あづみのメモ帳

必要な通信だけを大学VPN経由にしてみた

(最終更新: )

新入生のやってくる季節ということで、電通大のVPN接続に関する設定を共有しておく。

VPNとは、その名の通り仮想的にLANケーブルを大学から家まで引っ張ってくるようなもの。自宅を電通大の飛び地にできる。VPN接続をすると「身内」という扱いになり、セキュリティが緩められた状態で使うことができる。たとえば、統合認証の2要素認証がスキップされたり、Sambaサーバに接続できたりする。前者はポータルやWebClassを使うとき、後者はコンリテや基礎プロの課題をやるときとかに便利。また、「理科年表プレミアム」など、大学からのアクセスでのみ使用できるサービスを自宅から使用することもできる。

通常の方法ではすべての通信が一旦大学まで転送され、学外へも大学の回線からアクセスするようになる。この方法では、学外への通信が遅くなったり、貧弱な大学の設備に過剰な負荷をかけることになる。このままマイニングなんかすると怒られが発生するかもしれない。

そこで、学内への通信にのみVPNを使用し、学外への通信は無効のときと同様直接行われるようにしてみた。

設定(Windows)

通常の接続設定

まずは情報基盤センタの案内に従って普通にVPNの設定をする。ここでは接続名をUECとした。

ルーティング設定

すべての通信をVPN経由で行うようになっているのを解除する。Win+Rなどで「ファイル名を指定して実行」を開き、ncpa.cplと入力して実行、「UEC」を右クリック→「プロパティ」→「ネットワーク」タブへ進む。

まず、「インターネットプロトコルバージョン6 (TCP/IPv6)」の左側のチェックを外す。これでIPv6がVPNについて無効になる。

次に、「インターネットプロトコルバージョン4 (TCP/IPv4)」が選択された状態で右下の「プロパティ」を開き、右下の「詳細設定」→「リモートネットワークでデフォルトゲートウェイを使う」のチェックを外し、「OK」を3回でネットワーク接続の設定に戻る。これで、IPv4のすべての通信をVPN経由にする設定が解除され、指定した宛先への通信のみVPN経由、それ以外は通常の経路になる。この段階では何も設定していないため、VPNを有効にしても使用されない。

IPv6の無効化とデフォルトゲートウェイの無効化をした図

次にPowerShell(コマンドプロンプトではなく)を開き以下のコマンドを入力する。UECの部分は上で設定したVPN接続の名前。これで電通大および理科年表への通信のみVPN経由に設定された。それ以外のサービスに学内回線から接続する必要が生じた場合は、IPアドレスの範囲を調べて(後述)同様に追加すればよい。

Add-VpnConnectionRoute 'UEC' -DestinationPrefix 130.153.0.0/16
Add-VpnConnectionRoute 'UEC' -DestinationPrefix 202.255.56.0/22

なお、以下のコマンドでVPN接続に設定されているルーティングが確認できる。

(Get-VpnConnection 'UEC').routes

ショートカット作成

rasphone.exe -d "UEC"とかにショートカットを貼れば叩くだけでVPN接続できる。タスクスケジューラとかでログオン時に実行するようにすれば自動接続することもできる。なお、同時に接続できる端末は一つまでのようなので、家のPCをつけっぱなしでつなぎっぱなしにすると外出先で(そうそう使わないと思うけど)接続できなかったりするので注意。

追記: %appdata%\Microsoft\Network\Connections\Pbkの中にあるrasphone.pbkをテキストエディタで開き、PreviewUserPw=1の数字を0に書き換えるとパスワード入力画面をスキップできる。

設定(macOS, iOS, iPadOS)

「すべての信号を送信」をオフにするとVPNサーバと同じネットワークだけがVPN経由になるとされているがならない。謎。

設定(Android)

実機を所有していないので詳しいことは分からないが、フォワーディングみたいな項目があるらしく、そこに130.153.0.0/16を入れればいけるらしい。

設定(Linux)

自分で調べてください。

接続確認

学内や学外に対する経路がどうなっているかはtracertでそれぞれ見てみれば分かる。他に、実際にサービスに接続して確認する方法を紹介する。

学内ネットワークに対してVPN経由になっていれば、ITCポータルで統合認証ログインする際二要素認証を求められず、また、「利用中のネットワーク:学内ネットワーク」と表示される。

学外ネットワークに対しては、minsoku.netなどでホスト名を確認してuec.ac.jpと表示されればVPNと大学経由、kddi.ne.jpなどそれ以外なら直接アクセス。

また、理科年表プレミアムに対しては、大学経由になっていればボタン一つでログインできるようになる。

「登録会員の方はこちらからログインできます。」という文言と「ログイン」のボタンが表示されている。
大学回線での理科年表プレミアムのログイン画面

参考: 電通大関連IPアドレス

情報基盤センターのページによれば、今回設定した130.153.0.0/16以外にも、192.50.27.0/24 - 192.50.31.0/24が電通大に割り当てられていて、192.50.28.0/24と192.50.30.0/23が使われているらしい。後者はプロキシ設定のページでも言及されている。

また、172.21.0.0/16がプライベートIPアドレスとして利用されており、UEC WirelessやVPNを繋ぐとこの中から割り当てられる。なお、これが自宅のプライベートIPアドレスと重複していた場合、先の画面にちらっと出てきたクラスベースのルートの追加を無効にするがチェックされていると自宅、されていないとVPN先が優先されるらしい。そうそうないことではあるが、万が一重複していたらチェックしてみるといいかもしれない。

参考: 学外サービスIPアドレス

202.255.56.0/22
理科年表プレミアムを提供する丸善雄松堂の所有するIPアドレス。WHOISで確認できる。

ちなみに、これらのIPアドレスの範囲は、まずnslookup等でIPアドレスを取得し、それを管理情報検索サービスにぶちこむことで得ることができた。

あとがき

自分用メモにちょっと手を加えただけの突貫工事なので雑なところはお許しください。よい大学生活を! あ、あと写真研究部をよろしくお願いいたします!