清水理史の「イニシャルB」
5千円で買えるコレ(Archer C1200)を実家に置くと、親は喜ぶし、外のWi-Fiから安全にネット接続(VPN)できるから一石二鳥な件
2017年6月26日 06:00
ティーピーリンク株式会社(TP-Link)から発売されている「Archer C1200」は、実売5000円台で購入できるVPNサーバー搭載無線LANルーターだ。出張先のホテルや海外のWi-Fiスポットなどからインターネットに接続する機会があるなら、これをVPNの経由先として活用するのがオススメだ。
無料VPNサービスに抵抗がある人に
みなさんは、そのまま使うことに抵抗はないだろうか?
何の話かというと、外出先などで利用するWi-Fi環境だ。
最近では、国内外を問わず、ホテルや交通機関、イベント会場などで、Wi-Fi環境が提供されており、PCやスマートフォンのインターネット接続が手軽にできるようになっている。出張先での連絡や調べもの、時間つぶしなどに、これらのWi-Fi環境の恩恵を受けた人も少なくないことだろう。
しかし、便利になった一方で、このように不特定多数の人が利用する無線LAN環境に不安を感じる人も少なくないはずだ。特に、暗号化なしやWEPでの接続しか提供されていない環境では、通信内容が盗聴される危険性があり、仕方なくつないだとしても、接続先や利用するアプリ、プロトコルなどには、それなりに神経を使う必要がある。どうしてもという時以外は使わない、という人もいることだろう。
もちろん、端末―アクセスポイント間が暗号化されていたからと言っても安全ではないのも事実だ。アクセスポイントそのものや、さらにその先(ホテルの有線LAN環境など)で、誰がどのように通信内容を扱っているかは分からない。もしかすると、いつ、どこと、どのようなデータをやり取りしたのかが、記録されている可能性もある。
そこで注目が集まっているのが、いわゆるVPNサービスだ。スマートフォンで利用する人の方が多いかもしれないが、Wi-Fiでの接続後、事業者などが提供するサーバーにVPNで接続することで通信をトンネリングし、暗号化された安全な通信環境を確立し、外出先のWi-Fi環境でも安全性を確保できるようになっている。
無料のVPNサービスも存在するが、最近ではセキュリティ対策ソフトを手掛けるベンダーがサービスの一環としてVPNアプリを提供する例もあり、さまざまなサービスが乱立している状況だ。
しかしながら、個人的には、これらのサービスはあまり使う気になれない。
かつて、無料のVPNサービスである「VPN Gate」のサーバーを自宅でボランティアとして稼働させていたことがあるが、自宅のサーバーに記録され続ける各種ログを眺めていると、同じように自分がVPNサービス経由でつないだ先や接続元の情報が見知らぬ誰かの手にあり、パケットをキャプチャしようと思えば造作もないことを改めて認識させられ、複雑な心境になったからだ。
もちろん、そんなことを言えば、どこにどんな形で接続したとしても同じことであり、最終的には「経路上の誰をどこまで信頼するか?」という話になってしまうのだが、かといってVPNサービスの「数十m先のアクセスポイントは信用できないが、インターネット上のVPNサーバーは信頼できる」という考え方も個人的には違和感がある。
「Android用“VPNアプリ”の18%で暗号化が行われず、16%は家庭向け回線でホスト」などは、まさにそれを象徴するようなニュースだが、特に無料のサービスには、無料であることの理由がどこかにあると考える方が自然だ。
では、どうすればいいのか? この答えの1つが自宅にVPNサーバーを設置しておくことだ。
個人的にも、外出先のカフェやホテルなどでインターネット接続する際には、必ず自宅で稼働させているVPNサーバーを経由するようにしているが、最近のルーターやNASにはVPNサーバー機能が搭載されており、これらを利用することで、自宅の固定回線をVPNサービス化することが可能になる。
かつてルーターやNASのVPNサービスは、外出先から自宅のデータに安全にアクセスするために使われるのが一般的だったが、最近ではむしろ、インターネット接続時に経由するものとして使われる機能となりつつあるわけだ。
「そうは言っても、一人暮らしで、自宅に固定回線なんてない……」という人もいることだろう。
であれば、実家の回線を使ってみてはいかがだろうか?
大して使われないのに無駄に高速な光ファイバーやケーブルテレビのインターネット回線があなたの実家に眠っているのであれば、実家のPCのメンテナンス用やサポート用という名目でVPNサーバー機能付きルーターを実家に設置し、ついでにインターネットにも接続できるようにしておけばいい。
無線LANの高速化もできるし、設置を兼ねて久しぶりに顔を見せれば、ちょっとした親孝行にもなろうというものだ。
TP-Link Archer C1200でOpenVPN環境を設定
それでは、実際の構成例を紹介しよう。
今回、VPNサーバーとして利用したのは、TP-Linkから発売されている無線LANルーター「Archer C1200」だ。
2ストリームMIMOのIEEE 802.11acに準拠した無線LANルーターで、5GHz帯は最大867Mbps、2.4GHz帯は最大300Mbpsと、性能的にはミドルレンジに位置する製品。しかしながら、価格がリーズナブルで、Amazon.co.jpの実売価格では5569円(2017年6月20日現在)で購入できる。
VPNサーバー機能は、各メーカーともに上位モデル向けの機能として提供されることが多く、実売5000円クラスの製品では省かれることが多いが、本製品ではPPTPとOpenVPNの2種類の方式に標準で対応している。
このほか、USB 2.0接続ながらストレージの共有、接続時間やキーワードによるコンテンツフィルタリング、QoS、IPv6(PPPoE接続も可)などの機能も備えており、低価格モデルとは思えないほど機能が充実している。
パフォーマンスも良好だ。以下は、木造3階建ての筆者宅にて1階にArcher C1200を設置し、各階でiPerfによる速度を測定した結果だ。1階で320Mbpsと高速な上、3階でも実効で143Mbps出ているので、無線環境の実力も十分だ。
Archer C1200 | |
1階 | 320.0 |
2階 | 204.0 |
3階 | 143.0 |
3階端 | 32.2 |
※検証環境 サーバー:Intel NUC DC3217IYE(Core i3-3217U:1.3GHz)、OS:Windows Server 2012R2 クライアント:Macbook Air MD711J/A(Core i5 4250U:1.3GHz)
接続設定もWPSによるボタンで行える上、初期設定もスマートフォンアプリ「TP-Link Tether」で手軽に実行できる。非常にコストパフォーマンスに優れた製品だ。
VPN機能は、前述したようにPPTPとOpenVPNが利用できるが、個人的にはOpenVPNの利用がお勧めだ。クライアントにアプリが必要になるが、PPTPに比べてセキュアな上、Archer C1200側の設定で接続設定も手軽にできるように工夫されている。
事前設定がポイント
もしも、現在の回線で利用しているルーターをそのままArcher C1200に置き換えることができるのであれば話は早いのだが、国内の回線の場合、通信事業者からレンタルで提供されるルーターを取り外すことができない場合もあり、なかなかそううまくはいかない。
Archer C1200をアクセスポイントモードで動作させてルーター機能を無効化する手もあるのだが、残念ながらアクセスポイントモード(DHCP無効にしてLANポートにつなぐだけ。こちらを参照)にすると、VPNサーバー機能を有効にはできるがWAN側で接続を待ち受けるため、事実上使えない。
LAN側のデフォルトゲートウェイ、あるいは静的ルートを設定できれば何とかなりそうだが、残念ながらこれらも設定できない(静的ルート設定はあるが0.0.0.0を宛先設定できない)。
どのような方法でも構わないが、アクセスポイントモードでもVPNサーバー機能を使えるようにするための改善を、ぜひメーカーにお願いしたいところだ。
というわけで、既存のルーターをどうしても外せない場合は、仕方ないので2重ルーター構成で利用しよう。LAN内にウェブカメラやNASなど外部からのアクセスを必要とする機器が存在する場合は、2重ルーター構成によって接続が困難になるので、導入は慎重に検討してほしい。
2重ルーターで構成する場合、方法としては以下の3つなどが考えられる。今回は以下のb)の方法を利用することにした。
a)上位ルーターのDMZにArcher C1200を設定
b)上位ルーターでTCPポート1194番(OpenVPN)をArcher C1200に転送
c)PPPoEブリッジで上位ルーターをパススルー(フレッツ回線の場合)
Archer C1200のVPN以外にも外部からのアクセスを受け付ける必要がある場合は、a)で外部からの通信をすべてArcher C1200に転送してしまうのも手だが、無駄に外部からの通信を受け付けるのも問題があるので、必要なポートだけを転送した方がいいだろう。
なお、c)は回線がフレッツで、上位ルーターでPPPoEブリッジが有効になっている場合に可能な方法だ。上位ルーターでPPPoE接続を無効化し、Archer C1200からPPPoE接続を実行する設定にする。この場合、ルーターそのものは2台存在するが、上位ルーターはブリッジしているだけなので、構成としては通常のシングルルーター構成と変わらない。
VPNサーバーを設定する
1)上位ルーターの設定
まずは、上位ルーターの設定を行う。
とはいえ、上位ルーターで必要な設定は、ポートフォワードの設定のみとなる。設定方法は機種によって異なるので取扱説明書などを参照してほしいが、基本的にTCPポート1194番をArcher C1200のWAN側のIPアドレス(後で固定で設定する値。ここでは上位ルーターが「192.168.2.xxx」のネットワークなので「192.168.2.250」を使用)に転送しておく。
2)Archer C1200のWAN設定
Archer C1200の設定画面で、詳細設定の「ネットワーク」にある「インターネット」を表示。「インターネット接続タイプ」を「静的IP」に変更し、ポートフォワードで指定したIPアドレス(ここでは「192.168.2.250」)を設定しておく。
3)Dynamic DNS設定
外部からアクセスする際の名前を設定する。TP-Link独自のDynamic DNSサービスを利用するにはアカウントによる登録が必要なので、まずは「基本設定」の「TP-Linkクラウド」でアカウントを登録し、ログインする。
続いて、「詳細設定」の「ネットワーク」にある「動的DNS」で「TP-Link」を選択し、ドメインを登録する。「xxxxx.tplinkdns.com」が割り当てられる。
4)VPNサーバーを有効化
「詳細設定」の「VPNサーバー」にある「OpenVPN」で、「VPNサーバーを有効にする」にチェックマークを付け、「クライアントアクセス」で「インターネットとホームネットワーク」を選択する。証明書の作成メッセージが表示されたら、「はい」をクリックして証明書を作成する。
5)設定ファイルのダウンロードと転送
OpenVPNの設定画面で、「エクスポート」をクリックし、OpenVPN設定ファイルをダウンロードする。ファイルをダウンロードしたら、エディターなどでファイルを開き、接続先の設定を確認する。
Dynamic DNSが有効になっている場合は、自動的にホスト名が設定されているはずだが、構成によってはArcher C1200のWAN側のIPアドレスが設定されている場合がある。その場合は、該当部分をホスト名に変更しておく。
6)OpenVPNで接続
接続したいAndroid/iOSスマートフォンなどにOpenVPN Connectアプリをインストールしておく。クライアントがWindowsの場合でも、OpenVPNのアプリを利用可能だ。
続いて、エクスポートして修正を加えた設定ファイルをスマートフォンにメールなどで転送し、ファイルをOpenVPN Connectで開くと、設定がインポートされる(手動インポートも可能)。最後にOpenVPNから接続すれば、VPN接続が確立される。
7)確認
最後に、VPN接続の状況を確認しよう。「確認くん」など接続元情報を表示できるサービスを利用し、ゲートウェイの名前が契約している固定回線のプロバイダーのものになっていることを確認する。
もし、「docomo」や「kddi」といった回線事業者の名前になっている場合は、ルーターのOpenVPNの設定が「ホームネットワーク」のみになっている可能性があるので、「インターネットとホームネットワーク」に変更する。
面倒だがやっておく価値はある
以上、TP-LinkのArcher C1200を例に、自宅にVPNサーバーを設定する方法を紹介した。
2重ルーター構成にせざるを得ない場合は設定が面倒だが、一度設定しておけば、いろいろな場所から安全な接続を確立できるのでオススメだ。
なお、同様の構成はNASを利用することでも可能だ。2重ルーター構成を避けたい場合はNASの方が適してるので、改めて設定方法を紹介することにする。