清水理史の「イニシャルB」

SynologyのWi-FiルーターがあればSSTP VPN環境が無料で作れる!

2021年10月まで無料提供期限が延長

  • 清水 理史

2020年9月28日 06:00

 これからテレワークを検討している人も間に合うようになった。SynologyのWi-Fiルーター「RT2600ac」や「MR2200ac」を入手して、急いでセットアップすれば、通常なら1ライセンスで9.99ドルの「VPN Plusサーバー」のクライアントライセンスと、「Site to Site VPN」の永続利用可能なライセンスが、無料で購入できる。

 SSTPを利用し、専用クライアント不要で使えるWeb VPNやリモートデスクトップは、改めて使ってみると、実に完成度が高い。小規模オフィスのリモートアクセス環境としてはオススメのソリューションだ。

SynologyのWi-Fiルーター「RT2600ac」

クライアントライセンスを手に入れろ

 タイムリミットは、来年となる2021年のPDT(米国太平洋標準時夏時間)9月30日、日本標準時だと2021年10月1日15:59まで。

 今年の春に発表された予定では、本稿掲載の数日後、2020年10月1日までの予定だった無償提供期間が、まるまる1年延長されることになった

 SynologyのRT2600acやMR2200acには「VPN Plus Server」と呼ばれるVPNサーバーアプリが提供されているが、通常1ライセンスあたり9.99ドルのクライアントライセンスが、RT2600acは20、MR2200acは10の上限数まで今なら無料で取得できる。同じく9.99ドルの「Site to Site VPN」の有料ライセンスも同様だ。

 もちろん、これらはサブスクではなく買い切りのライセンスとなるため、一度購入すれば永続利用が可能だ。

Synologyルーター向けVPN PlusクライアントのVPNアクセスライセンスが、日本時間で2021年10月1日(15:59)まで無料で取得できる。標準では1同時接続分のクライアントが付属するが、これでRT2600acで最大20の同時接続が可能に

 COVID-19パンデミックに対応しての特別オファーとして4月から開始されたキャンペーンなのだが、これが2021年まで延長されたことは、これからテレワークのためにVPNを導入しようというユーザーにとっては朗報だろう。

 同社のルーターについては、本連載で以前に掲載した『Synologyらしさ全開の無線LANルーター「RT2600ac」はフツーじゃない!』を参照して欲しいが、コンシューマー向け製品としては、筆者が知る限り業界屈指のマニアックさ(もちろん良い意味)を誇る製品で、ファイル同期やIPS/IDS、ウェブフィルター、ユーザー管理などの機能が、非常によくできている。

 中でもVPNサーバー機能は、ルーターでは一般的なPPTPやL2TP/IPsec、OpenVPNはもちろんのこと、SSTPを利用したSynology SSL VPN、Web VPN、リモートデスクトップに対応しており、さらに拠点間をつなぐためのSite to Site VPNにも対応するなど機能が豊富だ。

 RT2600acの場合、上記のSSTPを利用したVPNで、最大20の同時接続をサポート(リモートデスクトップは同時3)している。期間限定の無料ライセンスを上限まで取得すれば、小規模なオフィスであれば、ほとんどの社員が外部からオフィスのリソースを利用可能なVPN環境を構築できるはずだ。

 一般に、法人向けのVPN装置は、本体価格や保守費用も高額なら、クライアントライセンスも安くないので、トータルでの費用がかさむ場合がある。だが、この機会であれば、ルーター本体の実売価格である2万4400円前後(税込)だけで済む。

 ぜひ、このチャンスを活かしたいところだ。

SynologyのVPN Plusサーバーのメリット

 もちろん、無料と言っても、使いにくければ話にならない。だが、SynologyのVPN Plusサーバーは設定がカンタンな上、機能も豊富で扱いやすい。具体的には、次のような特徴を備えている。

設定が簡単

 あらかじめルーター側で、SSL/TLS証明書を無料で利用できるサービス「Let's Encrypt」を使った証明書を設定しておき(ウィザードで実行可能)、「VPN Plus Server」をインストールする。次にチェックボックスをクリックして機能を有効化し、接続を許可したいユーザーを選択すればいい。

 ただし、接続はDynamicDNSでアドレスに対して指定したポートでアクセスする必要があるため、MAP-EやDS-Liteの環境ではIPv4で接続できない場合がある(ルーター、クライアントともにIPv6が使えれば接続可能)。

 一方のクライアントは、SSL VPNでは、各環境向けの専用クライアントアプリ(Windows/macOS/Linux/Android/iOS)を利用し、DDNSアドレスとユーザーID/パスワードを指定することで簡単に接続可能だ。リモートデスクトップとWeb VPNに関してはウェブポータルからの接続となるため、クライアントアプリ不要で利用できる。

GUIで設定が簡単。ルーター側では設定をオンにするだけ。クライアントもアプリを使って簡単に接続できる

業務やユーザーごとに使い分けができる

 前述したようにSSTPのVPNには、SSL VPNとリモートデスクトップ、Web VPNがあるが、これらはユーザーごとに使い分けることができる(権限設定でポータル上での表示の可否も設定できる)。今回は、無料で20の同時接続ライセンスを取得できたので、例えばSSL VPNを5人、リモートデスクトップを上限の3人、Web VPNを残り12人のユーザーで使うといったように、ユーザーの業務の方法に応じて使い分けられる。

  • SSL VPN
    通常のVPNと同様に社内ネットワークへ接続可能。社内の全リソースにアクセスしたいユーザー向け
  • リモートデスクトップ
    特定のPCへリモートデスクトップで接続可能。仕事に専用のアプリが必要なユーザーや、社外に持ち出せないデータを扱いたいユーザー向け
  • Web VPN
    VPN Plusのポータルから社内のウェブコンテンツに転送する方式。業務用のウェブアプリを利用するユーザー向け。アクセス先は管理者が登録でき、ユーザーごとに利用可能なサイトを制限できる
ユーザーごとにVPNサービスを使い分けられる。用途や業務によって方式を区別できる

2ステップ認証を利用可能

 ユーザーの認証は、標準では5分以内に3回の失敗で自動的にブロックされる。さらに、スマートフォンの認証アプリ(Google認証システムやMicrosoft Authenticator)を使った認証を強制もできる。全ユーザーが常に要求(端末の記憶はできない)されるので面倒だが、セキュリティレベルは確実に上がる。

2ステップ認証をユーザーに強制可能。これにより、IDとパスワードに加えてスマートフォンでの認証コードが必要になる

リモートデスクトップとWeb VPNを利用する

 SSL VPNは、専用クライアントを使う以外は通常のVPNと変わらないので、ここではリモートデスクトップとWeb VPNを利用する方法を紹介しよう。

リモートデスクトップ

 リモートデスクトップの使い方は簡単だ。基本的にはルーターのVPN Plus Serverで機能をオンにしてから、「権限」でリモートデスクトップ接続を許可したいユーザーにチェックマークを付けてアクセスを許可しておく。

リモートデスクトップを有効化(ユーザーへの権限許可も必須)

 この状態で、自宅など遠隔地のPCから、表示されたURL(https://login.●●●.synology.me:9488/など)へアクセスすると、VPN Plusのポータルへのログイン画面が表示されるので、Synologyのアカウントでログインする(設定している場合はここで2ステップ認証がかかる)。

 その後、VPN Plusのポータルから「リモートデスクトップ」を選択し、「+作成」で接続先を登録する。接続したいPCのIPアドレス、品質、画面の解像度などを選択して接続すると、Windowsの資格情報入力画面が表示されるので、接続先PCのユーザーアカウントでサインインすれば、ウェブブラウザーから指定したPCへリモートデスクトップ接続ができる。

 ちなみに、接続方式を選択することで、Windows(RDP)だけでなく、Apple Remote Desktop(VNC)も利用できる。

ウェブブラウザーから接続先を入力して接続

 ウェブブラウザー経由なのでタイムラグは若干感じるが、手軽にリモートデスクトップ接続できるのは非常に便利だ。どうしても会社のPCにインストールされたアプリが必要だったり、社外への持ち出しが禁止されているデータを直接編集したりする場合に使うといいだろう。

ウェブブラウザー内でリモートデスクトップが利用可能

 欲を言えば、後述するWeb VPNと同様に、接続先の情報を管理者があらかじめ登録しておけるとありがたい。ユーザーに自分のPCの接続先アドレスを入力させるのは、少々難易度が高い。

Web VPN

 Web VPNも、VPN Plusのポータルを経由することで、通信をルーターから社内の特定のウェブサーバーへと転送する機能だ。

 こちらもルーターのVPN Plus Serverで「Web VPN」をオンに設定する。こちらは「権限」での設定の代わりに、「Web VPNポータル」タブから許可するサイトやユーザーを設定する。ウェブサーバーのアドレスや名前、許可するユーザー(Usersグループで全員への許可も設定可能)を設定しておく。

Web VPNを有効にし、ポータルに公開したいウェブページを登録しておく。ユーザーごとにアクセス可能なページを指定できる

 この状態で、ユーザーがVPN Plusのポータル(https://login.●●●.synology.me:443/など)へアクセスすると、登録したサイトが画面上に表示されるので、ここからアクセス先を選択するだけだ。普段、社内で使っているときと同様に、業務アプリのサイトなどにアクセスできる。ほとんどのユーザーは、Web VPNのみでリモートワークができるだろう。

VPN Plusのポータルにアクセスすると、アクセス可能なサイトが表示される

 なお、試しにWordPressの管理画面を追加してみたが、このページの証明書を確認すると、Synologyのルーターで発行したものが使われていることが分かる。

 VPN Plusのポータルを経由することで、ユーザーを認証(2ステップ)し、通信をSSLで暗号化して安全に使えるようにしているわけだ。

社内のウェブサイトにアクセス可能。ルーターで設定した証明書で、しっかり暗号化されている

最新の無線規格、MAP-E/DS-Lite高速化、グループ管理が欲しい

 以上、SynologyのVPN Plusライセンスと、それを利用したリモートワークの例を紹介した。

 あらためて使ってみると、本製品は本当に完成度が高く、ほかの製品にはない魅力が詰まっていることを再認識させられた。

 しかしながら、本製品の発売は2017年と、もうかなり前になってしまった。2019年まではファームウェアも毎月のように頻繁に更新されていたが、2020年は6月に1度アップデートが提供されたのみだ。

 それだけ完成度が高いと解釈することもできるが、個人的には次の2点の改善を望みたい。

  • MAP-E/DS-Liteの高速化
    (IPv6そのものは速いがその上のIPv4処理が遅い)
  • ユーザー管理機能でのグループの利用
    (Usersグループのみで追加できない)
速度も計測してみた。Fast.comの結果を見ると、IPv6での通信時は高速だ

 もちろん、最新のWi-Fi 6への対応も望みたいところだが、これは新機種の登場を待つしかない。個人的には、同社のルーターに対する情熱が少し薄れてきているように感じるので、そろそろ、そんな心配をしなくてもいいことを証明して欲しいところだ。

Speedtest.netの結果。IPv4 over IPv4では速度が低下してしまう。最近はIPv6に対応するウェブサイトが増えてきたので、問題ないと言えば問題ないが……

清水 理史

製品レビューなど幅広く執筆しているが、実際に大手企業でネットワーク管理者をしていたこともあり、Windowsのネットワーク全般が得意ジャンル。最新刊「できる Windows 10 活用編」ほか多数の著書がある。