VPNでNASにリモートアクセス!QTS5.0でWireGuardを試す

 QNAPのQTS5.0 betaが公開されており、その中でWire Guardが使用できる旨案内されています。

WireGuardはカーネルレベルでサポートされるVPN接続であり、非常に軽量と評価されています。

今回は、QTS 5.0にWire GuardでVPN接続する方法について、早速まとめていきたいと思います。

手順としては、
 1. NAS側のWireGuard VPNサーバー設定
 2. Windowsクライアント側のWireGuard クライアント設定
 3. NASに戻って、WireGuard VPNサーバーに、2で設定したクライアント情報を設定
という手順になります。

VPN暗号化なし、WireGuard VPN接続、QBelt VPN接続でパフォーマンス比較も行っちゃいます。

それでは、Let's try!


まずはじめに

なにはなくとも、QTS5.0にアップデートできなければWireGuardが使えません。
私のTS-251Dでは「コントロールパネル」→「ファームウェア更新」で、

「ベータプログラムに参加し、ベータアップデート通知を受け取ります」を有効にすることで、5.0 betaにライブ更新できました。

QVPN Service 3.0のインストールと設定

QTS 5.0にアップデートすると、QVPN Service 3.0がインストールできるようになっていますので、AppCenterからインストール / 更新します。
QVPN Service 3.0にアップデートすると、下記のようにWireGuardでの接続が選べるようになっています。
WireGuardの画面に移ったあと、まずはWireGuardを有効にし、サーバー側の設定を行っていきます。
 1. Server nameを入力した後
 2.「Generate Keypairs」のボタンを押して
 3. DNSサーバを8.8.8.8(google)に設定
まずはここまででOKで、クライアント側の設定に入ります。

Wire Guardクライアントのインストールと設定

従来、QVPNサーバーに接続する場合、QVPNクライアントから接続できましたが、Wire Guardで接続する場合は、Wire Guard クライアントから接続する必要があるようです。
ですので、下記ページよりWire Guardクライアントをダウンロードします。
私は、Windows 10 64bitを使っていますので、Windows用のインストーラをダウンロード、インストールしました。

WireGuardクライアントを起動すると下記のような画面が表示されますので、設定を行っていきます。
画面左下の「トンネルの追加」から、「空のトンネルを追加」を選びます。
すると、次のようにVPNの設定を入力する画面が開きますので、順番に設定していきます。
[Interface]のセクションが、クライアント(WireGuardクライアントをインストールしたWindows PC側の設定)となります。

デフォルトに対して、
 Address : VPNセッションを張った際のWindows PCのIPアドレス

 DNS : VPNセッションを張った際に参照するDNSアドレス
を追加設定してあげます。

Addressは、NAS側が、198.18.7.1/24に設定されていますので、同じネットワークアドレスで被らないように、198.18.7.3/24に設定します。
※NASに対して複数端末から接続するのであれば、各端末でIPアドレスが被らないようにしましょう。
※先に1台設定してましたので、この端末は、198.18.7.3としました。
[Peer]セクションが、NAS側の設定となります。
 PublicKey:NASのQVPN 3.0の画面で表示された「PublicKey」をコピペしてあげます。

 AlloweIPs:どのアドレスへアクセスする際に、この接続を使うか?という設定になります。今回は、198.18.7.0に接続されている端末にアクセスするときのみこの接続を使うということで、198.18.7.0/24を設定しました。

 Endpoint : NASのIPアドレスとポート番号になります。FQDNでの指定も可能です。インターネット越しに接続する場合は、FQDNでの設定になるかと思います。

 Persistentkeepalive:無通信状態となることを防いで、セッションが維持されるようにします。

これで、クライアント側の設定は完了です。

クライアント側の設定をコピペしやすいように、こちらに記載しておきます。
[Interface]
PrivateKey = XXXXXXXX
Address = 198.18.7.3/24
DNS = 8.8.8.8

[Peer]
PublicKey = XXXXXXXX
AllowedIPs = 198.18.7.0/24
Endpoint = 192.168.100.200:51820
PersistentKeepalive = 25

再度NAS側に戻って・・・

再度NASに戻って、接続を許可するクライアントの設定を行います。
QVPN Serviceの画面で、「AddPeer」ボタンを押すと、下記画面が表示されます。
今度はここで、クライアント名の設定と、クライアント側のPublic Keyの設定をしてあげます。クライアント名は、識別用に決めてあげればOK。クライアント側のPublic Keyは、先ほどのWindows側のWireGuardクライアントの設定画面から「公開鍵」をコピペしてあげればOKです。


WireGuardクライアントと、QVPN Serviceの両方で、このように通信が発生していれば、VPN接続された状態となっています。

正しく設定ができていれば、下の矢印で結んだ部分には同じ文字列が入っているはずですので、VPN接続がうまくいかない場合は、下記参考にして確認してください。
※ネットマスクが若干ずれてますが、ネットマスクがずれてても通信できました。
当然、厳密にはネットマスクをちゃんと合わせて設定することをお勧めします。

パフォーマンスチェック

ここまでの設定で、ローカルLAN内でのVPN接続ができるようになっていますので、VPN処理を行わなかった場合と、行った場合でパフォーマンスを比較してみます。

VPN接続なしで測定
WireGuard VPN接続越しで測定
QVPN QBelt VPN越しで測定

ローカルアクセス時は、ワイヤーレートに達しているので、実際にはもっとパフォーマンスが出るのかもしれません。シーケンシャルアクセスでは、WireGuard VPN接続時に45~50%程度にパフォーマンスダウンでしょうか。思ったよりもVPNの処理にCPUパワーを使っている印象です。
ただし、今までサポートされていたQBeltでは、VPN越しで10~20%程度にパフォーマンスダウンしているので、WireGuardではより良いパフォーマンスでVPN接続できることが期待できます。

家の外からアクセスするためには?

家の外からWireGuardでアクセスするためには、ポートフォワードの設定が必要となります。
Qhoraにおいては、「サービス」→「サービス管理」からまずはVPNサービスの設定を作ってあげます。WireGuardは、UDPの通信ですので、UDPポートのみ開ければよいですが、今回は、TCP+UDPでポートフォワードを設定しています。
ポート番号は、NASでのWireGuard接続待ち受けポートと同じにしました。
次に、「NAT/ファイアウォール」→「ファイアウォールルール」→「ポートフォワーディング」で、ポートフォワードの設定をします。
こんな形で、NASのIPアドレスと、WireGuard待ち受けポート番号を設定してあげればOKです。

仕上げに。外から接続するためのWireGuardクライアントのプロファイルを作成

先ほど作成したWireGuardのプロファイルはローカル接続用ですので、プロファイルを複製し、リモート接続用に修正します。
PrivateKeyなどの設定はそのままで変更不要です。
Endpointのアドレスを、外から見た時のルーターのアドレスとなるように書き換えます。
FQDNで指定ができますので、このようにmyqnapcloudに登録しているNAS名を使って設定することができます。

まとめ

今回は、QTS5.0で新しくサポートされたWireGuardを使ってVPN接続を行ってみました。

WireGuard VPN接続は、今まで標準的に使われていたQBeltよりも軽量でパフォーマンスが出るようです。
当然、今までもVPNで接続していたという方もいらっしゃると思いますが、VPNだと速度が遅くなってしまっていたので、myqnapcloud.com経由でQTSに入ってQfileでアクセスしていたような場合でしたら、WireGuardに切り替えることで、余計なGUI操作なく、単純なファイル操作のみでファイルにアクセスできるようになるため、使っていくのもありかと思いました。

場所: 日本、東京都東京

コメント

コメントを投稿

このブログの人気の投稿

レトロゲームステーションに!QNAP TS-251D

イメージ
みなさんは、ゲームは好きですか? 僕はゲーム大好きで、ファミコンからガッツリやってました。多分、最初にやったゲームは、マリオブラザースかな?土管からカメとかカニとか出てくる方のやつです。 そのあとはスーファミ、ゲームボーイ、メガドライブ、ゲームギア、プレステ、プレステ2、プレステ4と遊び倒しました。プレステ5も欲しいんですが、まだ買えてませんw。というよりもレトロゲームのほうが実は好きかも。 こういった昔遊んだゲーム、今はそもそもハードがなくてプレイできなかったりするんですよね。でもたまに遊びたくなる。そんな時に、QNAPのNASがあればレトロゲームを遊ぶことができるんです! QNAP TS-251D QNAPのTS-251DはHDMI出力機能を持つNASです。ザックリスペックは下記のような感じ。詳細は、 メーカーHP 確認してください。 CPU : Intel® Celeron® J4025/4005デュアルコア2.0 GHzプロセッサ メモリ:最大8GB ドライブベイ数:2 Ethernet:1 x 1GbE HDMI:1ポート(HDMI 2.0) 私の場合は、元々2GBメモリのモデルを購入しメモリを増設、8GBにして使っています。 NASとはいうものの、様々なアプリケーションの追加に対応しているのが特徴で、HTTPサーバーと組み合わせてワードプレスサーバーを作りことができたり、写真管理ができたりと、ホームサーバーとしてガッツリ使うことができます。 また、RAID1によるデータ保護、スナップショットによる過去ファイルへのリバート機能、Maware Remover、Firewallといったデータ保護、セキュリティ機能も充実しています。 3rdパーティアプリケーションの追加 さて、QNAPのNASですが、本家本元が用意するアプリケーションが追加・削除ができるのはもちろんのこと、実はコミュニティが作ったアプリケーションを追加・削除することもできます。 コミュニティのアプリケーションを追加するには、コミュニティアプリを公開しているレポジトリを追加登録する必要があります。 僕が大好きなレトロゲームを楽しむためには、RetroArchというアプリケーションを追加する必要があります。 このアプリのQNAP向けパッケージが、QNAP CLUBから提供されているので、QNAP C
続きを読む

NASに保存したファイルを便利に検索する方法

イメージ
 NASに保存したファイルを便利に検索する方法 保存したファイルを検索する方法 ファイルがどんどん増えてくると、どこにどういったファイルを保存したか?といったことをついつい忘れてしまうことがあります。Windows PCの中に保存したのであれば、エクスプローラーの検索窓から簡単に検索することができます。写真が1個しか引っかかってこなかったですが、こんな感じですね。 でもこの検索、NASの上で実行しようとすると、途端に検索結果を出すのに時間がかかるようになります。Windowsの方では検索をする前にあらかじめ「Index」が作られているんですね。で、実際に検索をする場合はそのIndexを参照して結果を表示するだけなので非常に高速に検索結果が表示される。 でも、NASのファイルに対してはWindowsは「あらかじめIndexを作っておく」ということをしておらず、ファイルを1つ1つ確認しだすので時間がかかってしまいます。 では、NASに保存したファイルを高速に検索するにはどうしたらいいんでしょう? QSirch QNAPのNASを使用している場合は、QSirchというアプリケーションをインストールすることができます。QSirchというアプリを使うことでNAS上のファイルも簡単に検索することができるようになります。 また、このQSirch、 2021年末まではPremiumプランを無料で試す ことができるようです。 これはもう、試してみるっきゃありませんね。ということで早速試してみました。 Qsirchのインストール 私はもうインストール済みなので、下記画面になってしまっていますが、QTSのAppCenterからQSirchと検索ワードを入れてあげることで、簡単にアプリを見つけることができます。(QNAPらしく(?)通常の「Search」ではなく、「Sirch」となっている点注意が必要です) 未インストールの状態であれば「開く」ではなく「インストール」となっているはずですので、クリックしてインストールします。 新しいアプリの追加が必要ですが、いつもながら非常に簡単ですね。 QSirchライセンスの適用 ライセンスの購入、適用は、myQnapCloudにIDを連携させたうえで実行すると非常に簡単です。ここでは説明しませんが、myQnapCloudにID連携させておくことをお勧
続きを読む