AC2600で自宅にOpenVPN

Posted by jester Posted on 2021-02-07
Posted in IT全般

自宅のルータを変更して、OpenVPNを構築してみたときの記録です。TP-Linkの公式情報は結構少ないので、少しでも参考になればと思います。

○ 利用ルータ
TP-Link AC2600 (Archer A2600 Pro)  
https://www.tp-link.com/jp/home-networking/wifi-router/archer-a2600-pro/
A10proとは何が違うのかと調べたところ、同じ機種とのことでした。Amazon主販売とする時に商品名が変わっているだけだそうです。今回はヨドバシカメラで買って来ましたので、AC2600の型番です。

○ OpenVPNの設定
基本的にルータのデフォルトを利用しました。

  • UDPやポート、IP/サブネットはそのまま
  • ネットワークは「インターネット+ホーム」
  • 設定詳細は、後述の参考サイトが非常にわかりやすいのでオススメなので、ここではあらためての記載はしません。
  • お試しなので、IPアドレスベースで証明書を作成(DDNS等利用せず)

○ 試したことと確認結果

  • iOS (iPad mini)から単独接続して、宅内NASへ接続できることを確認
  • Windows10pro から単独接続して、宅内NASへ接続できることを確認
  • Windows10pro から単独接続して、インターネット接続して自宅側のグローバルIPとしてブラウジングされていることを確認(ルーティングのデフォルト設定の確認)
  • iOSとWindows10から同時接続して、宅内NASへ接続できることを確認
  • iOSとWindows10から同時接続して、Windows10からネットワーク経由でiOS側へアクセスできることを確認※ Documentsアプリの共有機能を利用。接続時のiOS側のIPは自宅内LANのIPクラス(192.~)のIPが表示されましたので、VPN設定の付与IPクラス(10.~)ではなく自宅内LANのIPクラス(192.~)の方で端末認識されていました。
  • ルータの証明書を再度作成した場合に、以前のconfで接続できるか確認し、接続エラーとなることを確認
  • VPN接続した端末のVPN設定の付与IPクラス(10.~) に対してLAN内の端末からPingは通ったが、iOS側のアプリのファイル共有にはアクセスできなかった。

○ 利用したOpenVPNソフト
後述の参考サイトで紹介されているソフトをそのまま利用しています。Macについては設定ファイルの一部が古い規格で、将来的にTunnelBlickで対応しないかも?という警告出てますが接続は問題ありませんでした。この点は様子見ですね。iOSとWin10からは特に警告もなく問題ありませんでした。Androidは私は単なるテザリング中継で直接VPNは不要なので試していません。

○ 気になって試して確認できた点

  • 1つの証明書で複数同時接続に影響がないか
    → 問題なく2台同時接続できたので大丈夫だと思われる。
  • VPNサーバで、クライアントに付与するIPが範囲指定ではなく、1IP+サブネットだったが問題ないか(DHCPやPPTPは範囲指定)
    → 2台異なるIPアドレスが付与されていた。
  • 自宅内LANのIPクラス(192.~)とVPN設定の付与IPクラス(10.~)が異なるが自宅内のLAN環境へアクセス可能か
    → 自宅内のNASへの接続問題なし。iOS側からVNCでMac、RDPでWin10へのアクセスも確認OK。

○ 気になった点

  • vpnux Client は利用できなかった。
    証明書の追加はできたのだが、ID/PWまたは証明書のキーが不明で接続できなかった。これはOpenVPNの規格ではなく、AC2600側で可能な設定範囲の問題と思われる。
  • 証明書が1種類しか設定できない。
    ユーザごとに証明書設定できないので、全員OKか全員NGになってしまうと思われる。個人利用では気にしなくて良さそうだが、小規模でも事業者での利用では気になる。
  • MacのVPNソフトで警告がでている。
    前述の通りです。ファームウェアのUpdateに期待でしょうか?

○ 今のところの総論

  • ルータ自体は、価格的に見てもコスパが非常に良いと思います。使ってはいませんが、ゲストWiFi機能等もあるのは嬉しい。V6プラスなども対応しているしWiFi6にも対応しているのでお得感高いと思います。
  • ひかり電話との共存がどこまで可能かは不明です。ブリッジモードでは確実でしょうが、ブリッジモードでVPNサーバになれるかなどは試していません。
  • OpenVPNの規格というよりAC2600の制限かと思いますが、できればユーザ毎に設定ファイルを変更できるとか設定ファイル+ID/PWでと制限できると仕事用にも使いやすい気がした。今の段階では急ぎならありだけど、複数社員がいるなら要検討かと思われる。

■ 参考サイト
https://faq.interlink.or.jp/faq2/View/wcDisplayContent.aspx?id=183
ほぼそのまま設定画面やソフトが参考にできると思います。

Amazonサイト

Author: jester