ASUSルーターのOpenVPN設定を一つずつ順番に見ていきます。
ASUS公式サポートのFAQにも設定方法のページがありますが、基本的な設定しか説明されておらず、設定項目ごとの解説はありません。(私が見つけられていないないだけだったらすみません。)
ほとんどの設定はデフォルトのままでも使用することができますが、一部の設定を変更してセキュリティや安全性を強化したりしようと思うと、設定項目の内容をある程度理解する必要が出てきます。
そこで、今回の記事ではASUSルーターのOpenVPN設定の全項目について、私が実際に調べた内容とおすすめの設定を紹介します。
基本設定
サーバーポート (デフォルトから変更を推奨)
- 1194 (Default)
- 1024~65535の任意の1ポート
OpenVPN接続に使用するポートの設定です。
デフォルトではOpenVPNが標準で使用する1194ポートに設定されておりますが、ポート番号と使用用途がわかると攻撃の対象となる可能性があります。
ポート番号は標準のものから変更したほうがセキュリティリスクが高まるため、1194以外の任意のポートを指定することをオススメします。
RSA 暗号 (デフォルトから変更を推奨)
- 1024 bit (Default)
- 2048 bit
RSA暗号は、公開鍵暗号アルゴリズムの一つで、SSL証明書等の電子署名のアルゴリズムとして利用されています。
OpenVPNでは証明書認証に利用され、本設定では公開鍵の鍵長を設定します。
デフォルトでは1024bitに設定されておりますが、現在では2048 bitが鍵長の主流のため、2048bitに設定することをオススメします。
クライアントの VPN 接続範囲
- ローカルネットワークのみ
- インターネットとローカルネットワーク (Default)
「ローカルネットワークのみ」はOpenVPNがアクセスできる範囲がローカルネットワークに制限され、インターネットへのアクセス(Googleでの検索等)はOpenVPNサーバを経由せず、直接アクセスすることになるため、VPNによる暗号化は利用することができません。
「インターネットとローカルネットワーク」の場合には、インターネットへのアクセス(Googleでの検索等)を含む、すべての通信もOpenVPNサーバを経由するため、セキュリティを強化することが可能です。
VPNの利用目的が自宅LAN内の機器へのアクセスであれば、ローカルネットワークのみでも問題ありませんが、公衆Wi-Fi等のセキュリティ強化が目的であれば、デフォルトのままインターネットとローカルネットワークにしておくことをオススメします。
詳細設定
インタフェース
- TUN (Default)
- TAP
OpenVPNサーバとOpenVPNクライアント間の接続方式の設定です。
「TUN」ではOSI参照モデルの第3層(ネットワーク層)で接続されるため、OpenVPNクライアントに割り当てられるIPアドレスは、自宅LANとは異なるネットワークセグメントになる。
「TAP」では第2層(データリンク層)での接続となため、OpenVPNクライアントに割り当てられるIPアドレスは、自宅LANと同一ネットワークセグメントになる。(ブロードキャストが届く)
ただし、AndroidやiPhoneではVPNのTAP接続がサポートされていないため、モバイル端末での利用を想定されている場合には、TUN接続をオススメします。
プロトコル (デフォルトからの変更を推奨)
- TCP
- UDP (Default)
OpenVPN接続に使うポートのプロトコルを指定します。
「TCP」はコネクション型の通信で、通信相手の状態を確認しながら通信を行う方式です。
受信側はデータを受信すると、データを受信した事を送信側に伝えます。送信側は受信側からの応答をもって、データが確実に相手に届いたことがわかります。
そのため、データを保証した信頼性の高い通信が可能となりますが、受信側からの応答を待ってから次のデータを送信するため、通信速度は遅くなります。
「UDP」はコネクションレス型の通信で、通信相手の状態を確認せず一方的に送る方式です。
TCPとは違い相手からの応答を待たないため、送信側はデータが本当に届いたのかの確認はできませんが、速度を重視した通信が可能になります。
簡単にまとめると、信頼性重視の方はTCP、速度重視の方はUDPといった感じになります。
私は、公衆Wi-Fi等を利用した際にもファイル転送などを行うことがあるため、信頼性を重視したTCPを利用しておりますが、現状通信速度に問題はありません。
また、UDPプロトコルは公衆Wi-Fi等ではブロックされていることがあり、その場合にはOpenVPN接続ができなくなるため、汎用性といった意味でもTCPをオススメしています。
サーバーポート
基本設定と同一の項目です。こちら
DNS応答
- はい (Default)
- いいえ
クライアントからのDNSクエリに対して、応答するかを設定します。
こちらは、特別な理由がない限りデフォルトのはいにしておくことをオススメします。
クライアントにDNSを通知
- はい (Default)
- いいえ
ひとつ上のDNS応答と混同しがちですが、こちらはクライアントにDNSサーバーをDNSサーバとして通知するための設定になります。
クライアントサーバー側でDNSサーバを指定しない場合には、デフォルトのはいにしておく必要があります。(はいの場合でもDNSサーバを指定すれば指定したDNSが使用されます。)
OpenVPNクライアント側でDNSサーバを指定する方法については、気が向いたら記事にします。
暗号化方式
- Default
- None
- AES-128-CBC (Default)
- AES-192-CBC
- AES-256-CBC
- BF-CBC
- CAST5-CBC
- CAMELLIA-128-CBC
- CAMELLIA-192-CBC
- CAMELLIA-256-CBC
- DES-CBC
- DES-EDE-CBC
- DES-EDE3-CBC
- DESX-CBC
- IDEA-CBC
- RC2-40-CBC
- RC2-64-CBC
- RC2-CBC
- RC5-CBC
- SEED-CBC
HMAC 認証
- MD5
- SHA 1 (Default)
- SHA 224
- SHA 256
- SHA 384
- SHA 512
- RIPEMD 160
- RSA MD4
データ圧縮
- 無効
- なし
- 有効 (デフォルト)
- アダプティブ
- LZ4
ユーザー名 / パスワード認証のみ
- はい (Default)
- いいえ
認証モード
- TLS (Default)
- Static Key
RSA 暗号
基本設定と同一の項目です。こちら
拡張 HMAC 認証
- 無効 (Default)
- Bi-directional
- Incoming(0)
- Incoming(1)
VPN サブネット / サブネットマスク
- 10.8.0.0 / 255.255.255.0 (Default)
クライアントプッシュ
- はい (Default)
- いいえ
クライアントに直接トラフィックをリダイレクト
- はい (Default)
- いいえ
TLS 再ネゴシエーション時間
- -1秒 (Default)
クライアント固有オプション管理
- はい
- いいえ (Default)
設定項目推奨設定まとめ
デフォルト値から設定を変更している項目をピックアップしています。
| 設定項目 | デフォルト値 | 推奨値 | |
| 基本設定 | サーバーポート | 1194 | 任意のポートを指定 |
| RSA暗号 | 1024 bit | 2048 bit | |
| 詳細設定 | プロトコル | UDP | TCP |
| 暗号化方式 | AES-128-CBC | AES-256-CBC | |
| HMAC 認証 | SHA 1 | SHA 256 |
基本的にはデフォルトの設定を元に、セキュリティ、安全性を高める方向に設定変更をしています。
セキュリティや安全性を高めると余分なトラフィックが発生し、通信速度の低下が発生することがありますが、私の環境では体感できるレベルでの違いはありません。
設定変更により明らかに通信速度が低下した場合には、本記事を参考に、セキュリティ、安全性と通信速度のバランスを調整してください。
コメント