OCNバーチャルコネクトでSynology NAS を使ってVPN自宅サーバ設定する。
前回 Wi-FIルータをApple Extreme+Expressの 802.11acのWi-Fi5から802.11axのWi-Fi6に乗り換えました。設定も簡単でさくっと設定できたのは前回のお話。
以前はどうなっていたかというと
こんな構成になっていました。昨年の投稿した以下の状態でVPNを実現していました。
Synology NAS V6プラス環境下でVPN設定 - SHOZOS’s diary
この記事にも書いた通り、プロバイダ側でV6プラスを設定するとHGWはほぼ何もできない状態でIPoEの環境が簡単に手に入りますが、通常の方法では宅内の HGWの機能であるVPNサーバーも使えなくなってしまいます。そのため宅内に別のVPNサーバーを立てていました。
で、今回OCNバーチャルコネクト を使うにあたってその機能を持っているWi-Fiルータを新規導入しました。その構成が下の通りです。
新しく導入した、NEC Aterm WX-600HPにルータにしてOCNバーチャルコネクトにして接続します。この時 HGWとネットワークセグメントは異なります。[aa/bb] 192.168.bb.xxがLAN側でここに、PCやNASなどのネットワーク機器がぶら下がります。
さてここで前回同様 Synology NASのVPN機能を使ってOpen Vpnサーバーを立ち上ようと思ったところ・・・・ 『つながらない』 ・・・・・・・・・・・
VPN接続が外部からできなくなってしまいました。OCNバーチャルコネクトの利用できるポートは確認済みです。以前は Synology NAS V6プラス環境下でVPN設定 - SHOZOS’s diary でPR-500MI HGW画面から確認していましたが今回はWX-6000HPの設定画面で確認できます。Aterm WX-6000HP クイック設定Webから
現在の状態(OCNバーチャルコネクト)
利用可能ポート
で利用できるポートが確認できるので、この中から利用できるポートを選んで設定しているので問題ないはずでした。 しかしつながらない なぜだ!?
HGWの設定は IPv4 PPPoE もIPv6 PPPoEも設定はしてなくともWX-6000HPが賄うのでここの設定は無関係だろう。 念のために PPPoE の「接続先設定」と「静的ポリシールーティング設定」もしてみたが改善しない。やはりHGWは無関係か?
WX-6000HP側かSynlogyのNASか?まずは、WX-6000HPを探ってみると
うん? UPnP設定がグレーアウトされている?!
設定できない・・・ ということでルータ側に手動で設定する必要がありそう。
Aterm WX-6000HPの設定で [ホーム]-[詳細設定]-[ポートマッピング設定] から
LAN側ホストにSynology NASのアドレス、プロトコルは今回Open Vpnを仕掛けているのでUDP(Synology NASの設定と合わせます)、変換対象ポートと、宛先ポートは利用可能な調べたポート番号でいずれも同じとしました。必要に応じてポート変換してもいいと思います。
これに加えて Atermの設定
IPv4パケットフィルタ設定(OCNバーチャルコネクト)エントリ一覧
- 優先度
- 種別:通過
- 方向:In
- プロトコル:UDP
- 送信元IPアドレス;接続元が決まっていれば固定がいいです。そうでなければ"any"
- 送信元ポート番号:Vpnの利用ポート番号
- 宛先IPアドレス:"アドレス指定”+"Synology NAS(VPN)のIPアドレス/サブネットマスク"
- 宛先ポート番号:ここでは送信元と同じにしました。
と一通りの設定が完了したつもりになって、これでOKのはずです・・・・・・
が、しかしまだつながらない。なぜだ??!?!?
Open Vpnのクライアント側 Logを見ると、Refused ? ここから結構悩みました。今一度立ち戻ってアチコチの参考になる記事を探しまくりました。ばっちり一致したのはありませんでしたが、参考になる記事を見つけました。
この記事は、以前の記事 IPV6オプジョン - SHOZOS’s diary で書いた通り本当は、このSynology RT2600acか MR2000acが欲しかった機種なのです。
この記事内に ”SynologyにOpenVPNを設定する”項目がありSynologyのルータでOpen Vpnを仕掛けるのですが、基本は SynlogyのNAS内にあるVpn設定画面と同じです。この内容を追ってみると、”VPNの設定をすると、ポートの解放が自動的に追加される”
おっつ?! ファイアウォールの設定??? これか?!
ってことで NAS側を確認 このルータ記事だと
[ネットワークセンター]→[セキュリティ]→[ファイアウォール]
[コントロールパネル]→[セキュリティ]→[ファイアウォール]
に設定が見つかります。手動で
[ファイアウォールプロファイル]→[規則の編集]
で設定します。
ここから [作成]を選択して追加します。(この画面は追加済みです)
作成方法は次の画面で [ポート]-[組み込みアプリケーションの一覧から選択]-[選択] からプロトコルを [VPN Server (Open Vpp) ] を有効化してOKとします。
ここで見ると既にOpen Vpnで設定したUDPポート番号になっているではないですか!ここまでやってくれるなら、こいつも設定してくれればいいのにと思いますが、ファイアウォールの設定ですから明示的な作業があっての安全性ということでしょう。
これで全ての設定が終わったはず・・・??でした・ クライアント側から接続すると今度はサーバータイムアウトでつながらない・・・
この辺りで力尽きそうになりました。
これ買えばなんとかなるのか・・と散財の神様からのささやきが聞こえましたがなんとか振り切って
最後の希望、システム再起動です!
NASを再起動したところ
来たぁ〜!!!!!つながりました。
長い道のりでした、余計な設定も試したりして結局、土日平日含めて4、5日かかってしまいましたが、なんとか設定完了です。手順のみ箇条書きしておくと
- NAS側のOpenVpnの設定
- Aterm WX-6000HPのポート マッピング設定
- Aterm WX-6000HPのIPv4パケットフィルタ設定
- NAS側のセキュリティ、ファイアウォール設定で規則の編集
- (そして)NASの再起動
ということで無事設定完了です。詳しい方ならあたり前かもしれませんが、結構大変でしたが勉強になりました。