v6プラスなどを契約したことにより、SoftEther VPN ServerへのL2TP/IPsecによるVPN接続ができなくなってしまいました。
VPN接続は諦めていたのですが、SoftEther VPN Serverがバージョンアップしたことで、IPv6によるリモートVPN接続が簡単にできるようになりました。
v6プラスの問題
夜間のインターネット接続の遅さに嫌気がさして、So-netから別のプロバイダーに変更しようと検討していました。そんな時にSo-netから従来からのIPoEを置き換える形で、v6プラスを提供するとのメールが届きました。それも無料で。
早速v6プラスに切り替えたところ、夜間でも快適なインターネット接続ができるようになりました。
しかし懸念していたとおり、SoftEther VPN ServerへのL2TP/IPsecでの接続ができなくなりました。詳しくはこちらの記事を参照してください。
簡単に言えばL2TP/IPsecでの接続に必要なポートが、v6プラス(IPv4)では利用できないからです。ならばv6プラスでポートが制限されるIPv4ではなく、IPoEで直接接続するIPv6なら問題ないのではないかといろいろ調べました。
結論としてはSoftEther VPN ServerはIPv6によるL2TP/IPsec接続に対応していますが、iOSもAndroidもL2TP/IPsecについてはIPv4のみの対応ということで、IPv6でのL2TP/IPsec接続は不可能ということが分かりました。
OpenVPN接続
マニュアルで説明に記されたリモート接続に使われているプロトコルは、L2TP/IPsecですのでそれに沿って構築してきました。しかし、v6プラスを契約したことによりL2TP/IPsecで使うポートが使えなくなったため、L2TP/IPsecでのリモート接続ができなくなりました。
SoftEther VPN Serverは、SoftEther VPN独自プロトコルによる接続を基本としていますが、他にもいくつかのプロトコルでの接続が可能でありL2TP/IPsecもそのひとつです。
SoftEther VPNサーバー管理マネージャを見るとL2TP/IPsecの他にOpenVPNとMS-SSTPが使えることが分かります。
最初はOpenVPNという名称から無料で使えるものと思っていたのですが、接続に使うアプリOpenVPN Connectを起動したところこちらのサイトに誘導されました。
そのため有料では使用頻度に対して割が合わないと諦めていました。
その後いろいろ調べていくうちに、OpenVPN Connectでクラウドサービスを使う場合は有料になるが、自前のサーバーを使うなら無料で使えることが分かりました。
現在は、自前のサーバーに接続するための「OpenVPN Connect」と、クラウドサービスを利用するための「Private Tunnel VPN」にアプリが分けられて、間違うことは無くなりました。
OpenVPN自体はWindows用のプログラムも配布していますので、そちらでサーバーを構築することもできます。
しかし、これまで苦労してSoftEther VPN Serverを構築してきたことを踏まえたうえで、あと少し手順を踏むことで、v6プラスの環境でもリモートVPN接続ができる手段としてOpenVPNを利用します。
また、SoftEther VPN Serverのバージョンアップにより、証明書という面倒なことも考えなくてよくなりましたので、本家より簡単かもしれません。
OpenVPNによるリモートVPN接続環境の構築手順
IPv6でのリモートVPN接続環境を構築するために、次の機器への設定が必要です。
- SoftEther VPN Server
- ブロードバンドルーター
- モバイル端末
とは言ってもそれほど大きな作業ではなく、30分もかからないでしょう。
ただしIPv6で接続するためには、IPv6に対応したモバイル通信契約が必須ですが、ここでは対応しているものとして説明します。
以下に手順を説明しますが、「SoftEther VPNによるVPN環境構築(6)SoftEther VPN Serverのインストールと設定」までは完了していることを前提としています。
また、前回説明したIPv6でのpingテストは必ず行っておいてください。これが通っていない場合、問題が発生した場合に原因の特定が難しくなります。
「設定シート」の内容はこのようになっていることとします。
更新日:20XX/XX/XX
作成者:1.ネットワークアドレス:192.168.2.0
2.ブロードバンドルーター IPアドレス:192.168.2.1
3.仮想レイヤ3スイッチ IPアドレス:192.168.2.254
4.DHCPサーバー 開始IPアドレス:192.168.2.10
5.DHCPサーバー 割り当て個数:50
6.SoftEther VPN Server パソコンIPアドレス: 192.168.2.100
7.SoftEther VPN Server 管理者パスワード:XXXXXXXX
8.SoftEther VPN Server ダイナミックDNSホスト名:vpnXXXXXXXXX.softether.net
9.仮想HUB名:Tanaka-Tokyo
10.仮想HUB パスワード:自動設定
11.IPsec事前共有鍵:vpn-ios
12.仮想HUB ユーザー名:tanaka
13.仮想HUB ユーザーパスワード:XXXXXXXX
今回はiOS端末だけを想定して説明しますが、Android端末については異なる部分だけ別記事で説明します。
1.SoftEther VPN Serverのバージョンアップ
まず、SoftEther VPN Serverのバージョンを確認してください。
SoftEther VPN Serverパソコンで「SoftEther VPNサーバー管理マネージャ」を起動して「バージョン情報」をクリックします。
リモート管理を行っている場合は、管理に使っているSoftEther VPNサーバー管理マネージャと、SoftEther VPN Serverでバージョンが違っている可能性がありますので、必ずSoftEther VPN Serverパソコンで確認してください。
表示されたバージョンが「Version 4.31 Build 9727」より古い場合は、「Version 4.31 Build 9727」以上へのバージョンアップが必要です。
安定した環境の維持などでバージョンアップしたくない場合でも、新しいバージョンに含まれる機能が必要なため、以下の手順を進めるためにバージョンアップは必須です。
バージョンアップは以下の手順で行います。
こちらのサイトから「Version 4.31 Build 9727」以上のSoftEther VPN Serverをダウンロードします。
Windows 10用ですのでこのように選択します。
| ダウンロードするソフトウェア | SoftEther VPN (Freeware) |
| コンポーネント | SoftEther VPN Server |
| プラットフォーム | Windows |
| CPU | Intel (x86 and x64) |
SoftEther VPN Serverパソコンで、ダウンロードしたファイルをダブルクリックしてインストールを開始します。
「次へ」をクリックします。
ユーザーアカウント制御が表示されますので「はい」をクリックします。
SoftEther VPN Serverをバージョンアップしますので「SoftEther VPN Server」を選択して「次へ」をクリックします。
「SoftEther VPNサーバー管理マネージャ」は、SoftEther VPN Serverをバージョンアップすることで一緒にバージョンアップされます。
使用許諾契約書を読んで同意する場合は「使用許諾契約書に同意します」をチェックして「次へ」をクリックします。
重要事項説明書を読んだら「次へ」をクリックします。
「上級者のためのインストールオプション」をチェックして、「このコンピュータのWindowsにインストール」が選択されていることを確認したら、「次へ」をクリックします。
「次へ」をクリックします。
インストールが完了するのを待ちます。
「SoftEther VPNサーバー管理マネージャを起動します」がチェックされていることを確認して「完了」をクリックします。
SoftEther VPNサーバー管理マネージャが起動しますので「バージョン情報」をクリックします。
正しくバージョンアップされていることを確認したら「OK」をクリックしてバージョン情報を閉じます。
2.OpenVPN接続設定
SoftEther VPNサーバー管理マネージャで「localhost(このサーバー)」を選択して「接続」をクリックします。
「OpenVPN/MS-SSTP設定」をクリックします。
「OpenVPNサーバー機能を有効にする」にチェックを入れます。
「OpenVPNサービスを提供するUDPポート」は、デフォルトの「1194」のままで進めます。
そして「OpenVPNクライアント用のサンプル設定ファイルを生成」をクリックします。
「OpenVPNクライアント用のサンプル設定ファイル」を任意のフォルダーに保存します。
すぐに内容を確認するか問われるので「いいえ」をクリックしてファイルを保存します。
最後に「OK」をクリックして変更を反映させます。
3.ブロードバンドルーターの設定
OpenVPNクライアントからIPv6で接続できるように、ブロードバンドルーターのファイアウォールに「穴」をあけます。
穴をあけるにあたりIPv6アドレスについてどう設定するかについては、こちらの記事で説明した方針とします。
ここではNTT東日本の「ひかり電話ルータ(RV-440MI)」で説明します。
RV-440MIの管理画面にアクセスします。
「詳細設定」「セキュリティ設定」「IPv6パケットフィルタ設定(IPoE)」を選択します。
前回のIPv6でのpingテストのエントリーは残しておき、2番目の「編集」をクリックします。
設定画面が表示されるので以下の様に設定します。
- 有効/無効:有効
- フィルタ種別:通過
- 通信方向:IPoE→LAN
- 送信元IPアドレス:すべて指定
- 宛先IPアドレス:すべて指定
- プロトコル:プロトコル名指定 UDP
- 送信元ポート:すべて指定
- 宛先ポート:1194-1194
- セキュリティログ保存の可否:可
設定したら「設定」をクリックします。
確認のダイアログで「OK」をクリックします。
設定したエントリ番号にチェックが入っていることを確認します。
4.設定ファイルの変更
「2.OpenVPN接続設定」で保存した「OpenVPNクライアント用のサンプル設定ファイル」を展開します。
展開したファイルの中で「<SoftEther VPN Serverパソコンのコンピューター名>_openvpn_remote_access_l3.ovpn」というファイルを「メモ帳」などのテキストエディターで開きます。
このファイルは、文字コードはUTF-8、改行はLFのみのUNIX仕様です。最近のWindows 10に搭載された新しいメモ帳なら問題ありませんが、文字化けなどが気になる場合は専用のエディターを使ってください。
メモ帳で「remote」で始まる行を探します。
見つけたら「v4」を「v6」に書き換えて上書き保存します。
ファイル名がVPN接続名の一部になりますので、分かりやすいファイル名に変更します。ここでは「vpnXXXXXXXXX.ovpn」に変更することにします。
5.OpenVPN Connectのインストール
iOS端末にOpenVPN Connectアプリをインストールします。
6.設定ファイルの読み込み
「4.設定ファイルの変更」で保存した設定ファイルを、iOS端末に読み込ませるにはいくつかの方法があります。ここではメールに添付して読み込ませる方法で説明します。
「vpnXXXXXXXXX.ovpn」をメールに添付して自分宛に送信して、iOS端末のメールアプリで受信します。受信したメールを開いたら、添付されている設定ファイルをタップします。
読み込ませるアプリのリストが表示されるので左にスワイプして
「…」その他をタップします。
今度は上にスワイプして
「OpenVPNにコピー」をタップします。
OpenVPN Connectアプリに切り替わりますので、「ADD」をタップします。
「設定シート」を参照して各項目に入力します。
- Profile Name:任意の接続名
- Username:12.仮想HUB ユーザー名@9.仮想HUB名
- Save password:チェック
- Password:13.仮想HUB ユーザーパスワード
Usernameは「12.仮想HUB ユーザー名」だけでもよいのですが、デフォルトで接続する仮想HUBが設定されていない場合のことを考慮して、「@」に続けて「9.仮想HUB名」も指定しておいた方がよいでしょう。
すべて設定したら「ADD」をタップします。
OpenVPNプロファイルを追加すると「設定」アプリの「VPN構成」に追加されるため、警告が表示されます。
「許可」をタップすると生体認証またはパスコードで認証した後、追加されます。
OpenVPN Connectアプリに戻るので、プロファイルが追加されていることを確認します。
リモートVPN接続・切断手順
リモートVPNの接続・切断は簡単です。
1.接続手順
OpenVPN Connectアプリを開いて、スイッチをタップします。
スイッチの色が変わり接続処理を始めます。
接続できると「CONNECTED」と表示され、合わせていろいろな情報が表示されます。
これでリモートVPN接続はできていますので、自宅のNASやBDレコーダーなどにアクセスしてみてください。
画面をスクロールさせると、接続しているアカウント、接続先でのiOS端末のIPv4アドレス、SoftEther VPN ServerのダイナミックDNSホスト名、パブリックIPv6アドレスなどが表示されます。
「VPN PROTOCOL」を見ると「UDPv6」とあり、IPv6でVPN接続していることが分かります。
2.切断手順
VPN接続中のOpenVPN Connectアプリのスイッチをタップします。
警告が表示されますので「OK」をタップします。
切断するたびに警告を表示したくない場合は、「Don't Show Again」をチェックしてから「OK」をタップします。
スイッチが元の状態に戻り、いろいろな接続情報が消えます。
Wi-Fi版iPadの場合
iPadでは画面が変わりますが、設定手順、接続・切断手順は同じです。
Wi-Fi版iPadでVPN接続する場合は、テザリングするモバイル端末でVPN接続するのではなく、iPad側でVPN接続を行います。
テザリングするモバイル端末はIPv6をテザリングできればiPhoneでなくともAndroidでもモバイルルーターでも構いません。IPv6でテザリングできることが重要です。
テストに最適なIPv6対応のモバイル回線
説明してきたように、v6プラスの環境でもIPv6対応のモバイル回線を使えばリモートVPN接続は可能です。
ただし、SoftEther VPN Serverの側の回線契約、すなわち自宅側の回線契約によってはv6プラスでも接続できないかもしれません。私が確認した回線契約は、「So-net 光 with フレッツ S (マンション)」にオプションサービスとして「v6プラス」を追加したものです。
大手3キャリアやIPv6に対応したMVNOを使っている場合は、すぐに上記手順で接続できます。しかし、それ以外のMVNOの場合はリスクを覚悟のうえでモバイル回線契約を乗り換える必要があります。
安価な契約はいろいろありますがIPv6対応のMVNOとなると限られます。
そこで、私は現状のモバイル回線契約はそのままにして、安価な追加回線でリモートVPN接続ができるかを確認することをお勧めします。それがエキサイトモバイル
です。
回線はdocomoですが、データSIMの場合は低速(200Kbps)だけなら月550円(税込み)です。もちろん高速通信も可能でその場合は使った分だけの段階料金で、拘束期間もありません。現在はキャンペーンで新規契約手数料は無料ですので初期費用はSIMカード発行手数料433円(税込み)だけです。
私もエキサイトモバイルのデータSIMでテストを行っており、低速でも接続テストは問題なく行えます。それも当然で、エキサイトモバイルはIIJmioの回線を使用しているので、IPv6については実績があるのです。
1点だけ注意点として通話SIMに変更した場合、12か月の拘束期間と解約事務手数料10,450円(税込み)がかかりますので、通話SIMには変更する場合はよく検討してください。
また、選択肢が増えました。
楽天モバイル
もIPv6が使えることを確認しました。ただし、docomo回線を使用したMVNOではなく、楽天自身の回線を利用したMNOとしての楽天モバイルです。すなわちRakuten UN-LIMITプランです。
[PR]
実際に契約して確認したところ、楽天回線およびパートナー回線でIPv6による通信が可能です。
また、Rakuten MiniからのテザリングでWi-Fi版iPad ProからIPv6でのVPN接続ができることも確認しました。すなわちIPv6でのテザリングも可能ということです。
2020年6月17日まではRakuten Miniが1円で入手できますし、1年間は無料で利用できます。
まとめ
OpenVPN接続を使うことでv6プラス環境でもモバイルVPN接続ができることが確認できました。
ただし、モバイル回線がIPv6に対応している必要がありますので、今後モバイル回線契約をする場合はIPv6対応も考慮して検討してください。
- [1 Gen]SoftEther VPNによるVPN環境構築(1)概要
- [1 Gen]SoftEther VPNによるVPN環境構築(2)ネットワーク環境の検討
- [1 Gen]SoftEther VPNによるVPN環境構築(3)ネットワークアドレスの変更
- [1 Gen]SoftEther VPNによるVPN環境構築(4)ルーターの設定
- [1 Gen]SoftEther VPNによるVPN環境構築(5)SoftEtherVPN Server用パソコンの準備と設定
- [1 Gen]SoftEther VPNによるVPN環境構築(6)SoftEther VPN Serverのインストールと設定
- [1 Gen]SoftEther VPNによるVPN環境構築(7)iOS端末の設定
- [1 Gen]SoftEther VPNによるVPN環境構築(8)Android端末の設定
- [1 Gen]SoftEther VPNによるVPN環境構築(9)SoftEther VPN Serverの運用
- [1 Gen]SoftEther VPNによるVPN環境構築(10)SoftEther VPN Serverの動作と注意点
- [1 Gen]SoftEther VPNによるVPN環境構築(11)TeamViewerによるリモート構築方法
- [1 Gen]SoftEther VPNによるVPN環境構築(12)SoftEther VPN Serverの事前テスト方法
- [1 Gen]SoftEther VPNによるVPN環境構築(13)IPoEとv6プラス
- [1 Gen]SoftEther VPNによるVPN環境構築(14)L2TP/IPsecにおけるIPv6対応
- [1 Gen]SoftEther VPNによるVPN環境構築(15)SoftEther VPN ServerのIPv6アドレスの問題
- [1 Gen]SoftEther VPNによるVPN環境構築(16)モバイル回線のIPv6対応の確認
- [1 Gen]SoftEther VPNによるVPN環境構築(17)v6プラス対策としてのOpenVPN接続(iOS編)
- [1 Gen]SoftEther VPNによるVPN環境構築(18)v6プラス対策としてのOpenVPN接続(Android編)
- [1 Gen]SoftEther VPNによるVPN環境構築(19)v6プラスでもOpenVPNならIPv4でVPN通信が可能
- [1 Gen]SoftEther VPNによるVPN環境構築(20)「SSTP Connect」、SoftEther VPN独自プロトコルにも対応したモバイルアプリ
- [1 Gen]SoftEther VPNによるVPN環境構築(21)TLSサーバー検証をオンにするために必要なこと
- [1 Gen]SoftEther VPNによるVPN環境構築(22)サーバーのマイグレーション(パソコンの置き換え、クリーンインストール)での注意点
コメント
本「Solomonレビュー」、大変参考になりました。
「SoftEther VPNによるVPN環境構築(14) L2TP/IPsecにおけるIPv6対応」までの内容はテストして確認していましたが、そこで行き詰っていました。
以前からSoftEther(その前はPacketiX VPN)を使用していますが、DS-Liteルータを追加導入してからはIPv4による接続ができなくて、自宅内機器へのアクセスは休止していました。
(ホームゲートウェイの直下にVPNサーバを設置して、自宅外からVPN接続によるインターネットアクセスは行っています。これだけだと、ホームゲートウェイに内蔵されているVPN機能だけでもよいのですが。)
3月からPR-500MIにもDS-Lite機能が実装されるようなので、この機会に本記事を参考にしてOpenVPNをトライしてみます。
コメントを頂きありがとうございます。
参考になったようで幸いです。
RV-440MIにもVPN機能はあるのですが、v6プラスを有効にするとメニューから消えて使えなくなります。
LAN上に別のルーターを置いてPPPoEセッションを張ってVPNを構築する方法もあるようですが、IPv6への移行が始まっていますのでどうにかIPv6でVPN環境を構築したいと考えていましたが、時間がかかってしまいました。
SoftEther VPN ServerのVPNトンネルやL3スイッチはIPv4しか扱えないようなので、先を考えるなら別のVPNも考えないといけないのかもしれません。
ipv6に加入したところVPNができなくなって困っていたところこの記事を参考に設定したところ無事VPNを復活させることができました。ありがとうございました。
ただWOLだけがうまくいかずお手上げです。
ルーターでWANからのパケットがはじかれているようなのですが何か解決方法をご存じでしたらご教授いただけないでしょうか。
コメントを頂きありがとうございます。
最近、WOLを試していましてS5(シャットダウン)からでもリモート起動ができるのは便利です。
ただ、S5に入ってからある程度の時間が経過するとマジックパケットを受け付けなくなります。原因は調査中です。
ご質問の件ですが、私の環境ではOpenVPN接続でのWOLは動作しています。
使用したのはiPhoneですがWolowというアプリです。
https://apps.apple.com/jp/app/wolow-wake-on-lan/id1500970060
VPN接続の場合、端末からVPNサーバーの出口(ローカルブリッジ)までは、ルーターのパケットフィルターの制限は受けません。
そのためVPN接続ができているならルーターではなく、入り口(端末)か出口(SoftEther VPN Serverパソコン)のどちらかに問題があると思われます。
WOLは9/udpでパケットを送信しますので、SoftEther VPN ServerパソコンでFirewallの制限がかかっていないかなどを調べてみるのが良いと思います。
回答ありがとうございます。
おっしゃる通りだと思うのですがLAN内でVPNを通してマジックパケットを飛ばすと目的のPCは起きるのですがWANからVPNを通してマジックパケットを飛ばしても起きてくれません。
softetherサーバーを入れてあるPCのパケットを監視するとLANでマジックパケットを飛ばした時は観測できWANから飛ばした時は観測できずです。
wol VPNで検索するとVPNでもマジックパケットは超えられると超えられないの意見がありよくわからなくなった次第です。
マジックパケットの送信側(iPhone)とサーバーはLANでwol出来ているので特に問題ないと思うのですが
コメントを頂きありがとうございます。
iOSの場合、OSの制限でVPNにはIPしか流すことができません。すなわちレイヤ3接続です。
一方、WOLはMACアドレスに対して9/udpにマジックパケットを送ります。当然、レイヤ3VPNにはMACアドレス指定のレイヤ2パケットは送れません。
では、どうやってアプリはWOLを実現しているかというとブロードキャストを使っているようです。
WOLアプリのクライアントIPアドレスにはIPアドレスまたはブロードキャストアドレスが指定できるはずです。
ブロードキャストアドレスはXXX.XXX.XXX.255ですね。(XXX.XXX.XXXはネットワークアドレス)
これで試してみてください。
お忙しい中詳しいアドバイスありがとうございます。
ブロードキャスト、ユニキャストともに検証済みでして結果ダメでした。
ダメもとで紹介していただいたWOLアプリのWolowを先ほど入れてみたところ見事WOLできました。
今まで使っていたアプリがポンコツだっただけでした。
これでIPV4の時と同じことができるようになりIPV6で我慢していたことがなくなりました。
本当にありがとうございました。
windows11でまた出来たことが出来なくなることが出てくるんでしょうか
サーバーだけでもlinuxしてみようかとも思っています。
とても分かりやすいSolomonさんの記事にlinuxが追加されればいいなと思っています。
コメントを頂きありがとうございます。
アプリの問題だったのですね。
RemoteBootというアプリで試したところ、ユニキャストアドレスでは動作しなかったのですが、ブロードキャストアドレスに変更したところVPN環境でもWOLが動作するようになりました。
SoftEther VPN ServerをLinuxにすると、リモートで何か行う時にWindowsでしか動作しないアプリなどが使えません。結局Windowsマシンも昼夜間稼働させることになり、無駄に感じるためWindows 10で稼働させています。
純粋にVPNサーバーだけならRaspberry Piで十分だとは思うのですが。
また、SSL証明書の自動更新などLinuxでしか行えないこともあり、Linuxでの検証は進めています。
はじめまして。
自宅はN西フレッツ光+AsahiネットIPoE+DS-Lite環境で、Android12スマホからHGW(PR-500MI)のVPN機能(L2TP/IPsec)を使って宅内サーバに接続していたのですが、Android13からはL2TP/IPsecは全く使えないとのことでスマホ買い替えられないなあと困っていたところ貴記事を見つけ、たまたま我がMVNOがIPv6対応していたのでお導きに従って設定しSoftEther VPN Server+OpenVPNクライアントでIPv6のVPN接続ができました。これでスマホ買い替えられます(当面予定はありませんが)。たいへんありがとうございました。
コメントを頂きありがとうございます。
VPNが使えるようになったとのことでよかったです。
家庭用インターネット回線は古い契約だと遅くなる一方なので、高速な契約に移行するかIPv6を利用するしか改善は見込めません。
ところが、モバイル回線は大手4社とサブブランド、そしてIIJmioぐらいしかIPv6が使えず、VPNを使うなら家庭用回線との組み合わせは、よく検討しないとダメなようです。