hiroの長い冒険日記

主にコンピュータ周辺の興味を持った内容を綴ります

Synology DS218+ VPNの設定

当日記ではアフィリエイト広告を利用しています

Synology DS218+の設定も一段落し、RAID1+USB HDDバックアップ、定期的なS.M.A.R.Tテストでデータの安全性も一定レベルまで担保できた。クラウドへバックアップして多重化できれば完璧だが、Amazon Photosの他にどのクラウドが良いか思案中。

これまで、家ではauひかり、外ではモバイルルーター(BiglobeFreetel)を使用している。たまに外のfree wifi(主としてセブンスポットマクドナルドFREE Wi-Fi)を使用する際のセキュリティに不安があるので、自宅内にあるSynology DS218+にVPNサーバの役割も持たせるように設定してみた。

VPN(Virtual Private Network)って何?

japan.norton.com
japan.norton.com
公衆無線LANでは、殆どの場合「暗号化なし」の接続になっている。WebページのSSL化は進んできているがhttps以外の通信がどのように行われているか分からない。ユーザーIDとパスワードを記憶しておくアプリで、暗号化通信されていなければダダ洩れの状態になってしまう。

なので、接続は「暗号化なし」でも、その中に「暗号化したトンネル」を作る事で、公衆無線LANでも安全に通信が出来るようになる。

端末側(iPhone等)の設定以外にVPNのサーバが必要となる。日本国内や海外にもVPN Serverは存在するが、秘匿情報を扱うのに知らない団体のサーバに接続するのも不安があるし、どうせなら自宅に連続動作しているSynology DS218+にその役割を担わせてみようとやってみた。

VPNの種類

ja.vpnmentor.com
幾つかあるプロトコルのうち、Synology DS218+で使用できるのは以下の通り:

VPN Server の設定(Synology ナレッジベース)
PPTPは古いプロトコルで秘匿性に問題ありなので使用しない。

iOS12ではIKEv2、IPsecL2TP(L2TP/IPsec)の3種類が標準で使用できる。OpenVPNは端末側に専用ソフトが必要。

よって、

の二択になる。どちらも事例が豊富だが、とりあえずOpenVPNでやってみる事にした。

Synology DS218+の設定

先ずは local な家内LANで試してみた。上のリンクのOpenVPNの設定の通りにSynology DS218+を設定した。

  • VPN Serverの設定からOpenVPNを有効にして、エクスポート設定ボタンを押すとopenvpn.zipファイルを保存できるので、展開してVpnConfig.ovpnファイルを入手する。何らかの方法でiOSに入れておく(後で使う)。
  • 特権の所で、既に作成しているユーザーのうちVPNを使用するユーザーのみ有効にした。

iPhoneの設定

問題の切り分けの為に、最初に家内LANで接続を確認した。書くと手順は長いが、それほど難しくはない。

  • iOS12の標準ではOpenVPNを使用できないので、App Storeから OpenVPN Connect をインストールする。
  • OpenVPN Connectの初期画面からOVPN Profileを開くと、iTunes SyncかMail.app(こちらはセキュアじゃないと書かれている)で渡す例が書かれている。
  • 家内LANに接続した状態で、OpenVPNに先ほど準備したVpnConfig.ovpnファイルを渡す。
  • importに成功したら、UsernameとPasswordを設定してADDする。
  • VPN Configurations を Add して良いか聞かれるので Allow する。
  • iOSの設定→VPNへ追加する際にApple IDで承認が必要。Touch ID等で承認する。
  • 登録したProfileがDisconnect状態となっているので、スライダーを入れる前に鉛筆マークをタップする。
  • Server Override (Optional)をタップし、https://の後にSynology DS218+のPrivate IP Addressを入力する。
  • 上のSAVEをタップして保存する。
  • スライダーを入れる。左上のwifiマークの右にVPN表示が出たらOK。
  • アプリを動かして、ちゃんと使えるかどうか確認する。

ここまで出来れば、Synology DS218+のOpenVPNサーバを経由してインターネットに接続された状態になる。iOSの設定→VPNでON/OFFできる。
Synology DS218+の VPN Serverのログにも、接続・切断の記録が残っている。

DDNSの設定

家内LANの出口のIP Addressが名前解決されていないとOpenVPNで繋げなさそうなので、Synology のサービスを使ってDDNSを設定した。
Synology DDNS サービスって何?

  • DSMのコントロールパネル、外部アクセス、DDNSタブから追加ボタンを押す。
  • サービスプロバイダにSynologyを選択、テスト接続する。初期設定で使用した mail address で login されていればOK。
  • ホスト名、ドメインは好みで付ける。
  • 外部IP addressは設定済み。(QuickConnectしているから?)
  • OKで反映され、正常になれば終了。nslookup で名前解決出来ているか確認する。

実際にはIP Addressは半固定で、auひかり独特のIP Addressから自動作成したような名前が付いている。これを使用した場合に、何かの拍子にIP Address が変更になった場合に繋げなくなる可能性が高いので、DDNSを利用したほうが良いと考える。

ルーターの設定

私の場合は、auひかりから貸与されているルーター(NEC Aterm)が一番インターネット側なので、そちらでポートマッピングする。

  • UDP 1194を Synology DS218+の固定IP addressに向くように設定 (後で別のポートに変更した)

接続確認

  • iOSOpenVPN connect の Private IP address の代わりに DDNS で設定したホスト名を入れる。
  • ポート番号を間違えなければ、すんなり繋がった(一度間違った^_^;)。

VPN表示も出て、家内LANじゃないと接続できないように設定している DS Photoも使えた。家内LANにも接続できているようだ。

結果

  • 一つ一つ確認、この日記に記録を取りながら実施した為に時間を要したが、比較的スムーズにOpenVPNで接続できた。
  • Synology DDNS を利用して名前解決も設定してみた。ひと昔前には独自ドメインなんて簡単に取れなかったが、今ではこんなに簡単に取得できるとは、良い世の中になったものだ。

このような事が簡単に出来る事からも、Synology DSMの良さが分かるし、DS218+で良かったと思う。

中国国内ではfacebookもLINEも使用できず、非常に不便な思いをした。今回設定したVPNの知識があれば当時ももっと楽しめたのに、と今更ながら思う。逆に中国国内にVPNサーバを置ければ、日本国内から見られない様々なものが見えるようになる。機会があれば試してみたいが、次は何時になる事だろうか。

Synology DS218+ はHardware暗号化持っている為か、OpenVPN使用時にもCPU負荷に変化なかった。やっぱりお勧め。