NTTフレッツ光からauひかりに乗り換えたので以下を参考に我が家でも再度VPN環境(PPTP)を再構築してみました。非常に助かりました。
①川向こうからのブログ発信 auひかりでBuffaloのPPTPサーバー機能を運用するには、
②auひかり(ひかりちゅら)でBuffaloのPPTPサーバー機能を利用する - 無能プログラマの開発日誌
NTTと何が違うかっていうとauひかりはONUの他に専用ルータの使用が必須になります。 なので以下の【例】の様になるのでPPTPサーバ機能が使えなくなると思ってたのですが上記サイトの回避方法がある事を知ったので設定してみました。
【例】
NTT:[光回線]--[ONU]--[Baffalo製ルーター(ルーターモード)]--[端末]
au光:[光回線]--[ONU]--[専用ルーター]--[Baffalo製ルーター(アクセスポイント)]--[端末]
2014/8/25追記:
ちなみにPPTP機能がONになってると某巨大掲示板に書き込めなくなる現象が発生しますので、ご了承下さい。某掲示板運営側が昨年8月頃に仕様を変更したためです。
2015/7追記:
私が長期出張(10ヶ月間)の間にまた仕様が変わったようで、現在は書き込めます。
2017/1/10追記:
世界的にはもう脱PPTPですかね。Apple社もiOS10でPPTP非対応になってます。つまりiPhone7以降では標準PPTP-VPNが使えません。もうL2TP、IPsec対応機器へ移行すべき時期です。
■VPNとは
VPNとは 〔 バーチャルプライベートネットワーク 〕 〔 仮想プライベートネットワーク 〕 - 意味/解説/説明/定義 : IT用語辞典
VPNにも複数種類があり代表的なプロコトルにPPTP、L2TP、IPsec、L2TP+IPSecなんてものがあります。
ただ一般向けのルーターで上記プロコトルに対応しているものは少なく、あってもPPTPが主流です。複数のプロコトル対応品の業務用ルーターの価格が10万超えは当たり前です。(とはいえ法人向けリース品の中古を1/10以下の価格でオークションで手に入れることも可能です。設定の多くはコマンド形式なのでとっつきにくいですが・・・)
■注意
PPTPで使われている一番ポピュラーな認証プロコトル「MS-CHAPv2」は2014年現在で既にクラックするツールが存在しています。
つまり認証してるところ(暗号化されたパスワードがやりとりされるところ)の通信を傍受されたらID、パスワードを探し出して盗むことが可能ってことです。
無料でネットできる場所(自分が知らないルータ等の機器を経由する通信)でPPTP-VPNを使わないで下さい。
■今回の構築条件
・標題の通りauひかり契約である。(プロバイダは特に関係無いかな・・・)
・PPTPサーバー機能付きBuffalo製ルーターを持ってる。ハイエンド機なら大抵付いていると思います。
■本来は必要なこと、その他
・VPN接続ではグローバルIPアドレスの固定、もしくはダイナミックDNS(DDNS)の契約が本来は必要なんですが、auひかり(IP電話付)は事実上グローバルIP固定(注意:特に明記してないので突然IPが変わる可能性あり)なので上記契約及びルータへのDDNS設定が不要です。
2015/8/23追記
今のところ1年経ってもグローバルIPは変わってません。IP電話だからかな・・・?
・今回はDDNS設定しませんが、Baffalo製ルーターのDDNS設定は有料(年間2000~3000円前後)のものしか設定できません。突然使えなくなる可能性を避けたい人はDDNSの設定をしておいた方が良いです。
■我が家の通信機器たちとネットワーク図
・ホームゲートウェイ(auひかりレンタル品):NEC製 Aterm BL900HW
・無線ルーター親機・中継機:Buffalo製 WZR-1750DHP ×2台
・LAN端子用無線子機:WLI-TX4-AG300N
本来ならWindowsサーバをホームゲートウェイかルーター親機に接続するところですが、家の構造の関係上こんな環境になってます。
■ホームゲートウェイ(HGW)の設定
私はHGWのIPアドレスを変更しましたが、確か192.168.0.1をブラウザ上で入力すれば管理コンソール画面に進めます。操作マニュアルにもホームゲートウェイの初期設定IPが記載されているので確認して下さい。
※無線を複数飛ばしまくるのはセキュリティ的にも速度的にも良くないので無線機能はOFFにしてます。
①管理コンソール画面の左メニューの[▶詳細設定]→[▶LAN側設定]
・IPアドレス固定化(初期値で良い)
・ネットマスク(初期値で良い)
└ビット指定24 = 255.255.255.0になります。
・DHCPサーバ機能は未使用、チェックしない。
└DHCPサーバはBaffaloルータになります。
②管理コンソール画面の左メニューの[▶詳細設定]→[▶ポートマッピング設定]
PPTPの通信ではTCPの1723番ポート、IPプロコトルの47番(GRE)を使用します。優先度順があるので以下の優先度で設定して下さい。
(1)優先度1
LAN側ホスト[BaffaloルータのIPアドレス]
プロコトル[TCP] プロコトル番号[なし]
ポート番号[1723]-[1723]
(2)優先度2
LAN側ホスト[BaffaloルータのIPアドレス]
プロコトル[その他] プロコトル番号[47]
ポート番号[入力不可]-[入力不可]
■Buffaloルーターの設定
エアステーション設定ツールからルータを探して下さい。
①ルータモードをON(自動ではなくONです)
ルーターモードでないとPPTPサーバ機能は使用できません。ただしHGWからのLANケーブルはWANポートは使用せず、LANポートに挿してください。内蔵のスイッチングハブで通信可能です。
(1)[LAN側IPアドレス]はHGWのIPアドレスを基準(IPアドレス第3位まで)に別のセグメントで指定してください。例えばHGW(192.168.0.1)であればルーターは(192.168.0.2以降)を設定して下さい。
(2)[DHCPサーバ機能]をON
(3)[割り当てIPアドレス]はHGWやBaffaloルーターのIPアドレスと重ならない所から指定して下さい。
(4)DHCPサーバ設定(拡張設定)から[デフォルトゲートウェイの通知]、[DNSサーバの通知]はHGWのIPアドレスを指定して下さい。
③WAN側のダミー設定。PPTPサーバ機能を動作させるためルーターモードONにしてますが、実際は使いません。(確か)エラーが出るのでダミー設定だけしておきます。
(1)[デフォルトゲートウェイ]、[DNSサーバアドレス]はHGWのIPアドレスを設定しておけば良いです。
④PPTPサーバ機能をON
(1)[認証方式]は[MS-CHAPv2認証]
(3)[PPTP接続ユーザーの編集]からユーザーの作成
└このユーザーをPPTP-VPNを使用するクライアント側で使用します。
以上でサーバー側の設定は完了です。PPTP-VPNは設定が簡単なんですよね。
法人向けルーターはコマンドで設定するものが多く、全くの素人にはとっつきにくい物となってます。割と最近出た業務用ルータにもGUIがありますが、なんせ価格がなぁ・・・という感じです。
------2017年追記----------------------------------------------------------------
今現在は上記環境から引っ越してしまってます。現在はルータの旧式化したPPTP-VPN機能は利用せずRaspberry Pi 3にインストールしたSoftEtherでセキュアなソフトウェアVPNへ移行済みです。
