🔰 Open VPNを使って外からアクセスする方法について

自宅にasustorを設置し、バックアップしたものをSIMフリー/5G/LTE対応ノートパソコンを使って出先でアクセスできるようにしたいと考えています。

AS6604Tを利用しています。


上記を見てVPNServerを設定。

1.2 OpenVPN を設定する を終えて
2.2 OpenVPN の VPN に接続する を設定。

念の為確認したいのがADMにアクセスする為のURL
http://000.000.0.00:8000/portal/index.cgi とあったとします。

下図の例では、VPNサーバーのIPアドレスは172.16.2.102。

これのIPアドレスは、ADMにアクセスするのに利用している
000.000.0.00を入力するで合っていますでしょうか?

STEP 6

接続完了後、システムトレイに [OpenGUI] アイコンが緑になります。それで、Windowsで > ASUSTOR NAS の LAN を使用できます。

ここまでは、設定一応できました。

同じWi-Fi環境内だとアクセスできていますが、
iPhoneのインターネット共有でOpen VPN GUIのログを確認すると

Tue Oct 12 22:29:40 2021 WARNING: Compression for receiving enabled. Compression has been used in the past to break encryption. Sent packets are not compressed unless “allow-compression yes” is also set.
Tue Oct 12 22:29:40 2021 DEPRECATED OPTION: --cipher set to ‘BF-CBC’ but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore --cipher for cipher negotiations. Add ‘BF-CBC’ to --data-ciphers or change --cipher ‘BF-CBC’ to --data-ciphers-fallback ‘BF-CBC’ to silence this warning.

Tue Oct 12 22:29:40 2021 OpenVPN 2.5.4 Windows-MSVC [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Oct 5 2021
Tue Oct 12 22:29:40 2021 Windows version 10.0 (Windows 10 or greater) 64bit
Tue Oct 12 22:29:40 2021 library versions: OpenSSL 1.1.1k 25 Mar 2021, LZO 2.10

Tue Oct 12 22:29:46 2021 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Tue Oct 12 22:29:46 2021 WARNING: INSECURE cipher (BF-CBC) with block size less than 128 bit (64 bit). This allows attacks like SWEET32. Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC). Support for these insecure ciphers will be removed in OpenVPN 2.6.

Tue Oct 12 22:29:46 2021 TCP/UDP: Preserving recently used remote address: [AF_INET]000.000.0.00:1194
Tue Oct 12 22:29:46 2021 UDP link local: (not bound)
Tue Oct 12 22:29:46 2021 UDP link remote: [AF_INET]000.000.0.00:1194

上記のようにエラーと、UDPリンクローカル:(バインドされていません)と表示されてしまいます。
どなたか解決方法を教えていただけると嬉しいです。

ADMディフェンダーのファイアウォールは、すべて許可の状態にしています。
(すべて拒否にした際のクライアントIPは、iPhoneでAiMasterを使用する際、クラウドIDでも入れなくなります。どのIPを入れたら入れるようになるのかも教えてほしいです。)

お問い合わせいただきありがとうございます。
ASUSTOR日本サポート担当の秋山です。

一つ思い違いかも知れませんが、単純に接続するだけでしたら、
VPN設定を終えた後、「NAS本来のイントラネットIP」を使っていただければ接続できます。
(ADM→設定→ネットワーク→ネットワークインターフェースにあるLAN IP)

返信ありがとうございます。
自宅で使用する分に単純に接続することは可能です。
EZ-ConnectのURLからアクセスする方法も出来ており確認済です。

iSCSIイニシエーターを利用し、記憶域からディスクを追加しているのでそれをOpen VPNで接続できるかなと試しているのと、
それが難しければ、ローカルネットワークのように外出先でWi-FiやSIMを利用して直接アクセスできるようにしたいと思いOpen VPNを設定しています。

現状、疑似的に外出先にいる状態にするためにiOSのインターネット共有を利用してネットを繋げOpen VPNを起動すると(スレットに書いてあるとおりエラーが出ています)

ACCはもちろんADA(クラウドID)、AEC(クラウドID)、AES(クラウドID)も接続できません。

NAS本来のイントラネットIP
(ADM→設定→ネットワーク→ネットワークインターフェースにあるLAN IP)

おそらく

LAN 1 / 000.000.0.00

にかかれてあるIPのことだと思うのですが、
http://000.000.0.00:8000//portal/index.cgi
にアクセスしても

このサイトにアクセスできません
000.000.0.00 からの応答時間が長すぎます。

と表示されてしまいます。

Rinenさん

こんにちは
ez-connectやドメイン取得なしに外部からアクセスするにはインターネット上のIPとなるグローバルIPがURLの番号となります。
192.168.xxx.xxxは× プライベートIPであり、LAN内部からしかアクセスすることはできません

IPアドレスの確認
https://www.cman.jp/network/support/go_access.cgi
などで表示されるIPアドレスがグローバルIPです。

もし、自分のグローバルIPを入力して、NASに接続できない場合
ルーターのポートフォワーディング指定をしなければいけません
NASコンソール → 8000,443 等
OPENvpn → UDP 1194 等

簡単な方法はNASをルーターを介さずに直接ネットに接続し(PPPOE接続など)
NASのグローバルIP、または取得したドメインでアクセスすることです。

少々こちらも情報がこんがらがって、状況が不明瞭なのですが、一つお聞かせください。
NASをVPNサーバーにしたいのでしょうか。
それとも外出先でも簡単にNASに接続できるようにしたいのでしょうか。
ご存じかと思いますが、EZ-ConnectのURLは外出先でもWIFIを通して接続することができます。

また、ローカルネットに接続するのであれば、NASにVPNサーバーを構築するのでは無く、ルーターの方にVPNサーバーを構築すれば、遥かに簡単にローカルネットに接続することができます。

ただ、今回お客様のエラーはIOSのインターネット共有によって起こっているのかと思います。
外出先のWIFIでお試しいただけますようお願い申し上げます。

また進展がありましたら、お気軽にご連絡ください。
引き続きよろしくお願いいたします。

devisさん
ありがとうございます!
グローバルIPでもNASに接続することが出来なかったため、
ルーターのポートフォワーディングになるのかなと思いました。
NASコンソールもOPEN VPNも記載されている通りでしがた接続出来ていないため
セキュリティ的にPPPOEでの接続は考えてはいない為
もう少し設定をいじってみたいと思います。

NASをVPNサーバーにし、ローカルディスクのようにローカルネットと(インターネットVPNとして、社内ネットワークとして)接続を図りたいと思っています。

EZ-ConnectもURLで接続できることはおっしゃるとおり存じております。
ですがそれだとローカルディスクとして使用するのは難しく、
データ(写真、iTunes Server、PDF、AI、PSD、 Adobe Creative Cloudフォルダ等)だけでなく、
繰り返しになりますが上記の内容同様
ASUSTORのiSCSIイニシエーターサービスも利用しているためそれも、Open VPNを利用して外でも使えるようにしたい考えもあります。

ルーターの方にVPNサーバーを増築…
こちらの方も踏まえて試してみたいと思います。

ただ、今回お客様のエラーはIOSのインターネット共有によって起こっているのかと思います。
外出先のWIFIでお試しいただけますようお願い申し上げます。

また、外出先のWi-Fiでも同じようにエラーがでて接続できませんでした。
実際の使い方は外出先(実家等)でのWi-Fiでもアクセスを検討していますが
実家や自宅以外での通信は基本的にはSIMをいれたPCでアクセスする予定です。

遅れて申し訳ございません。

大変恐縮ではございますが、やはりルーターにVPNサーバーを構築してください。それにより、お客様がお求めの使い方が実現できるかと思います。
NASのVPNサーバーは基本、外部デバイスから接続して、NASのネットを通してインターネットに接続するものです。(どの会社のNASの設計コンセプトは一緒です。)

以下簡単な概念です。
お客様の方法:外部デバイス→NAS→ルーター→NAS(:heavy_multiplication_x:)
本来の方法:外部デバイス→ルーター→NAS(〇)

再度申し上げますと、お客様のような目的でアクセスをする場合、普通はルーターの方にVPNサーバーを増築するようにしています。
(iSCSIイニシエーターサービスもこの方法での接続は対応していません。ルーターを通して接続すれば問題ありません。)

お手数をおかけしますが、何卒ご理解いただけますようお願い申し上げます。
※SIMを入れたPCで使うことは可能ですが、同様にルーターのほうから接続してください。