VPNサーバーをセットアップしよう（L2TP）

　VPNは、社外の端末とNASの間の通信を暗号化することで、インターネット上に仮想的なプライベートトンネルを構築する方法です。

　便利な機能ではありますが、設定が簡単ではなく、利用する上での注意点も多いリモートアクセス手段です。連載第3回の『複数あるNASのリモートアクセス機能2』でも紹介していますが、この方法のメリット・デメリットについて、あらためておさらいしておきましょう。

　今回は、実際の接続方法を紹介しますが、デメリットに、「Windows 10でレジストリの設定が必要（New!）」を追加しています。

メリット

• オフィスのLANと同じようにNASを利用できる
• NASのほぼ全ての機能をリモートでも使える
• NAS以外のオフィス内のリソースにもアクセスできる

デメリット

• 設定の難易度がほかの方法に比べて高い
• 全社員が利用するためのセッションを確保できない場合がある
• Windows 10でL2TP/IPSec方式の場合はレジストリの設定が必要（New!）

　設定方法は、NASのメーカーや機種によって異なりますが、QNAPのNASの場合であれば、「QVPN Service」というアプリを使って設定します。

　なお、VPNサーバーを有効にする場合は、事前に必ず本連載でこれまでに紹介したセキュリティ設定が有効化されていることを確認してください。セキュリティ設定が十分でないと、不正アクセスの原因になる可能性があります。

1.サービスを有効にする

　QVPN Serviceでは、「QBelt」「PPTP」「L2TP/IPSec」「OpenVPN」の4種類のVPNプロトコルをサポートします。どの方式を使うかは、環境によって異なりますが、以下のような違いがあります。

• QBelt：QNAPの独自方式（詳細は不明）
• PPTP：古くから存在する方式だが安全性が低く、サポートしなくなったOSも多い
• L2TP/IPsec：汎用的で一般的なVPNサービスで多様される方式
• OpenVPN：NASやルーターでのサポートが多い方式。接続の際にアプリが必要

　この手のサービスでは、一般的に専用の方式を使う方が設定が簡単ですが、テレワークの場合、クライアント側の環境を想定できない場合もあるので、PC、スマートフォンなど、ほとんどのデバイスでサポートされる「L2TP/IPSec」を使うのが無難でしょう。

　なお、複数の方式を併用することもできますが、管理が大変になる上、ルーターで多くのポートを解放しなければならなくなるため、セキュリティ面の管理が大変になります。必要最低限の方式のみを有効にすることを強くお勧めします。

2．設定をする

　L2TP/IPSec接続で必要な設定をします。この方式では、ユーザーIDとパスワードに加えて、事前共有鍵での認証も必要なので、NASとクライアントの両方に共通で設定する文字列を指定しておきます。

　そのほかの設定は標準のままで構いませんが、「クライアントの最大数」には注意が必要です。標準では「5」となっているので、同時接続できるのは5台までとなります。

　テレワークの場合、多くの社員が一斉にアクセスすることも考えられるので、利用するユーザー数に応じて接続数を変更しておきましょう。

　ただし、接続数を多くするとNASの負荷が高まります。回線も、ユーザー数が増えるほど1人あたりの帯域が狭くなります。NASや回線のスペックによっては、最大数を多くし過ぎると業務に支障が出る場合があるので、あえて少なく設定し、長時間つなぎっぱなしで使うことを避けてもらうようにしましょう。

3.権限設定

　QNAPのNASでは、有効にしたVPN接続に対し、個別に利用権限を設定できます。VPN接続は、一度つながってしまうと、LANと同じようにネットワーク内のリソースにアクセスできてしまうため、本当に必要なユーザーにのみ権限を与えるようにしましょう。

4.ルーターのポートフォワード

　NASをVPNサーバーとして利用する場合は、ルーターのポートフォワードの設定が必要です。L2TP/IPSecの場合、「1701」「500」「4500」（UDP）の各ポートを利用するので、これらのポートについて、ルーターでNASのIPアドレスに対して転送するよう設定しておきましょう。

5.Windows 10のレジストリ設定

　Windows 10からVPNで接続する場合は、まず、レジストリの設定が必要です。ほとんどの環境では、NASはNATの内側に存在しますが、こうした環境では、Windows 10のレジストリを変更しないと、NASとの間でVPN接続を確立できません。

　具体的には、レジストリエディタで次の場所を開きます。

\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent

　そして、新規に値を作成します。右クリックから「新規」ー「DWORD」で「AssumeUDPEncapsulationContextOnSendRule」という名前を設定し、値のデータとして「2」を登録します。

6.VPN接続の作成

　Windows 10から接続する場合は、「設定」の「ネットワークとインターネット」にある「VPN」から接続を作成します。設定するパラメーターは次の通りです。

• サーバー名またはアドレス：myQNAPcloudで取得したDDNS名
• VPNの種類：事前共有キーを使ったL2TP/IPsec
• 事前共有キー：NASのVPN接続で指定した事前共有鍵
• ユーザー名：NASに登録されているユーザー名
• パスワード：NASにログインするときのパスワード

　接続が完了したら、「アダプターのオプションを変更する」から、作成したVPN接続を右クリックしてプロパティを表示し、セキュリティの設定を変更します。

• 次のプロトコルを許可する：チェックを付けて有効化
• チャレンジ ハンドシェイク認証プロトコル（CHAP）：チェックを付けて有効化
• Microsoft CHAP Version 2（MS-CHAP v2）：チェックを付けて有効化

　これで、作成したVPN接続から接続を実行すれば、NASへVPNで接続できるようになります。接続後は、NASのIPアドレスなどを指定してウェブブラウザーからアクセスしたり、エクスプローラーを使って共有フォルダーへアクセスできます。

　運用開始後は、VPNの接続状況をチェックしましょう。QVPN Serviceの「接続ログ」を確認すると、過去の接続状況を確認できます。誰がどれくらい接続しているのかが表示されるので、同時接続数の調整などに活用するといいでしょう。