清水理史の「イニシャルB」
L2TP/IPSec接続でも実効100Mbpsを実現
バッファロー有線LANルーター「VR-S1000」
(2014/1/6 06:00)
バッファローから、IPSecによる拠点間接続やL2TP/IPSec、PPTPによるスマートフォン/PC接続に対応した有線LANルーター「VR-S1000」が発売された。手軽な設定とリーズナブルな価格でVPN環境を構築できる注目の製品だ。その実力を検証してみた。
スマートフォン時代の有線LANルーター
バッファローから登場したVR-S1000は、久しぶりに新製品が登場した有線LANブロードバンドルーターだ。
今さら有線? という声も聞こえてきそうだが、単なるブロードバンドルーターではなく、VPNに対応しているのが本製品の最大の特徴。それもIPSec、L2TP/IPSecに対応しており、セキュアな拠点間接続やスマートフォンによるリモートアクセス環境を手軽に構築することが可能となっている。
同様のVPN機能は、同社製の高性能無線LANルーター(WZR-1750DHP2など)にも搭載されているが、コンシューマー向け製品がPPTPによる接続しかサポートしていないのに対して、前述したように本製品ではPPTPに加え、IPSec、L2TP/IPSec(IPSec over L2TP)をサポート。PPTPより高い強度の暗号化通信を利用することが可能となっている。
PPTPに関しては、2012年に認証に利用するMS-CHAPv2の脆弱性が指摘され(http://internet.watch.impress.co.jp/docs/news/20120821_554210.html)、大きな話題となった。もちろん、通信内容の傍受や時間をかけた解析などが必要となるため、PPTPがすぐに危険というわけではないが、脆弱性を回避するためにIPSecの利用を推奨するメーカーも多い。
しかしながら、これまでIPSec、L2TP/IPSecに対応したルーターは、高価で、設定も難しく、なかなか小規模な企業やSOHO環境で導入できるものではなかった。そこで登場したのが、この「VR-S1000」というわけだ。
IPSec対応のルーターながら実売価格は2万5000円を超える程度(1月5日時点のAmazon.co.jpの価格)と、リーズナブルな設定になっており、ブラウザーを利用した使いやすい設定画面から、ウィザード形式のメニューで簡単にVPNの設定をすることが可能となっている。
小規模な企業でも、各地に店舗を展開していたり、地方ごとに事務所を設置しているケースは多い。VR-S1000を利用すれば、こういった企業でも手間とコストをかけずに拠点間をセキュアに接続することが可能だ。
また、VR-S1000がサポートするL2TP/IPSecは、PCのみならずスマートフォンやタブレット端末でも標準的にサポートされているため、外出先からのセキュアなリモートアクセスにも活用することができる。
しかも、IPSec環境でも最大100Mbpsのスループットを実現でき、拠点間利用とリモートアクセスの同時利用で同時に10台(10拠点)の接続にも対応できるようになっており、低価格ながらパワフルな製品となっている。まさに、理想的なVPN環境構築用デバイスと言えるだろう。
外観も機能もシンプル
それでは、実機を見ていこう。本体は、とてもシンプルだ。横置きも縦置きも可能な筐体だが、凝った飾りはなく、前面に各種LEDとUSB端子、背面にLAN×4、WAN×1、CONSOLE×1、電源スイッチ、ACアダプタ端子が整然と並んでいる。
コンシューマー向けルーターと違うのは、コンソール端子(別売りのケーブルが必要)が用意されている点と、電源スイッチに誤操作防止用のガードが付けられている点くらいだろうか。
コンソール端子は、コマンドを利用して本体を設定する際に利用する。VR-S1000には、一般的なWebベースの設定画面が搭載されているため、コマンドを利用しなくても利用することはできるのだが、法人向けルーターの利用者の中にはコマンドの方が設定しやすいという人も少なくないため、そのために搭載されている(LANポートからのTELNET接続も可)。同社の製品情報サイトから、コマンドリファレンスもダウンロードすることが可能となっているので、管理者などは活用するといいだろう。
機能的にも非常にシンプルだ。通常のブロードバンドルーターとしての機能に加えて追加されているのは、メインのVPN機能と前面のUSBポートを利用したファイル共有機能程度となっている。機能が詰め込まれたコンシューマー向け製品に慣れてしまうと物足りなくも感じるが、設定画面を開いてもメニューの項目が少なく、迷うことなく利用できるのは、企業向けとしてはメリットと言えるだろう。
VPN接続をセットアップ
実際のセットアップも簡単だ。今回は本機を1台しか用意できなかったので拠点間接続ではなく、L2TP/IPSecを利用したリモートアクセス環境を整えてみた。
本体のWANポートに回線とLANポートにPCを接続後、設定画面(標準は192.168.12.1)にアクセス。インターネット接続をセットアップ後、「VPN」の項目から、VPNウィザードを起動する。
ここで、「L2TP/IPSecクライアント接続」を選択し、事前共有キー、暗号化方式、認証方式、サーバーIPアドレス、リース用IPアドレス範囲、そしてリモートアクセスを許可するユーザーを作成して追加すれば設定は完了だ。ウィザードと言っても、実質2画面で完了するので、設定自体は非常に簡単だ。
なお、暗号化は標準が3DESで、ほかにDES、AES-128、AES-192、AES-256を選択可能。認証方式は標準がSHA-1で、ほかにMD5、SHA2-256を選択可能となっている。標準設定のままでも問題ないが、よりセキュアな環境が必要な場合には、ここで設定を変更しておくといいだろう。
続いて、DynamicDNSの設定をする。スマートフォンやタブレットからの接続先として指定するには、WAN側のIPアドレスを指定する必要があるが、利用するプロバイダーによってはIPアドレスが変更されてしまうことがある。企業であれば固定IPが使える可能性も高いが、使えない場合はDynamicDNSを設定しておくといいだろう。
現状、VR-S1000では、DynDNS.comのみに対応しているが、残念ながらDynDNS.comでは無料のサービスは終了してしまったため、新規の登録は有料になってしまう。同社によると近いうちに自社運用のDynamicDNSサービスにも対応するとのことなので、このサービスを利用するのが現実的だろう。
すべての設定が完了すれば、スマートフォンやPCからアクセス可能となる。詳細な設定方法は、前述した製品情報サイトから参照できる「設定事例集」に画面付きで紹介されているので、これを参照してほしいが、Android端末であればVPNの設定画面でタイプに「L2TP/IPSec PSK」を選び、VR-S1000で設定したIPSec事前共有キーを入力。iOSであればVPN構成で「L2TP」を選択後、シークレットに事前共有キーを入力。Windows 8ではウィザードでVPN接続を作成後、プロパティのセキュリティタブで「IPSecを利用したレイヤー2トンネリングプロトコルL2TP/IPSec)」を選択し、「詳細設定」ボタンから事前共有キーを入力しておく。
これで、VR-S1000で接続を許可したユーザー名とパスワードを使ってアクセスすれば接続できるというわけだ。
ただし、1点注意が必要なのはネットワーク構成だ。VR-S1000にPPoEアカウントを設定するなど、直接インターネットに接続している状態であれば問題ないが、既存のルーター配下に接続する場合は、2点の設定が必要になる。
1つはポートの転送だ。既存のルーターでDMZにVR-S1000を指定するか、ポートフォワードでUDPポート500(ISAKMP)とUDPポート4500(IPSec NAT Traversal用)をVR-1000に転送しておく必要がある。
このように、L2TP/IPSecのサーバーがNAT配下にある場合、接続するクライアントにWindowsを利用する場合はレジストリの設定も必要だ(こちらも参照:http://support.microsoft.com/kb/926179/ja)。
Windows 8.1の場合であれば、「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent」に「DWORD(32ビット)値」で「AssumeUDPEncapsulationContextOnSendRule」というキーを作成し、値として「1」または「2」を設定しておく。これで、クライアント側でNAT Traversalを使って接続することが可能となる。
なお、同社のダウンロードサービスから、この設定を変更するためのツール(http://buffalo.jp/download/driver/lan/vr-s1000.html)をダウンロードすることもできるので、NAT配下にVR-S1000を配置し、かつWindowsから接続する場合は必ず実行しておこう。
実測でも100Mbpsを実現
続いて、パフォーマンスについて見ていこう。以下のグラフは、VR-S1000のLANポートとWANポートに2台のPCを直結した状態で、iPerfを利用してパフォーマンスを計測した際の値だ。
VR-S1000 | 通常時*1 | 941 |
L2TP/IPSec | 121 | |
PPTP | 26.8 | |
RT-AC68U | PPTP | 72.7 |
- ※1 VR-S1000のDMZ設定にサーバーを指定し、WAN側クライアントから直接iPerfを実行
- サーバー:Intel NUC DC3217IYE
- クライアント:Intel Core i7-4770、RAM16GB、250GB SSD、IntelEthernet Connection I217-V
- サーバー側:iperf -s、クライアント側:iperf -c [IP] -t10 -i1 -P3
通常、VPN接続では暗号化などの処理によって通常時よりもパフォーマンスは落ちてしまうが、それでもL2TP/IPSecで121Mbpsと高い速度を実現できている。さすがに、通常時(DMZ設定時)の941Mbpsから比べると低い値となるが、VPN接続、それもL2TP/IPSecで100Mbpsオーバーはかなり優秀だ。
なお、今回、比較対象として、ASUS RT-AC68Uでも計測してみたが、PPTPで72.7Mbpsとかなり高い値が計測されているものの、L2TP/IPSecにもかかわらず、VR-S1000はこの値を超える速度を実現できている。
一般的にはL2TP/IPSecよりもPPTPの方がパフォーマンス的には有利とされているが、さすがにIPSec対応ルーターを謳う本製品では、LT2TP/IPSecの方が明らかにパフォーマンスが高い。PPTPも併用できるので、互換性を確保する目的でPPTPを利用してもかまわないが、本製品に関してはPPTPのパフォーマンスはあまり高くないので、積極的にL2TP/IPSecを使いたいところだ。
ここまでパフォーマンスが出るのであれば、複数の拠点間を接続したり、拠点間接続とリモートアクセスを併用したり、複数端末から同時にリモートアクセスしても、十分なパフォーマンスを実現することができるだろう。
スマートフォンやタブレットを活かせるルーター
以上、バッファローのIPSec対応有線LANルーター「VR-S1000」を実際に使ってみたが、簡単な設定で、セキュアかつ十分なパフォーマンスを実現可能なL2TP/IPSec環境を構築できるのは、非常に魅力的だ。
基本的には企業向けだが、個人ユーザーでも十分に使いこなせる使いやすさを備えているうえ、価格的にも手を出しやすいので、筆者のようなSOHO環境での導入も現実的だろう。
特に、スマートフォンやタブレット向けのリモートアクセス環境が手軽に構築できるのは、大きなメリットと言える。中小規模の企業でも、そろそろスマートフォンやタブレットを業務に活用しようという動きが広がっているが、そういった環境の足回りに検討すべき製品と言えるだろう。