UniFi OSコンソールのネットワークにリモートアクセスするユーザーの多くには、Teleport VPNを強くお勧めします。より速く、より安全で、設定も不要だからです。
Teleportやその他のVPNオプションの詳細については、UniFi VPNの概要をご覧ください。
セットアップ
VPNサーバーの設定には、UniFi Gateway と パブリックIPアドレス が必要です。IPが変更される度にすべてのクライアントを再設定する必要がないように、ISPから 静的 なパブリックIPアドレスを取得することをお勧めします。UniFi Gatewayは、サーバー側の設定を自動的に更新します。
注記:ダイナミックDNSを使用することで、IPが変更されたときにクライアントのVPNを再設定する必要がなくなりますが、そのプロセスについてはここでは説明しません。
VPNサーバーを設定するには、事前共有キー(UniFiが安全なキーを自動で生成)と、リモートネットワークアクセスを認証するためにクライアントで入力するユーザー認証情報(ユーザー名とパスワード)を作成する必要があります。
注記:ユーザーは、UniFi Gatewayの内部RADIUSサーバーにリンクされています。UniFiは他社製RADIUSサーバーの統合に対応していますが、トラブルシューティングするにあたり質問がある場合は、サードパーティのサーバープロバイダに問い合わせることをお勧めします。
クライアントの設定
Microsoft WindowsやmacOSが提供するクライアントを含めた、あらゆるL2TP VPNクライアントに接続できます。お使いのオペレーティングシステムにネイティブなVPNクライアントの使用を推奨します。
以下で、OS別のクライアント設定方法を説明しますが、お使いのデバイスのプラットフォームのVPNクライアントの使用方法については、デバイスの製造元に確認することをお勧めします。
Microsoft Windows 11
- 設定 > ネットワークとインターネット(Network & internet) > VPN > VPN接続 > VPNの追加 と進み、VPNタイプでは「事前共有キーを使ったL2TP/IPsec」を選択します。
- 注記:ユーザー名、パスワード、事前共有キーは、UniFi Networking設定のものと同じです。
- 設定(Settings)> ネットワークとインターネット(Network & internet)> ネットワークの詳細設定(Advanced network settings)> その他のネットワークアダプタオプション(More network adapter options)> L2TPアダプタのプロパティ(L2TP Adapter properties) を選択します。
- セキュリティ タブをクリックし、認証方法を「 MS-CHAP v2 」に設定します。
macOS
- システム環境設定(System Preferences) > ネットワーク(Network) > + へと進みます。
- インターフェイスフィールドでは「VPN」を選択します。
- VPN Type フィールドでは「L2TP over IPsec」を選択します。
4.サービス名に「l2tp」と入力します。
- 注記:ユーザー名、パスワード、事前共有キーは、UniFi Networking設定のものと同じです。
- オプション(Options)> セッションオプション(Session Options) を開き、「すべてのトラフィックをVPN接続で送信」(Send all traffic over VPN connection)を選択し、すべてのトラフィックをVPN経由でルーティングします。
トラブルシューティング
クライアントがVPNサーバーに接続できないとき、またはVPN経由でトラフィックをルーティングできないときには、「サーバーが応答しない」、「クライアントが切断された」、または「処理エラーが発生した」などのエラーメッセージが表示されることがあります。VPN接続に失敗することもあります。こういった現象は、以下のいずれかに関連していると考えられます。
UniFi GatewayにパブリックIPアドレスがない(Double NAT)
これは通常、UniFi Gatewayがネットワークアドレス変換(NAT:Network Address Translation)を使用する他のルーター/モデムの背後に配置されている場合に発生します。使用しているUniFi GatewayのWAN IPアドレスが以下のレンジ内にある場合、影響を受ける可能性があります。
- 10.0.0.0/8 (10.0.0.0 - 10.255.255.255)
- 172.16.0.0/12 (172.16.0.0 - 172.31.255.255)
- 192.168.0.0/16 (192.168.0.0 - 192.168.255.255)
- 100.64.0.0/10 (100.64.0.0 - 100.127.255.255)
この問題を解決するには、アップストリームのルーターをブリッジ(Bridge)モードに設定します。設定できない場合は、アップストリームルーター/モデムからの UDPポート500と4500 をUniFi Gatewayに転送してみてください。この方法は、アップストリームルーターにパブリックIPアドレスがない場合は動作しないので注意が必要です。
注記:デフォルトでは、Windowsコンピュータは、NATの背後にあるサーバーとのL2TP VPN接続を確立することはできません。この制限を回避するには、レジストリ値「AssumeUDPEncapsulationContextOnSendRule」の値を 0 から 2 へと手動で変更する必要があります。詳細についてはMicrosoftのサポートページを参照してください。
お使いのデバイスをブリッジモードやポート転送に設定するにあたりサポートが必要な場合は、ご利用のISPにお問い合わせいただくことをお勧めします。100.64.0.0/10サブネット範囲内にあるIPアドレスは、VPN接続を確立するにあたり常にISPのサポートが必要になります。
必要なポートがアップストリームデバイスによってブロックされているか、UniFi Gatewayがローカルネットワーク上の別のデバイスに転送している
他社製のルーター、ファイアウォール、またはISPモデムが、UDPポート500または4500 をブロックしていてUniFi Gatewayに到達できない状態になっていないか確認します。ネットワークトラフィックが正しくルーティングされていることを確認するために、ISPに連絡する必要がある場合があります。
トラフィックがブロックされていないことが確認できたら、UniFi Gatewayがこれらのポートをローカルネットワーク上の別のデバイスに転送していないことを確認してください。UniFi Networkアプリケーションの ファイアウォール&セキュリティ(Firewall & Security) セクションから、既存のポート転送ルールを削除することができます。
設定が不適切なことによる認証の失敗
これは、VPNサーバーとクライアントの事前共有キー、認証方法、またはログイン認証情報が一致しない場合に発生します。これらのすべてが、UniFi Networkアプリケーションで設定されているものと一致していることを確認してください。また、クライアントデバイスで MS-CHAP v2 認証方式が使用されており、VPNタイプが L2TP に設定されていることを確認してください。最後に、証明書ではなく、事前共有キーで認証していることを確認してください。
事前共有キー、ユーザー名、パスワードを再度入力し、入力ミスがないか確認します。
クライアントがL2TP接続を確立できない
別のクライアントやオペレーティングシステムを使用して、クライアント固有の問題であるかどうかを確認してください。クライアントに固有の問題である場合は、デバイスにアップデートがないか確認するか、製造元にサポートをお問い合わせてください。
注記:ほとんどのAndroidクライアントでは、UniFi NetworkのVPNサーバー設定で 弱暗号(Weak Ciphers) を有効にする必要があります。
クライアントがVPN経由でルーティングしているが、トラフィックが禁止されている
この場合、クライアントはVPNに接続できますが、ローカルネットワーク上の他のデバイスと通信できていません。
この問題を解決するには、VPNクライアントがローカルネットワークと通信することを妨げるトラフィックあるいはファイアウォールのルールがないか確認してください。他にも、ローカルネットワーク上の個々のクライアントが、ローカルファイアウォールで着信トラフィックをドロップしている可能性もあります。例えばWindowsファイアウォールは、デフォルトですべてのICMPv4(ping)トラフィックをドロップします。
pingを使用してテストする場合は、このトラフィックがWindowsファイアウォールを通過できるようにする必要があります。詳細についてはMicrosoftのサポートページを参照してください。
クライアントとVPNサーバーが同じローカルIPレンジを使用している
この場合、クライアントはVPNに接続できますが、ローカルネットワーク上のデバイスと通信できていません。これは、クライアントが接続しようとしているネットワークのサブネットと重複するIPアドレスを持っていることが原因である可能性があります。
例えば、クライアントのローカルネットワークに192.168.3.21のアドレスがあり、192.168.3.0/24サブネット上に構成されたUniFi VPNサーバーに接続しようとしている場合、クライアントは常に、VPNではなくローカルネットワーク接続を使用します。この問題を解決するには、クライアントのローカルIPを変更するか、UniFi Networkのサブネットレンジを調整します。
クライアントにスプリットトンネリングがある
これにより、ネットワーク自体に接続されているにもかかわらず、クライアントが一部VPN接続されたデバイスと通信できなくなります。この問題を解決するには、VPNを介してすべてのトラフィックをルーティングすることを推奨します。
- Windowsクライアントの場合は、[TCP/IPの詳細設定]で[リモートネットワークでデフォルトゲートウェイを使用する] を有効にします。
- Macクライアントの場合は、VPNネットワーク設定で「VPN接続を介してすべてのトラフィックを送信する」を有効にします。
それぞれのOSに特化したガイダンスについては、デバイスの製造元にお問い合わせください。
サポート要求の迅速化
サポート要求を送信する場合は、担当するサポートエンジニアがお客様に特有の状況を十分に把握し、お客様向けに特化された最良のサポートをご提供できるように、次の事項に対する回答を含めてください。
- 影響を受けた各クライアントのモデルとオペレーティングシステムは?
- どのようなエラー メッセージが表示されますか??
- クライアントはどのように設定されていますか?(可能であればスクリーンショットを添付してください)
- 別のクライアントでテストしたかどうか?
- 各クライアントのVPNへの接続方法?LTEデータを使用しているのか、または、別のWiFiネットワークに接続しているのか?
- 影響を受けている各クライアントのIPアドレスと、UniFi ゲートウェイのVPNサーバーのサブネットレンジは?
また、サポートファイルのコピーと、最後にVPNサーバーへの接続を試行したときのタイムスタンプを提供してください。詳細な手順についてはこちらをご覧ください。
- UniFi OSコンソールユーザーは、UniFi OS設定 からサポートファイルを入手できます(拡張子は*.tgz)。
- セルフホスト型ネットワークユーザーは、Networkアプリケーション設定 からサポートファイルを入手できます(拡張子は*.supp)。