OpenVPN リモートデスクトップ接続の完全ガイド【Windows版】

OpenVPN リモートデスクトップとは、OpenVPN(オープンソースのVPNソフト)で作った暗号化トンネルの中を通して、自宅や会社のWindows PCにリモートデスクトップ(RDP)接続する仕組みです。本記事ではWindows環境を前提に、初めての方でも迷わない手順をやさしく解説します。

1 結論:OpenVPN リモートデスクトップ接続のメリットと全体像
- 1.1 OpenVPN リモートデスクトップ接続の主なメリット
- 1.2 本記事で扱う構成のイメージ
2 そもそもOpenVPNとリモートデスクトップって何?
3 Windowsで作るOpenVPN リモートデスクトップ環境の設定手順
4 OpenVPN リモートデスクトップでつながらない時のチェックポイント
5 実例:自宅PCを「いつでも使える作業マシン」にする
6 まとめ:OpenVPN リモートデスクトップは「Windowsだけ」で完結できる

結論:OpenVPN リモートデスクトップ接続のメリットと全体像

まず結論からお伝えすると、「RDP(リモートデスクトップ)をインターネットに直接さらさず、OpenVPNのトンネルの内側だけで使う」のが最も安全で実用的な構成とされています。RDPはポート3389番をそのまま公開すると総当たり攻撃の的になりやすいですが、OpenVPNでVPN接続を確立した後に内部IPアドレスでRDP接続すれば、外部からは存在自体が見えにくくなります。

OpenVPN リモートデスクトップ接続の主なメリット

セキュリティ向上:RDPポートを公開せずに済む
通信の暗号化:証明書ベースの強固な認証(TLS/SSL)
無料で使える:OpenVPN community版はOSS(オープンソースソフトウェア)
固定費ゼロ:自宅のWindows PCをサーバにすれば、月額費用が不要

本記事で扱う構成のイメージ

本サイトでは、外出先のPCやスマホから、自宅に置いたWindows PCにアクセスする以下の構成を前提にします。

サーバ機:自宅のWindows 10/11 Pro またはWindows Server(OpenVPNサーバを動かす)
接続先PC:同じく自宅のWindows PC(RDPで操作したいマシン。サーバ機と兼用でもOK)
クライアント:外出先のノートPC/スマホ(OpenVPN Connectなど)

なお、VPSやLinuxサーバにOpenVPNを立てる構成もありますが、本稿では扱いません。本サイトはWindowsで完結する自宅VPN構築に特化しています。

そもそもOpenVPNとリモートデスクトップって何?

Q. OpenVPNとは?

OpenVPNは、暗号化された仮想トンネル(VPN)を作るためのソフトです。インターネット上に「自分専用の安全な通り道」を作り、その中だけで通信できるようにします。L2TP/IPsecやWireGuardなど他方式もありますが、OpenVPNは証明書による認証が標準で、家庭用ルーターでも利用例が多いため情報量が豊富とされています。

Q. リモートデスクトップ(RDP)とは?

リモートデスクトップは、別のPCの画面・キーボード・マウスを手元のPCで操作する機能です。Windowsには「リモートデスクトップ接続」(mstsc.exe)が標準搭載されています。ただしWindows 10/11では、Pro以上のエディションでなければホスト(接続される側)になれません。HomeエディションのPCはRDPサーバにできない点に注意してください。

Q. なぜOpenVPN経由でRDPを使うの?

RDPをそのままインターネットに公開すると、世界中のボット(自動攻撃プログラム)からログイン試行を受け続けると言われています。実際、ポート3389を開けた直後から短時間でアクセスが来ることもあります。OpenVPNを噛ませることで、「正しい証明書を持つ人だけがVPNに入れて、その内側でだけRDPが見える」という二段構えのセキュリティを実現できます。

Windowsで作るOpenVPN リモートデスクトップ環境の設定手順

STEP1. OpenVPNサーバ(Windows)のインストール

OpenVPN公式サイト(openvpn.net/community-downloads/)からWindows版インストーラをダウンロードし、サーバ役のWindows PCにインストールします。近年のOpenVPN 2.6系では、従来のTAPドライバに加えてWintunドライバ(高速な仮想NIC)も利用できるようになっています。インストール時の選択肢は基本的にデフォルトのままで問題ありません。

STEP2. 証明書と鍵の生成

OpenVPNはPKI(公開鍵基盤)という仕組みで認証します。具体的には次のようなファイルを作成します。

CA証明書(認証局の親鑑札)
サーバ証明書とサーバ秘密鍵
クライアント証明書とクライアント秘密鍵
tls-crypt キー(制御チャネルの追加暗号化。旧来のtls-authに代わって現在推奨される方式)

※ECDH鍵交換を用いる場合はDHパラメータファイルは不要です。RSA鍵を使う構成の場合のみ別途生成します。

これらはEasyRSA(イージーアールエスエー)というツールで一式生成できます。なお、近年のWindows版OpenVPNインストーラにはEasyRSAは同梱されていないため、GitHubの公式リポジトリなどから別途ダウンロードして使用します。コマンドプロンプトでeasyrsa init-pki → build-ca → build-server-full → build-client-full の順に進めるのが定番の流れです。

STEP3. server.ovpn(サーバ設定ファイル)の作成

OpenVPNの設定ファイルは通常 C:\Program Files\OpenVPN\config\ に配置します。一方、Windowsサービスとして無人で自動起動させたい場合は config-auto\ 配下に置くと、OpenVPN Serviceから自動的に読み込まれます。用途に応じて配置先を選びましょう。最低限必要な設定例は以下のとおりです。

port 1194(待ち受けポート)
proto udp(UDPの方が高速)
dev tun(L3トンネル)
server 10.8.0.0 255.255.255.0(VPN内部のアドレス帯)
各種証明書ファイルのパス指定

STEP4. ルーター側のポート開放とDDNS設定

自宅ルーターの設定画面で、UDP 1194番をサーバ機のローカルIPに転送します(ポートフォワーディング)。さらに自宅のグローバルIPは変動するため、DDNS(ダイナミックDNS)サービスでホスト名を取得しておくと、IPが変わっても同じ名前で接続できます。No-IPやMyDNS.JPなどが無料で使えます。

STEP5. Windowsファイアウォール&RDPの有効化

接続先のWindows PCで「設定」→「システム」→「リモートデスクトップ」をオンにします。さらにWindows Defenderファイアウォールで「リモートデスクトップ」の受信を許可します。ポイントは、RDPの許可をプライベートネットワークのみに限定し、パブリックでは閉じておくこと。VPN経由の接続はプライベート扱いになるように設定するのがコツです。

STEP6. OpenVPNサービスの自動起動設定

常時VPN接続できる「無人サーバ」にするには、OpenVPNをサービスモードで動かす必要があります。「Win+R」→services.msc で「OpenVPN Service」を探し、スタートアップの種類を「手動」から「自動」へ変更します。これでWindowsが起動するだけで(ログインしなくても)VPNが立ち上がります。

STEP7. クライアントから接続→RDPを起動

外出先のPCにOpenVPN GUI(またはOpenVPN Connect)をインストールし、配布したclient.ovpnを読み込ませて接続します。接続が確立したら、Windowsのリモートデスクトップ接続(mstsc)を起動し、接続先にはVPN内部のIPアドレスを入力します。デフォルト設定では10.8.0.1がOpenVPNサーバ自身のVPN内部IPとなり、別の接続先PCにRDPする場合はそのPCに割り当てられた10.8.0.xのアドレス(またはサーバ機経由でアクセスできるLAN側IP)を指定します。これでインターネット越しでも、まるで自宅LANの中にいるかのようにRDPで操作できます。

OpenVPN リモートデスクトップでつながらない時のチェックポイント

Q. VPNはつながるのにRDPだけ失敗する

最も多いパターンです。次の順でチェックしましょう。

RDPホスト側のファイアウォールでVPNのサブネット(例:10.8.0.0/24)からの3389番を許可しているか
接続先PCのエディションがPro/Enterpriseか(Homeは不可)
ping 10.8.0.x がVPN越しに通るか
接続先PCがスリープに入っていないか(電源オプションを「スリープしない」に)

Q. RDPは開くが遅い・切れる

UDPの方が体感速度が良いので、proto tcpになっていないか確認してください。また、回線が不安定な場合はkeepalive 10 60を設定して切断を検知しやすくすると安定します。OpenVPN公式フォーラムなどでも同様の事例が議論されています。

Q. 証明書エラーで弾かれる

サーバとクライアントで同じCA証明書を参照しているか、時刻がズレていないかを確認してください。WindowsのNTP同期が外れていると、証明書の有効期間判定が狂って接続できないことがあります。

実例:自宅PCを「いつでも使える作業マシン」にする

筆者がよく使う構成は、自宅にデスクトップPC(Windows 11 Pro)を1台常時起動しておき、外出時はノートPCやiPadからOpenVPN リモートデスクトップで接続するパターンです。重い動画編集や仮想マシンも、ノート側のスペックに依存せず自宅PCのパワーで動かせます。電気代は使い方次第ですが、VPSを借りるより安上がりになるケースが多いと言われています。

会社利用なら、社内のWindows Server(あるいは専用のWindows 11 Pro機)をVPNゲートウェイ兼RDPホストにすれば、社員が自宅から安全に出社時と同じデスクトップに入れる環境を構築できます。