外出先からiPhone/Androidを用いて自宅やオフィスのVPNにアクセスし、最低限の出費で自宅・オフィス内のリソースにアクセスする方法をスクリーンショットを用いて懇切丁寧に解説します。
VPN設定完了後に、iPhone/Androidから監視カメラの映像を確認することを目的として書いていますが、出先から自宅にVPN接続して前日のTV録画データを見たい等の要件でも、同様の設定でお使いいただけます。
最終的な構成図は下図の通りで、NURO光(ニューロ光)を導入していることを前提としていますが、おそらくAU光等でも、ホームゲートウェイで同じ設定が出来れば設定できるかと思います。
初めに:VPN経由で自宅の監視カメラ映像を確認したい状況とは?
外出先から自宅・オフィスの状況を確認したい状況は思いつく限りで以下が挙げられます。
- 防犯目的
- 来客・宅配状況の確認
- 子供の遊んでいる・寝ている状況の確認
- ペットの確認
- 要介護のご高齢者宅に設置したカメラの確認(一台だけで済む場合には、格安SIMをセッティングしたLTEモバイルルータと、Amazon Echo showでもTV電話の組み合わせの方が良いと思います。)
NURO光ではVPNを利用できない?⇒出来ます
VPNを設定する知識が必要ですが、L2TPやipsec対応ルータを出荷しているメーカーは、その設定方法や設定例を公開していることが多く、その設定例に従うことで設定可能です。
但し、NURO光は、速度が出る為人気のあるプロバイダなのですが、ルータ機能が内蔵されたゲートウェイを貸し出しており、そのゲートウェイを使う事が必須となります。
ここで問題なのは「VPNルータを他のルータの下に置いてVPNが張れるのか?」です。その問題については、下図の通り、NURO光ホームゲートウェイ(NURO光wi-fiルーター)から、配下のVPNルータにVPN関係の通信を全てフォワードすることで解決できます。
NURO光を押すもう一つの理由
インターネットプロバイダと契約する場合には、「固定IP」か「非固定IP(動的)」かを選択することになりますが、「固定IP」は有料オプション、ないしはビジネス用メニューでのみサポートされていることが一般的です。
・・・なのですが、普通に契約する一般家庭向けのNURO光は、固定IPではないのですが、契約して6年以上経つ現在もいまだ一回もIPが変更されたことはありません。ですので、「半固定IP」と認識してもいいかと考えられます。
VPNを設定するうえで、接続先のIPが変更となると、VPN接続元(iPhone/Android)で接続先サーバを変更する必要があります。自身のWAN側IPアドレスが変更されるたびに、DNSサーバにIPを登録しなおす仕組みDDNS(Dynamic DNS)を設定してもいいのですが、話を簡単にするためにNURO光をお勧めさせていただきました。
UbuntuやCentOSのイメージを1日に何度もDLして、AmazonPrimeVideoを日中時間帯ずっと見つつ、Zoomのビデオ会議をしていても速度規制もされない点もおすすめポイントの一つですね。
具体的な条件
本投稿で構築する環境の前提条件は以下の通りです。
- ニューロ光が導入済み、もしくはこれから導入する予定であること
- L2TPサーバ機能を有するVPNルータを購入済みであること
- ZoneMinderサーバをセットアップ済みである事(VPNを引きたいだけの場合、こちらは無視して構いません)
NURO光の導入について
開通済みであれば先に進んでください。まだ申し込んでいない場合には適宜キャンペーンを用いて申し込みするといいと思います。アナログ固定電話もある場合、NURO光電話もセットで申し込むと電話代が月500円に削減可能です。
序の紹介となりますが、NURO光電話はNURO光テレフォニーアダプターまではLANケーブルなので、LANケーブルさえ伸ばせば、NURO光Wi-Fiルータから離れた場所に電話機を設置することも可能です。(マンションなどの壁面コンセントが1端子しかない場合には、VLAN対応のスイッチを導入すると、電話とデータの通信を1本のLANケーブルで伝送できます)
L2TPサーバ機能を有するVPNルータの購入について
ヤフオクで中古品を購入する事に抵抗が無ければ、ヤフオクで以下製品が5000円以下で購入可能です。仕事で購入する場合には、新品購入が良いかと思います。その場合はRTX830あたりがねらい目でしょうか。
| メーカー | 型番 | 中古価格 | 新品価格 | 備考 |
| YAMAHA(ヤマハ) | RTX810 | 4,000円弱 | 販売終了 | 消費電力少な目 |
| YAMAHA(ヤマハ) | RTX830 | 35,000円前後 | 49,480円 | 消費電力少な目。値段差を考えると、新品で良いかと |
| YAMAHA(ヤマハ) | RTX1200 | 5,000円前後 | 販売終了 | |
| YAMAHA(ヤマハ) | RTX1210 | 60,000円前後 | 79,800円 | 値段差を考えると、新品で良いかと |
| YAMAHA(ヤマハ) | FWX120 | 3,500円前後 | 57,980円 | 消費電力少な目。ヤマハ製品のファイアウォールと言う扱いで、RTX系とはコマンドが微妙に違うため、不人気。但し、現行品にも限らず中古品が安いのでお勧め。ちなみにうちはFWX120です。 |
なお、VPNにはIPsec、L2TP、PPTPの3種類の選択肢がありますが、PPTPのみしかサポートしていないルータは利用しないことを強くお勧めします。
※PPTPを非推奨とする理由は、アップルのPPTP終了が製品/サービスに影響を参照してください。
NURO光Wi-Fiルータの設定について
NURO光Wi-Fiルータは導入時期によって以表の通りバリエーションが多数存在します。どのルータでも設定する内容に大差はないと思いますが、ここでは、HG8045Dの画面を例に解説しています。
| 機種 | 有線LANポート数 | TAポート数 | 無線LAN下り最大通信速度 | 無線LAN規格 |
| ZXHN F660T | 3 | 1 | 450Mbps | IEEE 802.11 a/b/g/n |
| HG8045j | 3 | 1 | 450Mbps | IEEE 802.11 a/b/g/n |
| HG8045D | 3 | 1 | 450Mbps | IEEE 802.11 a/b/g/n |
| ZXHN F660A | 3 | 1 | 1300Mbps | IEEE 802.11 a/b/g/n/ac |
| HG8045Q | 3 | 1 | 1300Mbps | IEEE 802.11 a/b/g/n/ac |
| FG4023B | 3 | 1 | 1300Mbps | IEEE 802.11 a/b/g/n/ac |
| SGP200W | 3 | 1 | 1300Mbps | IEEE 802.11 a/b/g/n/ac |
| NSD-G1000T | 3 | 1 | 最大4800 Mbps | 802.11ax/ac/a/b/g/n |
NURO光 Wi-FiルータのVPN中継設定
NURO光 Wi-Fiルータに対するVPN中継設定は以下のように実施してください。票の下に順番に画像も載せておきます。
| No | 種別 | マッピング名 | 内部ホスト | プロトコル | 内部ポート番号 | 外部ポート番号 |
| ① | カスタム | ipsec | VPNルータのWAN側IP | UDP | 500 – 500 | 500 – 500 |
| ② | カスタム | L2TP-UDP-4500 | VPNルータのWAN側IP | UDP | 4500 – 4500 | 4500 – 4500 |
| ③ | カスタム | L2TP | VPNルータのWAN側IP | UDP | 1701 – 1701 | 1701 – 1701 |
| ④ | カスタム | L2TP-TCP-1723 | VPNルータのWAN側IP | TCP | 1723 – 1723 | 1723 – 1723 |
①ipsec
②L2TP-UDP-4500
③L2TP
④L2TP-TCP-1723
VPNルータ側L2TP設定
ヤマハの「L2TP/IPsecを使用したリモートアクセス : Web GUI設定」(画像を流用させていただきました。)を参考に設定します。
スマホ(iPhone/Android)側でも設定する必要がある項目は以下なので、事前に決めておいてください。①事前共有鍵、③パスワードをスマホで打ち込むのは手間ですので、場合によってはメール等で送ってもいいかと思います。
| 項目 | 設定例 | 備考 |
| ①事前共有鍵 | lckdio!_____0d9cu8cds8A1lc9cdu832ncd##c ※上記は設定例です。必ず変更してください | 出来るだけ複雑かつ長くしてください。 ユーザー毎に事前共有鍵を変更することも可能ですが、L2TPでスマホを接続する場合には、全ユーザー共通の設定値となります。 |
| ②ユーザーID | user1 | ユーザー毎に設定します。複数人いる場合には、user1、user2、user3・・・と設定してください。もちろん、「user1」はあなたの氏名でも構いません。 |
| ③パスワード | id89cd89sCSD83kc))c3Ace__0cddcdsaA34 | 出来るだけ難しくしてください。 |
①かんたん設定を選択
②プロバイダー接続を選択
③新規をクリック
④NURO光Wi-FiルータとVPNルータのLAN2インターフェースををLANケーブルで接続してください。そのうえで、LAN2を選択して次へ。
⑤次へ
⑥VPNルータがインターネット直下(ONU直下)の場合には、PPPoE接続を選択するのですが、今回はNURO光Wi-Fiルータを経由しますので、「DHCP、または固定IPアドレスによる接続」を選択します。次へ。
⑦DNSサーバのプライマリーDNSサーバーアドレスには「8.8.8.8」を入れて次へを押してください。(NURO光のDNSサーバアドレスを指定してもいいのですが、私の環境下ではNURO光のDNSサーバをLAN配下のPCに配るとインターネット接続が不安定になる為、使っていません)
⑧フィルターの設定をして次へ。ここでは「すべてのアプリケーションの利用を許可する」を選択しています。
⑨設定内容を確認して、問題なければ設定を確定してください。
⑩NURO光との接続設定が完了しました。
⑪次に、かんたん設定からVPNを選択します。
⑫リモートアクセスをクリックします。
⑬新規をクリックします。
⑭VPN(L2TP/IPsec)の設定をします。
「①事前共有鍵」は、ユーザーID、パスワードと共に後でスマホ(iPhone/Android)にも設定するセキュリティ上重要な鍵です。この事前共有鍵は、VPNを設定する人以外には教えないようにすることで、VPN接続する人を制限できます。
| 認証鍵 | ①事前共有鍵(例:lckdio!_____0d9cu8cds8A1lc9cdu832ncd##c) |
|---|---|
| 認証アルゴリズム | HMAC-SHA |
| 暗号アルゴリズム | AES-CBC |
| PPP認証方式 | CHAPもしくはPAP |
⑮ユーザーの登録をします。
下表の「②ユーザーID」と「③パスワード」を必要なユーザー数分登録します。念のために書いておきますが、「③パスワード」はユーザー毎に違うものにしてください。
| 項目 | 設定例 | 備考 |
| ②ユーザーID | user1 | ユーザー毎に設定します。複数人いる場合には、user1、user2、user3・・・と設定してください。もちろん、「user1」はあなたの氏名でも構いません。 |
| ③パスワード | id89cd89sCSD83kc))c3Ace__0cddcdsaA34 | 出来るだけ難しくしてください。 |
⑯入力内容に問題が無ければ設定を確定します。
⑰以上で、VPNルータの設定完了です。
iPhone/AndroidのVPN設定
ここから、iPhone/AndroidのVPN設定を行います。
下準備:必要な情報の再確認
最初に、スマホ(iPhone/Android)に設定するべき情報の一つである「④NURO光Wi-FiルータのWAN側IPアドレス」を以下画面から確認します。下図の赤枠部分(IPアドレス)ですね。
ここで大事なのはVPNルータの設定手順中で設定した下表の値です。「②ユーザーID」と、「④NURO光Wi-FiルータのWAN側IPアドレス」は、手打ちでも入力可能なはずですので、「①事前共有鍵」「③パスワード」のみを、メール等でスマホに送り、コピペで入力するのが良いかと思います。
| 項目 | 設定例 | 備考 |
| ①事前共有鍵 | lckdio!_____0d9cu8cds8A1lc9cdu832ncd##c ※上記は設定例です。必ず変更してください | 出来るだけ複雑かつ長くしてください。 ユーザー毎に事前共有鍵を変更することも可能ですが、L2TPでスマホを接続する場合には、全ユーザー共通の設定値となります。 |
| ②ユーザーID | user1 | ユーザー毎に設定します。複数人いる場合には、user1、user2、user3・・・と設定してください。もちろん、「user1」はあなたの氏名でも構いません。 |
| ③パスワード | id89cd89sCSD83kc))c3Ace__0cddcdsaA34 | 出来るだけ難しくしてください。 |
| ④NURO光Wi-FiルータのWAN側IPアドレス | xxx.xxx.xxx.xxx |
iPhoneのVPN(L2TP)設定
設定をタップします。
一般をタップします。
VPNをタップします。
タイプにL2TPを選択します。
設定画面に、下表の値を設定します。
| 項目名 | 対応する項目 | 設定例 | 備考 |
| 説明 | – | 自宅 | ただの識別名称です。何でもいいです。自宅でも職場でも。 |
| サーバ | ④NURO光Wi-FiルータのWAN側IPアドレス | xxx.xxx.xxx.xxx | サーバのグローバルIPアドレス |
| アカウント | ②ユーザーID | user1 | ユーザー毎に設定します。複数人いる場合には、user1、user2、user3・・・と設定してください。もちろん、「user1」はあなたの氏名でも構いません。 |
| パスワード | ③パスワード | id89cd89sCSD83kc))c3Ace__0cddcdsaA34 | 出来るだけ難しくしてください。 |
| シークレット | ①事前共有鍵 | lckdio!_____0d9cu8cds8A1lc9cdu832ncd##c ※上記は設定例です。必ず変更してください | 出来るだけ複雑かつ長くしてください。 ユーザー毎に事前共有鍵を変更することも可能ですが、L2TPでスマホを接続する場合には、全ユーザー共通の設定値となります。 |
| 全ての信号を送信 | – | OFF | ONにすると、何でもかんでもVPN側に送信します。 その場合、VPNを有効化している間はスマホはインターネットを見れません(メールやLineも出来なくなります)。 なので、OFFにしておいた方が無難です。 |
設定が完了したら、状況が未接続になっているので、タップして接続してみます。
一点、注意事項ですが、VPN先の無線LANに接続したままVPN接続すると、上手くいきません(当たり前ですよね。最初からVPN接続先のLANにいるのですから)。ですので、スマホがWifi接続されている場合には、Wifiを無効にして外出先同様、キャリア回線を利用してVPNを有効にしてください。
下図の通り、接続済みとなれば設定完了です。
ZoneMinderにVPN経由でアクセスする
ブラウザを起動し、ZoneMinderサーバを以下のように指定します。
http://zoneminderサーバ/zm
VPN経由であっても、宅内同様に以下のようにコンソール画面が確認できます。
録画映像画面は以下の通り。
最後に
NTTのフレッツ光の場合には、ONU直下に自分でチョイスしたお好きなルータを置けたのですが、最近速度・価格面で一押しのNURO光(ニューロ光)やAU光はONUとルータがセットになったものしか提供されない為、VPN接続等を利用する場合の選択肢が狭まって困ります。
しかし、実際のところ上位のNURO光(ニューロ光)のWi-Fiルータ側で適切にフォワーディングしてやることで、VPN接続をすることが出来ます。どの設定項目をどう使えばいいのか、一気通貫でまとまっているところが無かったので、今回その紹介記事を書いてみました。
VPNルータはYAMAHA製(すいません。設定画面のスクリーンショットを拝借しました)が一押しだったため、YAMAHA製品の設定例を載せました。YAMAHA製品はコマンドラインからもきめ細かい設定が出来る為、万が一、VPNがつながらなくても何とか設定で回避できる事があります。
また、企業で導入する際にはSCSKさんでCarePlusと言うパッケージを用意してくださっています。先出センドバックで年間1万円以下なので、企業のユーザーさんで「壊れた時はどうするの?」と言う方は、CarePlusをあわせて導入すればいいかと思います。なお、CarePlusは新規購入したルータのシリアル番号等を添えて申し込むため、必要ならSCSKさんのサイトで確認してみてください。(注:私はSCSKさんの関係者ではありません。)