【ゼロコスト】自宅ラボへ外出先から安全かつ低コストでアクセスを実現するためTailscaleを導入してみた【簡単】

1.はじめに

どーも不定期更新のガジェットぺろぺろです

今日は外出先から自宅PCへ接続するために、Tailscaleを導入してみたので紹介します

ネットワークとか初心者のわたしが、探り探り試行錯誤してたどり着いたやり方を紹介します。

技術的に明るくないので、お見苦しい点があれば先にお詫びしておきます。

この記事では、Beelink SER5のWindows 11 ProにHyper-Vで構築した自宅ラボに、Tailscaleを使って外出先からアクセスする方法を紹介します。ネットワーク構成や、実際の接続方法、使用感も含めて解説していきます。

自宅にHyper-Vで仮想ラボを構築した背景

前回の記事で紹介しましたのが、自宅にHyper-Vで仮想ラボを構築しました

目的は、7月からサーバを触る職場に異動となったんですけど、私が初心者過ぎてついていけないので、自宅に自由にWindows Server や Activedirectoryを触れる環境を作ってみたかったからです。とりあえず、Hyper-Vの導入、仮想マシンの作成、サーバとクライアントの構築はOSインストールまで完了しました。ドメインとか細かい設定はこれからです

外出先からアクセスしたいなー

自宅で仮想環境を構築し、検証や検証用ドメインの学習、GPOの動作確認などを行うエンジニアにとって、「外出先からラボにアクセスできるかどうか」は重要な要素の一つだと思います。

前回の記事の通り、自宅PCにラボを構築したものの、外出先でもアクセスしたいなーって欲が出てきました。

手持ち無沙汰でサーバを触ると落ち着く休憩時間にサーバーを触りたいときってありますよね?

そこで、VPNで自宅にアクセスできる環境を構築したいなーってことで色々と調べたんですが・・・

挫折しました!!

最初はSoftEther VPNで実現しようとしたんですがポート開放で挫折。うちの回線はV6プラスでipv4をカプセル化しているので、IKE用のUDP500、NATトラバーサル用のUDP4500ポートの開放ができない。。。。

そこで、色々と調べ回って試行錯誤した挙げ句、Tailscaleという技術を使ってなんとかやりたいことが実現できたので紹介したいと思います。

2. 自宅ラボ環境の構成

  • ハードウェア構成:Beelink SER5(Ryzen + 64GB RAM)
  • ホストOS:Windows 11 Pro
  • 仮想基盤:Hyper-V
  • ゲストVM構成
    • Windows Server 2022(AD/DNS用途)
    • Windows 11 Pro × 2台(クライアント用途)

3. 外部アクセスの課題

前述しましたが、我が家の課題を整理するとこんな感じ

課題

V6プラスによりポート開放不可

我が家は、ドコモ光回線をV6プラスで契約しています

動作モード:v6プラス(=IPv6 IPoE + IPv4 over IPv6)

PPPoEブリッジ:ON

VPNパススルー設定項目:なし(仕様上省略)

NATエントリを追加しようとすると、500と4500番ポートの開放が不可能

Screenshot

自動判定でV6プラスになっています。自動判定OFFにして、V6プラスからPPPOEモードに変えてもいいんですが、V6通信のメリットが無くなるのは痛い

VPNルーター導入や固定IPはコスト・構成の面で断念

PPPOE接続に切り替えて、ヤマハのRTXルーターを中古で買うのも検討しました。

しかし、あまりお金をかけたくない + V6プラスの恩恵は享受したいのでNG

ヤマハ ギガアクセスVPNルーター RTX1220

ヤマハ ギガアクセスVPNルーター RTX1220

86,559円(07/21 13:10時点)
Amazonの情報を掲載しています

外部のVPS

外部のVPSにVPNサーバ構築も検討しました。手順は以下の通り

・外部のVPS(グローバルIPあり)にVPNサーバを立てる。
・VPS上にWireGuardやOpenVPNを立てる
・自宅のPCやNASをVPNクライアントとして常時VPSに接続
・外出先では VPS に接続して、自宅PCへリモートアクセス。

さくらのVPSなどを利用すれば、月額数百円で構築が可能
CAPEXは不要だが、OPEXが必要。

ただ、あまりコストはかけたくないので、どうしてもうまくいかない場合の最終候補としました

4.Tailscaleを使って構築してみた

色々と調べて試行錯誤してみると・・・Tailscaleという技術(サービス)にたどり着きました。

Tailscale(テイルスケール)とは、超シンプルにいうと:

🔒**「自分専用のインターネット(プライベートVPN)」をボタン1つで作れる魔法のようなVPNサービス**です。

Tailscale特徴まとめ

特徴内容
簡単アプリをインストールするだけで使える(設定ほぼ不要)
高速WireGuardプロトコルベースで非常に軽量・高速
セキュア各端末は公開鍵で認証、ゼロトラスト的な接続ができる
ポート開放不要V6プラス環境やキャリア回線でもOK(NATトラバーサル対応
クロスプラットフォームWindows / macOS / Linux / iOS / Android 全対応
無料プランあり個人利用なら最大100台・ACL制御ありで無料使用可能(超良心的)

どんなことができる?

以下、やりたいことが全部できる神のサービスじゃないっすか!!

やりたいことTailscaleならできる?
外出先から自宅PCにリモートデスクトップできる(RDP)
スマホから自宅NASにファイルアクセスできる
自宅のPCと外出先の私物PCと直結したいできる
追加のルーター購入不要で構築したいできる
ポート開放ができないISP(V6プラスなど)でVPNしたいできる(NATトラバーサル対応)

5. Tailscale導入手順(Windows)

ホストPC(Beelink SER5)への導入

導入したあとに、思い出しながら記事を書いているので手順とかが若干あやふやですが、大体あってると思います。以下、手順を簡単に解説します

  • アカウント作成(GitHub連携など)

まずは、tailscaleサービスを利用するためアカウントを作成します。

https://login.tailscale.com/start

リンクのページからアクセスして、以下の画像のようなページでアカウントを作成します。

私の場合は、Googleアカウントを使ってSign up しました。お好みでどうぞ

Screenshot
  • Windows用インストーラーをダウンロード・実行

https://tailscale.com/download

Screenshot

インストーラーを実行中にログインを促されるので、連携したアカウントでログインします。

あとは、Connectボタンを押せば完了!!

成功すると、下のような画面になります。

  • 接続先のIPアドレスを確認します

ログインすると、接続しているマシンの名前とIPアドレスが表示されるので、RDP用に控えて起きましょう

Screenshot

もしくはWindowsなら右下のタスクトレイから、Tailscaleアプリのアイコンを右クリックしてipアドレスを確認可能です

以上で完了です。

めっちゃ簡単!!

アカウント作って、専用ソフトをインストールして、ログインするだけ!!

※仮想マシンにも導入する場合(今後の検討)

今回はホストPC(Beelink SER5)にTailscaleをインストールをしました。

今後の検討余地としては”ゲストOSにTailscaleをインストール”です。

その場合、ホストOSを介さず、直接ゲストOSに外出先から直接RDPが可能になる

Hyper-VのNATや内部スイッチを気にせずアクセスできるのがメリットですね。まだ試してないですが、今後試してみたいと思います。

6.外出先からのアクセス方法

外出から場合は持ち出しているノートパソコンに同様の手順でアプリをインストールしてログインすればOK

下の画像だと、beelinkser5が自宅PC、letsnoteqv9が外出先のノートPCです。同一アカウントでログインすればピアとして表示されます。

Screenshot

あとは、tailscaleに接続した状態で、RDP接続先にTailscale IPを指定するだけでOK

外出先から、自宅のPCにリモートデスクトップ接続できました!!

7. Tips:iPadからのアクセス(補足)

Windows PCだけでなくipadからもリモート接続が可能です。

私はノートパソコンを職場に置きっぱなし、外出時はipadを使う機会が多いのでipadでもリモート接続できるようにしておきました。

Microsoft Remote Desktop(iOSアプリ)を利用します。現在はWindows App Mobileという名前に変わっています。

Screenshot

Tailscaleのアプリもあるので、DLして、初期設定をします

Screenshot

Tailscaleの初期設定の際に、VPN構成の追加を求められるので、許可します

Screenshot

ipadの設定アプリを見ると、VPN構成が追加されていました。VPN接続をOFFにしたい場合は、設定アプリからON/OFFが可能です

Screenshot

VPN接続が完了したら、Windows App mobileを起動して、デバイスタブで+ボタンを押して、PCを追加します。

PC名のところに、tailscaleのIPアドレスを追加するだけでOK

Screenshot

あとは、簡単に接続が可能です。

Screenshot

しばらく使用してみましたが、Tailscale経由の通信でも安定して接続可能でした。

Bluetoothキーボードやマウスと併用すれば、仮想環境の操作もスムーズです

私の場合はipad air 13 インチ + Magic Keyboardを使うのでノートパソコン感覚でリモートデスクトップを利用可能です!!

8.セキュリティと通信の信頼性

あまりNWに詳しくないですが、私なりにセキュリティについて調べた内容を言及しておきます。

Tailscaleは、セキュリティ面でも非常に信頼できる設計になっています。通信はWireGuardプロトコルをベースとしており、軽量かつ強力な暗号化が標準で有効になっています。

追加の設定や証明書の手動管理を行わなくても、エンドツーエンドの暗号化通信が実現されるのは大きな魅力です。

また、自宅のインターネット環境が**v6プラス(MAP-EやDS-Lite)**構成で、ポート開放ができない場合でも問題なく動作する点も優れています。ポート開放が不要なため、ファイアウォールの穴を開ける必要がなく、外部からの攻撃対象となる面を最小限に抑えることができます。実際、自宅側に何の特別な設定も施さず、ホストPC(ミニPC)にTailscaleをインストールするだけで外部アクセスが可能になりました。

現時点では、MagicDNSやACL(アクセス制御リスト)といった高度な機能は未導入ですが、これらを活用することで、さらに利便性とセキュリティを高めることが可能です。たとえば、MagicDNSを使えば、Tailscale IPではなく名前解決で各ノードにアクセスできるようになり、構成の柔軟性が増します。ACLを導入すれば、ラボ内の一部VMだけにアクセスを許可する、といった細かな制御も可能です。

今後は、仮想マシン側にもTailscaleを導入しつつ、MagicDNSやACLの活用も視野に入れて、自宅ラボの運用性とセキュリティを両立させていく予定です。

9. 今後の展望とまとめ

これで自宅ラボを安全かつ簡単に外出先から活用できる環境が整いました。ちょっと調べ物したい時、検証したいときに外出先からアクセスできるのは非常に便利です。

現在はホストPCにアクセスして、ホストPCからリモートアクセスしていますが、今後は仮想マシンにも直接Tailscale導入を検討しています。これにより、仮想マシンに直接リモート接続できるようになるので、より柔軟な検証が可能となる・・・はずです。

まだ、私も完全に機能を把握していないのですが、MagicDNSやサブネットルーティングについても勉強して導入したいと思います。アクセスを簡易化したり、自宅のNASに外出先からアクセスできるなど夢が広がりますね

今はonedriveを活用したいがために、M365を契約しているのですが、外出先からNASにアクセスできるのであれば、オフィスは永続ライセンスに切り替えて、onedriveの代わりにNASを活用すればランニングコストを抑えられそうです。

またまだ勉強中で拙い内容ではありますが、最後まで閲覧頂きありがとうございます。

以上、簡単ですがTailscaleを使って、外出先から自宅PCのラボに接続できる環境を構築したお話でした〜

ヤマハ ギガアクセスVPNルーター RTX1220

ヤマハ ギガアクセスVPNルーター RTX1220

86,559円(07/21 13:10時点)
Amazonの情報を掲載しています
シェアしてねーヽ(・∀・)ノ

コメントを残す