Synology NAS(DiskStation DS223j)でVPNServerを稼働させ、OpenVPNを利用してモバイル端末から利用する。

仮想プライベートネットワーク

自宅に設置したSynology DS223j(N​​AS)にVPNサーバーを導入することで、モバイル端末から安全にアクセスできるようになります。
VPNを利用することで、自宅のSynology DS223j(N​​AS)とモバイル端末がある仮想専用回線(トンネル)が作成され、P2P(Peer-to-Peer)接続による通信が可能になります。

VPN(Virtual Private Network)は、自宅のインターネット回線を介してNASとモバイル端末間で認証を行い、PPTP、L2TP、OpenVPNなどのトンネリング技術を使用して暗号化された仮想専用線を構築します。
この仕組みにより、安全なプライベート通信環境が実現します。
本文は、OpenVPNでの記事です。

Synology DS223jの設定と運用

NASへのアクセスは、自宅のネットワークではローカル接続を、外出時はVPN接続を利用しています。
VPN通信は暗号化されているため、NASへの接続にはHTTPSの設定は行っていません。
NASのファイルシステムに外部からアクセスできるのは、VPN接続時のみとなっております。

なお、Synology の「Quick Connect」機能は利用していませんが、今後の運用状況に応じて設定を変更することが可能です

VPNServerインストール
  • DSMにログインして、”パッケージセンター”アイコンをクリックして開きます。
  • ”VPN Server”のパッケージをみつけアイコンの”インストール”をクリックします。
  • インストールが完了したら、アイコンの”実行”をクリックします。
  • VPNServerのインストールは完了です。
  • ※インストールされているパッケージの確認
    ” パッケージセンター”の左側メニューの”インストール完了”を開くと確認ができます。
VPNServerの設定
  • ”VPNserver”アイコンの”開く”をクリックします。
     ”VPN Server”の設定画面が開きます
  • 左側メニューから”OpenVPN”を選択します。
  • ”OpenVPN”の設定

    ・☑ OpenVPN サーバーを有効にする
    ⇒ チェックを付けます。
    ・ダイナミックIPアドレス:10.8.0.1
    ⇒ デフォルトで良いです。
    ・最大接続数:10
    ⇒ ”5”又は”10”を選択します。
    ・アカウントの最大接続数:3
    ⇒ VPNを利用する端末の台数
    ・ポート番号:1194
    ⇒ ポート番号は変更することを推奨します。
    ・プロトコル:UDP
    ・暗号化:AES-256-CBC
    ⇒ 十分に暗号化されています。
    ・認証:SHA512
    ⇒ 通常設定で十分です。
    ・Mssfixオプション値:1450
    ⇒ デフォルトで良いです。
    ・☑ VPNリンクで圧縮を有効にする
    ⇒ チェックを付けます。
    ・☑ クライアントにサーバのLANにアクセスさせる
    ⇒ サーバのLANにアクセスできます。
    ・□ TLS authキー認証
    ⇒ チェックはしない。
    ・□ サーバーCNを認証
    ⇒ チェックはしない。
    ・□ IPv6サーバモードを有効
    ⇒ 使わないならチェックはしていません。

    ※ ポート番号はデフォルトから変更する事を推奨します。
    ※ □クライアントにサーバーのLANにアクセスさせる
    アクセスさせない場合はチェックを外して下さい。
    ※ IPv6サーバーモードを利用するならチェックを入れて下さい。

    設定が完了したら”適用”ボタンを押します。
  • 左側メニューから”特権”を選択します。
  • ”特権”の設定
    ・ユーザー名一覧が表示されます。
    ⇒ 特権を与えたユーザー名の”OpenVPNに☑チェック”を入れます。

    設定が完了したら”適用”ボタンを押します。
  • 左側メニューから”全般設定”を選択します。
  • ”全般設定”の設定
    ネットワーク インターフェイス:LAN(192.168.0.xxx)
     ⇒ NASに設定したLAN側IPアドレスを選択します。
    ・アカウント タイプ:ローカル ユーザー
    ・□ 新しく追加したローカル ユーザーにVLAN権を与える
     ⇒ チェックを外します。
    ・自動ブロック:有効(”自動ブロックの設定)

    設定が完了したら”適用”ボタンを押します。
  • <補足>”自動ブロックの設定”について
    自動ブロックの設定”の文字をクリックし保護ページを開きます。
    ☑ 自動ブロックを有効にする
    ⇒ ☑チェックを付けます。
    ログイン施行回数:
    分以内:
    □ ブロックの有効期限を有効にする
    ⇒ 有効にするなら☑を付けて解除の日数を設定します。
    サービス拒否(DoS)保護
    ☑ Dos保護を有効にする
    ⇒ ☑チェックを付けます。

    設定が完了したら”適用”ボタンを押します。
DDNS (Dynamic Domain Name System)の設定

DDNSとは

プロバイダーからホームゲートウェイやルータに割り当てられるIPアドレスは、固定IPアドレス契約でない限り、電源断など接続が切断されるたびに変化します。そのため、外部からこのデバイスにアクセスするには、毎回変更後のIPアドレスに接続し直す必要があります。

一般的に、インターネット上のデバイスは、覚えやすいホスト名でアクセスされます。固定IPアドレスとホスト名は一対一で対応しており、ホスト名でアクセスすると、常に同じIPアドレスにたどり着くことができます。

しかし、動的に変化するIPアドレスを持つデバイスに、常に同じホスト名でアクセスできるようにする仕組みがDDNSです。

DDNSは、IPアドレスが変更されるたびに、その新しいIPアドレスと事前に登録されたホスト名を自動的に紐づけ直すことで、外部から見たときのアクセス先を常に一定に保つ事ができます。

DDNSの設定

  • ”DSM”にログインして”コントロールパネル”を開きます。
  • ”コントロールパネル”の左メニューから”外部アクセス”を選択します。
  • ”DDNS”タブを選択し、”追加”ボタンを押します。
    ・サービス プロバイダー:Synology
    ⇒ Synologyを利用します。
    ・ホスト名:〇〇〇.DSCloud.biz
    ⇒ 〇〇〇はサブドメイン名です。利用されていない名前なら登録できます。
    ⇒ DSCloud.bizは、他のドメイン名も選択があるので好きなドメインを選択してください。
    ・ユーザー名/電子メール:
    ・パスワード/キー:
    ⇒ Synology アカウント
    ・外部アドレス(IPV4):自動(現在使用してる外部アドレスが表示されています)
    ・ステータス: テスト
    ⇒ テストを実施して正常である事を確認して下さい。
    ・☑ Let’s Encryptからの証明書を取得して、デフォルトの証明書として統合する
    ⇒ ☑チェックを付けます。
    ⇒ 証明書を登録します。
    ・☑ 有効 Heatbiat
    ⇒ ☑チェックを付けます。

    OKで完了です。
  • ”コントロールパネル”の左メニューから”セキュリティ”を選択します。
    ”証明書”タブを選択します。
    ⇒ デフォルトの証明書がSynology DDNS Certificateになっている事を確認します。
ホームゲートウェイ(RX-600MI)の設定

 OpenVPNを利用するには、ルータに設定が必要となります。
 ”静的IPマスカレード設定”で行います。

 配信済事業者ソフトウエアにログイン
 

  • Webブラウザに「192.168.1.1:8888/t」と入力します。
    ホームゲートウエイのLAN側のIPアドレスです。
  • 表示される画面から「IPoE IPv4設定」を選択します。
    IPoE IPv4設定」のメニュー画面が表示されます。
  • 左側メニューの”静的IPマスカード設定”を選択します。
    ユーザ名”(user)と”パスワード”を入力してログインします。
  • ”静的IPマスカード設定”が開くので、右側の”編集”ボタンを押します。
    ・対象プロトコル ⇒ ”UDP”を選択します。
    ・公開対象ポート ⇒ ”1194” ※デフォルトの1194から変更する事を推奨します。
    ・LAN側IPアドレス ⇒ 192.168.1.xxx ※Synology DS223j NASのアドレスを指定します。
    ・LAN宛先ポート ⇒ ”1194”

    ”設定”ボタンで完了です。
  • ボート番号を変更する場合は、表示されている「利用可能ポート」の範囲で設定ができます。
  • 配信済事業者ソフトウエアで
    ・高度な設定で【IPv4通信設定】をステータス ⇒ ”無効”(デフォルトは”有効”)にされている方の設定です。
  • Webブラウザに「「192.168.1.1」と入力します。
    ホームゲートウエイのLAN側のIPアドレスです。
  • ”ユーザ名”(user)と”パスワード”を入力してログインします。
  • 左側メニューの”詳細設定”からサブメニューの”静的IPマスカレード設定”を選択します。
  • ”静的IPマスカード設定 エントリ編集”が開くので、右側の”編集”ボタンを押します。
    ・対象プロトコル ⇒ ”UDP”を選択します。
    ・変換対象ポート ⇒ ”1194” ※デフォルトの1194から変更する事を推奨します。
    ・宛先IPアドレス ⇒ 192.168.1.xxx ※Synology DS223j NASのアドレスを指定します。
    ・宛先ポート ⇒ ”1194”

    ”設定”ボタンで完了です。
  • ”静的IPマスカレード設定”画面に戻ります。
  • 設定した”エントリ番号”の”有効/無効”の”☑チェック”を付けて、”設定”ボタンを押します。
OpenVPNの設定
  • DSMのメインメニューを開き、”VPN Server”を開きます。
  • 左側メニューの”OpenVPN”を選択します。
  • ”エクスポート設定”ボタンを押し”openvpn.zip”を保存します。
  • 保存した”openvpn.zip”を解凍します。
  • 解凍したファイルに”VPNConfig.ovpn”があります。これをメモ帳で開き編集します。

dev tun
tls-client
remote YOUR_SERVER_IP 1194
 ⇒ remote 〇〇〇.DSCloud.biz 1194 DDNSで設定したホスト名を入れます。
# The “float” tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the –remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)
# float
# If redirect-gateway is enabled, the client will redirect it’s
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)
# redirect-gateway def1
 ⇒ # を削除する redirect-gateway def1
# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.
# dhcp-option DNS DNS_IP_ADDRESS
pull
# If you want to connect by Server’s IPv6 address, you should use
# “proto udp6” in UDP mode or “proto tcp6-client” in TCP mode
proto udp
script-security 2
comp-lzo
reneg-sec 0
cipher AES-256-CBC
auth SHA512
auth-user-pass

—–BEGIN CERTIFICATE—–

iphoneの設定

  • App Storeから、OpenVPN Connect-OpenVPN Appをインストールします。
  • 編集した”VPNConfig.ovpn”ファイルをメールでiPhoneに送付します。
  • メールを開き、添付ファイルをOpenVPN Connectで開きます。
  • ① ”add”します。
    ②”User Name”と”Password”を入力します。
    ③”Connect after import”に☑します。
    ④右上のADDボタンを押します。
  • 確認画面がでたら、”許可”します。
  • VPNの接続、切断は、設定画面から接続、切断が行えます。

追記

VPN Serverの設定で 
・☑ クライアントにサーバのLANにアクセスさせるをチェックしています。

NASにVPN用のユーザーアカウント作成したのに、外部パソコンからVPNが確立するとサーバのLANにアクセスでき、admin権限でNASにログインができる。

今後の運用における検討課題です。