カフェやショッピングセンターなどで利用できる公衆wifiを安全に使うために、自宅にあるSynologyNASにVPN(Virtual Private Natework)サーバーを導入します。
VPN Serverを提供しているサービスは複数(NordVPNやExpressVPN)ありますが、安定したVPN Serverは有料であることが多いです。一方で、SynologyNASを利用すれば無料で構築できます。
今回は、OpenVPNを利用してフルトンネル式のVPN接続を構築します。
※事前にDDNSの設定が必要なので、DDNSを設定していない場合は下記の記事を参考に設定してください。
DSM上でOpenVPN用のユーザーを作成
セキュリティの観点から、OpenVPN用のユーザをDSM上で作成します。このユーザには最低限の権限しか与えないようにします。
DSMにログインして、「コントロールパネル」→「ユーザ」に移動して、OpenVPN用のユーザを作成します。ユーザを作成するときには、アプリケーションの権限を与えないようにします。
VPN Serverパッケージをインストール
DSM上からパッケージセンターをひらき、「VPN Server」と検索します。Synology社が公式で公開しているパッケージがあるので、インストールしましょう。
VPN Serverの設定と設定ファイルのエクスポート
OpenVPN接続するために必要な設定を行っていきます。
まず、VPN Serverアプリケーションを開き、「全般設定」タブに移動し、「新しく追加したローカルユーザにVPN権を与える」のチェックボックスをオフにします。
次に、「特権」タブに移動して、先に作成したOpenVPN用のユーザにのみ、OpenVPNの権限を与えます。下記の例ではopenvpnユーザにのみOpenVPNの権限を与えています。
次に、「OpenVPN」タブに移動して、下記の通り設定していきます。基本的にデフォルトの設定値でよいですが、ポート番号は変更しておいたほうが良いかもしれません。
また、「クライアントにサーバーのLANにアクセスさせる」にチェックしてください。これにチェックを入れていないと、フルトンネル式の通信になりません。
設定値を変更したら、「適用」ボタンを押して、「エクスポート設定」ボタンをクリックしてください。設定ファイルを含むZipファイルがダウンロードされます。
ルーターでポートフォワーディングの設定を行う
ここは、各自が利用しているルーターごとに画面が異なります。上記で設定したポートに対して、SynologyNASにフォワーディングするように設定してください。
下記の記事に設定の例があるので、ポートフォワーディングの設定がよくわからない方は、下記の記事の該当部分を読んでみてください。
OpenVPNの設定ファイルを編集する
DSMからダウンロードしたVPNConfig.ovpnファイルを編集して、SynologyNASを通したフルトンネル式のVPN接続を実現させます。変更は合計三か所になります。
SynologyNASのドメイン名の設定
4行目のYOUR_SERVER_IPに、DDNSのホスト名を指定します。ホスト名の後ろは、自分で設定したポート番号になります。
BEFORE
1 dev tun
2 tls-client
3
4 remote YOUR_SERVER_IP 1195 <-- ココ
AFTER
1 dev tun
2 tls-client
3
4 remote <your_ddns_domain>.synology.me 1195 <-- ココ
接続形式をフルトンネル式へ
フルトンネル式のVPN接続をするために、redirect-gateway def1のコメントアウトを外します。
BEFORE
14 # If redirect-gateway is enabled, the client will redirect it's
15 # default network gateway through the VPN.
16 # It means the VPN connection will firstly connect to the VPN Server
17 # and then to the internet.
18 # (Please refer to the manual of OpenVPN for more information.)
19
20 # redirect-gateway def1 <-- ココ
AFTER
14 # If redirect-gateway is enabled, the client will redirect it's
15 # default network gateway through the VPN.
16 # It means the VPN connection will firstly connect to the VPN Server
17 # and then to the internet.
18 # (Please refer to the manual of OpenVPN for more information.)
19
20 redirect-gateway def1 <-- ココ
DHCPサーバの指定
自分は、DHCPサーバはルーターが提供しているものを利用しているので、デフォルトゲートウェイ(192.168.1.1)を指定しています。もし、自前でDHCPサーバを運用している場合、そちらを指定してください。
BEFORE
22 # dhcp-option DNS: To set primary domain name server address.
23 # Repeat this option to set secondary DNS server addresses.
24
25 #dhcp-option DNS DNS_IP_ADDRESS <-- ココ
AFTER
22 # dhcp-option DNS: To set primary domain name server address.
23 # Repeat this option to set secondary DNS server addresses.
24
25 dhcp-option DNS 192.168.1.1 <-- ココ
OpenVPN GUIのインストール
OpenVPNの公式サイトからクライアントツールをインストールします。各自の環境にあったバージョンをダウンロードしてください。
ダウンロードサイト:http://openvpn.net/index.php/open-source/downloads.html
VPNの接続
インストールしたOpenVPNアプリケーションを開いて、編集したVPNconfig.ovpnをインポートします。DSM上で作成したOpenVPN用のユーザ名とパスワードでVPN接続ができれば、VPN接続は完了です。
LAN外からVPN接続を行い、tracerouteコマンドなどで、通信が自宅のLANを経由していることを確認しましょう。
まとめ
この記事では、SynologyNASでフルトンネル式のOpenVPN接続を行う方法を紹介しました。SynologyNASさえ持っていれば、無料でプライベートなVPNサーバーを簡単に構築できるので、非常におすすめです。
公衆wifiを使うことがあり、セキュリティを強化したい方はぜひ設定を行ってみてください。
ポチップ
ポチップ
