見出し画像

自宅のネット環境を見直してみた話(5)【Recollect T.W】

Grade(えすふーじ)

前回までで基本的な接続設定は終わらせました。
今回は、今回の環境構築に付随してやりたいことができるようにしたいと思います。
具体的にはこんな感じ。

・自前サイトの更新はIP制限をかけてセキュリティを確保する
・自宅のネット環境外から自前サイトの更新ができるようにする
・アクセス制限を受けない自宅からのアクセスはすべてv6プラスで通信させる

ちなみにこのシリーズの最初の方で、NASもアクセス制限をかけたい…みたいなことを書いてましたが、結局はNAS側の設定でDDNSを設定する以上のセキュリティ対応が無い製品だったので、

・LANは念のためIPv4のルーターと接続
 ※実際はルーターのLAN同士を接続してるのでどちらでもいけるはず
・NASのデフォルトゲートウェイをIPv4側ルーターのIPアドレスに手動変更
 ※この手動設定によりNASのIPアドレスも手動設定対応

ということで決着しました。

自前サイト更新はIP制限をかけてセキュリティ確保

これは何も難しいことはなく、単純にv6プラス側のIPv4グローバルIPと、固定IPのグローバルIPのみを通すようにすればいいだけ。
v6プラス側のグローバルIPは当然動的IPなので何らかの理由で変動する可能性はありますが、変わる頻度はそこまで高くないので一応併記しておく恰好。
もっとも、最終的にサイト側の管理画面にアクセスする際は固定IPの方のアドレスで接続するようにするんですが。

ちなみに自分の使っているレンタルサーバーはディレクトリ単位でアクセス制限をかけることができますが、公開サイトのディレクトリに対してレンタルサーバーの管理画面でアクセス制限をかけると、(当然ですが)単にサイトを観に来てくださるだけの方まで観れなくなるので、面倒くさがらずにサイト側の管理画面へのログインに対して .htaccess に記述する形で対応します。
サイトの方は WordPressで構築していますが、【WordPress 管理画面 IP制限】とかでググればレクチャーしているページがいくつか出てくるので記述方法はそちら参照で。

自宅外から自前サイトの更新ができるように

これに関しては、オーソドックスにVPNを構築する方法で実現させます。
今回使用しているルーター(TUF-AX4200・RT-AX55)はどちらもVPNサーバー・VPNクライアントのいずれとしても利用できる製品ですが、ここではIPv4用に使っている RT-AX55をVPNサーバーとして使います。

RT-AX55の場合は、PPTP・OpenVPN・IPSecを利用できますが、この中であればOpenVPNを使うのが妥当。
基本的な設定項目は、全般・詳細設定ともほぼデフォルトのままですが、

・クライアントのVPN接続範囲:インターネットとローカルネットワーク
 →ネット上にあるサイトの管理ツールにアクセスしたいので…。
・ユーザー名 / パスワード認証のみ:いいえ
 →セキュリティを考えたらちゃんと証明書も設定するべき

というところですね。これに加えて、予めDDNSクライアントを有効にしておいて、念のためDDNSのホストも設定しています。
が、固定IP前提なので敢えてDDNSを使う必要はないっちゃないですが、そこは気分ということでw

そんなこんなで証明書を含んだ設定ファイルを用意し、ノートPCやらスマホやらiPadやらに設定ファイルをダウンロードし、OpenVPNのクライアントアプリに設定ファイルをインポートして、無事にアクセスを確認。
IPアドレスも固定IPで取得したGMOのものになっていたので無事解決…という感じ。
ちなみにOpenVPNのクライアントアプリは、openvpn.jpで配信されているものを使えば大丈夫かなと。他にもクライアントアプリがありますが、そちらだとどうもうまくVPN接続を確立できませんでした(実はここで「なんで!?」ってなって結構日数使いました…)。

アクセス制限を受けない自宅からのアクセスはすべてv6プラスで

これがこの記事の一番の肝かもしれませんが、せっかくv6プラスによる超高速インターネットを使えるのに、セキュリティや仕様の関係でIPv4で接続しざるを得ないケースがある。
それはそれでしょうがないので、じゃあv6プラスではないIPv4アクセスは最低限に留めて、それ以外のネット接続はv6プラスを使うようにしたい…というのが最後のミッション。

一応【v6プラス PPPoE 併用】とかでググるといくつか手段を解説しているサイトは出てきます。
が、出てくる方法としては「クライアントの接続先ルーター(≒デフォルトゲートウェイ)を変える」とか「PCにLANを2本繋いでメトリックの値をいじる」みたいな方法が出てきますが、これって要は何かしらひと手間かけるか、そうじゃなければIPv4通信は必ずIPv4で通信(≒v6プラスにならない)するとか、そういうことになるよね?と。

俺は基本面倒くさがりなのと(笑)、今回の狙いは【IP制限によるセキュリティ確保が必要ない通信は全てv6プラス】で、それを余計な手間をかけず自動でやってくれる方法はないか…といろいろ探した結果、方法が見つかったのでその辺は次回改めて取り上げたいと思いますw
別にもったいぶる理由もないっちゃないんですが、そろそろ字数もいい感じに増えてきたので記事を分割しよう…という感じ、今回はこの辺で。

いいなと思ったら応援しよう!

Grade(えすふーじ)
ぶっちゃけ0円でもいいのでサポートしていただけるだけでも嬉しいです(できないけどw)! いつか倍返しできるようにがんばります(マネーじゃない意味でw)!!