がってからこれらのコマンドを実行すればいいのです。
だいたい30秒も待てば問題ないと思いますので、コマンドで
timeout /t 30 /nobreak
を実行しておきます。
具体的にはメモ帳等で次の3ラインのコマンドラインを作成します。
timeout /t 30 /nobreak
netsh advfirewall consec set rule name="規則の名前" new enable=no
netsh advfirewall consec set rule name="規則の名前" new enable=yes

規則の名前には作成した任意の規則名を入れてください。
任意のファイル名を付けて保存したら、拡張子を.cmdか.batとします。
このコマンドファイルをスタートアップかタスクスケジューラに入れておけばOKです。
権限による制限が入る可能性があるので、タスクスケジューラで最上位の特権で実行しておけば確実に実行されます。
これで再起動時も問題なくVPNサーバーとして機能するようになりました。
自宅サーバーには省電力なファンレスPCがお勧めです。

これで満足したのですが、クライアントOSであるWindows7では同時に複数のユーザーを接続することができません。
複数のユーザー名を使い分けることはできるのですが、同時に複数接続させることができないのです。
WindowsXPであればレジストリで複数接続を許可することができるようですが、Windows7ではで無理です。
Windows10 Creators Update以降にあってはVPNサーバー自体が機能しませんでした。
複数ユーザーを同時にVPN接続させるにはWindows Serverのリモートアクセスサーバーを立てることで解決できます。
ハード面や費用面からWindows Serverの入手が困難な場合はクライアント版のWindowsにSoftEtherVPN
インストールすることによってもでも対応可能です。
Windows10をVPNサーバーにするには有料になりますがPacketiX VPNをインストールすることで可能になります。

昔、お世話になっていたSoftEtherを思い出しました。
実はVPNの利用は10年以上になります。

スマホでVPN接続してAGEphone for eoを立ち上げます。
agephoneforeoconectvpn.jpg
「利用できるネットワーク接続がありません」となっておりますが、[設定]→[再接続]をタップすることでダイヤルできます。

eo多機能ルーターと同一ネットワークにVPNを構築することでeo光電話を外出先で利用することができるようになりました。


         ↓↓↓↓参考記事には↓↓下記↓↓に1票よろしく!↓↓↓↓
    blogramのブログランキング    FC2ブログランキング  くつろぐ

テーマ:Windows - ジャンル:コンピュータ

電気ケトル買い替え ★電気ケトルは国産メーカー
2011年1月に購入した電気ケトルが壊れてしまいました。
電源ボタンを押しても稼働しません。指で押し続けると電源ランプが点灯しておりますが、お湯が沸くまで押し続けられません。
故障した電気ケトルは象印マホービン製で7年ちょい使いました。

故障したので電気ケトルを買い替えました。
前回購入時にはいろいろ考えて、国産メーカーでも高目の象印マホービン製を選びました。
7年以上使ってみて、転倒などの危険なことは一度もありませんでしたので、買い替えには価格を重視しました。
前回と同様にメーカーを絞り込んでの選択です。
前回同様の象印マホービンとタイガー魔法瓶に絞り込みました。
象印マホービンは転倒時の漏れ出しも防止機能が売りのようです。
 
最近の電気ケトルは湯沸かし時に出ていた熱い蒸気が出なくなっているようです。
こちらも特にやけどしそうになったこともないので、どちらでもいいのですが、小さい子供が居る家庭には必須ですね。

機能や特徴ではどちらでも良かったので、価格でタイガー魔法瓶のPCH-G080を購入しました。
容量は前回同様に800mlです。
600mlでも良いように思いましたが、消費電力も同様なので大は小を兼ねると言うことで800mlにしております。



         ↓↓↓↓参考記事には↓↓下記↓↓に1票よろしく!↓↓↓↓
    blogramのブログランキング    FC2ブログランキング  くつろぐ

テーマ:日用品・生活雑貨 - ジャンル:ライフ

eo無線ルーター機能を試す - eo光電話をスマホで利用 -
eo無線ルーター機能に申し込みました。
用途はeo光電話のスマホ利用です。
eo多機能ルーターのセッティング時に直接Wi-Fi接続し子機となったスマホは着信のみ可能と思っておりましたが、
そうでもないのではと言う思いからです。
eo多機能ルーターを設置していれば、ネットで申し込むだけで15分後にはeo無線ルーター機能を使うことができるようになります。

eo無線ルーター機能がオンになって、すぐにeo多機能ルーターのWi-Fiをオフにしました。
光電話の内線設定でスマートフォン子機の設定を行い、スマホ側ではAGEphone for eoの設定を行います。
agephoneforeo.png
ここで、スマホはeo多機能ルーターにブリッジモードで接続したWXR-2533DHP2に接続します。
結果は見事にダイヤルできました。
agephoneforeoconect.jpg
要はeo多機能ルーターを同じセグメントにスマホが居れば良いと言うことです。

もう一つご認識しておりました。
子機となったスマホが着信のみ可能と思っておりましたが、発信も可能でした。
主目的は長男のLaLaCallとeo光電話との無料通話です。
この目的を叶えるにはeo光電話を外出先で利用できる環境が必要です。
VPNで自宅に接続した状態でAGEphoneを使うことができれば可能と考えられます。

同一セグメントであればAGEphoneでeo光電話が使えることが分かったので、
VPNでの活用方法について模索していきたいと思います。


         ↓↓↓↓参考記事には↓↓下記↓↓に1票よろしく!↓↓↓↓
    blogramのブログランキング    FC2ブログランキング  くつろぐ

テーマ:スマートフォンライフ - ジャンル:携帯電話・PHS

リビングのWi-Fi買い替え ★BuffaloのWXR-2533DHP2をリビングのアクセスポイント
リビングのWi-Fiを交換しました。
これまでリビングのWi-FiアクセスポイントにWEX-300を使ってましたが、子供たちが動画を見たりすると速度が落ちていました。
NVR510を購入してWZR-1750DHPをリビングのアクセスポイントにしてみましたが、寝室での受信があまりよくありませんでした。
NVR510をルーターとして使っているので、Wi-Fiは中継機でいいのですが、中継機にハイスペックなものがありません。
最高速のWi-Fiを体感してみたかったこともあり、外部アンテナ付きで大型のWXR-2533DHP2にしました。

4本の外部アンテナの向きを工夫することで、リビングでの感度が良好になりました。
WXR-2533DHP2にはVPNサーバー機能が付いておりますが、NVR510の下でアクセスポイントモードとして利用します。
VPNもL2TP/IPSec対応なので、NVR510の不調時に代替させることができます。
我が家ではファイルサーバーを設置しているので不要ですが、アクセスポイントモードでもNAS機能は利用することができます。

Wi-Fiアクセスポイントの交換で自宅のWi-Fi環境が向上しました。



         ↓↓↓↓参考記事には↓↓下記↓↓に1票よろしく!↓↓↓↓
    blogramのブログランキング    FC2ブログランキング  くつろぐ

テーマ:新製品情報 家電・AV器機・周辺機器 - ジャンル:コンピュータ

自宅VPNのL2TP/IPSec化 - YAMAHAルーターNVR510購入 -
先日、事務所のVPNルーターをPPTPからL2TP/IPSecに変更したので、自宅も同様にL2TP/IPSec化しました。
自宅のVPNルーターはWZR-1750DHPなので、PPTPしか対応できません。
VPNルーターの買い換えを余儀なくされ、奮発してYAMAHAのNVR510を購入しました。

YAMAHAのルーターは仕事でNVR500を使っているので、内容はある程度わかっております。
YAMAHAのルーターはBuffaloやIO-DATAよりもプロ志向ですが、Ciscoよりはハードルが低い感じです。
NVR500ではwebGUIでは設定できない内容もあったりで、コマンドラインとの併用が必要な場合があります。
Ciscoはコマンドライン必須のようですが。

自宅のルーターをプロ志向のYAMAHAに交換して何するのってこともありますが、仕事にも役立つとのことで購入しました。

eo多機能ルーターの下にルーターがぶら下がっているので、既設WZR-1750DHPと並列にNVR510を設定しました。
ぶら下がるルーター同士の接続はできないので、新設するNVR510のLAN設定は既設WZR-1750DHPと同じにできます。

NVR500と比べるとNVR510は非常に簡単です。
GUIが一新されてかなり自動化されております。

まず、eo多機能ルーターの下にルーターとして設置するので、eo多機能ルーターをデフォルトゲートウェイとして設定します。
設定は[かんたん設定]-[プロバイダー接続]で行います。
nvr510start1.jpg
[接続種別の選択]で「DHCP、または固定IPアドレスによる接続」を選択します。
IPアドレスを設定します。
nvr510start2.jpg
WAN側IPアドレスは上位セグメントであるeo多機能ルーターが認識するアドレスを設定します。
ネットマスクはサブネットマスクでネットワーク内で合わせておく必要があります。(通常24bitマスク)
デフォルトゲートウェイは目的通りインターネットの出入り口であるeo多機能ルーターのIPアドレスを設定します。
eo多機能ルーターのDHCPサーバーに任せることもできますが、NVR510の下に自宅サーバーを設置するので、
ポート転送を考慮して固定にしておく方が便利です。
WZR-1750DHPはDHCPの割当しか対応できなかったので、eo多機能ルーターのDHCPサーバーでIP固定化してました。

インターネットの設定が完了したらVPNの設定を行います。
NVR510では拠点間接続とリモートアクセスの2種類対応できます。
拠点間接続とはルーター間の接続で複数のネットワーク同士を接続するもので、
リモートアクセス接続はネットワークとクライアントの接続になります。
簡単に言うと拠点間接続は多対多、リモートアクセス接続は多対1の接続になります。
離れた事務所で一つのローカルネットワークを組みたい場合は拠点間接続になります。
ただし、NVR510の拠点間接続はPPTPのみになります。(ルーター同士の接続はIPSecが一般的)
IPSecによる拠点間接続はRTX-830がお得です。

このルーターを使えば、高額なフレッツVPNワイドの契約をしなくても事務所間のネットワークを構築することができます。
固定グローバルIPアドレスが必須ですが、YAMAHAのネットボランチやDDNSにより、固定IPアドレスの費用も削減できます。
プロバイダにもよりますが、グローバルIPアドレスってあまり変わりません。
DiCEのログを見ていると1ヶ月に数回変わっている程度です。
VPN接続中にグローバルIPアドレスが変わっちゃうとセッションが一度切れると思います。
再接続の際にDDNS等の更新タイムラグが出て、一時的に切断されて状況が出ると思います。
(設定にもよるが最大10分程度)
事務所の場合であれば業務に支障が出るので、グローバルIPアドレスを固定した方が良いかもしれません。
固定グローバルIPアドレスはインターリンクが断然お得です。


設定は[かんたん設定]-[VPN]-[リモートアクセス]で行います。
nvr510rmtvpn1.jpg
接続の種別はL2TP/IPSecとPPTPの2種類選べて、両方設定することもできるようです。
L2TP/IPSecについては認証鍵を決めて入力し、認証アルゴリズムと暗号アルゴリズムを選択します。
L2TP/IPSecの認証アルゴリズムはWindows10との接続を考慮して、HMAC-SHAとします。
暗号アルゴリズムはAESが良いようです。
ユーザー認証方式にPPP認証方式とあり、デフォルトでMSCHAP-V2になっております。
(WXR-1900DHPではこのような設定枠はなかった)
IPSec併用は関係ないかもしれませんが、念のため、脆弱性が懸念されているMSCHAP-V2からCHAPに変更しておきます。
認証方式についてはAndroidのAPN設定でも同様の設定がありますが、選択肢はCHAPとPAPとなってます。
Windows10の設定もネットワークアダプタの設定でCHAPに合わせる必要があります。
Win10の[設定]-[ネットワークとインターネット]-[VPN]にある「アダプターのオプションを変更する」から
作成したVPNアダプタのプロパティ(右クリックプロパティ)で行います。
l2tpipsecchapwin10.jpg
[セキュリティ]タブにある「チャレンジハンドシェイク認証プロトコル(CHAP)(H)」にチェックを入れます。
WindowsにおけるL2TP/IPSec接続はレジストリの変更が必要です。(設定方法はこちらの記事)

共通設定が終わると登録ユーザーの設定です。
WXR-1900DHPでは8ユーザーまででしたが、NVR510では4ユーザーです。
nvr510rmtvpn2.jpg
必要分のユーザー名とパスワードを設定していきます。

これでL2TP/IPSecの設定は完了です。
今回はNVR510がルーターのにぶら下がっているため、
インターネットの出入り口である上位ルーターからの転送設定が必要になります。
eo多機能ルーターにL2TP/IPSecで使うプロトコルの転送設定を行います。
前回行ったPPTPのプロトコル転送の設定と同じ要領です。
eorouternatl2tpipsec.jpg
L2TP/IPSecで使うプロトコルは「ESP」「UDP 500」「UDP 4500」「UDP 1701」です。
ESPはカプセル化に用いられます。
UDP 500はIPSecのフェーズ1に用いられます。
UDP 4500はIPSecのフェーズ2に用いられます。
UDP 1701はL2TPに用いられます。
PPTPのときより多くのプロトコルが用いられており、よりセキュアな感じです。
LAN側ホストはeo多機能ルーターのセグメントにおけるNVR510のIPアドレスに設定します。

NVR510側のNATは自動生成されているので、ここまでの設定でL2TP/IPSec接続できるか確認しておきます。
確認方法はスマホからの接続で可能です。

VPNの設定が完了したら、自宅サーバーへの転送設定です。
NVR510の場合、[詳細設定]-[NAT]のNATディスクリプターで設定します。
プロバイダー接続設定の際に自動生成されたIPマスカレードに追記していきます。
自動生成されたNATディスクリプターの[設定]をクリックします。
nvr510nat1804.jpg
L2TP/IPSecに必要な転送は既に書き込まれております。
NVR510が自らのIPアドレスに転送する設定になってます。
tcpの80、110、25を自宅サーバーのIPアドレスへ転送するよう設定します。
既設WZR-1750DHPと同じ設定で可能です。

すべての設定が完了したら、WZR-1750DHPに接続されているLANケーブルをNVR510に差し替えて完了です。

不要になったWZR-1750DHPはアクセスポイントとしてリビングに下ろすことにしました。




         ↓↓↓↓参考記事には↓↓下記↓↓に1票よろしく!↓↓↓↓
    blogramのブログランキング    FC2ブログランキング  くつろぐ

テーマ:セキュリティ - ジャンル:コンピュータ




RSSフィード

最近の記事+コメント

広告スペース

いろいろアフィリエイトしてます。

入金に至ったASPはこちら



電報サービス VERY CARD

bitFlyer ビットコインを始めるなら安心・安全な取引所で







ベルメゾンネット






NTTフレッツ光







プロフィール

kすけ

Author:kすけ
2児の父であり貧乏サラリーマンでもあります。
パソコンやネットワークをあれこれ触っている内にインターネットの活用方法を模索するようになりました。
セコネタからグチや日常生活まで的を絞らず運営するブログです。

ブロとも申請フォーム


この人とブロともになる

ブログ内検索



楽天で探す
楽天市場

カテゴリー

ブロとも一覧

ちょっと寄り道しませんか?
ぶろぐいろいろ
あみパパ日記2
薬剤師の不養生
♪お気楽ままmikaのしゃべり放題♪
Suomen
不思議な不正義
だから俺は原付に乗る。

最近のトラックバック

リンク






↓↓おこづかい通信↓↓購読者募集中
メルマガ登録・解除
おこづかい通信
 
 powered by メルマガスタンドmelma! トップページへ
この人と友達になる

このブログをリンクに追加する

月別アーカイブ

全ての記事を表示する

全ての記事を表示する