OpenWRTでIPSec VPN(1)『仕様』

これからOpenWRTでIPSecVPNを行う方法を記述していきますが、仕様を決めておきたいと思います。

目的

 外出先から、携帯端末・PCを使って自宅のデスクトップPCにリモートデスクトップ接続して操作できるようにする。

要件


この文書の情報鮮度

 2013年9月時点での一般的に使用される機器・OSとし、少なくとも1年程度は運用できることを前提とする。

OpenWRTルータ

読者の入手性を考慮し現時点でも販売中のBuffalo BHR-4GRVと中古市場で安価に入手可能なBuffalo BHR-4RVをターゲットとする。
それぞれ有線専用のルーターのため無線設定についてはこの文書では触れない。

[2014/11/08追記]
OpenWRT Barrier Breaker 14.07 +
Buffalo WZR-HP-300NH
についても追記する。
[追記ここまで]

端末

外出先から使用する端末として以下を想定する。追加ソフトを使用せずできるだけOS標準機能で完結できるようにする。

  • iPhone/iPad (iOS 6.1)
  • Android (4.0/4.1)
  • Windows8
  • Windows7 SP1
  • Windows Vista SP2
  • MacOS X 10.8

回線(外出先)

以下の回線を使用することを前提とする。
  • 3G回線/LTE回線
  • スマートフォン経由のテザリング(USB/Bluetooth/WiFi)
  • Fon、各キャリアが提供する公衆無線LAN

回線(自宅)

PPPoE方式のFTTH回線を前提とする。
家庭用のため固定したIPアドレスは使用しない。

安全性

数々の脆弱性が指摘されているPPTPは使用しない。
OS標準機能を利用する前提のため、OpenVPNは採用しない。
強固なIPSecを採用するが、漏れた場合に侵入を許してしまう事前共有キー(pre shared key)方式は使用しない。
X.509公開証明書によるクライアント認証を採用する。

利便性

複数の端末でのVPNアクセスが出来るようにする。
節電の為自宅のPCは未使用時にはスタンバイまたは休止状態とし、必要に応じてWoLで起動できるようにする。
自宅のPCはIPアドレス直指定ではなく、ホスト名でアクセスできるようにする。