フリーランスに転向するにあたり、会社の友人に退職祝いとしてVPNサーバーの機能がついているルータをいただいたので、セットアップした内容についてまとめます。

VPNサーバとは

まずVPNとは、Virtual Private Networkの略で、インターネット上の仮想的な専用線のことです。これを実現するための認証や暗号化などに、VPNサーバが必要です。

VPNサーバの構築方法

VPNサーバは、以下の３つの方法で構築が可能です。

1. VPNソフトウェアをインストールしたサーバを構築する
2. ルーターのVPNサーバ機能を利用する
3. VPNクラウドサービスを利用する
   今回は、最初に記載した通り、2. のルーターのVPNサーバ機能を利用して構築を行います。

VPNサーバのセットアップ

• ルータ：TP-Link
• クライアント：Windows PC（デスクトップ、ノート）

でセットアップしていきます。まずはTP-Linkの管理画面に入り、VPNサーバーの設定を見てます。プロトコルとして、OpenVPNとPPTPがあるようです。

調べてみると、PPTPは昔からあるプロトコルで、ほとんどの端末で利用できるが、安全性は低い。OpenVPNは比較的新しいプロトコルで、セキュリティもしっかりしている。とのこと。TTPTの使用はあまり推奨されていないようなので、OpenVPNで構築していきます。

ということで、このページを見ながら実施。

ルータ側の設定

• OpenVPN
  　有効にチェックを入れます
• サービスタイプ
  　UDPが通常使われるようですが、速さより信頼性を重視して、TCPにしてみました
• サービスポート
  　OpenVPNのデフォルトの1194になってました。よりセキュリティを強化したい場合は好きなポートに変更。
• VPNサブネット
  　好きなサブネット
• ネットマスク
  　好きなネットマスク
• クライアントアクセス
  　リモートデバイスがVPNサーバーを介してインターネットにアクセスするようにする、また推奨設定のため、「インターネットとホームワーク」を選択
  　
  また、

  注:
  • VPNサーバーを有効にするにあたり、動的DNS(DDNS)サービスへの登録か、ルーターへの静的IPの設定とルーターの時刻設定を行う事を強くお勧めいたします。
  • OpenVPNの初期設定時には、有効化する前に証明書を生成する必要があります。
  • VPNサーバーを使用する場合、TP-LinkのルーターのWAN IPアドレスがグローバルIPアドレスである必要があります。グローバルIPアドレスでない場合、TP-Linkのルーターが接続されている上位のルーターにて、TP-LinkのルーターのVPNサービスポートに対し通信を転送するよう設定が必要です。

と記載があったので、そちらも設定。まずは、動的DNSを設定します。[ネットワーク]-[動的DNS]を開き、ドメインを設定しました（TP-Link IDの作成とログインが必要です）。

次に注意事項２つめ、証明書ですが、発行する前に有効化しちゃったよ…！と思いましたが…この後の手順で証明書の作成があり、そちらには

初めに行われている必要はありません

と記載があるので、そのまま先に進んで大丈夫そうです（実施してしまいましたが、実際動的DNSも後でも良いとは思います）。最後に３つめですが、これは既にグローバルIPアドレスなので問題ありません。

では、続いて先ほどのOpenVPNの画面に戻り、証明書を発行します。


確かに３～４分かかりましたが、無事作成されました。
設定ファイルも出力します。

クライアント側の設定

OpenVPNのサイトにアクセスし、クライアント側にOpenVPNソフトをダウンロードします。

インストールはインストーラに従って簡単に実施できました。インストール後OpenVPN GUIが自動で立ち上がるようで、以下のようなダイアログが出るので、指定された場所に先ほど出力した設定ファイルを配置します。

これで無事完了し、タスクトレイに表示されるアイコンを右クリック→接続で、無事接続ができます。

…と思いきや、エラーになり接続が出来ない…！

Thu May 16 15:58:35 2024 OPTIONS ERROR: failed to negotiate cipher with server. Configure --data-ciphers-fallback if you want to connect to this server.
Thu May 16 15:58:35 2024 ERROR: Failed to apply push options
Thu May 16 15:58:35 2024 Failed to open tun/tap interface

最初の方に

Thu May 16 16:16:41 2024 DEPRECATED OPTION: --cipher set to 'AES-128-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305). OpenVPN ignores --cipher for cipher negotiations.

というい警告も出ています。どうやら、--ciphersでAES-128-CBCが指定されてるけどこれは--data-ciphersには含まれてない、しかも--ciphersは廃止されたオプションだよ、ということのようなので、指定の通り--data-ciphers-fallback を使用、つまり設定ファイルに

data-ciphers-fallback AES-256-CBC

を追加して、今度こそ無事接続できました。

追記

しばらくして急につながらなくなったので、あれ？と思っていろいろ確認したら、設定ファイルが

remote <IPアドレス> <ポート>

になってました。これじゃDNS設定した意味ないですね。ここをFQDNに修正して、無事つながるようになりました。