自宅のSynology NASに外出先からアクセスしたくて、VPN環境を作りました。使ったのは「Tailscale(テールスケール)」というWireGuardベースのVPNサービスです。ルーターのポート開放や固定IP・DDNSの用意が不要で、パッケージをインストールしてアカウントを紐づけるだけで完了するのが大きな特徴でした。今回はその構築の流れと、つまずきやすいポイントをまとめます。
過去にTailscaleを使わずにVPNを構築した記事はこちらです。
Tailscaleとは?何が嬉しいのか?
Tailscaleは、WireGuardの暗号化技術を使ったVPNサービスです。従来からあるOpenVPNやIPsec、あるいはSynology公式のVPN Serverパッケージは、ルーターのポート開放や証明書・共有鍵の管理が必要で、環境によっては接続自体が成立しないことも珍しくありません。
これに対してTailscaleは、各デバイスにクライアントを入れてアカウントに紐づけるだけで、デバイス同士がP2Pで直接つながる「tailnet」という仮想ネットワークが自動的に出来上がります。NAT越えの処理もTailscale側で自動的に行われるため、ポートフォワーディングの設定はほぼ不要です。
大きく分けると、次の4ステップです。
- Tailscaleアカウントを作成する
- Synology NASにTailscaleパッケージを導入する
- ログインしてtailnetに参加する
- 他のPC・スマホにもTailscaleを入れて接続を確認する
1. Tailscaleアカウントを作成する
Tailscaleの公式サイトで「Get started」からアカウントを作成します。ログインはGoogle・Microsoftなどの外部IDによる認証(OIDC)のみで、メールアドレス+パスワードでの新規作成には対応していません。この辺りもセキュリティ面でのメリットになっています。
2. パッケージセンターからインストールする
NASの「パッケージセンター」を開き、「Tailscale」を検索してインストールします。
3. ログインしてtailnetに参加する
インストール後、メニューのTailscaleアイコンを開くと認証画面が別タブで開くので、「Reauthenticate」から手順1で作成したアカウントでログインします。認証が完了したら「Connect」を押すと、NASに 100.x.x.x 形式のTailscale用IPv4アドレスが割り振られて接続が確立します。
4. 他のデバイスにもTailscaleを導入する
Windows・macOS・iOS・Androidそれぞれにクライアントが用意されています。外出先のスマホやノートPCにもTailscaleを入れて同じアカウントでログインすれば、同じtailnetに参加し、NASのIPアドレスでそのままアクセスできるようになります。
使ってみて
実際に運用してみると、外出先からのファイルアクセス、スマホのSynology公式アプリ(DS fileなど)の利用まで、ポート開放なしで違和感なく使えています。QuickConnectのリレーサーバ経由よりも明らかに速度が安定しているのも、P2Pで直接通信できているためだと感じます。
まとめ
Tailscaleを使うと、ポートフォワーディングや固定IP・DDNSの用意なしに、Synology NASへ外部から安全にアクセスできます。
個人利用なら無料の範囲で十分使えるので、まだポート開放でVPNを構築している方には一度試してみる価値があると思います。