外出先から自宅や事務所のパソコン、NAS、監視カメラなどにアクセスしたいと思ったことはありませんか?
私も当初は、VPNを使えば実現できると考えていました。しかし、利用している回線の仕様により、ルーターにグローバルIPアドレスが割り当てられず、VPNが使えないという問題に直面しました。
これは最近の高速インターネット回線(特にIPv6接続)でよくあるパターンで、固定IPが取得できなかったり、ポート開放が困難だったりと、従来のVPN構成がうまく機能しないケースが増えています。
そこで注目したのが「ZeroTier」というサービスです。
ZeroTierは、グローバルIPがなくてもインターネットを通じて複数の端末を仮想的に同じネットワークに接続できる仕組みで、VPNよりも導入が簡単です。
この記事では、私が実際に小型ルーター「GL-MT2500A」を使ってZeroTierを常時稼働させ、自宅や出先のiPhone・パソコンから事務所LANに安全かつ快適にアクセスできる環境を構築した手順と工夫を、実体験をもとに詳しくご紹介します。
ZeroTier とは?
ZeroTierは、インターネットを介して、離れた場所にある複数のデバイスをあたかも同じLAN(ローカルネットワーク)にいるかのように繋げる画期的な技術です。これにより、自宅のパソコンから会社のサーバーにアクセスしたり、遠隔地の機器を簡単に操作したりできるようになります。
ZeroTierを使うには、主に次の2つを設定します。
- ZeroTier対応の装置:GL-MT2500Aのようなルーターや、パソコン、スマートフォンなど、ZeroTierのソフトウェアをインストールできるデバイス。
- ZeroTier Central:ウェブブラウザからアクセスする管理画面で、仮想ネットワークの作成、どのデバイスを参加させるか、IPアドレスの割り当てなどを簡単に行えます。
この組み合わせで、面倒なネットワーク設定や固定IPアドレスがなくても、安全で柔軟な仮想ネットワークを構築し、外部からでも自宅やオフィスの機器にアクセスできるようになります。
ZeroTier導入におすすめの機器「GL-MT2500A」
ZeroTierを動作させるには、常時稼働できる端末が必要です。パソコンやスマホでも使えますが、常時起動には不向きです。
私が実際に使っているのは、GL.iNet社の小型ルーター「GL-MT2500A(別名:Brume 2)」です。
ポチップ
GL-MT2500Aのパッケージを開けると、本体・電源アダプター・LANケーブルの他に、説明書が入っています。
説明書には接続方法やリセット方法などの基本的な内容が簡潔に書かれており、詳しい情報はサポートサイトを参照するよう案内されています。
本体は非常にコンパクト(W70×D70×H22mm)でアルミ筐体です。価格も1万2000円弱と手頃です。設定はやや手順が多いですが、ZeroTierがあらかじめ組み込まれているため、すぐに使い始められます。
ZeroTierの無料プランでは、1つのネットワークに最大10台までの端末を登録して接続できます。GL-MT2500A本体も1台としてカウントされるため、他に接続できるのは残り9台ですが、個人や小規模事業であれば十分です。
さらに、ZeroTierをインストールした端末を2拠点に配置することで、拠点間VPNのような「LAN間接続(ブリッジ接続)」も可能になります。ただし、この機能は有料プランにアップグレードする必要があります。
事務所のLAN構成と接続の工夫
今回私が設定を行ったのは、自宅ではなく事務所ですので、ここでは「事務所」と表記しますが、超小規模なので一般の自宅と同じネットワーク環境です。自宅に設置する方は、「事務所」を「自宅」と読み替えて頂ければと思います。
GL-MT2500Aの接続で困ったこと
私の事務所では、NTTのレンタルルーターの配下に、パソコンやNASなどのLAN機器が接続されており、192.168.0.x のIPアドレス帯でネットワークが構成されています。
今回、ZeroTierによるリモートアクセス環境を構築するために、GL-MT2500Aを導入しました。GL-MT2500Aはルーター機能を備えており、通常はWAN側とLAN側で異なるネットワークを構成する仕様になっています。
たとえば、GL-MT2500AのWANポートを事務所の既存ネットワーク192.168.0.xに接続した場合、LAN側には192.168.8.xなどの別ネットワークが割り当てられます。
ルーターモードでの問題点
まずは、GL-MT2500Aをルーターモードのまま使用し、WANポートを事務所の既存ネットワーク192.168.0.xに接続した構成を見ていきます。
この場合、GL-MT2500Aは内部に独立したLAN(例:192.168.8.x)を持ち、このLAN側に接続された機器でのみ通信が可能です。ZeroTierもこのLAN側で動作するため、リモートからGL-MT2500Aに接続できても、アクセスできるのは192.168.8.xのネットワーク内に限られてしまいます。
つまり、事務所の既存ネットワーク192.168.0.xにあるパソコンやNAS、プリンタといった機器へは、ZeroTier経由では直接アクセスできないという問題が生じます。
さらに不便な点として、GL-MT2500Aの管理画面にも、LAN側IP192.168.8.xからでなければアクセスできません。これにより、設定確認や変更を行うためには、GL-MT2500AのLANに物理的または仮想的に接続する必要があり、運用が煩雑になります。
ブリッジモードの課題
GL-MT2500Aには「ブリッジモード(APモード)」という機能も用意されています。このモードに切り替えると、GL-MT2500Aは独自のルーター機能を使わず、事務所の既存LAN192.168.0.xに直接接続され、ネットワークの一部として動作します。
ルーターとしての分離されたネットワークを持たなくなるため、ZeroTierも既存LANに直接つながる形になり、リモートから事務所内のパソコンやNASなどにアクセスできるようになるはずです。
ただし、ブリッジモードには注意点があります。このモードに切り替えるとGL-MT2500Aの管理画面にアクセスできなくなります(管理画面にも記載あり)。実際に私も試してみたところ、固定IPを設定していたにもかかわらずアクセスできなくなり、設定変更ができない状況になってしまいました。
このような制約があるため、ブリッジモードでの運用は見送り、別の方法で既存LANと接続できる構成を検討しました。
次にご紹介するのは、GL-MT2500Aのルーターモードを活かしながら、WANポートだけで完結する形でZeroTier接続を実現した構成です。
解決策:WANポートだけで完結する構成で実現
最終的にたどり着いたのは、GL-MT2500Aをルーターモードのまま使い、WANポートのみにLANケーブルを接続するという構成です。LANポート側には何も接続しません。
GL-MT2500AのWAN側には、事務所LANと同じ192.168.0.x帯の固定IPアドレスを割り当て、LAN側へではなく、WAN側から信号をやり取りできるように設定します。ZeroTierもこのIPアドレスで接続される形になります。
出先のiPhoneやパソコンからZeroTier経由でGL-MT2500Aにアクセスすると、GL-MT2500Aが中継役となって、事務所内の他の機器192.168.0.xにもアクセスできるようになりました。
この構成ではGL-MT2500Aの管理画面にも引き続きアクセス可能で、運用面でも非常に快適です。
GL-MT2500Aの初期セットアップ
ここからは、具体的なセットアップ手順のご案内です。
まず初めに、GL-MT2500Aを接続して認識させるまでを解説します。
GL-MT2500AのWAN側に、自宅または事務所のLAN回線と接続します。
GL-MT2500Aの管理画面にアクセスして初期設定をすめためのパソコンを、LAN側に一時的に接続します。
電源アダプターを接続し、電源を入れます。
電源アダプターを接続するだけで、電源が入ります。
GL-MT2500AのLAN側に接続したパソコンのIPアドレスを、192.168.8.10などに変更します。
パソコンのIPアドレスが自動取得になっている場合は、何もしなくてOKです。
その場合、パソコンは自動的に192.168.8.*のアドレスが割り当てられます。
パソコンのブラウザを開き、http://192.168.8.1 と入力し、管理画面を開きます。
初回アクセス時は、パスワード設定画面が開くので入力し、次へをクリックします。
「ネットワークモード選択」画面が表示されます。
次へ進む前に、GL-MT2500AのWAN側が、自宅(事務所)のルーター配下のネットワークに接続されている事を、改めて確認しましょう!
確認が済んだら、「有線」と書いてある方をクリックします。
・有線(接続済み)
と表示されていれば、OKです。
インターネットに接続されると、「ファームウェアのアップデート」の案内が出てくる場合があります。
もし表示されたら、画面の指示に従ってアップデートを行って下さい。
WAN側のIPアドレスは、DHCPで割り当てられたものよりも、固定の方が良いらしいので、変更しておきましょう。
左のメニューから「インターネット」を選択した画面です。
どのアドレスが良いか分からない時は、ご自身のこの画面で自動的に割り当てられている数字をメモしておきましょう!
その数字をそのまま、次の画面に入れておけば良いでしょう。
「変更する」をクリックして次の画面に進み、Static を選択します。
ネットマスクは、通常は 255.255.255.0 を入れておけばOKです。
入力したら「適用する」をクリックして登録します。
最初の画面のプロトコルの行がStaticになっていれば、固定IPになっています。
ここで入力したIPアドレスは、設定が全て完了した時点でGL-MT2500AのWAN側から管理画面へアクセスする際のIPアドレスになります。
この例では、http://192.168.0.138/にアクセスすると管理画面が出るようになります。
GL-MT2500AでのZeroTier設定方法
次にZeroTierを使えるようにする設定について解説します。
左のメニューから、アプリケーション → ZeroTier と進むと、ZeroTierの設定画面が表示されます。
次の画面は、「有効にするZeroTier」の部分をONにした状態の画面です。
「リモートアクセスWANを許可する」もONにしておきましょう!
緑枠の Network ID の部分は、Step3で入力し「適用する」を押します。
「ZeroTier Central」と書いてある所をクリックして、ZeroTierの仮想ネットワーク(ZeroTier Network)を管理するためのウェブベースの管理コンソールを開きます。
ZeroTier Central https://my.zerotier.com/の画面が表示されたら、
「LOG IN / SIGN UP」をクリック。
New User? の 「Sign Up」 をクリックし、画面の指示に従ってアカウントを作成すると、Network IDが発行されます。
先ほどの GL-MT2500A の ZeroTier の画面に、Network ID を入力し、「適用する」をクリックします。
すると、次のような画面になります。
デバイスが ZeroTier に追加されました。ZeroTier Central でデバイスを仮想ネットワークに接続することを承認して下さい。
と表示されていますので、次は GL-MT2500A を承認しましょう!
このStepでは、ZeroTierに参加させたい機器を承認する作業を行います。
スマホやパソコンなども、今後ここで承認することで、他の端末と相互に通信できるようになります。
ZeroTierの無料プランでは、GL-MT2500Aを含めて、最大10台までの機器をネットワークに登録・接続できます。
ここでは GL-MT2500A を例に操作方法を解説しますが、他の機器を承認する際も、同じ画面・同じ手順になります。
あらかじめ流れを把握しておくと、後の作業もスムーズに進められます。
再び ZeroTier Central に戻り、承認を行います。
説明が無いと少し分かりづらいのですが、赤枠で囲ってある NETWORK ID が書かれている行をクリックすると、承認が出来る画面に移ることができます。
「Members」ブロックにある、Edit の下の赤枠部分をクリックすると、下の承認設定をする画面が開きます。
この画面で行う作業は、次の3つです。
- Authorized と書いてある右にチェックマークを入れる
- Name には、GL-MT2500A など、自分で分かる名前を入れる
- Save を押して登録する
画面を閉じて完了です。
最後は、ZeroTier Central でのルーティングルールの設定です。
これを行わないと、繋がっていても互いに見えない状態になります。
先ほどの「Members」ブロックの画面から少し下の方に進むと、「Advanced」があります。
この中の「Managed Routes」を設定します。
「Destination」と「Via」に値を入れて、「Submit」を押して登録します。
この値は、GL-MT2500A の管理画面に戻ると、表示されています。
他の端末(PC・スマホ)からの接続方法
パソコンやスマートフォンなどの端末をZeroTierに参加させる手順は、どの端末でもほぼ共通で、以下のような流れになります。
GL-MT2500Aと同じ16桁のNetwork IDを入力して接続します。
この3ステップで、GL-MT2500Aと同じ仮想ネットワークに参加できるようになります。
※パソコンやスマホは合計で10台まで(GL-MT2500A含む)接続できます。
※承認の具体的な方法については、
「GL-MT2500AでのZeroTier設定方法」の中の Step4「ZeroTier Central で GL-MT2500A を承認する」 を参照してください。
他の端末でも同じ手順になります。
以上の3ステップが終われば、パソコンの場合はアプリから、iPhoneの場合はアプリまたは設定→VPNの中から該当するデバイスを選んでONにすれば接続されます。
GL-MT2500A のWAN側から管理画面へアクセスする設定
最後に、GL-MT2500A のWAN側から管理画面へアクセス出来るようにする設定方法を解説します。
本来であれば、WAN側から管理画面へアクセスするというのは、セキュリティー上とても危険な状態になります。しかしここでGL-MT2500Aを設置している場所はLAN側なので外部からアクセスされる危険の無いエリアです。加えてLAN内のパソコン等からGL-MT2500Aの管理画面にアクセスしたいという状況なので、WAN側から通信出来るようにすることで利便性がとても良くなります。
GL-MT2500Aの管理画面にログインし、システム→詳細設定へと進みます。
「LuClへ移動する」をクリックすると、詳細設定に入るためのパスワードを聞かれます。
GL-MT2500Aにセットしたパスワードを入力してログインします。
GL-MT2500Aの詳細設定画面は、中国語です。
网络(ネットワーク)→防火墙(ファイアウォール)→通信规则(通信ルール)
と順に進み、画面左下にある「新增」(新規追加)をクリックします。
WAN側ポートから「管理画面」へアクセス出来るように、TCPポート番号80番への通信を許可する設定を行います。
次の画像を参考に設定して下さい。
名前は、任意でOKです。
最後に「保存」を押して登録します。
WAN側ポートから「詳細設定画面」へアクセス出来るように、TCPポート番号8080番への通信を許可する設定を行います。
次の画像を参考に設定して下さい。
名前は、任意でOKです。
最後に「保存」を押して登録します。
最後に先程登録した2つの通信許可内容を有効にするための設定を行います。
下の画面を参考に、赤枠にチェックマークを入れて、「保存并应用」(保存して適用)をクリックして登録します。
ここまで設定が完了したら、GL-MT2500AのLAN側に接続してあった、設定用のパソコンのLANケーブルを外してOKです。
パソコンのIPアドレスも元に戻して自宅や事務所のLANに接続し、GL-MT2500AのWAN側IPアドレスにアクセスしてみましょう。(ここの例では、http://192.168.0.138/です)
まとめ
私の環境では、契約している回線の仕様によりルーターにグローバルIPが割り当てられず、従来のVPN接続が使えないという問題を抱えていました。
最近では、IPv6接続やIPoE方式を採用する回線が増えており、同じような環境で悩んでいる方も多いのではないでしょうか。
そこで今回試してみたのが、ZeroTierという仮想ネットワークサービスです。小型ルーター「GL-MT2500A」を使い、ZeroTierを常時稼働できる構成にすることで、既存LANを変えずにリモート接続環境を実現することができました。
特別なルーター設定やポート開放も不要で、ZeroTierの接続も安定しており、自宅や出先からiPhoneやPCで事務所内の機器にアクセスできています。ルーターの管理画面にも外部から接続できるようになり、運用面でも非常に快適です。
VPNが使えないからといって諦める必要はありません。ZeroTierとGL-MT2500Aの組み合わせは、省電力で静かに動作し、ちょっとした工夫で快適なリモートアクセスを実現できます。
同じような条件で悩んでいる方には、ぜひ一度試してみてほしい構成です。
なお、今回紹介したGL-MT2500A以外にも、ZeroTierに対応した小型ルーターやLinux端末があれば、同様の構成が可能です。
たとえば、Raspberry Pi にZeroTierをインストールし、中継用の端末(Subnet Router)として活用することもできますので、お持ちの機材に応じて工夫してみてください。
ちなみに、今回ご紹介したZeroTierと同様に、「Tailscale」というサービスでも同じような構成が可能です。
こちらは二重ルーター構成を前提にした接続方法として紹介していますので、そちらの環境でお悩みの方は、以下の記事も参考にしてみてください。
