社会でテレワークが一般化していますが、個人ユースにおいても「手軽に外出先から自宅ネットワークへ接続したい」というニーズも高まってきています。
ちょっと昔は「自宅でウェブサーバーを公開している」なんていうちょっと特殊な人たちのニーズでしたが、現在はネットワークカメラや自宅内に設置するNAS(ネットワークドライブ)などが一般化してきたことで、このような外出先から自宅ネットワークへの接続ニーズが高まっている、という感じです。
このニーズを満たすにはVPN環境構築が必要、しかしVPN環境の構築には「自宅ネットワークにグローバルIPアドレスが必要」「ONU/ルーターでポート転送機能が必要」などの条件が一般的です。
こんな中で、このような条件不要、どんなネットワーク(?)でも超簡単にVPNサーバーを構築できてしまうのが「Tailscale(テイルスケイル)」というクラウドサービスです。
本記事では人気のWindowsミニPC「GMKTec NucBox G2(およびその後継機であるNucBox G2 Plus)」とTailscaleサービスを使い、どんなネットワーク環境でも構築できる超簡単VPNサーバーを構築してみます。
Tailscaleの特徴
外出先のPCやスマホから自宅ネットワークへ接続する場合、一般的には自宅側にVPNサーバーを設置し、外出先のPCやスマホ側にはVPNクライアントアプリを設定します。
これにより、外出先からいつでも自宅ネットワークへVPN接続することができるようになります。
言ってしまうと簡単ですが、VPNサーバー構築において実は多くの場合はいくつかの機能制限(条件)が存在します。
- 自宅ネットワークにグローバルIPアドレスが必要
- 自宅ネットワークのONU/ルーターにポート転送機能が必要
TailscaleならグローバルIPアドレス不要
VPNサーバー機能に限らず、外部(インターネット側)から自宅ルーターへ接続する場合には一般的にグローバルIPアドレスが必要です。
グローバルIPアドレスとはインターネット上の共通の住所であり、この住所(自宅ルーター/ONU)がわからなければ自宅へ接続することができません。
IPv4 over IPv6では完全なグローバルIPアドレスは付与されない
フレッツ光回線の世界ではすでに「IPv4 over IPv6(v6プラスやクロスパスなど)」が一般化しています。
これらの高速通信サービスでは自宅ネットワークのルーター/ONUに完全なグローバルIPアドレスが付与されません。
もっとも利用者が多いv6プラスなどの「MAP-e」通信方式では1個のIPv4アドレスを複数の契約者で共有するため(完全なグローバルIPアドレスではないため)、自宅へ接続することができません。
また、クロスパスなどの「DS-Lite」通信方式では自宅ルーター(ONU)へはプライベートIPアドレスが付与されるため、こちらも自宅へ接続することはできません。
モバイル通信サービスでもグローバルIPアドレスは付与されない
WiMAXやNTT docomo home5Gなどのモバイル回線を使ったサービス(ホームルーターサービス)でも、一部を除きグローバルIPアドレスが付与されません。
WiMAXの一部のプロバイダー(Asahiネットなど)が固定IPv4アドレスサービスを提供していますが、それ以外の多くの場合はモバイル回線を使ったネットワークではVPNサーバーを構築することができません。
TailscaleならグローバルIPアドレス不要
仕組み上の詳細は割愛しますが、Tailscaleというサービスを利用することで、自宅ネットワークにグローバルIPアドレスが不要となります。
つまり、自宅ネットワークがIPv4 over IPv6(v6プラスやクロスパスなど)やホームルーターサービス(WiMAXやhome5Gなど)など、さらにはスマホのテザリングによるネットワークであっても、とにかくTailscaleならどんなネットワーク環境でもVPNサーバー環境を構築することが可能です。
Tailscaleならポート転送機能不要
自宅ネットワークに完全なグローバルIPアドレスが付与されていたとしても、自宅ネットワークで使用しているルーター(ONU)にポート転送機能がなければVPNサーバーを構築することはできません。
ポート転送機能とは、外部(インターネット側)から自宅ルーター(ONU)へ到達した通信をさらに自宅ネットワーク内のどのデバイスへ転送するか?という機能になります。
VPNサーバーの場合には自宅ルーターへ到達した通信はそのままVPNサーバーへポート転送する、という設定が必要となるわけです。
IPv4 over IPv6では(一般的に)ポート転送不可
v6プラスは一部の付与されたポート番号をうまく転送できればVPNサーバーを構築することができますが、一部の安価な家庭用ルーターの場合「v6プラス設定時にはポート転送不可」というルーターが多いです。
V6プラスなどMAP-e通信の環境でVPNサーバーなどサーバー機能を利用する場合には高価な業務用ルーター(YAMAHA RTX12000など)やNTTホームゲートウェイなどを利用してポート転送する必要があります。
ホームルーターやNURO光専用ルーター(ONU)もポート転送不可
ホームルーターや一部光回線サービスの専用ルーターなどではルーターにポート転送機能のないものが多いようです。
また、最近話題になっているNURO光のMAP-e導入においても通信の理屈的にはポート転送できるはずなのですが、残念ながらNURO光専用ONU(ルーター機能付き)にポート転送機能が無効となるため、サーバー機能を設置することができません。
Tailscaleならポート転送機能不要
Tailscaleを使ったVPNサーバー機能は自宅ネットワークのルーター(ONU)にポート転送の設定が不要です。
「グローバルIPアドレス不要」に加えて「ルーター(ONU)のポート転送不要」という仕組みです。
これにより、ポート転送機能のないルーター(安い家庭用ルーターやNURO光など)をお使いの場合であっても、VPNサーバーを構築することができます。
TailscaleはなんでもつながるVPN
Tailscaleはネットワーク接続情報をクラウド上でマッチングしてくれるクラウドサービスです。
「クライアント(外出先)がサーバー(自宅)へ接続しに行く」という接続形態ではなく、クラウド上でクライアントとサーバーの通信情報をマッチングしてくれるため、自宅側ネットワークにグローバルIPアドレスやポート転送の機能が必要ない、という仕組みです。
つまり「グローバルIPアドレス不要」「ポート転送機能不要」でつながるVPNサービスであり、これは(たぶん)「どんなネットワーク環境でもVPN構築できる」と言えるサービスです。
GMKTec NucBox G2(Plus)の特徴
TailscaleはWindows/Linux/Macなど多くのデバイスで動作します。
本記事ではTailscaleのサーバーを構築する環境として、人気のミニPC「GMKTec NucBox G2(Plus)」を利用します。
NucBox G2はインテル省電力CPUであるN100搭載の超小型PCです。
現在は後継CPUであるインテルN150を搭載したNucBox G2 Plusが販売されています。
どちらもハードウェア構成および本記事でのVPNサーバー構築手順は同じですが、両機種(新旧)を合わせて本記事では「NucBox G2(Plus)」と記載します。
2万円台で買える手のひらPC
GMKTec NucBox G2(Plus)はインテル省電力CPU(N100/N150)を搭載した手のひらサイズの超小型PCです。
Windows11 Pro(OEM版)がプレインストールされていながらも2万円台で購入できるという点でコスパも最高です。
製品構成上ディスプレイやマウス・キーボードはありませんが、むしろサーバー用途にはぴったりのミニPCです。
Windows11 Pro(OEM版)を標準装備
NucBox G2(Plus)はWindows11 Pro(OEM版)標準装備です。
もちろん購入価格(2万円台)にWindowsのライセンス料金も含まれています。
購入後最初に電源投入したときに初期セットアップの処理が流れ、Windows11のインストールが行われる仕組みとなっています。
中華製のミニPCではプレインストールされているWindows11に怪しげなものもあるようですが、GMKTec NucBox G2(Plus)では正規のOEM版を使っていることが確認されています。
ミニPC利用時の注意点
NucBox G2(Plus)に限らず、「ミニPC」というジャンルの小型PCにはマウス・キーボードなどの入力デバイスも、ディスプレイといった出力デバイスもありません。
通常、運用に入ったら外部のPCからリモートデスクトップ機能を使ってリモート操作することができますが、初期セットアップ時などでは別途マウス・キーボード・ディスプレイが必要です。
NucBox G2(Plus)には以下の入出力インターフェースが備わっています。
| ディスプレイ | HDMIポート × 2 |
|---|---|
| DP(DisplayPort) × 1 | |
| マウス キーボード |
USB3.0 × 3 |
ディスプレイが必要
まず、NucBox G2(Plus)の初期セットアップ時にはディスプレイが必要です。
NucBox G2(Plu)本体がHDMIポートおよびDPポートを備えているので、どちらかに対応したディスプレイが必要です。
なお、NucBox G2(Plus)には付属品としてHDMIケーブル1本が付属していますが、DPポートディスプレイを利用する場合には別途DPケーブルも必要となります。
キャプチャボード利用も可能
外部ディスプレイがない場合などではキャプチャーボードを利用することも可能です。
以下のようなUSBタイプのキャプチャーボードを利用すると、NucBox G2(Plus)の画面出力を(ディスプレイではなく)デスクトップPCやノートPCのカメラアプリなどへ出力することができます。
画面出力を別PCのカメラアプリへ出力できるので、画面状態のスクショや録画などもできるようになります。
マウス・キーボードが必要
また、初期設定時にはマウス・キーボードも必要です。
NucBox G2(Plus)の本体側インターフェースとしてはUSB3.0ポートとなるため、USBタイプのマウス・キーボードがあると良いです。
※なお、NucBox G2(Plus)にはBluetooth機能もありますが、初期セットアップ完了前は利用できません。
私は以下のようなUSBタイプのマウス・キーボードのセットを利用しています。
1個のUSBレシーバーでマウスとキーボードを接続できるので便利です。
STEP① NucBox G2(Plus)のWindowsセットアップ
GMKTec NucBox G2(Plis)はWindows11 Pro(OEM版)がプレインストールされています。
購入直後に初めて電源を投入するときに初期セットアップが実行され、Windows11がセットアップされます。
この初期設定時には先に述べたように外部ディスプレイ(またはキャプチャボード)とマウス・キーボード(USBタイプ)が必要です。
インストール時(初期設定時)のネットワーク環境
最近のWindowsはインストール時にネットワーク接続が必須となっています(バージョンによる細かな違いがあります)。
インストール時(初期設定時)に有線LANが使える方は良いですがWi-Fiのみの場合だとインストール時にWi-Fiのドライバーが使えないのでネットワーク接続できない、などのトラブルも機種によってはあるようです。
GMKtec NucBox G2にプリインストールされているOEM版Windows11では、初期設定時にネットワーク接続(有線LAN接続)がある場合と、ネットワーク接続がない場合(Wi-Fiしかない場合含む)では初期設定の処理の流れが異なります。
そして、ネットワーク接続がない場合でも初期設定が可能です。
ネットワーク接続(有線LAN)がある場合の初期設定の流れ
GMKtec NucBox G2の初期設定時に有線LANによるネットワーク接続が利用できる場合、初期設定の流れは以下のようになります。
- STEP1言語の選択
まず最初にシステム(Windows)の言語選択を行います。
上記画面で「日本語」を選択します。
選択後、確認画面が表示されます。
- STEP2キーボードレイアウトの選択
システム(Windows)で使うキーボードレイアウトを選択・登録します。
初期値として「Microsoft IME」が表示されます。
通常はこのまま(Microsoft IME)選択します。
- STEP3ライセンス契約への同意
ライセンス契約への同意画面が表示されます。
- STEP4デバイス(PC)の利用形態の選択
デバイスの利用形態を以下から選択します。- 「個人用に設定」
- 「職場または学校用に設定」
通常は「個人用に設定」を選択し、その後「マイクロソフトアカウント」でのアカウント登録となります。
ローカルアカウントで登録したい場合は「職場または学校用に設定」を選択します。
- STEP5アカウントの登録
基本はマイクロソフトアカウントによるアカウント登録となります。私はローカルアカウントで登録したいので、「STEP4」で「職場または学校用に設定」を選択後、以下の画面でローカルアカウントとして登録しました。
マイクロソフトアカウントを入力せずに「サインインオプション」をクリックします。
サインインオプション画面で「代わりにドメインに参加する」を選択します。
名前の入力画面でローカルアカウント名を登録します。
この語、パスワード設定を行います。
- STEP6デバイスのプライバシー設定の選択
デバイスのプライバシー設定画面が表示されます。
私はいつも(なんだか気持ち悪いので)すべて「いいえ(左へスライド)」で登録しています。
この後、デバイス(GMKtec NucBox G2)は再起動を行います。
- STEP7インストール(初期設定)の完了
再起動するとWindows11の初期設定が完了し、デスクトップが表示されます。
- STEP7日本語キーボードへの変更
GMKtec NucBox G2にプリインストールされているWindows11は初期設定直後の状態ではキーボードが英語キーボードとして登録されています。
このため「@」が「]」として入力されるなどの問題があります。
キーボード設定を日本語キーボードへ登録変更します。
「スタートメニュー」から「設定」を開きます。
サブメニューの「時刻と言語」から「言語と地域」を選択します。
「日本語」の詳細メニュー(右端の”…”)から「言語のオプション」を選択します。
自動的に言語パックの検索処理が動きますが、しばらくすると画面下に「キーボードレイアウト」の項目が表示されます。
表示されたら「レイアウトを変更する」を選択します。
「ハードウェアキーボードレイアウトの変更」画面が表示されるので現在の「英語キーボード(101/102キー)」から「日本語キーボード(106/109キー)」へ変更します。
変更後、「OK」ボタンまたは「今すぐ再起動する」ボタンを押下します。
Windows11の再起動後にはキーボードが正しく日本語キーボードとして登録されます。
以上が初期設定時に有線LANによるインターネット接続が利用できる場合の初期設定の流れとなります。
初期設定時にインターネット接続が利用できる場合、多くのアップデートモジュールは初期設定時に自動適用されますが、一応「Windows Update」を実行しておくとよいでしょう。
ネットワーク接続(有線LAN)が利用できない場合の初期設定の流れ
GMKtec NucBox G2の初期設定時に有線LANによるネットワーク接続が利用できない場合、初期設定の流れは以下のようになります。
また、GMKtec NucBox G2はWi-Fi機能がありますが、初期設定時にはこのWi-Fiを使ってのインターネット接続は利用できません。
- STEP1言語の選択
まず最初にシステム(Windows)の言語選択を行います。
上記画面で「日本語」を選択します。
選択後、確認画面が表示されます。
- STEP2キーボードレイアウトの選択
システム(Windows)で使うキーボードレイアウトを選択・登録します。
初期値として「Microsoft IME」が表示されます。
通常はこのまま(Microsoft IME)選択します。
- STEP3ライセンス契約への同意
ライセンス契約への同意画面が表示されます。
- STEP4ローカルアカウントの登録
Windows11の利用者アカウントを登録します。
通常、利用者アカウントはマイクロソフトアカウントを使ったアカウント登録となりますが、初期設定時にインターネット接続が利用できない場合にはローカルアカウントでの登録となります。
「このデバイスを使うのはだれですか?」の画面で名前欄にローカルアカウントの名称を登録します。
次の画面でパスワードも登録します。
- STEP5デバイスのプライバシー設定の選択
デバイスのプライバシー設定画面が表示されます。
私はいつも(なんだか気持ち悪いので)すべて「いいえ(左へスライド)」で登録しています。
この後、デバイス(GMKtec NucBox G2)は再起動を行います。
- STEP6インストール(初期設定)の完了
再起動するとWindows11の初期設定が完了し、デスクトップが表示されます。
- STEP7Wi-Fiの有効化
Windows11が起動したのでWi-Fi接続を行っておきましょう。
タスクバーのアイコン(地球儀マーク?)をクリックした画面から「Wi-Fi」を選択します。
Wi-Fiアクセスポイントの一覧が表示されるので、ご利用のWi-Fiを選んで接続します。
以上でWi-Fiを使ってのインターネット接続ができるようになります。
- STEP8日本語キーボードへの変更
GMKtec NucBox G2にプリインストールされているWindows11は初期設定直後の状態ではキーボードが英語キーボードとして登録されています。
このため「@」が「]」として入力されるなどの問題があります。
キーボード設定を日本語キーボードへ登録変更します。
「スタートメニュー」から「設定」を開きます。
サブメニューの「時刻と言語」から「言語と地域」を選択します。
「日本語」の詳細メニュー(右端の”…”)から「言語のオプション」を選択します。
自動的に言語パックの検索処理が動きますが、しばらくすると画面下に「キーボードレイアウト」の項目が表示されます。
表示されたら「レイアウトを変更する」を選択します。
「ハードウェアキーボードレイアウトの変更」画面が表示されるので現在の「英語キーボード(101/102キー)」から「日本語キーボード(106/109キー)」へ変更します。
変更後、「OK」ボタンまたは「今すぐ再起動する」ボタンを押下します。
Windows11の再起動後にはキーボードが正しく日本語キーボードとして登録されます。
以上が初期設定時に有線LANによるインターネット接続が利用できない場合(利用しない場合)の初期設定の流れとなります。
初期設定時にインターネット接続が利用できない(利用しない)場合、初期設定の流れの中での更新モジュール適用は行われないため「Windows Update」を実行しておきましょう。
NucBox G2のWindows初期設定のまとめ
NucBox G2を購入後に初めて電源投入するときのWindowsの初期設定の手順をみてみました。
初期設定時にネットワーク接続が利用できる場合とできない場合で、ちょっとだけ手順が異なります。
インターネット接続が利用できる場合と利用できない場合
初期設定時にインターネット接続を利用する場合、有線LANによる接続のみが利用可能です。
GMKtec NucBox G2にはWi-Fi機能がありますが、初期設定時にはWi-Fiによるインターネット接続は利用できません。
初期設定自体はインターネット接続が利用できても利用できなくても可能です。
インターネット接続利用しない場合はローカルアカウントのみ
Windows利用時にはアカウントが必要です。
アカウントには「ローカルアカウント」と「マイクロソフトアカウント」のどちらかを利用登録可能ですが、最近のWindowsではどうやら「マイクロソフトアカウント」を強く推奨しているようです。
GMKtec NucBox G2の初期設定時にインターネット接続を利用しない場合は、Windowsのアカウントとしてローカルアカウントのみが登録可能、マイクロソフトアカウントによる登録はできません。
このため、インターネット接続を利用しない初期設定を行った場合でマイクロソフトアカウントでの利用を行いたい場合には、初期設定後にローカルアカウントからマイクロソフトアカウントへの登録変更が必要です。
インターネット接続利用でもローカルアカウント登録が可能
インターネット接続を利用した初期設定であっても、ローカルアカウントでの登録は可能です。
アカウント登録画面で「サインイン・オプション」から「ドメインへ参加する」を選択することでローカルアカウントでの登録が可能です。
日本語キーボードへのハードウェア設定変更が必要
GMKtec NucBox G2の初期設定時に「日本語」を選択しても、なぜかキーボード設定は英語キーボード(101/102キー)で登録されてしまいます。
このため、通常の日本語キーボード(106/109キー)をご利用の場合には意図しないキーコードの変換となり正しく(思った通りに)文字入力ができません。
よって、初期設定直後には英語キーボードから日本語キーボードへのハードウェア情報登録変更が必須となります。
STEP② Tailscaleアカウント登録
本記事ではTailscaleを使ってNucBox G2(Plus)をVPNサーバーとして構築していきます。
Tailscaleは有料/無料のプランとしてサービス提供していますが、本記事で構築するVPNサーバーの機能範囲であれば無料プラン(Personalプラン)で十分です。
Tailscaleへのアカウント(利用者)登録
Tailscaleはクラウドサービスなので、サービス利用においてはまず最初に「利用者登録」が必要です。
まずtailscaleサービスへログインします。
※NucBox G2(Plus)のWindowsからログインしておくと、後々再ログイン不要で便利です
tailscaleは以下のアカウントで利用することができます。
- Googleアカウント
- Microsoftアカウント
- GitHubアカウント
- Appleアカウント
- OIDC(OpenID)アカウント
「Zero Trust」というやつであり、tailscaleでは利用者の個人情報を一切保持しません。
Admin Console(管理画面)へのログイン
お好きなアカウントでtailscale登録を行い、無事利用者登録が完了したら「tailscale Admin Console」が表示されます。
初期状態では無料プラン(Personalプラン)での登録となっています。
Tailscaleでは上記のような管理画面(Admin Console)にVPN機能(サーバー/クライアント)を登録し管理していく仕組みになっています。
現時点ではまだVPN機能を登録していないので、登録情報(Machines)は空っぽのままとなっています。
今後、Tailscaleサーバーやクライアントを登録していくと、ここ(管理画面)にデバイス情報が登録・表示されていきます。
現時点では、ここまでとします。
STEP③ NucBox G2(Plus)へTailscaleインストール
次にNucBox G2(Plus)へTailscaleアプリをインストールしていきます。
まず、NucBox G2(Plus)のWindows上からブラウザを使ってtailscale Admin Console(管理画面)へログインしておきます。
ここからの作業はNucBox G2(Plus)上から行います。
Windows用Tailscaleアプリのダウンロード
Admin Console(管理画面)の「Download Tailscale」リンクからWindows用Tailscaleをダウンロードします。
tailscale Download | tailscale
Tailscaleのインストール
ダウンロードしたTailscaleアプリのインストーラーを起動します。
インストーラが起動したら、「I agree the license terms and conditions」をチェックし、「Install」ボタンを押下します。
インストールが完了すると画面は以下の画面となるので「Get Started」ボタンを押下します。
ここまででTailscaleアプリのインストールは完了です。
Tailscaleデバイスの登録
次にインストールされたTailscaleアプリ(と、NucBox G2(Plus))をTailscaleのAdmin Console(管理画面)へ登録します。
インストール画面の「Sign in to your network」ボタンを押下します。
ブラウザが起動し、Tailscale管理画面へのログイン画面が表示されるのでログインします。
Admin Console(管理画面)へのログインが完了すると、以下のようにNucBox G2(Plu)が「Machines」に登録されています。
ここまでの作業でNucBox G2(Plus)をTailscaleサービスへデバイス登録することができました。
Tailscaleサブネット登録と認証
最後にNucBox G2(Plus)が所属するネットワーク(自宅ネットワーク)の環境を登録・認証します。
ブラウザを開いたままの状態で、Windowsのターミナルアプリを起動します。
ターミナルアプリより以下のコマンドを投入します。
tailscale up --advertise-routes=192.168.11.0/24 --advertise-exit-node --accept-routesここで「192.168.11.0/24」の部分はご自身のネットワーク環境に合わせてください。
コマンドが正常すると、ブラウザのAdmin Console(管理画面)では以下のように「Subnet!」「Exit Node!」が表示されます(認証待ち状態)。
これを認証するために、「Share」の「…」メニューから「Edit route settings…」を開きます。
上記のようにネットワーク認証画面が表示されるので、「Subnet routes」と「Exit node」をチェック(認証)し「Save」ボタンを押下します。
Admin Console(管理画面)へ戻ると、「Subnet」「Exit node」と表示され(!マークが消えている)、サブネット情報の登録が完了しています。
STEP④ スマホ/PCのクライアント設定
Windows11クライアントの登録設定
外出先で利用するWindowsパソコンにtailscaleクライアントアプリをインストールし、設定していきます。
アプリのダウンロードとインストール
アプリのダウンロードはtailscaleのホームページより行います。
tailscaleダウンロードセンター | tailscaleプロジェクト
上記「Download Tailscale for Windows」をクリックしてアプリをダウンロードし、ダウンロードしたファイルを実行することでtailscaleクライアントアプリがインストールされます。
アプリがインストールされると、Windowsパソコンのタスクトレイにtailscaleアプリのアイコンが表示されます。
アイコンを右クリックしてメニューから「Log in…」をクリックします。
ブラウザが起動してtailscale管理コンソールへのログイン画面が表示されるのでログインします。
ログインするとtailscale管理コンソールが表示されます。
tailscale管理コンソールには先に登録したVPNサーバー(NucBox G2)に加えて、今登録したWindowsパソコンが登録されました。
上記のように、外出先からも自宅VPNサーバー(NucBox G2)へいつも使っているIPアドレスで接続することができました。
また、今回NucBox G2(Plus)のtailscaleではVPNサーバーだけでなくサブネットとして自宅ネットワークを丸ごと登録しています。
このため、VPNサーバー(NucBox G2)だけでなく自宅ネットワークの他のデバイスへも外出先からアクセスすることができます。
外出先パソコンからの動作確認
では外出先のWindowsパソコンから自宅ネットワークへ接続してみます。
我が家ではIPアドレス「192.168.11.40」でTrueNAS Scale(NAS/ファイルサーバー)を運用しています。
外出先パソコンのブラウザからこのTrueNAS ScaleのIPアドレスを入力してみます。
上図のように外出先からいつも自宅で使っているIPアドレスで自宅ネットワークのTrueNAS Scaleへアクセスすることができました。
Androidスマホの登録設定
次にスマホで使える環境を構築、および確認していきます。
今回はスマホとしてAndroidスマホを利用しますが、iPhoneでも同様の手順となります。
tailscaleスマホアプリのインストールとログイン
まずはスマホアプリをスマホへインストールします。
tailscaleダウンロードセンター | tailscaleプロジェクト
上記リンクのQRコードをスマホのカメラで読み取ります。
または、直接Playストア(iPhoneならAppストア)から「tailscale」で検索しても良いです。
Google Playストア(または、Apple Appストア)からtailscaleをインストールします。
インストールできたらスマホからtailscaleアプリを起動します。
Tailscaleアプリの初画面で「Login」ボタンを押下します。
PCでのログイン時と同様のログイン画面が表示されるので、Tailscale登録アカウントのメールアドレスでログインします。
Tailscale Admin Console(管理画面)へログインできると「Connect」ボタンを押下します。
Tailscale Admin Console(管理画面)には、今まで登録したデバイスに加えて新しくスマホもデバイスとして登録されています。
この状態で、スマホもtailscale管理コンソールに登録済み状態となっているのでスマホからも自宅ネットワークへアクセスできるようになりました。
※なお、画面上部の「Active」のスライドスイッチを左へスライドして「Stopped」へすることで、スマホアプリ(tailscale)の接続が切断、「Active」で接続、という使い方になります。
スマホから自宅サーバーへアクセス
では、外出先のスマホから自宅TrueNAS Scaleへ接続してみます。
スマホからもいつも自宅で使っているIPアドレスを使いTrueNAS Scaleへ接続することができました。
おまけ:Tailscaleで拠点間(Site-to-Site)VPNを構築
ここまでの手順で自宅のミニPC(GMKTec NucBox G2 Plus)をTailscale VPNサーバーとし、外出先(クライアント)からスマホやPCで自宅ネットワークへ接続することができるようになりました。
このような「クライアント(外出先)をサーバー(自宅ネットワーク)へ接続」する形態をリモートVPN接続と言います。
超簡単「拠点間(Site-to-Site)VPN」
その一方でネットワークとネットワークをVPN接続する形態を拠点間(Site-to-Site)VPNと言います。
たとえば、「自宅ネットワークと職場ネットワークをVPN接続」「自宅ネットワークと実家ネットワークをVPN接続」などの接続形態です。
ネットワークとネットワークをVPN接続すれば、個々の端末(スマホ/PC)はVPNアプリが不要で相手先ネットワークの機器へ接続することができるようになります。
ここまでの手順でTailscaleのリモートVPN接続環境が出来上がっていれば、もう一工夫で拠点間(Site-to-Site)VPNも構築できてしまいます。
※リモートVPNと拠点間VPNの共存できます。
自宅と実家をVPNで接続する
Tailscaleを使って拠点間(Site-to-Site)VPNを構築してみます。
便宜上本記事では「自宅ネットワークと実家ネットワークを拠点間VPN接続」としますが、ネットワーク同士ならどれも同じです。
自宅と実家のネットワークを拠点間VPN接続すれば、「実家からいつでも自宅のNASが使える」「自宅NASを実家でバックアップ(遠隔地バックアップ)」などの環境が構築できます。
Tailscaleによる拠点間(Site-to-Site)VPNの前提条件
Tailscaleを使えばリモートVPN接続に加えて拠点間(Site-to-Site)VPNも簡単に構築できます。
しかも、2拠点接続だけでなく3拠点接続でも4拠点接続でもできてしまいます。
しかし、前提となる条件があります。
拠点ネットワークは異なるネットワークアドレスであること
TailscaleによるVPNは「L3(Layer 3) VPN」なので、接続するネットワークはそれぞれネットワークアドレスが異なる必要があります。
自宅ネットワークと実家ネットワークを接続する場合、以下のようなネットワークアドレスでなければいけない!ということです。
| 拠点 | ネットワークアドレス | Tailscale VPNサーバー |
|---|---|---|
| 自宅ネットワーク | 192.168.1.0/24 | 192.168.1.3 |
| 実家ネットワーク | 192.168.2.0/24 | 192.168.2.3 |
上記のように、拠点のネットワークアドレスは異なる必要があり、同じネットワークアドレスではダメです。
よって、Tailscaleによる拠点間(Site-to-Site)VPNを構築する場合には、各拠点のネットワークアドレスを異なるものに設定しておく必要があります。
自宅ルーターに「経路情報(スタティックルーティング)」機能があること
拠点(自宅・実家)のルーターに「経路情報(スタティックルーティング)」の機能がなければなりません。
「実家への通信は(自宅の)Tailscaleサーバーへ転送する」「自宅への通信は(実家)のTailscaleサーバーへ転送する」という宛先ごとにゲートウェイ(Tailscaleサーバー)を指定できる機能です。
エントリークラスのルータにはこの「経路情報(スタティックルーティング)」機能がないルーターも多くあります。
経路情報(スタティックルーティング)機能のないルーターでは拠点間(Site-to-Site)VPNを構築することはできません。
STEP① 自宅/実家それぞれにリモートVPN環境を構築
本記事手順にて、まずは自宅と実家にリモートVPNの環境を構築します。
自宅のTailscaleサーバーも実家のTailscaleサーバーも、同じTailscaleアカウントで管理画面(Tailscale Admin Console)へ登録します。
STEP② 自宅/実家ルーターに「経路情報(スタティックルート)」設定
自宅/実家それぞれにリモートVPN環境が出来上がったら、あとは自宅/実家それぞれの自宅ルーターに「経路情報(スタティックルート)」の設定をしてあげるだけです。
| 拠点ルーター | 宛先 | ゲートウェイ |
|---|---|---|
| 自宅ルーター | 実家ネットワークへの通信 ※192.168.2.0/24 |
自宅のTailscaleサーバーへ転送 |
| 実家ルーター | 自宅ネットワークへの通信 ※192.168.1.0/24 |
実家のTailscaleサーバーへ転送 |
つまり、自宅/実家それぞれの拠点ルーター(自宅ルーター)に対して「相手ネットワークへの通信(IPアドレス)を自分のTailscaleサーバーへ転送」という設定です。
これだけの追加設定で簡単に拠点間(Site-to-Site)VPNが構築できます。
この「経路情報(スタティックルート)」の設定はお使いのルーターにより設定方法が異なりますので、お使いのルーターのマニュアル等を参照してください。
OpenWrtルーターによる経路情報設定例
OpenWrtルーターをお使いの場合の経路情報設定例を示します。
バッファロールーターによる経路情報設定例
バッファロー「WXR-6000AX12S」による経路情報設定例を示します。
メニュー「LAN > 経路情報」画面より、以下の設定を行います。
| 宛先アドレス | 相手拠点のネットワークアドレスを設定 |
|---|---|
| ゲートウェイ | 自拠点のTailscaleサーバーIPアドレスを指定 |
| メトリック | 初期値”15″のままで良い |
なお、機種により設定方法が異なる場合があるためお持ちのマニュアル等を参考にしてください。
まとめ、ミニPCで超簡単VPNサーバー構築
本記事ではミニPC「GMKTec NucBox G2(Plus)」とTailscaleを使って超簡単にVPNサーバーを構築してみました。
本記事で使用したNucBox G2(Plus)は実売価格で2万円前半で購入できるし、Tailscaleも個人利用範囲なら無料プラン「Personalプラン」で十分です。
Tailscaleなら自宅ネットワークにグローバルIPアドレスが付与されていなくても、自宅ルーターにポート転送機能がなくても、簡単にVPNサーバーを構築することができます。
どんなネットワーク環境でもつながるVPNサーバーが2万円程度でできてしまいます。
Proxmoxで仮想化してたくさんの機能を盛り込む
本記事では人気のミニPC「GMKTec NucBox G2(Plus)」を使って超簡単なTailscale VPNサーバー環境を構築してみました。
NucBox G2(Plus)は実売価格2万円代で購入でき、Windows11 Pro(OEM版)が付属しているため、買ってきてすぐに超簡単にVPNサーバーを構築することができます。
その一方で、N100/N150という省電力ながらも高性能なCPUと12GB(RAM)/512GB(SSD)というTailscale VPNサーバーとしてのみ使うにはもったいない使い方でもあります。
たとえば、NucBox G2(Plus)を人気の仮想システム「Proxmox」で仮想サーバー化し、その中の仮想マシンとしてTailscale VPNサーバーを構築することで、仮想マシンによりVPNサーバーに加えて様々な機能をNucBox G2(Plus)に持たせる使い方も可能です。
