Yamaha の VPNルーター「RTX830」が「IKEv2」を使ったリモートアクセスVPN に対応！「v6 プラス」と共存させてみた

Yamaha のギガアクセスVPNルーター「RTX830」向けに、「IKEv2」でリモートアクセス VPN接続を利用可能にするファームウェアが昨年末にリリースされました。特に Android のスマートフォンを使っている方には待望の機能追加だったのではないかと思います。

ただ、こちらのファームウェア、特定の操作を行うとリブートするバグがあったらしく、リリースされた翌日には一時公開停止となってしまいました。このほど修正が完了したとのことで、1月11日付けで改めて「Rev.15.02.28」が公開されましたので、これを機に手持ちの iPhone や iPad Pro から VPNアクセスで家に置いている NAS にアクセス出来るようにしてみたいと思います。

リンク

■ 　まずはファームウェアの更新

まずはちゃちゃっとファームウェアリビジョンアップを済ませます。Web GUI からでも構わないのですが、ここは敢えて CUI から行ってみます。理由は「気分が上がるから」。それだけですが（笑）。

[RTX830] # http revision-up go
新しいリビジョンのファームウェアが存在します
現在のリビジョン: Rev.15.02.26
新しいリビジョン: Rev.15.02.28
更新しますか? (Y/N)Y
ダウンロード中...: 100% ( 8241800/ 8241800bytes)
リビジョンアップ中...終了
Restarting ...


ホストとの接続が切断されました。

続行するには何かキーを押してください...

CUI から 「 HTTP revision – UP Go 」 と 打つ 込む で 「 y 」 を 選択 し 、 しばらく 待つ と 自動 的 に 再 起動 さ れ て ファームウェア の 更新 is 適用 が 適用 さ れ ます 。

■ 　現在のネット接続環境とリモートアクセスVPN に必要な条件など

まず、現在のネット接続環境ですが、「フレッツ 光ネクスト ファミリー･スーパーハイスピードタイプ 隼（長い！）」にプロパイダとして「So-net 」を組合せ、「v6 プラス」と「IPv4 PPPoE」を併用する設定にしています。So-net は v6 プラスと IPv4 PPPoE を 1契約で併用する事が出来るのですよね。

徐々 に 設定 を 加える て いっ た ため 、 rtx 830 の config is なっ は 継ぐ 足し 継ぎ足し で キメラ の 如し 構造 に なっ て しまう まし た 。 一度 見る 直す て 整理 し たい な と は 思う て いる の です が 、 動く て いる から まあ いい や 的 な ( 笑 ) 。

まずは以下の記事のようにして半ば強引に手計算で「v6 プラス」での接続を確認し･･･。

「15.02.03」というファームウェアの公開で RTX830 が「v6 プラス」に正式対応し、随分と設定が楽になったようですが、うちでは「ひかり電話あり」の構成なのでせっかくの恩恵は受けることが出来ず、基本的に今まで通りの config をちょっとだけ修正。

「v6 プラス」と「IPv4 PPPoE」を「フィルター型ルーティング」を使って併用する設定を加えたり、Public DNS を利用するようにしたり、RTX830 から HGW の管理画面に入れるようにしたり･･･。

「NVR500」を買い足して IP電話を使えるようにしたりしました。

さて 、 今回 設定 する 「 ikev 2 を 用いる た リモート アクセス VPN 」 です が 、IPv 4 PPPoE で の 接続 is 必要 が 必要になります。「v6 プラス」や「DS-Lite」は、大まかに言ってしまえば IPv4 over IPv6 のトンネルを使って PPPoE接続で輻輳を起こして回線速度の低下を引き起こしていたプロパイダの「網終端装置」を回避してスムーズな接続を可能にする技術ですが、仕様上特定のポートを占有することが出来ません。

一方 、 「 ikev 2 を 用いる た リモート アクセス VPN 」 で は 、 UDP 500 番 と UDP 4500 番 、 及び ESP ( IP プロトコル 50 番 ) の ポート を 使用 し ます 。 これ ら の ポート を 変更 する 事 は 出来る ない ため 、 IPV 4 PPPoE で の 接続 が 必須 と なる わけ です ね 。 この ため 、 SO – NET の よう に 「 V 6 プラス 」 と 「 IPV 4 PPPoE 」 を 併用 する 事 が 出来 ない プロパイダ で は 、 別途 PPPoE 接続 の ため に 契約 する 必要 is 出 が 出る て き ます 。

今回は、既に「フィルター型ルーティング」を使って一部の通信を IPv4 PPPoE に流すようにしているので、この仕組みを応用してリモートアクセスVPN の通信も IPv4 PPPoE の方に振り分けて流すことが出来るよう必要な設定を加えていくことにします。

注意点ですが、今回のように config に大きな変更を加える場合には、なにか致命的なミスを犯した場合に備えてすぐに元の環境に戻せるよう USBメモリなどに config のバックアップを取った上で設定を始めて下さいね。特に経路設定を間違えたりすると RTX830 にアクセス出来なくなってしまうことがあります（私も何度かやりました･･･）。万一に備えて下記の様なコンソールケーブルも持っておくと安心です。まあ、RTX830 の場合は ミニ USBケーブルでもいいのですけどね。

リンク

それ で は 初めて いく こと に し ましょう 。

■ 　「ネットボランチ DNS」サービスへ登録

「ネットボランチ DNS」サービスは、ヤマハが提供している DDNS（Dynamic Domain Name System）サービスです。ルーターのグローバルIPアドレスを、ヤマハが運営している「ネットボランチ DNS サーバー」に任意の名前（早い者順です）で登録することで動的 IPアドレス環境下でのサーバー公開や、VPN接続などに利用することが出来るようになります。

かむ 砕く て 言う と 、 IPV 4 PPPoE 接続 で は 日付 を 跨ぐ だり 切断 後 再 接続 し たり し た 場合 に グローバル IP アドレス が 変わる て しまう こと が あり ます が 、 その よう な 場合 で も ルーター 方 で 「 ネット ボランチ DNS サーバー に 」 自動 で 変更 を 通知 し て くれる ため 、 接続 対象 の グローバル IP アドレス を 都度 手動 で 再 設定 し たり する 必要 が 無くなる と いう こと です ね 。

今回「リモートアクセス VPN 接続」を設定するにあたって、この「ネットボランチ DNS」サービスの利用が必要になりますので、まずはこちらを登録しておくことにします。

ネットボランチ DNS サーバーから取得されるホスト名は、以下の様な形になります。

( ホスト 名 ) . ( サブ ドメイン ) . netvolante . JP

このうち、ユーザーが設定することが出来るのは「ホスト名（半角英数字と ”-” で 63文字以内）」の部分のみです 。 「 サブ ドメイン 」 の 方 は 、 ネット ボランチ DNS サーバー から 自動 で 割る 当てる られ ます 。 CUI から 設定 する こと も 出来る ます が 、 さすが に これ は web GUI で 設定 し た 方 が 遥か に 分かる やすく て 簡単 な の で 、 web GUI を 使う て 登録 する こと に し ます 。

RTX830 の Web GUI にログインしたら「かんたん設定」から「ネットボランチ DNS」を選択し、「設定」をクリックします。「インターフェース」のところには設定済みの PPPoE接続が表示されますので、希望の「ホスト名」を入力して「次へ」をクリック。私の場合は、予め設定していた So-net の IPv4 PPPoE 接続に関連付けています。

利用規約が表示されるので内容に目を通したら「同意する」をクリック。入力内容の確認が表示されるので「設定の確定」をクリックすれば登録完了です。自動的にサブドメインが割り当てられますので、登録されたホスト名を控えておきましょう（確認はいつでも可能です）。

ちなみ に 登録 完了 後 に config を 確認 し て み た ところ 、 以下 の コマンド is 投入 が 投入 さ れ て い まし た 。

 netvolante - DNS hostname host PP Server = 1 ( ホスト 名 ） . ( サブ ドメイン ) . netvolante . JP 

「ネットボランチ DNS」サービスは、現在のところは無料で提供されていますが、希望の名前で登録することが出来るかどうかや、動作に関する保証はありません。また、ヤマハのさじ加減次第では予告なく停止される可能性もあるとのこと。この辺りは無償サービスですから文句は言えませんな。

注意点として、「ネットボランチ DNS」では、個々のヤマハルーターを MACアドレスで識別しているため、機器の入れ替えなどで使用するルーターを変更した場合は、一旦「ネットボランチ DNS」の登録を解除し、入れ換えた機器で改めて登録する必要があるそうです。

また、IPv4 over IPv6 接続で使用される IPv4 アドレスが割り当てられたトンネルインターフェース（v6 プラスや DS-Lite など）では、ネットボランチ DNSサービス（IPv4）を利用することは出来ません。

■ 　「RTX830」への追加設定

続いて、RTX830 の方へ追加のコマンドを投入していきます。こちらも Web GUI を使用することが出来れば簡単なのでしょうが、今のところ（2023年1月時点）で Web GUI から「IKEv2 リモートアクセス VPN」の設定は行うことが出来ないようですので、CUI から設定してみることにします。

うちの場合は既に「v6 プラス」と「IPv4 PPPoE」を併用する設定を終えているので、「pp 1（プロパイダとの IPv4 PPPoE 接続設定）」に関する部分は割愛させて頂きます。未設定の場合は ヤマハのサンプル や「こちらの記事」などを参考ににプロパイダに合った設定を入れて下さい。

基本 的 に ヤマハ が 公開 し て いる 「 リモート アクセス VPN ( ikev 2 ) の 設定 手順 」 と いう ページ の 「 複数 の ikev 2 クライアント の 接続 を 受ける 付ける 設定 例 」 を 参考 に 、 必要 な 部分 に 手 を 加える つつ 設定 し て いく 形 に し ます 。 ご 自分 の 環境 に 合わせる た 設定 に 適宜 読む 替える て ください 。

まず 、 外 から アクセス が あっ た 時 に 応答 出来る よう 「 代理 ARP 機能 」 を 有効 化 し て おく ます 。

ip lan1 proxyarp on

また、先程登録した「ネットボランチ DNS」のホスト名が登録されていることを確認しておきます。

 netvolante - DNS hostname host PP Server = 1 ( ホスト 名 ） . ( サブ ドメイン ) . netvolante . JP 

続く て ikev 2 リモート アクセス VPN 接続 で 使用 する トンネル を 掘る 掘る ・ ・ ・ 。 トンネル 1 は V 6 プラス に 設定 し て いる の で こちら is し は トンネル 2 及び トンネル 3 と し ます 。

tunnel select 2
 tunnel template 3
 description tunnel iPhone
 tunnel encapsulation ipsec
  ipsec tunnel 2
  ipsec sa policy 2 2 esp
  ipsec ike version 2 2
  ipsec ike keepalive log 2 off
  ipsec ike keepalive use 2 on rfc4306 10 3
  ipsec ike local name 2 （ネットボランチ DNS ホスト名） fqdn
  ipsec ike nat-traversal 2 on
  ipsec ike pre-shared-key 2 text （事前共有鍵）
  ipsec ike mode-cfg address 2 1
  ipsec auto refresh 2 off
 tunnel enable 2
ipsec ike mode-cfg address pool 1 192.168.100.200-192.168.100.215/24

「事前共有鍵」をテキストで設定する場合は、128文字以内の ASCII文字（アスキー文字：半角英数字記号）で。こちらは端末の方でも使用するので控えておいてください。「tunnel template 3」は、トンネル 2 と同様の設定をトンネル 3 に簡略化して設定するコマンドです。

「 dhcp Scope 」 に 設定 し て いる アドレス と 「 mode – CFG 」 で 設定 し て いる アドレス は 重複 さ せ ない よう に する 必要 が ある そう な の で 、 「 dhcp Scope 」 の 方 も 確認 し て おく こと 。 うち の 場合 は 「 dhcp Scope 」 が 2 ~ 191 番 、 「 mode – CFG 」 の 方 を 200 ~ 215 番 と し て い ます 。

【IKEv2 クライアント A（iPhone）】
tunnel select 2
description tunnel iPhone
ipsec ike remote name 2 ios fqdn
 
【IKEv2 クライアント B（iPad）】
tunnel select 3
description tunnel iPad
ipsec ike remote name 3 ipados fqdn

トンネル 2 のクライアント名を「ios」に、トンネル 3 を「ipados」としています。私の iPad Pro は Wi-Fi オンリーモデルですが、iPhone からのテザリングで RTX830 への VPN接続可能かどうかも試してみたいと思います。「IKEv2」の VPN を張れる Android端末は持っていないので今回は設定していません。

pp 1（IPv4 PPPoE）の NAT 設定（今回は 2000番）にも以下のコマンドを投入。IPマスカレードによる通信で UDP の 500番と 4500番、及び ESP（IPプロトコル 50番）のポート番号変換を行わないように「静的IPマスカレード」でポート番号を固定しておきます。

nat descriptor masquerade static 2000 4 192.168.100.1 esp
nat descriptor masquerade static 2000 5 192.168.100.1 udp 500
nat descriptor masquerade static 2000 6 192.168.100.1 udp 4500

VPN の通信を遮断しないよう pp 1（IPv4 PPPoE）のパケットフィルタにも透過設定を追加。

ip filter 5000 pass * * esp
ip filter 5001 pass * * udp * 500
ip filter 5002 pass * * udp * 4500

pp select 1
ip pp secure filter in 3000 3001 3002 3003 3020 3021 3022 3023 3024 3025 3030 3032 3050 3051 5000 5001 5002

DNS サーバー は Public DNS を 使う よう に し て い まし た が 、 これ is いけ は そのまま の 設定 で いける そう です 。 ただ 、 「 15 . 02 . 14 」 で DNS リカーシブ サーバー 機能 で 「 EDNS 0 」 に 対応 する よう に なっ て い た の で 、 そちら の 設定 だけ 手 を 加える まし た 。 現在 は 以下 の 様 な 設定 に なっ て い ます 。

dns host lan1
dns service fallback on
dns server 2606:4700:4700::1111 edns=on 2001:4860:4860::8888 edns=on 1.1.1.1 edns=on 8.8.8.8 edns=on
dns cache max entry 1024
dns server select 500000 2606:4700:4700::1111 edns=on 2001:4860:4860::8888 edns=on aaaa .
dns server select 500001 1.1.1.1 edns=on 8.8.8.8 edns=on any . restrict pp 1
dns private address spoof on

で、設定のキモ。「フィルター型ルーティング」を使ってリモートアクセスVPN の通信を IPv4 PPPoE接続に振り分けます。まずは振り分けのためのフィルターを作成。フィルター番号は適当です。

ip filter 10 pass * * esp
ip filter 11 pass * * udp 500 *
ip filter 12 pass * * udp 4500 *

次に経路設定を変更します。ここはミスるとルーターと通信不能になるので気をつけて下さい（苦笑）。

ip route default gateway pp 1 filter 1 2 10 11 12 gateway pp 1 filter 5 hide gateway tunnel 1

他の設定も入っていますが、これでリモートアクセスVPN の通信は pp 1（IPv4 PPPoE）に流れるはずです。ここでフィルタリングされない IPv4 の通信は v6プラスへ。

以上で RTX830側の準備は完了となります。

■ 　iPhone ・ ipad 側 の 設定

引き続き、iPhone・iPad に IKEv2 クライアントとしての設定を行っていきます。ここでは iPhone 13 mini を使って例を示しますが、iPad Pro も「ローカル ID」が変わるだけで他は同様です。

iPhone の ホーム 画面 から 「 設定 」 アプリ を 立つ 上げる 、 「 一般 」 → 「 VPN と デバイス 管理 」 → 「 VPN 」 と 進む ます 。 「 VPN 構成 を 追加 ・ ・ ・ 」 を タップ し て 「 タイプ 」 で は 「 ikev 2 」 を 選択 し 、 以下 の 項目 を 設定 し て いく ます 。

「説明」はなんでも構いません。好きな名前を付けてOKです。「サーバー ID」と「リモート ID」には、共に「ネットボランチ DNS」で取得したホスト名を入力して下さい。また、「ローカル ID」は RTX830 に設定した「ipsec ike remote name」の FQDN を入力します。「シークレット」にも RTX830 で設定した IPsec の事前共有鍵（ipsec ike pre-shared-key）を入力します。

各項目の入力が終わったら「完了」をタップして設定終了です。「VPN」の画面に戻って今回設定した VPN を選択し、「状況」のスイッチをオンにして下さい。IPv4 のアドレスが変わった場合や初回接続時は多少時間が掛かるかも知れませんが、以降は瞬時に繋がるようになるはずです。

ヤマハ の 方 で ikev 2 リモート アクセス VPN 接続 の 動作 確認 が 取れる て いる の は 、 iOS is こと が 「 15 」 「 16 」 、 ipad OS is こと が 「 15 」 「 16 」 と Android is こと が 「 11 」 「 12 」 「 13 」 と の こと です 。 私 is 参照 は Version 10 以降 の Android 機 を 持つ 合わせる て い ませ ん の で 、 Android スマホ など の 設定 に つい て は ヤマハ の 設定 例 を 参照 下さい 。

■ 　外 から 家 に 置く て ある NAS など に アクセス 可能 に !

リモートアクセスVPN の設定が終わったところで早速携帯電話回線から家に置いてある NAS（Synology DiskStation DS218j） にアクセス出来るか試してみました。

Wi-Fi を 切る た 状態 で rtx 830 へ の リモート アクセス VPN に 接続 し 、 web ブラウザ から LAN 内 の NAS の IP アドレス に アクセス し て み た ところ 、 無事 に NAS の 管理 画面 に 入る こと が でき まし た 。

「 Fe File Explorer 」 や 「 vlc 」 など の アプリ を 使う て NAS に アクセス しよう と する と 、 445 番 ポート を 開ける て おく ない と いける ない よう です が 、 ネット 上 に 開ける て おく の は あまり に リスキー な の で 代わり の 手段 を さがす て み た ところ 、 Synology の 「 ds audio 」 「 ds File 」 と いう アプリ を 使える 事 is 分かり が 分かる まし た 。

iPhone で テザリング し た ipad PRO から rtx 830 に リモート アクセス VPN 接続 し て NAS の ファイル に アクセス する と いう 、 ちょっと アクロバティック な こと is 無い を し て も 問題 無い よう です ね 。 携帯 電話 回線 な の で 通信 量 に 気 を つける 必要 は あり ます が 、 かなり 自由 度 is 上がり が 上がる まし た 。

RTX830 の VPN対地数は「20」です が 、 これ を 「 100 」 に 引く 上げる こと の 出来る 「 ysl – VPN – EX 1 」 と いう 買切り 型 の 拡張 ライセンス is 販売 が 税込 27,500 円 で 販売 さ れ て い ます 。 この ライセンス is 購入 は ルーター の シリアル 番号 に 紐 付ける られる と の こと で 、 ヨドバシ カメラ 店頭 など で 購入 する こと が 出来る よう です 。 VPN の 同時 接続 数 を 増やす たい 方 is 検討 は 検討 し て み て 下さい 。

リンク