v6プラス環境でVPNとか宅外アクセスとか頑張った話(後編)
前半で2重ルータだの何だのと話をしましたが、結局我が家の環境ではこの設定を止めました。ではどのような設定にしたかを書きたいと思います。
■ 結局ルータは1つのみ
実はIPv4時代から構成はまったく変えていません。我が家ではOCNの時から、Aterm WG2600HSというルータを使っているのですが、こいつがv6プラスを含むIPv6に元々対応していました。
なので、So-netからルータ借りたのですが、結局は使わず元々のルータを使用し、設定をv6プラスに変更しただけで事足りました。
■ v6プラスでもポート開放は出来る
そもそも2重ルータがどうのこうの、とか話していた理由がVPNで外部アクセスが出来ないとかそういう話だったはずですが、何故やめてしまったのか。
実はv6プラスでも普通にポート開放設定が出来るということが分かったからです。
ただし、v6プラス特有の制約があります。それが「利用可能ポート」に限りがあるということです。NECでは「現在の状態」というボタンを押すと、下の方に利用可能ポートという欄があり、5×3マスに数値がズラッと並んでいます。ここのポートであれば自分が自由に使うことが出来ます。
因みにこの値は割り当てられているIPv6アドレスの一部を使って計算されているらしく、自分の利用可能ポートを調べられるサイトもあります。逆算は出来ないとは思いますが、自分のアドレスの一部を推測される可能性があるので、このポート番号はむやみに大っぴらにはしない方が良いかもしれません。
■ IPSec(PPTP)のポート番号固定問題
さてここで問題になるのは自分の使いたいポートが割り当てられるかどうかと言う問題です。一番分かりやすい例がHTTPの80番やHTTPSの443番がありますが、まあまず割り当てられることはないでしょう。
となると、インターネット側からアクセスするポートが変更出来ることが重要になります。
我が家のVPNはIPSec(PPTP)を使用していたのですが、これは500番と1723番の2つも開放する必要がある上に、このポート番号を変更することが出来ません。
■ IPSec(PPTP)からOpenVPNへ
ではどうするか。
IPSecなんて忘れてしまいましょう!(笑)
無料で使えるVPNにOpenVPNという物があります。OpenVPNであれば、アクセスするポートを好きに指定出来ます。
OpenVPNの面倒な点は、プロファイル情報を作成しなければいけない点とそれをクライアントに渡さなければいけないという点の2点があります。
プロファイル情報作成に関しては、割と最近のソフトであれば自動生成してくれるので、あまり心配はないと思います。うちで動いているSynologyはボタンぽちっで簡単に生成してくれました(vimで頑張ったあの時代は何処へ・・・)
ファイルを渡すのは、まあこんな設定をやろうとしている方はNASやクラウドストレージの1つや2つあると思うので、そんなに大変ではないでしょう。なければ諦めてUSB接続して下さい。
プロファイルで「利用可能ポート」に載っているポート番号を指定してしまえば、あとはIPv4と同じです。ルータのポートマッピング設定をしてあげれば、v6プラスで割り当てられたIPv4アドレス経由で接続することが出来ます。
■ DDNSはIPv4のみ?
我が家ではSynologyのDDNSを使用しています。以前はieserverを使っていましたが、Let's Encriptの枠がなかなか割り当たらないので、Synologyに乗り換えてしまいました。自動更新もNASが自動でやってくれますし。
で、本題はこっちで、v6プラス環境でも問題なくDDNSは使えました。ちょっと怖いなと思うのが、別のホスト名でも同じIPv4アドレスを割り当てられている可能性があるという点ですが、まあそこはポート開放をしている以上、リスクに違いはないので仕方ありません。
因みにこのDDNSのホスト名ですが、どうもIPv6のアドレスも紐付いているみたいです。
という事は、IPv6経由でもこのホスト名でアクセス出来るのでしょうか。
ワカリマセン!
今、私の手元に自宅以外のIPv6ネットワーク契約がないので、確かめようがありません。うちのBiglobeモバイルさんはIPv6非対応のようです。
ただ気になるのが、ここに表示されているアドレスが「DDNS登録を行った」NASのアドレスであるという点です。
うちはNASがVPNサーバも兼務しているので問題ありませんが、DDNS登録を行うデバイスと外部アクセスしたいサーバが異なる場合、接続先のアドレスを明示的に入力しないと接続出来ないかもしれません。
少なくともIPv4ネットワークからは問題なく我が家のVPNサーバに繋がりましたので、IPv6にこだわらない方であれば、この方法だけで目的達成となります。
■ IPv6経由でND Proxyを越えるには
いやいや、自分はIPv6で繋ぐんだというタフな方へ、IPv6で繋ぐにはこうする「のではないかな?」と想像する設定項目だけ提示しておきます。検証する方法がないので、ここから先はあくまで想像です。繋がらなかったらごめんなさい!
先ほども書いた通り、アクセスに使用するIPv6アドレスは「恐らく」接続したいサーバのアドレスだと思います。ここはルータのWAN側アドレスを使うNATとは大きく異なる点だと思います。
また、ルータのND Proxyを通過する為にIPv6パケットフィルタの設定が必要となります。例えば外部からTCP 443番にアクセスする場合は、こんな感じで設定してあげれば良いのではないでしょうか。
たぶんこれでいいはず・・・。宛先IPアドレスはanyでも良かったのですが、このポートへの通信が無闇に流れてきてもイヤなので、あえて宛先指定にしてみました。宛先ポート番号は同じでも変えてもanyでも構わないでしょう。
外部のPing送信サーバ使ってチェックするのも何だか怖いので、IPv6を使えるネットワークを使える機会があったら試して見たいと思います。なので、IPv6で試したいという方は、あくまで自己責任でお願いします!
無いとは思いますが、もしネットワークのプロが読んでいて、「間違ってるよ!」と思った場合はご指摘お願いします。
この記事が気に入ったらサポートをしてみませんか?