明日からテレワーク! 最低限チェックしたいNAS&ルーター安心・便利設定
ルーター編 第7回
VPNサーバー機能は慎重に運用しよう1
2020年5月29日 11:02
小規模なオフィスや個人事務所などでは、家庭用として販売されているWi-Fiルーターを使っているケースも珍しくありません。
こうした環境で注意したいのが「VPNサーバー」機能の利用です。
「明日からテレワーク! 最低限チェックしたいルーター安心・便利設定」記事一覧
家庭用のWi-Fiルーターでも、高性能モデルを中心にVPNサーバー機能が搭載されています。テレワークが求められる中、自宅待機中の社員が社内のファイルサーバーなどへアクセスできるようにするため、このVPNサーバー機能が活用できます。
テレワークをする場所、つまり自宅で使うWi-Fiルーターでは、この機能の必要性は低く、むしろセキュリティを考慮すると「使わなければオフ」にしておくことが大切です。
しかし、小規模なオフィスの場合、今から高性能なVPNルーターを購入し直す余裕がないことが多く、家庭用ルーターのVPNサーバー機能を活用したいというニーズも多いことでしょう。
では、家庭用のVPNサーバーをテレワーク用に使う場合、どのような点に注意すればいいのでしょうか? 今回と次回の2回に渡り、以下の点を見ていきましょう。
ルーターのVPNサーバー機能
- インターネット接続
- プロトコル
- Dynamic DNSの利用
- 事前共有キーとユーザーの管理(第8回で掲載)
- フィルターの活用(第8回で掲載)
- そのほかの注意点(第8回で掲載)
- 事前共有キーの方式を変更(第8回で掲載)
1.インターネット接続
まず、注意しなければならないのがインターネット接続の環境です。
中でも、最近増えている「v6プラス」や「transix」などのIPoE IPv6方式のIPv6+IPv4 over IPv6を利用する環境では、利用できるポートが限られていたり、事業者側でNATがかかるといったNATの制限によって、VPNサーバー機能が利用できないことがあります。
これらのインターネット接続環境では、Wi-FiルーターのVPNサーバー機能の利用は難しいと言えるでしょう。
ただし、NASなどで利用できるメーカーが用意したクラウド上の中間サーバーを経由する方式であれば、必ずとは言い切れませんが、VPNを利用できる可能性があります。こうした方法も検討しましょう。
2.プロトコル
基本中の基本として、プロトコルはオフィス側のサーバー(Wi-Fiルーター)と自宅側のクライアント(PCやスマートフォン)で、同じものを選択します。
Wi-FiルーターのVPNサーバー機能は、機種によってサポートしているプロトコルが異なりますが、「PPTP」と「OpenVPN」の採用例が多く、高性能モデルで「L2TP/IPsec」、海外製の一部機種では独自方式(Synologyのルーターなど)に対応しています。
ただし、PPTPはMSCHAPv2の脆弱性の問題からか、最近では採用していない製品もあります。例えば、バッファローの「WXR-5950AX12」はL2TP/IPsecのみをサポートしてます。
L2TP/IPsecは、Windows、macOS、Android、iOSと、ほとんどのクライアントが標準でサポートしているので、これを利用するのが無難でしょう。
3.Dynamic DNSの利用
VPNサーバーを利用する場合、外部からオフィスのWi-Fiルーターを接続先として指定する必要があります。
WAN側のIPアドレスを指定することもできますが、覚えにくい上、インターネット接続が再接続されたタイミングでIPアドレスが変更されることもあるため、Dynamic DNSを使って接続先に名前を設定しておくといいでしょう。