OS X ServerでVPN環境を構築する (2)
ルーターのポート開放とサーバー・クライアントのIPアドレスの設定
/
前回からだいぶ間があいてしまいましたが、いざ設定編。今回はOS X ServerでVPNサーバーを立ち上げる前に必要なルーターのポート開放と、サーバー・クライアントのIPアドレスの設定について。
ここでは「ひかり電話」機能のついたNTT RV-340SE (PDF) における設定方法を解説しますが、他の一般的なルーターでもメニュー画面は違えど同等の機能を搭載しているものと思われます。もしポートの開放機能が無いようであれば残念ながらVPNの使用は出来ません。
VPNは一定にセキュアな接続方法ではありますが、ローカル ネットワークの一部を制限付きで外部に開放する機能となります。使い方や設定を誤るとセキュリティ上の問題が生じる可能性もあることから、万人におすすめが出来る機能ではございません。ここでの解説に従って設定・運用を行った結果生じる、いかなるトラブルにつきましても責任を負えないことをご留意ください。解説中に本来は不要な設定についての言及がある可能性もございます。
また、設定方法についての個別のお問い合わせにもお答えできかねる場合がありますので、あくまで設定方法の一例として参考にしていただければと思います。
サーバーとクライアントのローカルIPアドレスを固定する
通常ローカル ネットワークのIPアドレスはルーターのDHCP機能により自動的にローカルIPアドレスが割り当てられているケースが多いですが、サーバーを立てたり「画面共有」の様にネットワーク内の特定のコンピュータへのアクセスが必要なサービスを利用する場合には、ローカルIPアドレスを固定する必要があります。
DHCPの割当範囲を変更する
ルーターの管理画面より [詳細設定] – [DHCPv4サーバ設定] を開くと、DHCPによって割当を行うローカルIPアドレスの範囲をあらかじめ設定することが可能です。
もしもサーバーとクライアントで 192.168.1.2 〜 192.168.1.11 の範囲のローカルIPアドレスを固定用として確保したいのであれば、DHCPによる自動割当分は以下のようになります。「自動割当分を、固定したいIPアドレスの範囲外とする」というイメージですね。お使いのローカル ネットワークのIPアドレスがたとえば 10.0.1.X など別の形式であったとしても同じ理屈で設定を行ってください。設定後はルーターの再起動もお忘れなく。
またAirMac Expressなどルーターによっては、ローカルIPアドレスをコンピュータのMACアドレスと紐付けることにより「ローカルIPアドレスの予約」が可能な機能を持ったものもあります。それがある場合にはそちらを使ってもかまいません。
サーバーのローカルIPアドレスを固定する
まずはサーバーのローカルIPアドレスを固定しましょう。サーバーのMacにおいて [環境設定] – [ネットワーク] を開いたら「詳細設定」ボタンを選択します。開いたシートの [TCP/IP] タブにてIPv4を「手入力」にしてIPアドレスを割り当てます。指定するIPアドレスは上記1.にて設定した固定用IPアドレスの範囲であれば何でもかまいません。ここでは 192.168.1.2 を割り当てることにします。
入力が出来たら「OK」→「適用」ボタンを押して設定を反映させましょう。この状態でSafariなどブラウザで外部サイトにアクセスできること、(使用しているのであれば)ローカル ネットワーク内の共有ドライブにアクセスできることを確認してください。また、Ethernet・Wi-Fi・Thunderboltなど複数のネットワーク接続を有効にしている場合には、固定IPアドレスを割り当てるもの以外はオフにした方が無難のようです(筆者環境ではこれが原因で画面共有機能が使えないトラブルがありました)。
クライアントのローカルIPアドレスを固定する
続いてローカル ネットワーク内でIPアドレスを固定したい全てのクライアントに対しても同様の設定を行います。「画面共有」などクライアントへのアクセスを必要とするサービスを利用しない場合には、このステップは飛ばしてもかまいません。
サーバーのMacと同様に手入力にてローカルIPアドレスを割り当ててください。もちろん、IPアドレスは各コンピュータで一意のものでなければなりませんので、アドレスが重複することの無いよう注意をしてください。また、どのMacにどのIPアドレスを割り当てたのかも記録しておきましょう。
一点、クライアントのみで追加で必要な設定にDNSのアドレス設定があります。[DNS] タブを開いてプライマリにサーバーのローカルIPアドレスを、セカンダリにルーターのIPアドレスを設定してください。
入力が完了したら「OK」→「適用」ボタンを押して設定を反映し、サーバーの時と同様にネットワークへのアクセスが正常か、複数のローカルIPアドレスを割り当ててしまっていないかを確認してください。
どこでもMy Macをオフに
ローカル ネットワーク内にiCloudの「どこでもMy Mac」を使用しているMacがある場合には、 [環境設定] – [iCloud] パネルより機能をオフにする必要があります。
これはVPNとどこでもMy Macそれぞれが使用するポート (4500, NAT Traversal) がバッティングしているため、どこでもMy Macを使用するとVPNの接続が出来ない可能性があるためです。
ルーターのポート開放
VPNを使用するにあたり、多くのルーターで一般的には初期状態では閉じられているポートを開放する必要があります。
UPnP NAT情報を初期化する
まずはルーターの [メンテナンス] メニューから [UPnP NAT情報消去] を選択し、消去ボタンを押して一度初期化をしてください。これにより、どこでもMy Macに使われていたポートの占有がいったん解除されます。
開放するポートを設定する
[詳細設定] – [静的NAT設定] より開放が必要なポートの設定を行います。
既に設定されているポートが無ければ [エントリ番号] の1番が空いていると思いますのでまずはここをクリックし、次のような要領で項目を入力していきます。[優先順位] については他と被らないようにさえすればどの順番でも構わないはずです。また、[変換対象プロトコル] については1723番のみ「TCP」となりますので注意してください。
必要なポートの一覧は下図の通り。VPNを使う場合には一般的に [500 ISAKMP/IKE] [1701 L2TP] [1723 PPTP] [4500 NAT Traversal] の4つとなります。接続の方式によっては 1701 と 1723 はどちらか一方のみで良い場合もありますが、ここでは両方設定しておくことにします。なお下図では1723ポートが「pptp」に書き変わっていますが、これはRV-340SEルーターの仕様によるものです。
全てのポートの開放設定を入力したら、ルーターを再起動させて設定を反映させてください。
これでやっと、VPNを使うにあたってのローカル ネットワークまわりの事前設定が完了した形です。まだまだ続きますが、次回いつ更新できるか分からないので慌てず最終回を待ってからの設定を行った方がよいかもしれません。。