前置き
我が家にNURO光が来た!
本来はルータ不要(RTX830ある)、WiFi不要(メッシュある)、モデムだけ欲しかったんだけど… 一体型のみ利用可なので、しぶしぶミニマム仕様のSGP200Wを選び、昨日無事設置完了。ルータ直結時の速度計測は700Mbps超えていて、速度面は大満足。
速度面は満足だが、外部から自宅へのL2TP/IPsec接続環境は捨て難いので、維持したい。でも、SGP200W内部のモデムをRTX830に直結することはできない。さて、どうするか…。
参考サイトの情報を見ると、どうやらRTX830をDMZに割り当てて、外部からのアクセスをRTX830に向けることで、VPN接続環境を実現できるらしい。早速試してみると、無事VPN接続することができた。
その設定手順を忘れないうちにメモしておく。
ネットワーク構成
取り急ぎ、簡易的にネットワーク構成を書き出してみた。
インターネット
└── (x.x.x.x @WAN) SGP200W (192.168.2.1 @LAN)
├── (192.168.2.2 @WAN) RTX830 (192.168.1.1 @LAN)
│ ├── (192.168.1.x @LAN) WN-DX1300GNEX (メッシュWiFi)
│ └── (192.168.1.x @LAN) Samba, Jenkinsなど
└── (192.168.2.x @LAN) FireTV ドングルなど
SGP200W (192.168.2.0/24)、RTX830 (192.168.1.0/24) 共に、DPCHサーバ機能を有したまま運用する。速度優先機器は前者、外部からVPN接続して制御したい機器は後者に配置する。
上記構成でメッシュWiFi APに接続、速度計測すると、50〜70Mbps程度しか出ない。SGP200Wに直結すれば、700Mbps程度出る。計測はFastCOM powered by NETFLIXで実施した。FireTVドングルを192.168.2.x下に接続したのはこれが理由。(宅内配線のLANケーブルがCAT5以下っぽいな…)
念のため、以下に全機器のスループット理論値をメモしておく。
- SGP200W 有線2Gbps, 無線1.3Gbps
- RTX830 有線2Gbps (VPN 1Gbps)
- WN-DX1300GNEX 無線867Mbps
設定手順
一旦、既存の192.168.1.0/24下にあるPCでブラウザ起動し、RTX830管理画面 http://192.168.1.1 でWAN側のMACアドレスを取得、メモしておく。
SGP200Wの設定
SGP200Wに接続するため、SGP200W本体側面に記載されたSSID/WPA keyに接続する。出荷状態のLAN側のデフォルトIPアドレスは192.168.1.1なので、ブラウザでhttp://192.168.1.1にアクセスし、NURO説明書に記載のアカウント、パスワードを入力してログインする。
LAN > LANホスト設定 で、プライマリIPアドレスを192.168.2.1に変更して適用し、http://192.168.2.1にログインし直す。
LAN > DHCPサーバ設定 で、IPアドレスの開始と終了を適宜設定する。
(192.168.1.200以上は将来別用途を想定して予約)
LAN > DHCPスタティックIP設定 で、RTX830のWAN側MACアドレスを192.168.2.2に割り当てる。
(SGP200W DHCPアドレスrange外のアドレスを割り当てた)
転送ルール > DMZ設定 で新規作成ボタンを押し、DMZを有効にするにチェックを入れ、WAN名は選択肢が1個しかないのでそれを選択、DHCPスタティックIP設定でRTX830に割り当てた192.168.2.2をホストアドレスとして入力し、適用する。
ここまで来たら、RTX830のWANポートと、SGP200WのLANポートをCAT 5e以上のLANケーブルで接続する。
RTX830の設定
再び192.168.1.0/24下にあるPCでブラウザ起動し、RTX830管理画面 http://192.168.1.1 を開き、かんたん設定 > プロバイダー接続 を選択、新規ボタンを押す。
ここで、設定の一覧に既存のWANインタフェース設定がある場合は、後工程で選択肢がグレーアウトしていることがあるので、削除する。
削除した場合はこうなる。
新規ボタンを押した後に表示される画面で、WANを選択して次へ。
回線状況を自動判別してくれる。しばらく待った後、DHCP利用可能と表示されたら次へ。
DHCPによる接続を選択して、次へ。
設定名を入力し、DHCPクライアントを選択して次へ。
DNSサーバアドレスを指定しない (指定したい場合は入力) を選択して次へ。
推奨のIPフィルターを設定、または設定しないを選択して次へ。
設定内容の確認画面が表示されるので、確認後、設定の確定ボタンを押す。
設定が確定する。この時点では接続状態が0.0.0.0と表示されているが、画面更新すると、SGP200Wで設定した固定IPが反映されたことを確認できる。
VPN(L2TP/IPsec)設定
事前に設定済みだったVPN設定手順も記載しておく。
かんたん設定 > VPN > リモートアクセス を選択、共通設定の設定ボタンを押す。
以下にチェックを入れて、認証鍵 (pre-shared key) に任意の文字列を入力する。後でPC等からVPN接続する際に使用するので、入力した値を覚えておく。認証/暗号アルゴリズム、方式は以下に示す値を選択し (全てを検証しきれていない) 、次へを押して、設定を確定する。
- L2TP/IPsecを使用する
次に、登録ユーザの追加、変更設定ボタンを押す。
ユーザ名とパスワードを入力して次へを押し、設定を確定する。入力した値を覚えておく。
VPN接続確認
macOS Big Sur 11.6.4環境でのみ確認。
話は逸れるが、Montereyへのアップデートはいつになることやら…
自宅ネットワーク外から接続するため、スマホにHotspot接続する。
システム環境設定のネットワークを開き、
VPNインターフェイス (VPNタイプ: L2TP over IPSec) を追加、作成する。
作成したVPN接続インターフェイスを選択して、構成はデフォルトを選択、サーバアドレス、アカウント名を入力する。
サーバアドレスは、SGP200W管理画面に表示されるWAN側IPアドレスを入力する。アカウント名は、RTX830のVPN(L2TP/IPsec)設定で設定したユーザ名を入力して、認証設定ボタンを押す。
DDNSサービスを利用している場合は、それをサーバアドレスとして入力する。
ユーザ認証パスワード、コンピュータ認証共有シークレットには、それぞれ以下を入力してOKボタンを押す。
- RTX830のVPN(L2TP/IPsec)登録ユーザ設定のパスワード
- RTX830のVPN(L2TP/IPsec)共通設定の認証鍵 (pre-shared key)
その後、接続ボタンを押すと、
以下のように接続される。RTX830のDHCPで割り当てられたIPアドレスが表示されることが確認できる。
この状態で、例えば ssh -i ~/.ssh/id_ecdsa takashi@192.168.1.5 等とすれば、以下のようにVPN経由で自宅サーバにログインできる。
まとめ
設定手順メモのつもりが、かなりのボリュームになってしまった…。
