在宅勤務中の社長PCとネットギア「BR200ルーター」をVPN接続せよ!
文●谷崎朋子 編集● 大塚/TECH.ASCII.jp
2021年12月01日 11時00分
(※このストーリーはフィクションです。ネットギア以外の実在する人物・組織には一切関係ありません)
在宅勤務中の社長が社内ファイルサーバーにアクセスできるようにしよう!
先日、ネットギアのWi-Fi 6アクセスポイント「WAX610」をリモートから導入したおかげで、在宅勤務のネット環境が絶好調になったゴチソー弁当の五智(ゴチ)社長宅。Web会議もスムーズにできるようになり、社長は「ケンタロウくんのおかげだよ、ありがとう!」とご満悦だ。
「それで、あとは会社のファイルサーバーにアクセスしたいんだけど。できるよね!」と、社長はできて当然のように言う。えっ、そんな話聞いてないんですけどー……という言葉を飲み込み、ケンタロウはその夜、SIer勤務でITに詳しい親友、リョースケに電話して助けを求めた。
リョースケは「会社のルーターはネットギアの『BR200』って機種だよね。Webで見たらOpenVPNに対応してるみたいだし、社長さんのPCと会社のルーターの間でVPNを張ればいいんじゃない?」と事もなげに答える。はて、“ブイピーエヌ”とは? ――そこから小一時間、ケンタロウはVPNについて詳しく説明してもらった。なるほど、大体わかった(気がする)。自分でも、ネットギアのサイトでBR200のOpenVPN設定について調べてみた。
社長は社内で一番アクティブな人間で、取引先の会社やスーパー、さらに食材を仕入れている農家さんのもとにもひんぱんに足を運んで、新商品のアイデアやおいしい食材のレシピなどを聞いてくる。在宅勤務のときだけでなく、そうした出張先や外出先でPCを使う場合も社内のファイルサーバーにアクセスできると便利だろう。翌日、社長にOpenVPNの利用を提案すると、「それいいね!」と賛同してくれた。
VPNについて大まかには理解したつもりなのだが、さて社長のVPN接続、本当にうまく行くのだろうか……。
今回は、社外から社内ネットワークにアクセスできるVPNを設定する話だ。VPNは「Virtual Private Network」の略であり、暗号化通信技術を使って既存のネットワーク上に“仮想的な”専用ネットワークを構築する技術だ。
VPNは大まかに「クライアントVPN」と「拠点間VPN」に区別される。オフィスに設置されたVPNサーバーに対して、社外にあるPCやスマートフォンなどのクライアント端末から接続するのがクライアントVPN、本社と支社などに設置されたVPN装置どうしを接続し、拠点単位で丸ごとVPN接続してしまうのが拠点間VPNである。
今回のケースはクライアントVPNに当たる。オープンソースの「OpenVPN」というソフトウェアを使って、社長のクライアントPCとゴチソー弁当オフィスにあるルーターとの間をVPNで接続する。そうすることで、自宅や外出先からでも社長のPCは社内ネットワークに接続することができるようになる。VPN接続すれば、ファイルサーバーや業務アプリケーションサーバーなどの社内リソースにアクセスが可能だ。
OpenVPNを使うための準備:BR200ルーター側の設定
ネットギアのBR200ルーターはOpenVPNサーバー機能を標準搭載しているのでこれを有効にし(起動し)、PC側にOpenVPNのクライアントソフトをインストールすれば、インターネット経由で社内LANへのVPN接続ができるようになる。
1:BR200のルーター設定ページでダイナミックDNSとOpenVPNサービスを有効にする
2:クライアント用のOpenVPN設定ファイルをダウンロードする
3:PCにOpenVPNクライアントをインストールし、2の設定ファイルを適用する
4:OpenVPNクライアントで接続操作を行う
●BR200ユーザーマニュアル(英語版)
https://www.downloads.netgear.com/files/GDC/BR200/BR200_UM_EN.pdf
マニュアルによると、OpenVPNを利用する場合はルーターのWANポート(インターネット側ポート)に固定IPアドレスを利用するか、ダイナミックDNSサービス(DDNS、動的IPアドレスに固定のホスト名でアクセスできるようにするサービス)を利用する必要がある。
※注:上記マニュアルには「NETGEAR Insightで管理している場合は不要」という旨の説明も書かれているのだが、実際にはどちらかを利用しないとOpenVPNサーバー機能を有効にできない。固定グローバルIPアドレスを持たないインターネット回線契約の場合は、以下で紹介するようにダイナミックDNSサービスを利用してほしい。
実際にBR200ルーターを設定しよう。まずルーターのLANポートに接続したPCでブラウザを起動して「https://www.routerlogin.net」にアクセスする。ブラウザによってはプライバシーエラーが表示されるが、ここでは無視して接続を許可する。ログイン画面が開くので、NETGEAR Insightアカウントの管理者IDとパスワードを入力する。
ログインすると、ルーターのホーム画面が表示される。言語はデフォルトで英語に設定されているが、画面右上にある「Language」のプルダウンメニューから日本語に変更できる。
まずはダイナミックDNSサービスを設定し、このルーターに固定のホスト名でアクセスできるようにしよう。
管理画面上の「高度」タブをクリックし、左メニューに表示される「ダイナミックDNS」をクリックする。「ダイナミックDNSを利用する」のチェックボックスをオンにしたら、サービスプロバイダーを選ぶ。選択肢は「NETGEAR」「No-IP」「DynDNS」の3つがある。すでにいずれかのDDNSサービスのアカウントを持っている場合は、その下にある「NETGEAR DDNSアカウント~をお持ちですか?」で「はい」を選択して、登録してあるホスト名やメールアドレス、パスワードなどを入力して「登録」をクリックする。
それらのアカウントを持っていない場合は、この画面から無料アカウントが1つ登録できる。サービスプロバイダーはどれを選択してもよいが、それぞれドメイン名が異なる。「NETGEAR」を選択した場合は「○○○.mynetgear.com」というホスト名が使える。
希望するホスト名(ここでは「gochibento.mynetgear.com」)、メールアドレス、パスワードを入力して「登録」する。このmynetgear.comドメインはダイナミックDNSサービスを提供するNo-IP社が管理しているので、No-IPから確認メールが届く。「Confirm Account(アカウントの確認)」をクリックし、No-IPのアクティベーション完了ページが表示されたら登録は完了だ。
BR200ルーターの設定画面に戻り、ダイナミックDNSサービス設定ページで「適用」をクリックしよう。これでダイナミックDNSサービスの設定は完了だ。
次に、左側の「OpenVPN」をクリックしてOpenVPN設定ページに移動する。「VPNサービスを開きます」のチェックボックスをオンにしたら、画面右下の「適用」をクリックして設定を反映させる。これでルーター内蔵のOpenVPNサーバーが起動して、外部からの接続が可能になる。
ちなみに、画面下部にある「TUNモードサービスタイプ」と「TAPモードサービスタイプ」がそれぞれ何に設定されているかはメモをしておくとよいだろう(デフォルトではUDPで、ポート番号は12973と12974)。
「適用」をクリックした後に、接続するクライアント端末のOSに対応した「OpenVPN設定パッケージのダウンロード」をダウンロードする。これは、OpenVPNのクライアント設定ファイル(client.ovpn)やクライアント証明書(client.key)などが含まれたZipファイルだ。あらかじめ接続先の情報(ホスト名やポート番号など)が書き込まれているので、これをOpenVPNクライアントに読み込ませるだけで接続設定が完了する。今回のクライアント端末はWindows PCなので「Windows用」をクリックしてZipファイルをダウンロードした。
なお複数台のPCがVPN接続する場合は、同じクライアント設定ファイルを利用することになる。設定ファイルは必要なユーザーのみで共有するようにし、不特定多数がアクセスできるファイルサーバーなどには置かないこと、また定期的に更新する(OpenVPNサーバーをいったん無効にし、再度有効にして、設定ファイルをダウンロードしなおす)とよいだろう。
OpenVPNを使うための準備:クライアントPC側の設定
ルーター側の設定が完了したら、続いてクライアントPCの設定を行う。OpenVPNのクライアントソフトは以下のサイトからダウンロードできる。筆者はWindows 10 PCを使っているので64bit版インストーラー(Windows 64-bit MSI installer)をダウンロードした。
●OpenVPN公式サイト ダウンロードページ
https://openvpn.net/index.php/download/community-downloads.html
https://openvpn.net/client-connect-vpn-for-mac-os/(macOS用)
ダウンロードしたインストーラーを起動してインストールが完了すると、「読み込める接続プロファイル(設定ファイル)がありません」というポップアップ画面が表示される。
そこで先ほど管理画面からダウンロードし、解凍した設定パッケージのフォルダ(Windows用の場合「Windows」フォルダ)を、画面に指示されたフォルダにコピーする(デフォルトでは、C:\ユーザー\ユーザーアカウント\OpenVPN\config\)。もしくは、デスクトップに作成された「OpenVPN GUI」を起動し、タスクバーに表示されるOpenVPNのアイコンを右クリックして「Import」→「ファイルのインポート」メニューを選択すると、GUIで設定ファイル(client.ovpn)を読み込ませることもできる。
続いて、コントロールパネルの「ネットワークとインターネット」、「ネットワークと共有センター」、「アダプターの設定の変更」に移動。ネットワーク接続一覧が表示されるので、その中から「TAP-Windows Adapter」の名前がついたアイコンを選択(著者のPCでは「OpenVPN TAP-Windows6」)、接続名を「NETGEAR-VPN」に変更する。
あとはOpenVPN GUIを起動し、タスクバーのアイコンを右クリックしてメニューから「接続」を選択すればよい※注。接続処理のログを表示するポップアップ画面が表示され、接続に成功するとこの画面は消える。タスクバーのアイコンが緑色になっていればVPN接続は成功だ。なお、アイコンが黄色の場合は接続準備中、黒色の場合はVPNは切断されている。
※注:OpenVPNサーバーはWAN側(インターネット側)で起動しているので、LAN側に接続したクライアント端末からVPN接続することはできない。接続テストを行う場合はLAN接続を切り、モバイルルーターなどでインターネット接続してテストを行ってほしい。
VPN接続ができると、クライアントPCには社内LANのローカルIPアドレスが割り当てられ、LAN内のファイルサーバーや業務アプリケーションサーバーなどと通信できるようになる。pingコマンドでBR200ルーターのLAN側IPアドレスに疎通確認をしたり、ファイルサーバーなどにアクセスできるかどうかを確認しよう。
詳しいマニュアルが英語のものしかなかったので一苦労したが、なんとか設定を終えたケンタロウ。自分の業務PCを使ってVPN接続ができることも確認したのち、クライアントのインストール方法や起動方法を書いた手順書を添え、社長に設定ファイルを送った(社長でもわかるように手順書を書くのもまた一苦労だったが)。
そして翌日の昼ごろ、ケンタロウのスマホが鳴った。社長からだ。
「案外すんなりファイルサーバーにつながったよ。念のため、画面を撮ったから今からメールするね」。絶対に何かトラブルがあるだろうと思っていたので、まさかの返事に驚くケンタロウ。送られてきた画面がスマホのカメラで撮影したものだったのはご愛敬だが、きちんと接続できていることはわかった。
「手順書を丁寧にまとめてくれたおかげだよ。ありがとう!」。ほめられたケンタロウの顔が思わずほころんだ。
(提供:ネットギア)