在宅勤務中の社長PCとネットギア「BR200ルーター」をVPN接続せよ!
(※このストーリーはフィクションです。ネットギア以外の実在する人物・組織には一切関係ありません)
在宅勤務中の社長が社内ファイルサーバーにアクセスできるようにしよう!
先日、ネットギアのWi-Fi 6アクセスポイント「WAX610」をリモートから導入したおかげで、在宅勤務のネット環境が絶好調になったゴチソー弁当の五智(ゴチ)社長宅。Web会議もスムーズにできるようになり、社長は「ケンタロウくんのおかげだよ、ありがとう!」とご満悦だ。
「それで、あとは会社のファイルサーバーにアクセスしたいんだけど。できるよね!」と、社長はできて当然のように言う。えっ、そんな話聞いてないんですけどー……という言葉を飲み込み、ケンタロウはその夜、SIer勤務でITに詳しい親友、リョースケに電話して助けを求めた。
リョースケは「会社のルーターはネットギアの『BR200』って機種だよね。Webで見たらOpenVPNに対応してるみたいだし、社長さんのPCと会社のルーターの間でVPNを張ればいいんじゃない?」と事もなげに答える。はて、“ブイピーエヌ”とは? ――そこから小一時間、ケンタロウはVPNについて詳しく説明してもらった。なるほど、大体わかった(気がする)。自分でも、ネットギアのサイトでBR200のOpenVPN設定について調べてみた。
社長は社内で一番アクティブな人間で、取引先の会社やスーパー、さらに食材を仕入れている農家さんのもとにもひんぱんに足を運んで、新商品のアイデアやおいしい食材のレシピなどを聞いてくる。在宅勤務のときだけでなく、そうした出張先や外出先でPCを使う場合も社内のファイルサーバーにアクセスできると便利だろう。翌日、社長にOpenVPNの利用を提案すると、「それいいね!」と賛同してくれた。
VPNについて大まかには理解したつもりなのだが、さて社長のVPN接続、本当にうまく行くのだろうか……。
今回は、社外から社内ネットワークにアクセスできるVPNを設定する話だ。VPNは「Virtual Private Network」の略であり、暗号化通信技術を使って既存のネットワーク上に“仮想的な”専用ネットワークを構築する技術だ。
VPNは大まかに「クライアントVPN」と「拠点間VPN」に区別される。オフィスに設置されたVPNサーバーに対して、社外にあるPCやスマートフォンなどのクライアント端末から接続するのがクライアントVPN、本社と支社などに設置されたVPN装置どうしを接続し、拠点単位で丸ごとVPN接続してしまうのが拠点間VPNである。
「クライアントVPN」と「拠点間VPN」の違い
今回のケースはクライアントVPNに当たる。オープンソースの「OpenVPN」というソフトウェアを使って、社長のクライアントPCとゴチソー弁当オフィスにあるルーターとの間をVPNで接続する。そうすることで、自宅や外出先からでも社長のPCは社内ネットワークに接続することができるようになる。VPN接続すれば、ファイルサーバーや業務アプリケーションサーバーなどの社内リソースにアクセスが可能だ。
OpenVPNを使うための準備:BR200ルーター側の設定
ネットギアのBR200ルーターはOpenVPNサーバー機能を標準搭載しているのでこれを有効にし(起動し)、PC側にOpenVPNのクライアントソフトをインストールすれば、インターネット経由で社内LANへのVPN接続ができるようになる。
1:BR200のルーター設定ページでダイナミックDNSとOpenVPNサービスを有効にする2:クライアント用のOpenVPN設定ファイルをダウンロードする3:PCにOpenVPNクライアントをインストールし、2の設定ファイルを適用する4:OpenVPNクライアントで接続操作を行う
●BR200ユーザーマニュアル(英語版) https://www.downloads.netgear.com/files/GDC/BR200/BR200_UM_EN.pdf
マニュアルによると、OpenVPNを利用する場合はルーターのWANポート(インターネット側ポート)に固定IPアドレスを利用するか、ダイナミックDNSサービス(DDNS、動的IPアドレスに固定のホスト名でアクセスできるようにするサービス)を利用する必要がある。
※注:上記マニュアルには「NETGEAR Insightで管理している場合は不要」という旨の説明も書かれているのだが、実際にはどちらかを利用しないとOpenVPNサーバー機能を有効にできない。固定グローバルIPアドレスを持たないインターネット回線契約の場合は、以下で紹介するようにダイナミックDNSサービスを利用してほしい。
実際にBR200ルーターを設定しよう。まずルーターのLANポートに接続したPCでブラウザを起動して「https://www.routerlogin.net」にアクセスする。ブラウザによってはプライバシーエラーが表示されるが、ここでは無視して接続を許可する。ログイン画面が開くので、NETGEAR Insightアカウントの管理者IDとパスワードを入力する。
ログインすると、ルーターのホーム画面が表示される。言語はデフォルトで英語に設定されているが、画面右上にある「Language」のプルダウンメニューから日本語に変更できる。
BR200ルーターの管理画面トップページ
まずはダイナミックDNSサービスを設定し、このルーターに固定のホスト名でアクセスできるようにしよう。
管理画面上の「高度」タブをクリックし、左メニューに表示される「ダイナミックDNS」をクリックする。「ダイナミックDNSを利用する」のチェックボックスをオンにしたら、サービスプロバイダーを選ぶ。選択肢は「NETGEAR」「No-IP」「DynDNS」の3つがある。すでにいずれかのDDNSサービスのアカウントを持っている場合は、その下にある「NETGEAR DDNSアカウント~をお持ちですか?」で「はい」を選択して、登録してあるホスト名やメールアドレス、パスワードなどを入力して「登録」をクリックする。
それらのアカウントを持っていない場合は、この画面から無料アカウントが1つ登録できる。サービスプロバイダーはどれを選択してもよいが、それぞれドメイン名が異なる。「NETGEAR」を選択した場合は「○○○.mynetgear.com」というホスト名が使える。
ダイナミックDNS設定画面。ここではホスト名を新規登録している
希望するホスト名(ここでは「gochibento.mynetgear.com」)、メールアドレス、パスワードを入力して「登録」する。このmynetgear.comドメインはダイナミックDNSサービスを提供するNo-IP社が管理しているので、No-IPから確認メールが届く。「Confirm Account(アカウントの確認)」をクリックし、No-IPのアクティベーション完了ページが表示されたら登録は完了だ。
No-IPからの確認メールで「Confirm Account」をクリックすると、No-IPのアカウント登録完了画面が開く
BR200ルーターの設定画面に戻り、ダイナミックDNSサービス設定ページで「適用」をクリックしよう。これでダイナミックDNSサービスの設定は完了だ。
次に、左側の「OpenVPN」をクリックしてOpenVPN設定ページに移動する。「VPNサービスを開きます」のチェックボックスをオンにしたら、画面右下の「適用」をクリックして設定を反映させる。これでルーター内蔵のOpenVPNサーバーが起動して、外部からの接続が可能になる。
ちなみに、画面下部にある「TUNモードサービスタイプ」と「TAPモードサービスタイプ」がそれぞれ何に設定されているかはメモをしておくとよいだろう(デフォルトではUDPで、ポート番号は12973と12974)。
OpenVPN設定ページ
「適用」をクリックした後に、接続するクライアント端末のOSに対応した「OpenVPN設定パッケージのダウンロード」をダウンロードする。これは、OpenVPNのクライアント設定ファイル(client.ovpn)やクライアント証明書(client.key)などが含まれたZipファイルだ。あらかじめ接続先の情報(ホスト名やポート番号など)が書き込まれているので、これをOpenVPNクライアントに読み込ませるだけで接続設定が完了する。今回のクライアント端末はWindows PCなので「Windows用」をクリックしてZipファイルをダウンロードした。
なお複数台のPCがVPN接続する場合は、同じクライアント設定ファイルを利用することになる。設定ファイルは必要なユーザーのみで共有するようにし、不特定多数がアクセスできるファイルサーバーなどには置かないこと、また定期的に更新する(OpenVPNサーバーをいったん無効にし、再度有効にして、設定ファイルをダウンロードしなおす)とよいだろう。