minto.tech スマホ(Android/iPhone)・PC(Mac/Windows)の便利情報をお届け! 月間アクセス160万PV!スマートフォン、タブレット、パソコン、地デジに関する素朴な疑問や、困ったこと、ノウハウ、コツなどが満載のお助け記事サイトはこちら!
※本ページにはプロモーション(広告)が含まれています
【2026年 最新版】最新のIPv6・IPoE環境、各社ルーターの仕様変更、Windows 11/macOS Sequoia/iOS 18の挙動を踏まえた最新情報を反映しています。
テレワークや出張先から自宅のWi-Fiルーター経由で会社の社内VPNに接続しようとした際、「認証は通るのに接続が確立しない」「タイムアウトする」「特定のVPN方式だけ通らない」といったトラブルに悩まされる方は非常に多いのではないでしょうか。
Wi-Fiルーターには「VPNパススルー」と呼ばれる、内部ネットワークからインターネット側のVPNサーバーへ向けたパケットを正しく通すための機能が搭載されていますが、これが無効になっていたり、ルーターの仕様・契約回線の方式・社内VPNサーバー側の要件など複数の要素が絡んで動かないことがあります。本記事ではVPNパススルーが効かない原因を体系的に整理し、家庭用ルーターでよくあるパターンを「症状別」「メーカー別」「プロトコル別」に切り分けながら、具体的な解決手順をわかりやすく解説していきます。
🛒 関連商品をAmazonでチェック
この記事を読むとわかること
- VPNパススルー機能の役割と、PPTP・L2TP・IPSec・IKEv2・SSTPなど主要VPN方式ごとの通信特性
- 家庭用Wi-Fiルーターで社内VPNが繋がらないときの主要8つの原因と切り分け方
- IPv6 IPoE/MAP-E環境におけるVPN通信の制限と回避策
- BUFFALO・NEC Aterm・TP-Link・ELECOM・ASUS・Yamaha など主要メーカー別の設定箇所
- 二重ルーター・ポート開放・IPsec NAT-T・UPnPの設定見直しの具体的手順
- VPNクライアント側(Windows・macOS・iOS・Android)でチェックすべきポイント
- FAQ7問+で「これだけは知っておきたい」周辺知識を網羅
VPNパススルーとは何か:まずは仕組みを理解する
VPN(Virtual Private Network)は、インターネット越しに会社や拠点間の通信を暗号化して、まるで同じ社内LANにいるかのように安全に通信する技術です。リモートワーカーが自宅から会社のファイルサーバーや業務システムにアクセスするときに使うのが、いわゆる「リモートアクセスVPN」と呼ばれるものです。
しかし家庭用Wi-FiルーターはNAT(Network Address Translation)を使ってプライベートIPアドレスをグローバルIPアドレスに変換しながら通信するため、暗号化されたVPNパケット(特にIPsecなど)の中には、通常のNAT処理ではうまく通せないものがあります。これを正しく処理するための仕組みがVPNパススルーで、ルーター内部で「これはVPN通信だから素通りさせる」ように振る舞ってくれる機能です。
パススルーが必要な主要VPNプロトコル
- PPTP(Point-to-Point Tunneling Protocol):TCP 1723番ポート+GREプロトコル(IPプロトコル番号47)を使用。GREパケットは通常のNATでは扱えないため、PPTPパススルー機能が必須。なお現在ではセキュリティ上の理由で非推奨。
- L2TP/IPsec:UDP 500・4500・1701番ポートを使用。IPsec ESPプロトコル(IPプロトコル番号50)を内包するため、IPsec NAT-T(NAT Traversal)機能が必要。
- IPsec(IKEv1/IKEv2):UDP 500番(IKE)、UDP 4500番(NAT-T)、ESPプロトコルを使用。多くのVPNでは標準採用。
- SSTP(Secure Socket Tunneling Protocol):TCP 443番ポートのHTTPSを使うため、通常のHTTPS通信と同じ扱いで通る。ただしルーターのDPI(Deep Packet Inspection)機能でブロックされることがある。
- OpenVPN:UDP 1194・TCP 443などを使用。柔軟性が高くNATとの相性も良い。
- WireGuard:UDP 51820など。シンプルなプロトコルでNATとの相性も良好。
社内VPNに繋がらないときの主な原因8パターン
「Wi-Fiルーター越しに社内VPNが使えない」と一言で言っても、原因は複数のレイヤーに分散します。まずはどの段階で詰まっているのかを把握することが重要です。以下、よくある原因を頻度の高い順に整理します。
原因1:VPNパススルー機能が無効になっている
最も基本的なポイントです。ルーターによってはデフォルトでPPTPパススルーやIPsecパススルーが無効になっている場合があります。特に最近のルーターは「PPTPパススルー」を初期設定でOFFにしている機種が増えており、これが原因で接続できないケースが頻発しています。設定画面でPPTP・L2TP・IPsec・IPv6パススルーの各項目を確認し、必要なものをすべて有効化してください。
原因2:IPv6 IPoE(MAP-E/DS-Lite)環境による制限
v6プラス・OCNバーチャルコネクト・transix・クロスパス・IPv6オプションといったIPoE方式の接続では、利用できるグローバルIPv4ポートが共有・制限されています。具体的には、固定割り当てられたポート範囲外のUDP/TCPポートが使えず、IPsec NAT-TのUDP 4500番が共有プール側に当たると通信が確立しないことがあります。これがIPoE環境におけるVPN不通の最大要因です。
原因3:二重ルーター(ダブルNAT)構成
プロバイダ提供のホームゲートウェイ(ONU一体型)の下に、市販のWi-Fiルーターをルーターモードで接続している場合、NATが2段階発生してVPNパススルーが正しく機能しないことがあります。市販ルーターをブリッジモード(APモード)に切り替えるだけで解決するケースが多くあります。
原因4:UPnPの誤動作またはポート転送設定の不備
UPnP(Universal Plug and Play)はクライアントが自動でポート開放を要求できる機能ですが、対応VPNソフトでないと自動設定されません。手動でポートフォワーディング(静的NAT)を設定する必要がある場合もあります。
原因5:ルーター側のSPI/ファイアウォール機能が過剰
SPI(Stateful Packet Inspection)やアプリケーションフィルタリング機能、最近のセキュリティ機能(BUFFALOのネット脅威ブロッカー、NECのこども安心ネットタイマー、ASUSのAiProtectionなど)が、VPNトラフィックを誤検知してブロックしているケースもあります。
原因6:VPNプロトコル自体への非対応
古い機種・廉価機種では、IPsec NAT-Tやマルチセッション同時パススルーに対応していないことがあります。仕様書を確認し、必要に応じてファームウェア更新または機種交換が必要です。
原因7:DDNS(動的DNS)・グローバルIP変動の影響
社内VPN側がアクセス元IPでホワイトリスト制御している場合、自宅ルーターのグローバルIPが変動するとブロックされます。DDNS設定や、固定IPサービスへの切り替えが必要なケースがあります。
原因8:MTU/MSS値の不一致
IPoE環境ではMTU値が通常の1500から1460・1454などに変更される場合があります。VPNパケットがフラグメント化(分割)されて欠落することで通信不可になるため、ルーター側でMTU値を調整(MSSクランピング)することで改善することがあります。
VPNパススルー機能の有効化手順(共通)
多くのルーターでは、管理画面の「セキュリティ」「ファイアウォール」「VPN」「詳細設定」「LAN設定」のいずれかにパススルー設定があります。以下、ステップ別に解説します。
ステップ1:ルーターの管理画面にログインする
ブラウザのアドレスバーに以下のいずれかを入力します(機種・初期設定によって異なります)。
http://192.168.1.1/http://192.168.11.1/(BUFFALO)http://192.168.10.1/(NEC Aterm)http://tplinkwifi.net/(TP-Link)http://router.asus.com/(ASUS)http://elecom.setup/(ELECOM)
ステップ2:「VPNパススルー」「IPsecパススルー」項目を探す
多くは「セキュリティ」「ファイアウォール」「詳細設定」配下にあります。PPTP・L2TP・IPsec・IKEのそれぞれにチェックボックスがある機種が一般的です。
ステップ3:必要な項目をすべて有効化する
「有効」または「Enable」にチェックを入れ、画面下部の「適用」「保存」ボタンを必ず押します。設定反映のため、ルーターの自動再起動を促されたら従ってください。
ステップ4:VPNクライアント側で接続テスト
Windowsの場合、設定 → ネットワークとインターネット → VPN → 該当VPN接続を選択 → 接続。ステータスが「接続済み」になれば成功です。失敗する場合はイベントビューア → Windowsログ → アプリケーションでエラーコード(例: 800、809、691、721など)を確認します。
ポート開放(ポートフォワーディング)の設定
VPNパススルーで解決しない場合や、自宅にVPNサーバーを立てている場合は、ポート開放(ポートフォワーディング)が必要です。
必要なポート一覧(プロトコル別)
- PPTP:TCP 1723 + GRE(プロトコル番号47)
- L2TP/IPsec:UDP 500、UDP 4500、UDP 1701 + ESP(プロトコル番号50)
- IKEv2:UDP 500、UDP 4500
- SSTP:TCP 443
- OpenVPN:UDP 1194(またはサーバー指定ポート)
- WireGuard:UDP 51820(またはサーバー指定ポート)
設定手順
- ルーター管理画面にログイン
- 「ポート転送」「ポートフォワーディング」「バーチャルサーバー」項目を開く
- 「新規追加」または「+」をクリック
- プロトコル(TCP/UDP)・外部ポート・内部ポート・転送先IPアドレスを入力
- 転送先IPは、VPNサーバーまたはVPNを使うPCの固定IPに設定(DHCP予約推奨)
- 保存して再起動
主要VPNプロトコルと家庭用ルーター対応状況の比較表
| プロトコル | 使用ポート | パススルー必要 | IPv6 IPoE適性 | セキュリティ | 推奨度 |
|---|---|---|---|---|---|
| PPTP | TCP 1723 + GRE | PPTPパススルー必須 | △(GRE非対応な場合多い) | 低(非推奨) | ✕ |
| L2TP/IPsec | UDP 500/4500/1701 + ESP | IPsec NAT-T必須 | △(MAP-Eで制限) | 中〜高 | ◯ |
| IKEv2/IPsec | UDP 500/4500 | IPsec NAT-T必須 | △(MAP-Eで制限) | 高 | ◎ |
| SSTP | TCP 443 | 不要(HTTPS扱い) | ◯(IPoEでも通る) | 高 | ◎ |
| OpenVPN | UDP 1194 / TCP 443 | 原則不要 | ◯ | 高 | ◎ |
| WireGuard | UDP 51820 | 原則不要 | ◯ | 高 | ◎ |
メーカー別のVPNパススルー設定箇所
BUFFALO(WSR/WXRシリーズ)
「詳細設定」→「セキュリティー」→「IPv6 ファイアウォール / VPNパススルー」。VPNサーバ機能搭載モデルは「VPNサーバー」項目も別途確認。WSR-3200AX4S、WXR-5700AX7Sなどはデフォルトで一部パススルー無効のため要確認です。
NEC Aterm(WX/WGシリーズ)
「詳細設定」→「その他の設定」→「IPv4パケットフィルタ」。AtermはPPTPパススルー機能が限定的で、機種によっては搭載していません。WX5400HP、WX3000HPなどでは「VPN関連通信」設定でIPsecの透過を有効化できます。
TP-Link(Archer/Decoシリーズ)
「詳細設定」→「VPNパススルー」(または「NAT転送」)。PPTPパススルー・L2TPパススルー・IPsecパススルーの3項目すべてに有効/無効の切替があり、デフォルトはほぼ有効です。Archer AX73、AX90、AX21などはVPNサーバ機能も搭載。
ELECOM(WRC/WRHシリーズ)
「詳細設定」→「セキュリティー」→「VPNパススルー」。比較的シンプルなUIで、PPTP・L2TP・IPsecパススルーが個別にON/OFF可能です。WRC-X3200GST3、X1800GS、BE9300GSV1など。
ASUS(RT/ROGシリーズ)
「WAN」→「NATパススルー」。PPTP・L2TP・IPsec・RTSP・H.323・SIP・PPPoE Relayといった項目があり、すべて有効/無効を選択できます。RT-AX86U、RT-AX88U Proなどは自身がVPNサーバ(OpenVPN/IPsec/WireGuard)機能も搭載。
Yamaha(RTXシリーズ)
業務用ですが家庭でも使われるYamahaのRTX1300・RTX1210などはCLI・GUIどちらでも詳細にVPN設定が可能。NAT記述子で「ipsec-esp-tunnel」や「ipsec-nat-traversal」を設定し、IKE/ESPの通過を許可します。
Google Nest Wifi / TP-Link Deco / メッシュ製品
メッシュWi-Fi製品はシンプル指向のため、VPNパススルー詳細設定が公開されていないケースがあります。Google Nest Wifiはアプリ → 設定 → 高度なネットワーキング → VPNパススルー(自動有効)。Deco系も同様にデフォルトで有効化されている前提です。
VPNクライアント側のチェックポイント
Windows 11/10
- 設定 → ネットワークとインターネット → VPN → サーバー名・種類・認証方式を再確認
- L2TP/IPsec PSKを使う場合、共有キー(Pre-Shared Key)入力欄に正しい値を設定
- レジストリエディタで以下を追加(NAT越しL2TP有効化):
HKLM\SYSTEM\CurrentControlSet\Services\PolicyAgentにAssumeUDPEncapsulationContextOnSendRule(DWORD)を作成し、値「2」を設定 - Windows Defender Firewallで「ファイアウォール経由のVPN通信」を許可
macOS Sequoia/Sonoma
- システム設定 → VPN → 該当VPN設定でサーバ・アカウント名・パスワード・共有シークレットを確認
- macOSはPPTP対応を完全廃止済み(macOS Sierra以降)。L2TP・IKEv2・IPsecが標準対応
- L2TP/IPsec PSK使用時は「認証設定」で「共有シークレット」入力
iOS 18/iPadOS
- 設定 → 一般 → VPNとデバイス管理 → VPN → 構成を追加
- IKEv2・IPsec・L2TPに対応。PPTPは非対応(iOS 10以降)
- サーバ・リモートID・ユーザー認証・共有シークレットを正しく入力
Android 14/15
- 設定 → ネットワークとインターネット → VPN → +ボタン
- L2TP/IPsec PSKまたはIKEv2/IPsec PSKを選択(機種により差あり)
- 多くの端末はOpenVPN・WireGuardは別途アプリ(OpenVPN Connect/WireGuard公式)が必要
IPoE環境(v6プラス等)でVPNが繋がらない場合の対処法
IPoE方式はIPv6通信を高速化する一方、IPv4通信は「MAP-E」「DS-Lite」といった技術でカプセル化されており、ポート使用に制限があります。VPN通信に必要なUDP 500・4500番が共有プール側に割り当てられていない場合があり、これがVPNが繋がらない最大の原因の一つです。
対処法1:PPPoE接続の併用
多くの家庭用ルーターは「IPoE+PPPoE」のデュアル接続に対応しています。VPN通信だけPPPoE側にルーティングすることで、ポート制限を回避できます。BUFFALOのWXRシリーズ、NEC Atermの一部機種、I-O DATAのWN-DAX/WN-DEAXシリーズなどが対応しています。
対処法2:固定IPサービスへの切替
OCN、ぷらら、@nifty、BIGLOBEなどのプロバイダは「固定IPサービス」を提供しています(月額500〜2,500円程度)。これによりグローバルIPv4が単独割り当てされ、すべてのポートが利用可能になります。
対処法3:VPNプロトコルをSSTPまたはSSL系に変更
UDP 4500番が使えない環境でも、TCP 443番を使うSSTPやOpenVPN(TCP 443モード)であれば、通常のHTTPS通信と同じ扱いで通ります。社内VPNサーバ側が対応していれば、運用方式の変更も検討する価値があります。
対処法4:DS-Lite/transix対応ルーターの選択
DS-Lite方式の場合、ルーター自体がDS-Liteに正しく対応していないとIPv4 over IPv6カプセル化がうまく動きません。ファームウェアを最新版に更新するか、対応機種(IO-DATAのWN-DEAX1800GR、BUFFALOのWXRシリーズなど)への入れ替えを検討してください。
ファームウェアアップデートの重要性
VPNパススルーやIPsec NAT-Tの不具合は、ファームウェア(ルーター本体ソフトウェア)の更新で改善することが多くあります。特にIPoE/MAP-E方式は仕様変更が頻繁にあるため、半年〜1年に一度はファームウェアバージョンをチェックしましょう。BUFFALO・NEC・TP-Linkなど主要メーカーは管理画面から「自動アップデート」を有効化できます。
ログとパケットキャプチャによる切り分け
原因が特定できない場合は、ルーター・PC側ログ・パケットキャプチャで通信内容を確認します。
ルーターのシステムログ
多くのルーターには「ログ表示」機能があり、IPsec通信のINVALID_KE_PAYLOADやAUTHENTICATION_FAILEDなどのエラーが記録されます。
Windowsのイベントビューア
「Windowsログ」→「アプリケーション」「システム」を確認。RasClientソースのエラーコード(例: 691認証失敗、800サーバ到達不能、809NAT越え失敗、721PPP応答なし)を調べます。
Wiresharkでのキャプチャ
クライアントPCでWiresharkを使い、UDP 500・4500番のISAKMPトラフィックがルーター外部へ送信されているか確認します。送信されているのに応答がない場合はサーバ側またはISP側、送信されていない場合はクライアント/ルーター側の問題です。
FAQ:Wi-FiルーターのVPNパススルーに関するよくある質問
Q1. VPNパススルーを有効にすると、セキュリティが低下しますか?
A. VPNパススルーはVPN通信(暗号化されたパケット)をそのまま通過させる機能のため、ルーター自体のセキュリティが低下することはほぼありません。むしろ正常にVPN通信ができることで、社内ネットワークへのアクセスが暗号化され、セキュリティは高まります。
Q2. ルーターを再起動したら一時的に繋がりました。これは何が原因?
A. ルーターのNATテーブル(通信の対応表)が肥大化・破損していた可能性があります。長期間電源を入れっぱなしのルーターはセッションテーブルあふれを起こすことがあり、月1回程度の再起動を推奨します。スマートプラグなどでスケジュール再起動するのも有効です。
Q3. PPTPは廃止すべきと聞きましたが、なぜですか?
A. PPTPはMS-CHAPv2認証の脆弱性により、暗号鍵が比較的容易に解読できるため、現在では「使ってはいけないVPN方式」とされています。Apple(macOS Sierra/iOS 10以降)・Microsoft(Windows 11でも残存だがレガシー扱い)ともに廃止または非推奨方針。社内VPNがPPTPのみであれば、L2TP/IPsec・IKEv2・SSTP・OpenVPNへの移行を情シスに相談してください。
Q4. テザリング(スマホ)経由なら繋がるのに、自宅Wi-Fiだと繋がらない理由は?
A. キャリアモバイル網はCGNAT(Carrier-Grade NAT)を使っているものの、VPNパススルー機能は最適化されているケースが多く繋がりやすい一方、家庭用ルーターはVPNパススルー設定や二重NATの問題が起きやすいためです。テザリングで繋がる場合、原因はルーター側にあると断定できます。
Q5. ルーターのVPNサーバ機能を使って自宅にアクセスしたいのですが、IPoE環境では無理?
A. IPoE単独ではVPNサーバ機能が動作しないケースが多くあります(ポート割り当ての制限)。PPPoE併用機能のあるルーターを使う、固定IPサービスを契約する、SSTP/WireGuard等のTCPベース方式を使う、Tailscale・ZeroTierなどのオーバーレイVPNを利用する、といった選択肢があります。
Q6. メッシュWi-Fi(Decoなど)を使っていますが、VPN設定項目が見当たりません
A. メッシュ系製品は詳細設定が省略されているものが多く、デフォルトでVPNパススルーが有効化されている前提です。それでも繋がらない場合は、メッシュ親機を「ブリッジモード(APモード)」に切り替え、ONU/ホームゲートウェイ側でNAT処理させると改善することがあります。
Q7. ルーターを買い替える場合、VPN用途で重視すべき機能は?
A. (1) PPTP・L2TP・IPsec各パススルー機能(必須)、(2) IPv6 IPoE+PPPoE併用機能(IPoE環境では重要)、(3) ルーター自身のVPNサーバ機能(出先から自宅アクセスする場合)、(4) MTU/MSS手動調整機能、(5) ファームウェア自動更新機能、(6) ログ出力機能、の6点を重視してください。BUFFALO WXR-6000AX12P、NEC WX11000T12、ASUS RT-AX88U Pro、TP-Link Archer BE800などは家庭用としては機能豊富で安心です。
Q8. 社内VPNに繋がっても、ファイルサーバや業務システムにアクセスできません
A. VPN自体は接続成功でも、その先のリソースアクセスができない場合は、(1) DNSサーバ設定(社内DNSが配信されていない)、(2) 社内ルーティング設定(スプリットトンネル設定の問題)、(3) Windowsファイル共有のSMBバージョン互換性、(4) 認証情報のドメイン指定不足、などが原因です。情シス担当者と切り分けが必要です。
まとめ:VPNパススルーは「複数の要因」を順に潰す
Wi-FiルーターのVPNパススルーが動かない問題は、単純な設定ミスから、IPoE方式の根本的制約、ルーターのファームウェア不具合、二重NATまで原因が多岐にわたります。「VPNが繋がらない」と感じたら、いきなりルーターを買い替えたり契約変更する前に、本記事の8つの原因チェックを順に行いましょう。特にIPoE環境(v6プラス・OCNバーチャルコネクト等)では、ポート制約により従来のIPsec VPNが使えないケースが増えています。SSTP・OpenVPN・WireGuardといったTCP/UDP柔軟性の高いVPN方式や、PPPoE併用への切替、オーバーレイVPN(Tailscale等)など、現代的な選択肢を視野に入れることで多くのケースは解決します。テレワーク時代の必須インフラとして、自宅ネットワーク環境を「VPNが安定して動く構成」に整えていきましょう。
