ベスロア

スモールオフィス向け!?Synology NASでVPN Serverを構築してみた

  • NAS
  • 1780view
  • 0件
NAS 最強NAS Synology

今回はリモートワーク環境整備の一環としてSynologyのNASにVPN Serverパッケージをインストールし、在宅勤務やシステムサポートが可能か検証してみたのですが、家庭やスモールオフィス向けという印象でした。

NASをVPN Serverとして利用できるのはQNAPも同じなので、両者の違いを比較するつもりで検証をしてみたのですが、どちらもアクセス制御ができないので、10名以上の企業規模で使うには実用的ではないと思います。

ただ、細かなアクセス制御を必要としないスモールオフィスや自宅なら、非常に少ない予算と手順でVPN Serverをセットアップすることで、誰でも簡単に即席で在宅勤務環境を構築することができます。

目次

VPN Serverをインストール

SynologyのNASをVPN Serverにするには、パッケージセンターにアクセスしてアプリケーションをインストールする必要があるのですが、本体がインターネットに接続できなければなりません。

パッケージセンターでアプリケーションのダウンロードに失敗する時は、ネットワーク設定のデフォルトゲートウェイやDNSのアドレスを確認してください。

DNSはルーターのIPではなくプロバイダー指定のアドレスとなりますが、わからない場合はパソコンでipconfig /allを実行するか8.8.8.8に指定して、パッケージのインストールを試してみてください。

外部アクセス設定

今回は外部から自宅にVPN接続するのが目的なので、SynologyのNASはDMZへ配置せずにルーターのUPnPを有効にして、ファイアウォールのレベルはデフォルトのままで設定しました。

ルーターのUPnPを有効にした後は、SynologyのNASにVPN Serverをインストールし、コントロールパネルを開き左ペインにある外部アクセスをクリックし、ルーターの設定を実行する必要があります。

Synolog VPN Server Setup

ルーターの設定を行うと、ネットワークインターフェイス、ゲートウェイ、インターネット接続、ネットワーク環境、DNSサーバーのチェックと、ルーター情報の検出を自動で行います。

Synology VPN Server Router Info

ネットワーク環境のチェックでエラーになる場合がありますが、特に問題なくVPN接続が可能になる場合もあるので、まずは次へボタンをクリックして次のステップへ進んでください。

ポート転送を設定するための互換性のあるUPnPを有効にしたルーターをNASが発見できた場合は、そのまま適用ボタンをクリックしてウィザードを進めてください。

Synology VPN Server Router Setting

通常なら組み込み式アプリケーションを選んでポート転送規則を作成しますが、ネットワークに詳しい人ならカスタムポートを選んで自分で作成することもできます。

Synology ポート転送規則の作成

ポート転送の設定画面では、既にインストール済みの組み込み式アプリケーションの一覧が表示されるので、VPN接続に必要なポートにチェックを入れて適用ボタンをクリックしてください。

Synology VPN Server組み込み式アプリケーションの設定

SynologyのNASは、PPTP、L2TP/IPsec、Open VPN形式をサポートしますが、今回はセキュリティが弱いPPTPの利用を禁止するためにTCPポート1723のチェックを外すことにしました。

ウィザードを進めるとルーターの設定一覧に有効化するポートの一覧が表示されるので、Open VPN(UDP1194)と必要があればL2TP/IPsec(UDP1701)がチェックされているのかを確認してください。

Synology VPN Serverの設定

L2TP/IPsecはPPTPと比べてセキュアですが、Windows10ではレジストリの変更をする必要があるので、最初の設定が少し面倒でも安全だと言われているOpenVPNの利用をおすすめします。

Synology VPN Serverポートマッピング

作成したルールを保存するとルーターの接続テストができるようになるのですが、我が家のルーターでは全て結果がエラーとなりますが、特に問題なくVPN Serverへ接続できます。

Synology VPN Serverテスト結果

外部アクセスの設定が完了した後は、いよいよVPN Serverの設定を行うことになりますが、リモート接続するにはユーザーIDが必要となりますので、管理者権限を持たないユーザーを事前に作成してください。

VPN Serverの設定

Synologyのメインメニューもしくは、パッケージセンターからインストールしたVPN Serverを起動し、必要に応じて接続方式を有効にするだけで簡単に設定することができます。

今回は接続検証を行うためにOpen VPNとL2TP/IPSecを有効にしましたが、特に理由がなければ認証方式や暗号化を指定できるOpen VPNを利用することをおすすめします。

Open VPNサーバーを有効にするとクライアントにサーバーのLANにアクセスさせるにチェックを入れ、ダイナミックIPアドレス、最大接続数、アカウントの最大接続数などを決めて適用ボタンをクリックします。

Synology VPN Server Open VPN設定

通信機器系ファイアウォールと違いVPN接続クライアントにローカルIPアドレスを割り当てる必要はないので、ダイナミックIPアドレスはデフォルトの設定でも構いません。

VPN Serverの全般設定では、接続に使用するネットワークインターフェイスとアカウントタイプの選択し、新しく追加したローカルユーザーをVPN接続可能にするならチェックを入れてください。

Synology VPN Server全般設定

NASがドメインに参加しているのならアカウントタイプで選択できますが、認証サーバーを導入している企業規模で導入するにはセキュリティ機能が不足しているので、ローカルエリアの選択をおすすめします。

そして特権設定でVPNを許可するユーザーにチェックを入れるだけで接続可能となりますが、adminやguestなど狙われやすいアカウントは必ず全てのチェックを外してください。

Synology VPN Server特権設定

以上がVPN Serverの設定で、後はクライアントの接続設定を行うことでリモート接続が可能になりますが、今回はテストということもありダイナミックDNSは利用しておりません。

ダイナミックDNSを利用するには外部アクセスのDDNSタブにある追加ボタンをクリックし、任意のサービスプロバイダを選び重複しないホスト名指定するだけ簡単に設定できます。

Synology DDNSの設定

固定のグローバルIPアドレスでインターネットに接続しているなら、ダイナミックDNSサービスを利用する必要はありませんし、静的グローバルアドレスでもIPが分かればアクセス可能です。

以上がSynologyのNASでVPN Serverを構築する方法ですが、同時接続数の少なさだけでなくローカルソースへのアクセス制限ができないことから、やはりスモールオフィス向けの機能と言えます。

SynologyのNASはデフォルトでadminやguestのアカウントが無効化されていますし、ファイアウォール機能があるので他社の製品よりもセキュアにVPN Serverを構築することができます。