外出先から拠点まで、あるいは拠点間をネットワークでつなぐ方法はいくつかありますが、比較的低価格で実現できるものにVPN(Virtual Private Network)というものがあります。VPNとは、2点間をインターネット回線で結ぶのですが、その経路上を暗号化することによって仮想的な専用線のように安全に通信を行う技術のことです。VPNについては様々なベンダーから製品が提供されていますが、無償で提供されているものもあります。その無償で提供されているVPNの製品がOpenVPNです。
私も、事務所と出先とをネットワークでつなぐ際にはVPNを使用してデータのやりとりをしていますが、その際に使っているのもOpenVPNです。
一方で私はセキュリティのソフトとしてノートン360を使用しています。今回PCを更新したのですが、ノートンのライセンス数の関係でいったんノートンを削除してインストールし直すと言うことをしました。その際にノートンの設定を残さずに消してしまったので、ファイアウォールの設定をしなおさなければ行けなかったのです。
というわけで、設定をしなおす際の備忘録代わりに記事をまとめました。
OpenVPNとファイアウォール
さて、OpenVPNはUDPの1194ポートを使っています(もちろん、1194ポートはデフォルトのポート番号です。インターネットに向けて開いているポートをデフォルトのまま使っている人は少ないでしょう。私もポート番号を別の番号に変更しています)。そのポートさえ開いておけばいいじゃないかというと、実はそうではありません。VPNのセグメント(今回は10.*.*.*)側もなにがしかの設定をしなければなりません。そうしないと、OpenVPN同士は接続していてもpingが通らないという現象が発生します。
ノートン360の設定
端的に言えば、ノートン360は既存のセグメント(今回は192.168.*.*)がローカルネットワークとして様々な通信が許可されているのに対して後から作ったVPN側のセグメントは安全ではないと判断して様々な通信を許可していないことが問題でした。というわけで、ノートン360側の設定です。
まずは、ノートン360を開きます。
設定メニューからファイアウォールを開きます。
トラフィックルールを追加します。
ここで設定する通信を許可する設定を追加します。
接続の方法は、インバウンドとアウトバウンドの両方にしておきます。
以下のネットワークのみ許可します。(今回は10.*.*.*/255.*.*.*)
すべてのプロトコル/ポートに対する通信を許可します。
以上の設定ができたらこのルールに名前(今回はOpenVPN)を付けて、このルールの優先順位を最上位にしておきます。
ということで、これらの設定を行うことで、pingが通るようになります。
やれやれ、ファイアウォールの設定は面倒くさいですし、しばらくぶりなのでうっかり設定を忘れていて、ちょっと時間がかかってしましました。
wifiを使って外から事務所につなぎ、内部のサーバにアクセスすることができてまずはほっと胸をなで下ろしているところです。