VPNサーバー機能は慎重に運用しよう1

　小規模なオフィスや個人事務所などでは、家庭用として販売されているWi-Fiルーターを使っているケースも珍しくありません。

　こうした環境で注意したいのが「VPNサーバー」機能の利用です。

　家庭用のWi-Fiルーターでも、高性能モデルを中心にVPNサーバー機能が搭載されています。テレワークが求められる中、自宅待機中の社員が社内のファイルサーバーなどへアクセスできるようにするため、このVPNサーバー機能が活用できます。

　テレワークをする場所、つまり自宅で使うWi-Fiルーターでは、この機能の必要性は低く、むしろセキュリティを考慮すると「使わなければオフ」にしておくことが大切です。

　しかし、小規模なオフィスの場合、今から高性能なVPNルーターを購入し直す余裕がないことが多く、家庭用ルーターのVPNサーバー機能を活用したいというニーズも多いことでしょう。

　では、家庭用のVPNサーバーをテレワーク用に使う場合、どのような点に注意すればいいのでしょうか？　今回と次回の2回に渡り、以下の点を見ていきましょう。

1.インターネット接続

　まず、注意しなければならないのがインターネット接続の環境です。

　中でも、最近増えている「v6プラス」や「transix」などのIPoE IPv6方式のIPv6＋IPv4 over IPv6を利用する環境では、利用できるポートが限られていたり、事業者側でNATがかかるといったNATの制限によって、VPNサーバー機能が利用できないことがあります。

　これらのインターネット接続環境では、Wi-FiルーターのVPNサーバー機能の利用は難しいと言えるでしょう。

　ただし、NASなどで利用できるメーカーが用意したクラウド上の中間サーバーを経由する方式であれば、必ずとは言い切れませんが、VPNを利用できる可能性があります。こうした方法も検討しましょう。

インターネット接続がv6プラスやtransixの場合、Wi-FiルーターのVPNサーバー機能は利用できない

2.プロトコル

　基本中の基本として、プロトコルはオフィス側のサーバー（Wi-Fiルーター）と自宅側のクライアント（PCやスマートフォン）で、同じものを選択します。

　Wi-FiルーターのVPNサーバー機能は、機種によってサポートしているプロトコルが異なりますが、「PPTP」と「OpenVPN」の採用例が多く、高性能モデルで「L2TP/IPsec」、海外製の一部機種では独自方式（Synologyのルーターなど）に対応しています。

　ただし、PPTPはMSCHAPv2の脆弱性の問題からか、最近では採用していない製品もあります。例えば、バッファローの「WXR-5950AX12」はL2TP/IPsecのみをサポートしてます。

　L2TP/IPsecは、Windows、macOS、Android、iOSと、ほとんどのクライアントが標準でサポートしているので、これを利用するのが無難でしょう。

サポートしている機種が多い「L2TP/IPsec」が無難な選択

3.Dynamic DNSの利用

　VPNサーバーを利用する場合、外部からオフィスのWi-Fiルーターを接続先として指定する必要があります。

　WAN側のIPアドレスを指定することもできますが、覚えにくい上、インターネット接続が再接続されたタイミングでIPアドレスが変更されることもあるため、Dynamic DNSを使って接続先に名前を設定しておくといいでしょう。

Dynamic DNSを使ってホスト名を設定しておく