都市部の戸建て住宅や全国の集合住宅ではテレビ映像の配信にケーブルテレビの設備を使っています。
この設備が導入されていればテレビ映像配信設備を使ったインターネット回線サービス「J:COMインターネット」が最短4日で開通します。
また、全国の集合住宅では「J:COM in My Room」という集合住宅管理者の費用負担により無料または格安でJ:COMインターネットを利用できるサービスも展開されています。
このJ:COMインターネット回線、今となっては貴重な「グローバルIPv4アドレス」を「ほぼ固定」で提供してくれるサービスです。
この記事では、J:COMインターネット回線と小型・高性能ルーター「GL.iNetトラベルルーター」を使って外出先からいつでも自宅ネットワークに接続できるVPN(WireGuard)サーバー環境を構築していきます。
今ならテレビとセットで大幅割引
J:COMインターネット回線でやりたいこと
この記事でやりたいことは「外出先からいつでも自宅ネットワークに接続できる」環境の構築です。
いつでもどこからでも自宅ネットワークに接続し、自宅のサーバーやウェブカメラなどを自宅にいるときと同じように利用できる環境の構築です。
さらに、外出先の怪しいインターネット回線ではなく信頼できる自宅ネット回線(J:COM回線)からインターネットへ出ていくことができる環境も含みます(Exit Node)。
外出先からWireGuard VPNで接続したい
この要件を実現するために、WireGuardによるVPNサーバー/クライアント環境を構築します。
WireGuardは現在では最新・最速・最軽量かつもっとも暗号化セキュリティが高いとされる最新のVPNプロトコルであり、特に外部要件がない限り今からVPN環境を構築するならWireGuardで構築すべきです。
WireGuardによるVPN環境構築はLinuxサーバーのコマンド操作に慣れていない場合は結構面倒な作業ですが、ここではサクッとWireGuard環境を構築してくれる小型ルーターとして「GL.iNetトラベルルーター」を利用します。
J:COMインターネット回線で外出先から接続できるのか?
J:COMインターネット回線は今時珍しい「グローバルIPv4アドレスをほぼ固定で付与してくれる」という回線です。
J:COMケーブルモデムのWAN側にはグローバルIPv4アドレスが付与されるので、そのIPv4アドレスを使えばインターネットからJ:COMケーブルモデムへ接続することができます。
GL.iNetトラベルルーターを使う
さらに、この外部からの接続を「DMZホスト」としてGL.iNetトラベルルーターへ転送することで、GL.iNetトラベルルーターを自宅WireGuardサーバーとして利用することができます。
つまり、インターネット回線接続はJ:COMケーブルモデムに任せる、ファイアウォール・アドレス変換(NAT)・Wi-Fiなど自宅ルーターの役割ははGL.iNetトラベルルーターに任せる、という役割分担です。
WireGuardサーバー機能
GL.iNetトラベルルーターはルーターOS「OpenWrt」の高機能を独自のインターフェースで簡単操作できる仕組みになっています。
ちょっと面倒なWireGuardサーバー環境の構築もインストールから鍵情報の生成まで1分程度で完了します。
ダイナミックDNS機能
さらにGL.iNetトラベルルーターは外部(インターネット)から名前でアクセスできるダイナミックDNSの機能・サービスを標準提供してくれます。
別途有料・無料のダイナミックDNSサービスを利用しなくても、ボタンひとつで外部から名前でアクセスできる仕組みを搭載しています。
本記事の前提条件
本記事ではJ:COMケーブル回線およびGL.iNetトラベルルーターを使ってWireGuard VPNサーバーの環境を構築していきます。
本記事の前提条件を記しておきます。
J:COMインターネット回線
我が家のJ:COM回線は「320Mコース」です。
J:COMでは現在全国的に「1Gコース」のエリア展開を進めていますが、まだ多くの地域においては主力は320Mコースです。
本記事では320Mコースの回線において説明していきますが、1Gコースでも同様です。
しかし、注意点があります。
J:COMケーブル回線
J:COMではケーブル回線によるサービスと光回線によるサービスを提供しています。
1Gコースまではケーブル回線であり、ケーブルテレビの設備を使ったインターネット接続サービスです。
そして、本記事の対象はこの「ケーブル回線」となります。
同じ1Gコースでも光回線を使った「J:COMネット光」という回線サービスがありますが、これはKDDIのauひかりによるサービスとなります。
よって、「J:COMネット光」回線サービスの場合は本記事の対象外となります。
※たぶん同様に動作すると思いますが未確認なので・・・
1Gコースには「ケーブル回線」と「光回線」があるのでご注意ください。
ケーブルモデムは「HUMAX HG100R-02JG」
本記事ではJ:COMインターネットに接続されているケーブルモデムは「HUMAX HG100R-02JG」とします。
他にも複数種類のケーブルモデムがありますが、我が家のケーブルモデムがこれなので・・・。
無線モデム|HUMAX HG100R-02JG|基本仕様・設定方法 | J:COM
ただし、J:COMのケーブルモデムはどれも同じ機能であり、ご利用の機種に読み替えることで同じような環境構築はできるはずです。
GL.iNetトラベルルーター
本記事ではインターネット接続をJ:COMケーブルモデムを利用、自宅ネットワークをGl.iNetトラベルルーターで構築、という役割分担とし環境構築していきます。
本記事で使用するGL.iNetトラベルルーターは以下の機種「GL-AXT1800(Slate AX)」です。
同様の機種が複数ありますが、どの機種を選べばよいかは文末最終章にてご紹介しています。
本記事で構築するネットワーク構成図
本記事ではJ:COMインターネット回線とGL.iNetトラベルルーターを使って、外出先からいつでも使える自宅WireGuardサーバー環境を構築します。
J:COMインターネットを使った通常の自宅ネットワーク構成と、本記事で構築するWireGuardサーバー環境の違いを説明しておきます。
通常のJ:COMインターネット構成図
通常J:COMインターネットを使った自宅ネットワークは以下のような構成になります。
通信機能に加えてファイアウォール機能・ルーティング(NAT/NAPT)機能、さらにWi-Fi機能までをJ:COMケーブルモデムがやってくれるので、すべてJ:COMケーブルモデム配下で自宅ネットワークを構成します。
本記事でのネットワーク構成図
本記事ではインターネット通信機能だけをJ:COMケーブルモデムに任せ、ファイアウォール機能・ルーティング(NAT/NAPT)機能、さらにWi-Fi機能をGL.iNetトラベルルーターに任せます。
つまり、自宅ネットワークはGL.iNetトラベルルーター配下に構築します。
その上で、GL.iNetトラベルルーターの機能を使ってサクッとWireGuardサーバー機能を構築していきます。
本記事の作業手順
本記事記載のWireGuard VPN環境構築は以下のような手順で進めていきます。
- STEP1J:COMケーブルモデムの状態確認とDMZホスト設定
まずはJ:COM回線に接続されているJ:COMケーブルモデムの状態(IPアドレスなど)確認を行います。ここで確認する内容はSTEP2でのGL.iNetトラベルルーターの設定内容となります。
また、同時にGL.iNetトラベルルーターを「DMZホスト」として登録します。
- STEP2GL.iNetトラベルルーターの設定
ここではGL.iNetトラベルルターをJ:COMケーブルモデムのDMZホストとして動作する環境の構築を行います。さらに、簡単な操作でWireGuardサーバーとして動作するまでの設定を行います。
- STEP3WireGuardクライアントの設定
STEP2にてWireGuardサーバーの環境構築は完了しています。STEP3では外出先パソコンとしてWindows10パソコンへWireGuardクライアントの環境構築を行います。
- STEP4WireGuardネットワークでの疎通確認
ここまでの作業でWireGuardネットワークの環境構築は完了しています。STEP4では外出先から自宅ネットワークへWireGuardで接続し、疎通確認を行います。
STEP①J:COMケーブルモデムの状態確認とDMZホスト登録
まずは現在インターネット接続されているJ:COMケーブルモデムの回線状況を確認していきます。
併せて、J:COMケーブルモデムにGL.iNetトラベルルーターを「DMZホスト」として登録します。
J:COMケーブルモデム側の設定
本記事ではJ:COMケーブルモデムとして「HUMAX HG100R-023G」を使います。
画面構成の説明は本機種に基づいて説明しますが、他のケーブルモデムでも同様の情報および設定が可能なのでそれぞれご利用のケーブルモデムに合わせて読み替えてください。
ケーブルモデムの状態確認
まずはケーブルモデムがJ:COM回線につながっている状態で各種情報を確認(控えておきましょう)します。
確認すべき情報は以下の情報となります。
- LAN側のIPアドレス
- LAN側のDHCP配布IPアドレス範囲
- WAN側のIPアドレス
- DNSサーバーのIPアドレス
上記の情報を「HUMAX HG100R-23G」にて確認します。
まずメニュー「基本設定 > ステータス」より以下の情報が確認できます。
ここでは以下の情報を確認できます。
・WAN側IPアドレス
・DNSサーバー
また「詳細設定 > セットアップ」より以下の情報が確認できます。
ここでは以下の情報を確認できます。
・LAN側IPアドレス
・DHCPサーバー配布アドレス範囲
以上の確認情報を控えておきましょう。
| ケーブルモデム 本体IPアドレス(LAN側) |
192.18.0.1 |
|---|---|
| DHCPサーバー 配布アドレス範囲 |
192.168.0.10~ |
| WAN側IPアドレス | 119.***.***.*** |
| DNSサーバー | 116.223.205.249 122.197.254.139 |
我が家の環境では上記のように確認できました。
GL.iNetトラベルルーターのWAN側IPアドレス
上記の情報をもとに、まずはGL.iNetトラベルルーターのWAN側IPアドレスを決めておきましょう。
ケーブルモデムの本体IPアドレスが「192.168.0.1」であり、DHCPサーバーのアドレス配布範囲が「192.168.0.10~」です。
つまり「192.168.0.10」以降のIPアドレスはDHCPサーバー配布IPアドレスと競合する可能性があります。
なので、GL.iNetトラベルルーターのWAN側IPアドレスは競合しないように「192.168.0.2」とします。
| GL.iNetトラベルルーター WAN側IPアドレス |
192.168.0.2 |
|---|
ケーブルモデムのDMZホストを設定
メニュー「詳細設定 > DMZホスト」画面からGL.iNetトラベルルーターのIPアドレスを設定します。
さきほど「GL.iNetトラベルルーターのWAN側IPアドレスは192.168.0.2」と決めたので、DMZホスト設定画面にて「192.168.0.2」を設定します。
「192.168.0.2(GL.iNetトラベルルーター)」を「DMZホスト」として登録することで、インターネットからグローバルIPv4アドレスでの接続があればそのすべての通信をDMZホスト(192.168.0.2)へ転送する、という仕組みが出来上がります。
「DMZホスト」とは?
ここで設定する「DMZホスト」について説明します。
ケーブルモデムはファイアウォール機能があるので初期値として「内部(LAN)から外部(インターネット)は通信許可」「外部(インターネット)から内部(LAN)へは通信拒否」という動作が基本です。
この基本設定において「外部(インターネット)から内部(LAN)へはすべてDMZホストへ転送」という動作を行います。
つまり外出先やインターネット上の誰かがケーブルモデムのIPアドレスへ接続してきた場合には無条件でいったんDMZホスト(今回はGL.iNetトラベルルーター)へ転送されます。
これでは「GL.iNetトラベルルーターが危険じゃないの?」という疑問もありますが、大丈夫!GL.iNetトラベルルーターはそれ自体がインターネット接続用ルーターなので、きちんとファイアウォールの機能が動作しています。
STEP②GL.iNetトラベルルーターでWireGuardサーバー構築
J:COMケーブルモデム側の情報確認と設定が完了しました。
ここからはGL.iNetトラベルルーターでWireGuardサーバーの環境構築を行っていきます。
なお、はじめてGL.iNetトラベルルーターを見る方も多いと思いますので、一応「購入初期状態」からの操作設定から説明してきます。
購入時の初期設定
GL.iNetトラベルルーターの初期状態では本体IPアドレスは「192.168.8.1」に設定されており、DHCPサーバーは有効な状態です。
また、GL.iNetトラベルルーターの操作設定はブラウザ上の「管理パネル(Admin Panel)」で行います。
GL.iNetトラベルルーターを初めて使う場合にはクライアントPCのブラウザから「192.168.8.1」に接続し「管理パネル(Admin Panel)」を開きます。
言語選択と管理者パスワードの設定
GL.iNetトラベルルーターは初期状態で本体IPアドレスは「192.168.8.1」に設定されています。
ブラウザで「192.168.8.1」に接続するとGL.iNetトラベルルーターの初期画面が表示されます。
購入後の最初のアクセスでは「言語」の選択設定が必要、「日本語」を選んで「次へ」を押下します。
次の画面では管理パネル(Admin Panel)の管理者パスワードを設定します。
管理者パスワードは「英大文字・英小文字・数字・記号」から最低2種類の文字を使い「10文字から63文字」の範囲でパスワード設定します。
「脆弱なパスワードを使用しない」をオフ(左へスライド)にすることで、上記ルールによらないパスワード設定も可能です。
管理パネル(Admin Panel)にログインすると最初に上図のような接続図が表示されます。
これで初期設定とログイン完了です。
タイムゾーンの設定
ログインすると最初に「タイムゾーンの設定」を促されます。
管理パネル(Admin Panel)メニュー「システム > タイムゾーン」から「同期する」ボタン押下により、お使いのブラウザと同じタイムゾーンに自動設定されます。
なお、手動設定ももちろん可能で、日本時間での設定の場合はタイムゾーン「Asia/Tokyo」を一覧選択します。
インターフェース接続設定
では、GL.iNetトラベルルーターを正しく(DMZサーバーとして)J:COMケーブルモデムと接続していきます。
ここからはJ:COMケーブルモデムのLANポートとGL.iNetトラベルルーターのWANポートが有線LANケーブルで接続されていることを前提とします。
管理パネルメニュー「インターネット 」から「有線」の設定を行います。
すでに初期状態で「DHCPクライアント」接続によりJ:COMケーブルモデムと接続されていますが、J:COMケーブルモデム側の「DMZホスト設定」で「DMZホストは192.168.0.2」と設定しています。
このIPアドレスを設定します。
「有線」の「変更する」ボタンを押下します。
プロトコルに「Static(固定IPアドレス)」を選び、以下の設定を行います。
| IPアドレス | 「DMZホスト」として設定したIPアドレス ※今回は192.168.0.2 |
|---|---|
| ネットマスク | 255.255.255.0 |
| ゲートウェイ | J:COMケーブルモデムの本体IPアドレス ※今回は192.168.0.1 |
| DNSサーバー1/2 | J:COMケーブルモデムで状態確認したDNSサーバーアドレスを設定 |
以上を設定したら「適用する」ボタンを押下。
「有線」設定において設定値が反映されればインターフェース定義は完了です。
すでにインターネットに接続している状態、およびJ:COMケーブルモデムのDMZホストになっている状態です。
ダイナミックDNSの設定
外出先から自宅(GL.iNetトラベルルータ)へアクセスするときにIPアドレスではなく名前でアクセスできると便利です。
さらに、J:COM回線のIPv4アドレスはほぼ固定とは言ってもメンテナンスがあると時々IPv4アドレスが変更されてしまいます。
このような場合にIPv4アドレスが変更された場合でも同じ名前でアクセスできる仕組みを提供してくれるのが「ダイナミックDNS」です。
GL.iNetトラベルルーターでは1台につき1つの名前(〇〇〇〇.glddns.com)を提供してくれ、この名前でダイナミックDNSを利用することができます。
管理パネルメニュー「アプリケーション > ダイナミックDNS」を開きます。
まず、画面上にあなたの使える名前「〇〇〇〇.glddns.com」が表示されているので、確認してください。
ダイナミックDNSを有効にします。
| 有効にするDDNS | オン(右へスライド) |
|---|---|
| HTTPリモートアクセスを有効にする | オフ(左へスライド) |
| HTTPSリモートアクセスを有効にする | オフ(左へスライド) |
| SSHリモートアクセスを有効にする | オフ(左へスライド) |
| 読んだ上で同意します | チェックする |
上記を確認して「適用する」ボタン押下。
これでGL.iNetトラベルルーターが提供するダイナミックDNSが有効になりました。
1分程度したらコマンドプロンプトで確認してみてください。
C:\nslookup 〇〇〇〇.glddns.com
サーバー: console.gl-inet.com
Address: 192.168.8.1
権限のない回答:
名前: 〇〇〇〇.glddns.com
Address: 119.***.***.***
C:\
「Address」欄にJ:COMケーブルモデムで確認した「WAN側IPアドレス(つまりJ:COMから付与されているIPv4グローバルアドレス)が名前解決できる状態になっています。
以降、J:COM回線を経由してGL.iNetトラベルルーターへのアクセスはこの名前を使って接続することができます。
WireGuardサーバー構築
では、いよいよGL.iNetトラベルルーターにWireGuardサーバー環境を構築します。
WireGuardサーバーのインストール
管理パネルメニュー「VPN > WireGuardサーバー」画面へ移動します。
WireGuardサーバー画面から「設定する」ボタンを押下します。
次の画面で「開始する」ボタンを押下するとステータスが「WireGuardサーバーは現在ONです」と変わります。
以上でWireGuardサーバーの環境構築は完了です、たったこれだけです。
以降、WireGuardサーバーの「起動」「停止」は本画面上部の「開始する」「停止する」からいつでもWireGuardサーバーのオン/オフができます。
WireGuardサーバーのネットワーク設定
次にWireGuardサーバーのネットワーク設定を行います。
管理パネルメニュー「VPN > VPNダッシュボード」へ移動します。
GL.iNetトラベルルーターで設定している「WireGuard」「OpenVPN」の管理ができる画面です。
VPNダッシュボードのWireGuardサーバーから「設定アイコン」をクリックします。
「LANへのリモート接続を許可する」をオン(右へスライド)に設定し「適用する」ボタンを押下します。
この設定により、WireGuardクライアントはWireGuardネットワーク内でいつもの自宅ネットワーク(LAN)と同じように(同じIPアドレスで)ネットワークへアクセスできるようになります。
クライアント用の鍵ファイルの作成
WireGuardではクライアント側(外出先で使うパソコン・スマホなど)の設定時にサーバー側で作成したセキュリティ鍵ファイルが必要です。
これもはWireGuardサーバー側で作成し、クライアントに読み込ませる仕組みとなっていて、サーバー側では接続するクライアントごとに作成する必要があります。
GL.iNetトラベルルーターではクライアント用の鍵ファイルも簡単に作成することができます。
管理パネルメニュー「VPN > WireGuardサーバー」へ移動します。
「プロファイル」タブを開きます。
「プロファイル」とはGL.iNetがクライアントへ提供するセキュリティ鍵のことです。
つまり「プロファイル」タブはWireGuardサーバーへ接続するクライアントの管理画面でもあります。
この画面で「プロファイルの追加」を押下します。
「クライアント設定」画面からクライアント名称を設定します。
このクライアント名称がWireGuardサーバーで管理するクライアントの名前になるので、わかりやすい名前を付けておくとよいですね。
「クライアント名称」を入力したら「適用する」ボタン押下します。
「プロファイル(セキュリティ鍵)」が作成されます。
「DDNSドメインを使用する」をオン(右へスライド)しておけば、先ほど登録したダイナミックDNSによるドメイン名「〇〇〇〇.glddns.com」での接続が可能なプロファイルが作成されます。
オフの場合には
クライアントがスマホの場合はQRコードを読み取ることで設定完了となります。
パソコンの場合はプロファイル(セキュリティ鍵)をファイルとしてダウンロードし、そのファイルをクライアントのWireGuardアプリに登録することになります。
今回、私はクライアントとしてWindowsパソコンを使うので「ダウンロード」して鍵ファイルをいったん保存します。
今後、WireGuardクライアントを追加していく場合もこの「プロファイル」の追加作成により作成・管理していくことになります。
STEP③WireGuardクライアント環境の構築
WireGuardクライアント側の設定を行います。
WireGuardクライアントは「アプリのインストール」「アプリに鍵ファイル(プロファイル)を読み込ませる」という手順でVPNクライアントとします。
WindowsやMacなどのほか、AndroidスマホやiPhoneなどもクライアントとすることができます。
今回はWindowsパソコンをWireGuardクライアントとして設定していきます。
アプリのダウンロードとインストール
WindowsやMac用のWireGuardクライアントアプリはWireGuardのホームページからダウンロードします。
※AndroidスマホやiPhoneはそれぞれのアプリマーケットからダウンロードします。
WireGuard Installation | WireGuard
アプリをダウンロードしたら実行ファイルをクリックしてインストールします。
アプリがインストールされると、タスクトレイにWireGuardアプリが常駐します。
プロファイルの登録
アプリがインストールされたらサーバー側で作成したプロファイル(セキュリティ鍵ファイル)を登録します。
タスクトレイのアイコンを右クリックし「トンネルの管理」を選択します。
WireGuardクライアントアプリの画面が表示されます。
「ファイルからトンネルをインポート」ボタン押下でファイル選択画面が表示されるので、先ほどGL.iNetトラベルルーター側で作成したプロファイルを読み込ませます。
インターフェースは「有効」と表示されていればプロファイル登録は成功です(まだVPN接続していません)。
画面の「有効化」ボタンを押下するとサーバー(GL.iNetトラベルルーター)とWireGuardで接続します。
上記のように「直近のハンドシェイク」時間が表示されるとサーバーと通信できています。
また、WireGuardによるVPN接続を停止する場合にはこの画面から「無効化」ボタンを押下することでVPN通信を終了することができます。
以上でWireGuardクライアントの設定が完了です。
STEP④WireGuard疎通確認
ではWireGuardサーバーとWireGuardクライアントの疎通確認を行ってみます。
サーバー側回線環境の確認
当然ながらWireGuardサーバーはJ:COMインターネット回線に接続されています。
サーバー側ネットワークからの接続情報をCMANネットワーク監視サービスで確認すると以下のように表示されます。
上記で記載されるIPアドレスはJ:COMケーブルモデムのWAN側に付与されているIPv4アドレスとなります。
クライアント側回線環境の確認
クライアント側はテスト用として(外出先想定で)NTTドコモのhome5G回線を利用します。
クライアント側ネットワークからの接続情報をCMANネットワーク監視サービスで確認すると以下のように表示されます。
クライアント側からサーバー側への接続
今回、サーバー側(自宅ネットワーク)への接続環境としてGL.iNetトラベルルーターのダイナミックDNS機能を使用しています。
まず、クライアント側で名前解決ができてるかどうかを確認します。
C:\nslookup 〇〇〇〇.glddns.com
サーバー: console.gl-inet.com
Address: 192.168.8.1
権限のない回答:
名前: 〇〇〇〇.glddns.com
Address: 119.***.***.***
C:\
上記のように「〇〇〇〇.glddns.com」という名前によりJ:COMケーブルモデムのWAN側IPアドレスが名前により解決されます。
このダイナミックDNSの仕組みがあるため、もしJ:COMのメンテナンスなどでケーブルモデムWAN側IPアドレスが変更されても同じ名前での接続が可能となる仕組みです。
そして、クライアント側のWireGuardアプリは接続先として、このダイナミックDNSに登録されている名前を使っているので、IPv4アドレスが変更されても自宅サーバーへ接続できる、という仕組みになっています。
WireGuardネットワークでの通信
まずはWireGuardネットワークでの疎通確認を行います。
今回、WireGuardネットワークとして「10.0.0.0/24」のネットワーク構成としています(WireGuardのデフォルト値)。
このため、サーバー(GL.iNetトラベルルター)はWireGuardネットワークでは「10.0.0.1」となりクライアントは「10.0.0.2」と登録されています。
ではWireGuardクライアントを「有効」とした状態でブラウザから「10.0.0.1(自宅サーバー)」へアクセスしてみます。
WireGuardネットワークにおけるIPアドレス「10.0.0.1」により外出先クライアントから自宅ルーター(GL.iNetトラベルルーター)の管理パネル画面へ接続することができました。
いつもの自宅ネットワーク環境での通信
通常の自宅ネットワーク環境ではGL.iNetトラベルルーターは「192.168.8.1(初期値)」としています。
今回、サーバー側環境設定において「LANへのリモート接続を許可」しているので、いつものLAN(自宅ネットワーク)IPアドレスも利用できるはずです。
このように、いつも自宅で使っているIPアドレスによって(WireGuardネットワークのIPアドレスではない)自宅サーバーへアクセスすることができます。
また、この状態は(現在外出先のパソコンを)自宅のネットワークに直接つなげているのと同じ状態なので、上流のJ:COMケーブルモデムの管理画面(192.168.0.1)にも接続することができます。
このように、外出先からも自宅ネットワークに接続しているときと全く同じ環境で使うことができるようになります。
Exit Node(インターネットへの出口)を確認
また本記事手順ではWireGuardネットワークからインターネットへ出るときはすべてWireGuardサーバーの回線を利用する設定になっています。
つまり、外出先から接続したパソコンもインターネットへの出口(Exit Node)はいつも自宅で使っているJ:COMインターネット回線を利用する、という回線環境です。
外出先パソコンからCMANネットワーク監視サービスへ接続して回線状況を確認してみましょう。
サーバー側からの接続確認と同様、外出先(本来はNTTドコモhome5G回線)からもインターネットへはJ:COMインターネット回線での接続となります。
この機能(Exit Node)により、「信頼できない外出先の回線」を使わずに「信頼できる自宅の回線」を使ってのインターネット利用が可能となります。
仕事でホテルのネットワークを使う機会の多い人、旅行好きで全国・世界中のホテル・民泊などを利用する機会の多い人、など世界中のどこからでも怪しいネット回線を使わずに安全・安心なVPNを使って信頼できる自宅回線からのインターネット利用ができる環境ができてしましました。
まとめ、意外に使えるJ:COMインターネット回線
最初に記したように、多くのご家庭特に集合住宅においてはJ:COM系列のケーブルテレビ設備が導入されています。
そして、このケーブルテレビ設備を活用したインターネット接続サービスが「J:COMインターネット」です。
多くのご家庭では自由にフレッツ光回線が導入できることから、どうしてもJ:COMインターネット回線は後回しの検討となってしまいますが、J:COMインターネットにはフレッツ光回線にはないメリットもあります。
最短4日でインターネットが使えるようになる
テレビ映像の配信が電波による配信からケーブルによる配信に代わってきています。
都市部ではすでに一般家庭でもテレビ映像の配信はケーブルテレビ、集合住宅に関しては地方においてもすでにほとんどの集合住宅がJ:COM系列のケーブルテレビにより映像配信が行われています。
そして、このテレビ映像配信の仕組みを使ったインターネット接続サービスが「J:COMネット」です。
つまり、すでに多くの住宅(特に集合住宅)ではケーブルテレビ配信の仕組みが導入されていることから、インターネット接続サービス(J:COM)も最短4日で開通する、というスピード開設はJ:COMインターネットの大きな魅力です。
- 多くの住宅ですでにケーブル回線(映像用)が設置されている
- 最短4日でインターネットが使える
グローバルIPv4アドレスである(しかもほぼ固定)
世界的なIPv4アドレスの枯渇により現在では(特にフレッツ光の世界で)多くの回線サービスでIPv6通信(IPv4 over IPv6)による通信の仕組みを提供しています。
このため、フレッツ光回線などでは完全なIPv4アドレスが付与されないことから「外出先から自宅へ接続する」という仕組みの構築が困難となっています。
この点について、J:COMインターネットでは現在でも枯れて安定したIPv4アドレスをほぼ固定状態で付与してくれます。
これ、今となってはかなり貴重なインターネット環境です。
- グローバルIPv4アドレスが使える
- しかもほぼ固定IPアドレスとして使える
ケーブルモデムの自由度が高い
フレッツ光回線を利用する場合、一般的にはIPv4 over IPv6対応の市販ルーターを使います。
このIPv4 over IPv6(MAP-e/DS-Lite)対応ルーターは簡単にフレッツ光回線のIPv6/IPoE通信を利用できる反面、「あれもできない、これもできない」という制限が非常に多くなってしまいます。
たとえば「ポート開放/ポートフォワードが使えない」「特定のプロトコルパススルーが使えない(VPNクライアントが使えない)」などです。
この点についてJ:COM回線で利用するケーブルモデムは自由度が高い設定ができます。
※というか、「これ以上はDMZ機能使って勝手にやってくれ!」という機能
つまりJ:COM回線なら「インターネット接続はケーブルモデムで行う」「ファイアウォール/NAT/サーバー構築はDMZ設置サーバー(今回はGL.iNetトラベルルーター)」という役割分担ができます。
GL.iNetトラベルルーターとの組み合わせで最強環境
「グローバルIPv4アドレスがほぼ固定で使える」「ケーブルモデムの自由度が高い」という特徴を使い、自宅ネットワークの構築を「GL.iNetトラベルルーター」に任せることで、J:COMネット回線でも「外出先から自由に自宅にアクセスできる環境」を構築することができます。
また、自宅から会社のVPNサーバーへ接続する、などの通信利用においてもフレッツ光回線のように問題となることもなく自由に確実に必要な通信環境を構築することができます。
自宅から会社へVPN接続環境が作れる
フレッツ光回線などではよく問題となる「自宅から会社のVPNサーバーへL2TP/IPSecで接続できない」という問題があります。
この点についてもJ:COM回線とGL.iNetトラベルルーターの組み合わせなら確実にL2TP/IPSec通信環境が構築できます。
外出先から自宅へ接続する環境が作れる
J:COM回線とGL.iNetトラベルルーターの組み合わせなら、簡単に「外出先から自宅へ接続できる」環境が構築できます。
J:COM回線側で「DMZとしてGL.iNetトラベルルーターを使う」設定をするだけで、あとは高機能なVPNサーバーの仕組みはGL.iNetトラベルルーターがやってくれます。
- 自宅サーバーをインターネットに公開する
- 外出先から自宅ネットワークを利用(参加)する
- 外出先から自宅サーバーやウェブカメラなどを利用できる
- 信頼できない外出先回線から信頼できる自宅回線からインターネットを利用できる(ExitNode)
GL.iNetトラベルルーターの機能紹介
本記事ではGL.iNetトラベルルーターの「ダイナミックDNS機能」「WireGuardサーバー機能」を使いました。
GL.iNetトラベルルータは非常に高機能なルーターであり、これ以外にもさまざまな機能を標準アプリケーションとして提供しています。
OpenVPNサーバー/クライアント
本記事ではVPNサーバー/クライアントとしてWireGuardを採用しました。
WireGuardは現時点では最新のVPNプロトコルであることから「セキュリティが最も高い」「そしてなにより軽量・高速」という特徴があり、条件なしでVPN環境を作るならWireGuard一択となります。
ただし、WireGuard登場以前のVPN環境ではOpenVPNが広く使われており、今でも高いシェアを持っています。
GL.iNetトラベルルーターは本記事で紹介したWireGuardによるVPN環境と同じくらいの簡単手順によりOpenVPNサーバー/クライアント環境の構築も可能です。
また、WireGuardとOpenVPNの機能をどちらも使い、2つのネットワークをVPNで接続する「VPNブリッジ」としての使い方もできます。
tailscale VPN
プロトコルとしてWireGuardを採用しながらも、どんなネットワーク環境でも接続できるVPNソリューションとして人気が高いのがtailscale(テイルスケール)です。
プライベートIPv4環境であろうがフレッツ光回線のようなIPv4 over IPv6環境でもWireGuardプロトコルによるVPN網が構築できます。
超簡単・お手軽にVPN環境を構築するならtailscale VPNはおすすめです。
ただし、やはり通信速度を求めるなら本記事記載の手順により素のWireGuard環境を構築したほうがよりWireGuardのメリットが出ます。
広告ブロック「AdGuard Home」
スマホやパソコンのブラウザに個別にプラグインを導入しなくても、GL.iNetトラベルルーターに「AdGuard Home」を設定することで自宅ネットワークを丸ごと広告ブロックすることができます。
インターネット利用の約40%が公告によるデータ通信と言われていることから、無駄な広告を表示させない仕組みは通信費および操作性においてとても重要です。
GL.iNetトラベルルーターなら自宅丸ごと広告ブロックする仕組みを簡単に構築することができます。
おすすめのGL.iNetトラベルルーター
今回、外出先から自宅へVPN(WireGuard)接続する環境を構築するために「GL.iNetトラベルルーター」を活用しました。
外出先から自宅へ接続するためには自宅ネットワークにVPNサーバーを常時起動しておく必要があります。
このVPNサーバーをパソコンでやろうとすると場所もとるし電気代もかかります。
GL.iNetトラベルルーターはノートパソコンよりさらに小さい電力消費量で動く小型ルーターであり、かつそのルーターの中でWireGuardやOpenVPNなどのVPNサーバー環境/クライアント環境を構築できる高機能小型ルーターです。
つまり、今回構築した環境は「インターネット接続機能はJ:COMケーブルモデムに任せる(当然)」としたうえで「ファイアウォール機能・DMZサーバー機能・VPNサーバー機能はGL.iNetトラベルルーターで構築する」という役割分担を行っています。
GL.iNetトラベルルーターって何?
GL.iNetとは香港に本社を置くネットワーク機器メーカーです。
GL.iNetトラベルルーターとはGL.iNetが製造・販売する高機能な小型ルーターで一般の市販ルーター(家庭用)とは違い業務用ルーター並みの高機能を使いやすいインターフェースで簡単に構築できる仕組みを搭載しています。
非常に多くの製品ラインナップがあり、どれも似たような外見で価格以外の違いが分かりづらくなっていまが、現在購入できる製品は大きく「3系列ファームウェア(3.X.X)」と「4系列ファームウェア(4.XX)」に分かれており、最新機能は4系列ファームウェアに搭載されています。
このため、GL.iNetトラベルルーターを選ぶ場合には4系列ファームウェアを搭載した製品を選ぶとよいでしょう。
最高機能「GL-AXT1800(Slate AX)」
本記事の環境構築および動作検証用として使ったのが現在(たぶん)最高級品の「GL-AXT1800(Slate AX)」です。
予算は大体20,000円弱くらい(ちょっと高い高級品)。
GL.iNet GL-AXT1800(Slate AX) | GL.iNet
Wi-Fi6対応で最大速度1201Mbps、LANポートも1GbE×2ポートと、小型ルーターながら十分なスペックを持っています。
そして現在4系列ファームウェアが使える(最新機能が使える)一番の高級品となります。
最新・最高性能「GL-MT3000(Beryl AX)」
GL.iNetトラベルルーターの最新モデルかつ最高性能モデルが「GL-MT3000(Beryal AX)」です。
予算は大体15,000円くらい(GL-AXT1800(Slate AX)より安い・・・)。
GL.iNet GL-MT3000(Beryl AX) | GL.iNet
Wi-Fi6対応しかも最大通信速度2402Mbpsと同じWi-Fi6対応のGL-AXT1800(Slate AX)より約2倍の通信速度です。
しかもWANポートは2.5GbE対応とこちらも約2倍以上と、スペック上はGL-AXT1800(Slate AX)を完全に上回る高性能モデルです。
それでいて、販売価格はGL-AXT1800(Slate AX)より安いことから「コスパは良い」かもしれません。
安くて高機能「GL-A1300(Slate Plus)」
上記2種と同じ「4系列ファームウェア」が搭載されている最新機能モデルながら、もっとも安く購入できるのが「GL-A1300(Slate Plus)」です。
予算は大体10,000円弱くらい、Amazonでは頻繁に20%~30%割引でのキャンペーンが行われているのでタイミングが合えば超お買い得。
GL.iNet GL-A1300(Slate Plus) | GL.iNet
上記2機種に比べて「Wi-Fi5対応」とちょっとだけスペックは落ちますが、それでも総合的な性能はJ:COMケーブルモデム本体以上の性能です。
「安くで購入できうる」「4系列ファームウェア搭載なので最新機能が使える」という点でコスパ最高のモデルです。
どのGL.iNetトラベルルーターがおすすめ?
上記3機種はどれも最新機能が搭載されている「4系列ファームウェア」を搭載したトラベルルーターです。
ソフトウェア的にはどれも同じ機能が同じ操作により利用できる高機能ルーターです。
違いは当然ながらハードウェアスペックとそれによる販売価格となります。
今回ご紹介した「VPNサーバー(WireGuard/OpenVPN)を構築する」という使い方であれば、一番安い「GL-A1300(Slate Plus)」で十分です。
※そもそもJ:COM回線が回線スペックは高くありませんから
また、高機能な広告ブロック機能「AdGuard Home」やTailscale VPN機能などを使い倒したい、または将来的により高速な回線サービス(フレッツ光など)にも対応したい、などの場合にはよりハイスペックな「GL-AXT1800(Slate AX)」や「GL-MT3000(Beryl AX)」を購入しておくとよいでしょう。
意外に使えるJ:COMインターネット
このようにJ:COMインターネット回線は意外に使える回線です。
今となっては貴重なIPv4グローバルアドレスを付与してくれて、しかもほぼ固定だからです。
この「IPv4グローバルアドレス」が使えるJ:COMインターネット回線と高機能な小型ルーター「GL.iNetトラベルルーター」を組み合わせることでさまざまな機能を追加しネットで遊ぶことができます。
これ、今どきのフレッツ光回線では結構難しいですよ!
さらにさらに、集合住宅にお住まいの方、もしかして「J:COM in My Room」の対象ではありませんか?
無料でJ:COMインターネット回線が使えるんじゃないですか?
J:COMインターネット回線と高機能小型ルーター「GL.iNetトラベルルーター」の組み合わせ、ぜひ試してみてください。
特に、auスマホ・UQモバイルスマホをご利用であれば「auスマートバリュー」「UQモバイル・自宅セット割」の対象となりスマホ代金が大幅に割引される特典付きです。
今ならテレビとセットで大幅割引