ページ : 1 2 3
<この記事を全て表示する場合はこちらをクリック>
2013/01/15 加筆
この記事で記載しているMSCHAPを用いたPPTP接続は悪意のある第三者に通信内容を傍受された場合、不正に接続出来てしまう危険性があると報告されています。
インターネット経由のVPNアクセスには別の方法を利用してください。
例えば、この記事で紹介しているルータ単体では出来ないですが、SSHDを稼働させることが出来れば、以下の手順でSSHトンネルを用いて自宅ネットワークにアクセスする事が出来ます。SPモード経由で自宅のTVROCKにアクセスする方法
https://pnpk.net/archives/3568
実際にAndroid携帯から自宅ネットワークにVPN経由でアクセスする手順を記載しました。
VPNを利用する事で、自宅にいない時にも自宅のネットワーク機器やパソコンにアクセスする事が出来るようになります。
例えば若干分かりづらいと思いますが、以下の画像のように、VPN経由でリモートデスクトップを使って自宅の端末を操作するという事も出来ます。
※Remote Desktop Clientという有償アプリケーションを利用しています。
利用した機器は現行バージョンより古い無線LANルータ(WZR-HP-G301NH)ですが、
最新のモデルでもほぼ同様の操作でおそらく同じことが出来ると思います。
一応作業を行う前にファームウェアは最新の状態にアップデートしておきました。
手順も特に難しい設定は無く、大きく分けて以下のステップで実施できます。
- WZR-HP-G301NHの設定(PPTP機能の有効化)
- Android OSの設定(PPTPクライアントの設定)
非常に簡単です。
PPTPサーバ側の設定(WZR-HP-G301NH)
PPTPサーバ機能を有効にする前に、WZR-HP-G301NH(もしくはWZR-HP-G302NH)を利用してインターネットに接続出来る環境を構築しておいてください。
PPTPサーバ機能は自分も今まで実装されていた事すら気づいていなかったのですが、
PPTPサーバー機能の有効化
WZR-HP-G301NHの管理画面にログインし、[Internet/LAN]→[PPTPサーバー]を選択して[PPTPサーバー設定
]を表示します。
この時、WZR-HP-G301NHがルータモードで動作していなければPPTPサーバの設定が表示されないことに注意してください。
画面表示後、[PPTPサーバー機能]の[使用する]にチェックを入れて[設定]ボタンを選択します。
これでルータのPPTPサーバー機能は有効になりました。
PPTP接続ユーザーの登録
次に、PPTP接続を行うユーザを登録します。
同じ画面の下部にある[PPTP接続ユーザーの表示]から、[PPTP接続ユーザーの編集]ボタンを選択します。
[IPアドレス割り当て方法]はルータのIPアドレス割り当てがDHCPを選択していれば[DHCPサーバー設定の範囲から取得]に設定して問題ありません。
ただし、内部ネットワークのセキュリティ制限をIPアドレスによって制御する場合等、接続ユーザによって利用出来るIPアドレスを固定にしたい時には、[固定IPアドレス]等を選択してみるのもいいと思います。
※Android端末はPPTP接続用のパスワードを記録してくれないので、あまりに長いパスワードを入れると入力に疲れます。
ただし、あまりに簡単すぎても第三者のログインを許してしまう可能性があるので、パスワードに関してはある程度(8ケタのパスワード)等で設定し、ユーザー名に難解な文字列を入れるのも有効な気はします。
登録が正常に実行できた場合には、[PPTP接続ユーザーの表示/操作]の一覧に先ほど登録されたユーザー名が表示されます。
これでユーザーの登録も完了です。
それでは、この設定を利用して、実際にAndroidデバイスからPPTPサーバに接続してみましょう。
PPTPクライアント側の設定(Androidデバイス)
今回利用したデバイスはソフトバンクX06HT HTC Desireという機種で、OSも若干変更していますが、PPTPを利用したVPN接続はXPERIA、GALAXY S SC-02Bを含む、Android1.6以降を搭載したスマートフォンで利用する事が出来ますので、若干設定画面が異なる場合はあるかもしれませんが、基本的に同じと考えて良いと思います。
VPN設定画面を開く
端末を起動し、メニューから[設定]を開きます。
[無線とネットワーク]を開きます。 [VPN設定]を開きます。VPN設定の追加
[VPNの追加]を選択します。 [PPTP VPNを追加]を選択します。PPTP VPNを追加設定
先ほど設定したPPTPサーバへ接続する設定を登録します。
- VPN名 この接続の名前を任意で入力します。この場合は名前を”自宅”としました。
- VPNサーバーの設定 サーバのIPアドレスもしくはDNS名を入力します。
- 暗号化を有効にする チェックを入れます。
- DNS検索ドメイン 何も指定しなくて問題ありません。
最後に保存を行い、設定完了です。
サーバの接続IPに関しては、通常PPPoE接続であれば、IPアドレスは可変なので注意してください。
この点はDDNSを事前に登録しておくなどで回避する事が出来ます。
※ただし今回はDDNSの説明や登録方法に関しては触れていません。
※ここで入力するIPアドレスとは、ルータの内部アドレスではなく、インターネットに出る際のIPアドレスです。
この設定値はルータ管理画面から、、[Internet/LAN]→[DDNS]を選択し、[ダイナミックDNS設定情報]の
[Internet側IPアドレス]という項目で確認する事が可能です。
設定が完了すると、VPN設定の一覧に先ほど登録した設定が表示されます。
接続を開始する
それでは設定した項目が実際に利用出来るか試してみましょう。
一覧に表示されたVPN設定(ここでは”自宅”)を選択すると、以下のようなポップアップが表示されます。
ここに先ほどPPTPサーバ側で設定したユーザー名とパスワードを入力して[接続]ボタンを選択します。
上手く接続が完了すると、以下のようなメッセージが画面上部に表示されます。
接続の確認
Androidデバイスからの接続確認
PPTP接続後、WEBブラウザを起動させて、PPTPサーバ(WZR-HP-G301NH)に対してローカルアドレスでアクセスしてみてください。
正しく接続出来ていれば、管理画面がAndroidデバイスから確認出来るはずです。
PPTPルータからの接続確認
PPTPルータから接続ステータスを確認する場合には、先ほどの[PPTP接続ユーザーの表示]にアクセスしてみてください。
画面上に現在接続しているユーザー名と利用しているIPアドレスが表示されます。
PPTP接続を行った際のPPTPサーバ側に残るログについて
PPTP接続を行った際のPPTPサーバ側に残るログについても一応確認してみました。
・・・が、自分が確認した範囲のログからでは、どのアカウントでログインしたのかは把握出来ませんでした。
PPTP認証に失敗した場合に残るログ
PPTP認証に成功した場合に残るログ
まとめ
あえて現状無線LAN機器を持っているのであれば新規購入する必要もあまり無いのかもしれないですが、これから無線LANルータを買おうと思っていたり、自宅ネットワークへ外部からアクセスするお手軽な方法が欲しい場合には費用もそこまでかかりませんし、お勧めの方法だと思います。
ただし、VPNセッションを外から接続できる環境を作るという事で、最悪の場合には自宅ネットワークに見ず知らずの人が侵入してくる可能性もある。
という事を頭の片隅に入れておいた方が良いです。
>通りすがりさん
こんばんは、コメントありがとうございます。
仰る通り、PPTPは去年脆弱性について指摘されているので、たしかにこちらの記事に推奨でない旨、記載しておくべきですね。
指摘ありがとうございます。
後ほど文頭に注意事項加筆させてもらいます。
DEFCON参加の専門家、「MS-CHAP v2」をクラックするツールを発表
http://japan.cnet.com/news/service/35019787/
PPTPでVPN構築はお勧めできない。
(確かに、安価ではあるが)
既に解読方法が確立されており、
決してセキュアな通信ではない。
その旨、注意を記載するべき。
御提言戴きました方法試しましたが無理でした。申し送れましたが他のPCやSONYタブレットからはインターネットからルーターの設定画面に入れる環境ですのでAriaだけの問題の様に思います。長期戦で頑張ってみます。ご親切に有難うございました。又情報等ございましたら御教唆下さい。
早速のアドバイス有難うございます。今夜戻りましたら挑戦させて頂きます。
>宮脇敏夫さん
こんばんは、コメントありがとうございます。
最近Androidを利用したVPN、使わなくなってしまってうろ覚えなのですが、標準ブラウザだとVPNのルーティングを経由出来なかったか、VPN経由で指定したDNSを利用して名前解決が出来なかったか、その辺の問題があった気がします。
お試しいただけるのであれば、以下の2点、動作確認してみてください。
・標準ブラウザ以外を利用してみる
・DNS名ではなく、IPアドレスで相手先ホストと通信を行ってみる
たしかDNS設定の方がネックになっていた気がします。
検討違いな事を書いていたら指摘ください。
何かしらのお役に立てれば幸いです。
よろしくお願いします。
いろいろと参考になりました。お蔭様で無事VPN接続に成功しました。しかし私には1つ大切な課題が残っております。
スマホ HTC Aria s31HTでVPN接続時にブラウザが開けないのです。
考えられる原因を御教唆頂ければ幸いです。
こんばんは、コメントありがとうございます。
>softbank zannenさん
ネットワーク的な部分なのか、OS的な部分なのか切り分け出来ていませんが、ipadからの接続が可能だったという事であれば、OSもしくはAPN設定に何か変更が加わっている可能性はあるかもしれません。
今後もテザリングを解禁・・・等スマートフォン事情も少し変わってきそうですが、新しいAndroid OSのバージョンからテザリング利用時にAPNを切り替える設定が出来たからという事だったので、OS側のキャリア側の視点に立った仕様変更はあり得るかもしれません。
現在はまだほとんどソリューション出ていませんが、SSL-VPNを利用したVPNを利用したり、少し敷居が高いですが、リバースプロキシを利用したSSL経由のセキュアアクセス等にシフトしていくのが今のところは無難かなとは思っています。
Android OSがOSレベルでSSL-VPNをサポートしてくれると良いのですけども。
>techitechiさん
たしかに自分の環境でも暗号化のチェックを外さなければVPN接続出来ませんでした。
Android OS側というよりは、Mopera側の制限な気がします。
ただ、Android側のVPN設定項目の[DNS検索ドメイン]に関しても、いまいち設定した通りに動作していないような気もしますし、この辺は直近タイミングあるか分かりませんが、NTTドコモの担当者の方とお話し出来たタイミングで聞いてみたいと思います。
VPNが安定して利用出来ると、スマートフォンの利用価値はかなり向上するので、是非とも方法を確立したいところです。
直近暗号化無しでのみの接続になるようであれば、内部的な通信にHTTPSを利用するなりである程度の回避は出来るかもしれませんが、安心して使う事は難しいかもしれないですね。
VPN接続の参考にさせて頂きました。
当方Docomoのmopera U接続でVPN接続をしていますが、 暗号化を有効にする 設定でチェックを入れた状態だとWZR-HP-AG300Hに接続はするがルーターの設定画面すら表示できない状態です。暗号化のチェックを外し、ルーターのPPTP設定で接続認証を変えることで設定画面が表示されるようになり、他のアプリ(SQL等)も動くようになりましたが、Mopera Uの仕様なのかAndroidの仕様なのか切り分けができない状態です。公衆Lanから接続は試していませんが、セキュリティーに不安が残るのは何とも困ったものです。
私の場合、ソフトバンクですが、
接続は可能ですが、私の場合、3Gではインターネットできませんでした。
ソフトバンクが制御しているようです。
http://kukuro.blog37.fc2.com/?mode=m&no=48
ここで使えるようになりましたが、ソフトバンクとしては通信を認めてないのではと思います。
使えるようになりましたが、もうひとつ問題があります。
一定のパケット通信をすると、止められます。
会社内のvpnに接続したのでずか、「テストサイト」という文字を表示するサイトを作成して確認したら、うまくいきますが、「テストサイト、テストサイト・・・・・」と500回繰り返した容量の多いページを開くと途中で止められます。(フリーズ)
ショップへ行って確認もしてもらいましたが、相手にしてくれません。
ショップの別メーカーのを貸してもらって試したら、同じ症状でした。次にipadを貸してもらって確認したら、その症状がでません。
思うに、softbankのandroid携帯に何か、通信制御しているソフトを組み込んでいるようです。
だったら、最初から、vpn接続を消しておいてほしい。購入前に確認して購入しているのに、後から「出来ません」と言われても、2年契約で解約すると違約金が発生するそうです。・・・最悪
今まで、職場でVPN接続していたのでずか、出張が多くなって、携帯で確認したい事例がたくさんあります。
vpnが出来きないと、自宅のテレビの録画予約や、介護のばぁさんのwebカメラが使えない、電話の留守録聞いたりできない。
>shiritaiさん
こんにちは、コメントありがとうございます。
VPNアクセスする際のVPNサーバのIPアドレスは自宅のIPアドレス(グローバルアドレス)になります。ですので、記載いただいた中だと、インターネット側のIPアドレスの2番になります。
また、今使っているIPアドレスを確認する場合は、例えば以下のサイトにアクセスする事で確認することが出来ます。
確認くん
http://www.ugtop.com/spill.shtml
その他の注意点としては、自宅で利用しているプロバイダ、携帯電話キャリアの両方がPPTP接続に対応している必要があります。(利用しているルータは対応している前提です)
自宅の環境ですと、ケーブルテレビや、一部のマンションタイプの回線を利用している場合、接続出来ない事があります。
携帯キャリアの場合、NTT DocomoのSPモードを利用しているとPPTP接続を行う事が出来ません。(この場合、現状mopera Uを利用する事で回避する事は出来ます。)
的を得た回答になっていないかもしれませんが、引き続きよろしくお願いします。
はじめまして、Shiritaiです。
VPNの設定仕方を丁寧にお書き、とても分かりやすいかったです。
指示通りにPPTP接続ユーザの新規までができました。(自宅のPCでの環境で)
ただ、IS03での設定では、VPNサーバの設定はアドレスが間違ったのか、自宅のPCにうまく接続できなったです。
サーバアドレスは以下のどれのアドレスを記入すればいいのか、良かったら、教えていただけないでしょうか。(色々と試して入れてみますが。。。;;)
1.無線機(AirStaion)の書いたIPアドレスか
2.ダイナミックDNS設定情報の(インターネット側のIPアドレス)か
3.その他(具体的に分かれば教えてくださいませんか)
以上です。よろしければ、教えて頂けないでしょうか。
こんばんは、コメントありがとうございます。
自分が試した限りではVPN経由のアクセスはテザリングしている端末から接続できませんでした。
VPNセッションを開始する際にデフォルトゲートウェイがVPNゲートウェイ側になってしったかと思いますので、もしかすると配下の端末のIPアドレスレンジのスタティックルートを追加出来れば接続する事も出来るかもしれません。
現状利用OSをOxygen v2.0-RC7に変更したところ、VPNが上手く接続出来なくなってしまったため、手元に確認できる環境が無いため試せていないのですが、以下のサイトのようにAndroid OSに対してルーティング情報の追加が出来れば出来る可能性はあるのかなと思います。ちょっと自信無いですけど。
http://blog.chavant.info/2010/08/20/android-usb-tethering-internet-computer-android
役に立たなくて申し訳ないです。
この状態でAndroidでWifiテザリングをした場合、そこにぶら下がる端末もLANに参加できるでしょうか?