ESET Endpoint antivirus ポート 開放

初めに

この記事はポート開放のやり方、確認の方法について解説するページです。
また、ポート開放ツールであるUPnPCJを使った方法も紹介しています。

ポート開放の基礎、基本的な知識については下記リンク先をご覧ください。
https://iori016.hatenablog.com/entry/ar627325

2021年2月18日
V6プラスのポート開放についての記事を追加しました
https://iori016.hatenablog.com/entry/ar1996312

ポート開放は環境によって異なる為、これをやれば必ずできる！というものではありません。
しかし、ネットワークの知識を身に着けていくと、
ポート開放は決して難しいものではありません。
ただ、最初は操作が多い為、覚えることが多いです。
なるべく、簡潔に書くつもりですが、わかりづらい所、分からない所
間違っている所はコメントの部分で指摘・質問してください。

また、この記事に書いてある方法でポート開放できなかった場合や
この記事に書いてある内容が理解できなかった場合は、
Twitterやコメント等で質問を受け付けていますので気軽に声をかけてください。

ポート開放に注意が必要な環境

ポート開放の流れ

ポート開放の基本的な手順は以下の4つです。
・ルータの有無の確認
・ローカルIPの固定
・ルータのポート開放の設定
・パソコンのファイアーウォールの設定
順番は前後しても構いませんが、
始めはこの流れに沿ってやった方が理解しやすいと思います。

ポート開放はいろんなパターンが存在しますが、
だいたい大別するとこのような感じになります。

ルータが0個(モデム・ONUのみで繋いでいる)
ルータが1個
ルータが2個
の三パターンです。
それぞれ、やり方が異なりますがポート開放は可能です、

また、例外としてCATVやレオパレスのように
グローバルIPが配布されていないパターンがあります。
この場合、建物を運営している所が大本のルータを所有しているため、
ルータの数は部屋の中にあるルータの数+１個となります。
このパターンではポート開放はできません。

まずは、ルータの数を調べてみましょう。

ルータの数の調べ方

ルータの数を調べるには、コマンドプロンプトで「tracert」を実行することでわかります。

winキー+Rを押すと「ファイル名を指定して実行」ダイアログが現れるので
「cmd」と入力し、エンターを押すと、コマンドプロンプトが起動されます。

黒い画面上のカーソルのところに、「tracert yahoo.co.jp」と入力します。
上のカッコ内をコピーして、コマンドプロンプト内で右クリックメニューから
貼り付けをすることができます。

tracertを行った結果で「192.168」や「172.16～172.31」、「10」から始まるIPアドレスがルータのIPです。
従って「192.168」等のルータのIPが1個もない場合は、ルータが存在していない状態です。
「192.168」等のルータのIPが1行目にのみある場合はルータが1つだけ存在している状態です。
「192.168」等のルータのIPが1行目と2行目にある場合はルータが2個ある状態で、
一般的に二重ルータと呼ばれます。
(※tracertの結果ではルータのIPはほとんどが「192.168」から始まりますが、たまに「172.16～172.31」のIPや「10」ではじまるIPが表示されることがあります)

追記(2017年03月19日)
WiMAXやCCNetの人で1行目が「192.168」で始まり、2行目が「10」から始まるIPの場合は
グローバルIPオプションに加入しないとポート開放することができません。
注意してください。
(「10」から始まるIPは大抵業者用の大型ルータであることが多く、ポート開放の設定ができない為です)

※たまに要求がタイムアウトしましたというメッセージが出ることがありますが、
その時は1行目のIPはデフォルトゲートウェイの値(後で確認する方法が出てきます)、
2行目のIPは1行目のIPのルータの設定画面で情報画面を開き、WAN側IPアドレスあるいはインターネット側IPアドレスから確認することができます。

下の例は、「192.168」(あるいは「172.16～172.31」や「10」)から始まるIPが1つのみなのでルータは1つということです。

それぞれ次のような特徴があります。
・ルータの数が0個
ルータが1個もない状態というのは、モデムから直結でPCにつないでいる状態であり、
ポートを塞ぐ役割を果たすルータがない為、ポートは全て開放されている状態です。
ポート開放の必要はありませんが、セキュリティ的にはあまりよろしくありません。
早急に電気屋に行ってルータを購入することをオススメします。

・ルータの数が1個
ルータが1個のみある場合は、
PCの画面からルータの設定画面を開き、ポート開放の設定を行うことで、開放できます。
この時、ルータがUPnPに対応している場合、ルータの設定画面を開かなくても
UPnPCJというツールを使うことで、ポート開放することもできます。

・ルータの数が2個
ルータが2個の場合は、そのままだとポート開放することはできません。
パソコンに近い方のルータのルータ機能をOFFにして、
AP(アクセスポイント)モード(あるいはブリッジモード)で動かすことで
そのルータの無線などの機能を残しつつ、ルータの数を1個と同じ状態にできます。
あとはルータが1個の状態と同じです。
やり方は「(ルータの型番) アクセスポイント」等でグーグルで検索すると、
ルータのマニュアル等がでてくると思います。

ルータの機能をOFFにする方法はルータによって異なりますが、
一般的に、ルータの機械に切り替えスイッチがついていることが多いです。

追記(2019/08/11)
ルータの数が2個の人はアクセスポイントモードにする前にIPの固定をしないでください。
IPを固定したまま、アクセスポイントモードにするとインターネットに繋がらなくなります。
アクセスポイント(あるいはブリッジ)モードにしてからIPを固定するようにしてください。
アクセスポイントモードにすると「ipconfig」の結果の192.168の次(3番目)の数字が変化することに注意してください。

ルータの数がいくつであっても
最終的にはルータの機能を1個のみ有効にして、
そのルータの設定画面でポート開放をするのが一般的です。

ローカルIP(プライベートIP)について

ルータとパソコンにはそれぞれローカルIPアドレスというものが割り振られています。
ルータはもともとIPが決まっているのですが、
パソコンのIPは固定しないと変動してしまいます。
ポート開放をするときにルータの設定画面で、
どのパソコンに対してポート開放するのかを、「IP」で指定するので、
パソコンのIPが変動してしまうと、ルータの設定をしなおす必要が出てきます。
その為、パソコンのローカルIPを固定する必要があります。

※2重ルータの人はまず先に1つ目のルータをアクセスポイントにして
2重ルータじゃない状態にしてからローカルIPを固定してください。

パソコンのIPアドレスはどんなIPでもいいというわけではなく、
ルータ(デフォルトゲートウェイ)のIPに合わせて固定する必要があります。
従って、現在のルータとパソコンのIPを調べる必要があります。
このIPアドレスはコマンドプロンプトで「ipconfig -all」
と打つことで調べることができます。

以下は有線ルータの例の結果です。

このデフォルトゲートウェイがルータのIPで、
IPv4アドレスがパソコンのIPです。

パソコンのローカルIPの固定

実際にローカルIPを設定しましょう。
コントロールパネルから「ネットワークの状態とタスクの表示」を選択します。

自分が使っているネットワーク接続の一覧が出てきます

基本的には有線の場合は
・ローカルエリア接続(またはイーサネット)

無線の場合は
・ワイヤレス ネットワーク接続(またはWi-Fi)

を右クリックし、メニューから、プロパティを開きます。

「インターネット プロトコル バージョン4（TCP/IPv4）」を選択したあと
プロパティを開きます。

次のIPアドレスを使うにチェックをつけます。
IPを入れる空白の欄が5つできます。入力するIPは次の通りです

「IPアドレス」
IPv4のIPはデフォルトゲートウェイの3つ目の数字までは同じにしないといけません。
最後の数字は2～254までならどんな数字でもいいですが、
基本的には50～99の任意の数字を推奨します。
(理由として、DHCPの有効範囲に入ってしまうと、
他のネットワーク機器のIPと重複する可能性がある為です)
ここでは192.168.11.50とします。

「サブネットマスク」
「ipconfig -all」の結果のサブネットマスクと同じものを入れます。
基本的には「255.255.255.0」です。

「デフォルトゲートウェイ」
これも「ipconfig -all」の「デフォルトゲートウェイ」の値を入力してください。

「優先DNSサーバー」
これも「ipconfig -all」の「DNSサーバー」の値を入力してください。

「代替DNSサーバー」
空欄でいいです。
「ipconfig -all」の「DNSサーバー」に二番目のIPがある場合は
それを入力してもいいです。

実際に入力すると下のようになります。

ここで、OK押した後、
「ローカルエリア接続のプロパティ」の「OK」ボタンが
「閉じる」に変わっていることに気が付くと思います。
入力が間違っていなければ、閉じる押したあと、
ネットが一瞬だけ寸断しますが正常に繋がるはずです。
しかし、入力が間違っていると、
ここで「閉じる」ボタンを押したときにネットに繋がらなくなります。

その時は慌てず、もう一度、ローカルエリア接続のプロパティから、
「インターネット プロトコル バージョン4（TCP/IPv4）」のプロパティを開き、
「IPアドレスを自動的に取得する」と「DNSサーバーのアドレスを自動的に取得する」
にチェックを入れてOKと「閉じる」を押してください。
これで元に戻るはずです。

追記2021年02月21日
もしイーサネットやWiFiなど他のネットワークでもIP固定されていてかつ、そのデフォルトゲートウェイをそれぞれ異なる値に設定しようとしている場合、下図のようなエラーメッセージが現れます。
その場合正しいデフォルトゲートウェイの値を確認し、他のネットワークも含めて再設定してください。(分からない場合はすべてのネットワークを一度自動取得にすることをお勧めします)
また、hamachiがインストールされている場合でも、このエラーメッセージが出る可能性があるため、hamachiはアンインストールしてください。

ルータの調査

IPの固定が無事終わった場合、次はルータの設定を行う必要があります。
ルータの設定方法がメーカーと型番によって異なる為、
まず、そのルータのメーカーと型番を調べる必要があります。

基本的に、パソコンからLANケーブルを辿ると
ルータという機械に繋がっていることが多いです。
ただし、LANケーブルが壁に刺さっている場合や無線ルータは、
ルータの機械がどこにあるか分かりづらくなります。どうしても分からない場合、
ルータが1つのみであれば、別の方法で調べることもできます。
以下にその方法を紹介します。

1．UPnPCJというツール使って調べる
UPnPCJはUPnPに対応しているルータをポート開放することができるツールです。
ルータが1つだけで、UPnPに対応しているルータならそのまま、
ポート開放することができます。
ルータの型番などを調べるツールとしても使えます。

下記サイトからダウンロードし、起動したあと、
⑨ルーター情報というボタンを押すとルータの情報が見られます。
http://www.geocities.jp/umemasu2010/upnpcj/

下の例は、バッファロー製のルータで、型番が「WZR-S600DHP」であることがわかります。

2．デフォルトゲートウェイのIPをIEやChromeなどのアドレス欄に入れる
ルータの設定画面はたいていの場合、インターネットを閲覧するときのブラウザに
デフォルトゲートウェイのIPをアドレス欄に打ち込むことで出すことができます。
(一部のルータではこの方法は使えません)

下記の例ではデフォルトゲートウェイ「192.168.11.1」アクセスした場合。

成功すると、ルータのログイン画面がでるですが、
そこにルータの型番が出てくることがあるので
そこから、ルータの型番を取得することができます。

下のログイン画面の例では、「WZR-S600DHP」が型番です。

3.ネットワークのネットワークインフラストラクチャで確認する
フォルダからネットワークを選択すると「ネットワークインフラストラクチャ」の欄に
ルータの型番が表示されることがあります。
(設定やルータによっては表示されないので注意してください）

ルータの設定

ルータの型番がわかったら今度はgoogleでその型番を検索してみましょう。
「(型番) ポート開放」で検索すると高確率でそのルータ専用のポート開放を開設しているページがでてきます。
例「WZR-S600DHP ポート開放」
あるいは、そのルータのメーカーが出しているページがあれば、
そこからオンラインマニュアルがPDF等でダウンロードできる可能性が高いです。
オンラインマニュアルの中を「ポート」で検索すると
ポート転送だとかポート変換とかポートフォワーディング、などの言葉が引っかかると思います。

そこの項目を読めばポート開放の方法が分かるはずです。

今回は「WZR-S600DHP」の例を示します。

まずgoogleでモデルの型番「WZR-S600DHP」を検索します

取扱説明書という項目からオンラインマニュアルをダウンロードします

ログイン仕方の項目を参照し、ログインIDと初期パスワードを確認します。
下の例では、IDが「admin」、初期パスワードが「password」であることが確認できます。

※Atermなどの一部のルータでは初期設定時にパスワードを設定させられることがあります。
その為、ポート開放する時に、パスワードが分からなくてログインできない場合があります
この場合、以下の方法が考えられます。
・ルータのパスワードの初期設定を行った人・業者に聞く
・ルータを初期化する
(この場合プロバイダのIDとパスワードが分からないとネットに繋がらなくなるので注意)
・UPnPCJを使ってポート開放する

ポート変換(又はポート転送、ポートフォワーディング、静的IPマスカレード設定、NAPT)
の項目を参照し、設定の仕方を確認します。

どのルータでも言葉が変わるだけで、全く同じことを指定します。
192.168.11.50のPCにUDP10800のポートを開放する場合下図の通りになります。

一度設定したあとちゃんと反映されているか確認するため、
一度画面を閉じて再度開き、設定が残っているか確認しましょう。
また、有効・無効のチェックがあったら必ず有効にチェックをつけることを
忘れないようにしましょう。

ちなみに、UPnPCJでポート開放する場合は以下のように入力して
⑩ポート開放のボタンを押すだけで開放できます。

但し、「ルータの設定画面でポート開放を行った場合」は
UPnPCJでポート開放をしないでください
ルータの設定が壊れることがあります。
もし、ルータの設定画面からポート開放行った後で
UPnPCJでポート開放を行った場合は、
一度、ルータの設定画面からポート開放の設定を削除し、
再度、ルータの設定画面からポート開放を行ってください

ファイアーウォールのポートの許可

ポート開放が終わった後は、実際にホストを立ててみます。
初回時のみ、windowsのファイアーウォールの警告画面が出てきます。
「アクセスを許可する」というボタンを押すと、自動的に例外設定がされます。
(自分がプライベートネットワークかパブリックネットワークか分からない人は
とりあえず両方にチェックをつけて「アクセス許可する」を選択すればいいです)

ポート開放の確認（通信できるかの確認)

さて、これで上手くいけばポート開放は終わりですが、
きちんとポート開放ができているのか確認する手段が欲しい所です。

実はTCPの場合、ポート開放を確認するサイトがあります。
(UDPは実際に同じゲームを持っている人に接続してもらうか、そのゲーム専用の確認ページで確認するしかありません。例としてARKはUDPですが専用のページでポート開放しているか確認することができます）

下記URLのサイトでポート開放ができているか確認することができます。
(TCPを使用してるプログラムで任意の番号で可能)
http://www.akakagemaru.info/port/tcpport.php

ARKの場合は下記サイトを使用してください
Query Port(デフォルトは27015)のみ確認が可能
https://arkserver.coln.biz/?p=portcheck
上記サイトではServer Port(デフォルトでは7777)での
確認はできないので注意してください。

2021年4月22日追記
ちなみに、ARKのポートは、「クエリーポート」と「サーバーポート」と「それに1足した番号」の
3つのUDPのポートを開放した方が無難です。
(サーバーポートが7777で、クエリーポートが27015なら、UDPの7777、7778、25015を開放します)
これはrawソケットを使用する設定になっている場合、ARKがサーバーポートで指定した値に1足した値を使用するからです。そして最近ARK Server Manajerでは、「Use raw Sockets」というチェックボックスが無い代わりに、デフォルトでrawソケットが有効になっているそうです。
(少なくとも筆者の環境ではArk Server Manajerを起動すると7778がリッスンになります)

通信できるかどうかを確認するのでポート開放を必要としているソフトを起動し、
「サーバー(ホスト)を立てている状態」にする必要があります。
サーバーを立てている状態で正しいポート番号を入力すれば、ポート開放を確認することができます。

最後に、相手に接続してもらうための、IPを相手に伝える必要があります。
先ほどまで見てきたIPは全て「ローカルIP」と呼ばれるもので、
相手に接続してもらう時に使用するIPは「グローバルIP」と呼ばれます。

グローバルIPはデフォルトゲートウェイ（ルータ）をインターネット側から見たIPです。
それに対して、ローカルIPはデフォルトゲートウェイからパソコン側(LAN側)のIPです。

従って、「自分のパソコン」のホストに接続する場合や、同じルータのネットワーク内のパソコンに接続する場合は、ローカルIPで接続する必要があります。
(自分のパソコンに接続する場合に限り、ローカルIPは「localhost」や「127.0.0.1」で代用することが可能です)
localhostで接続する場合、ポート開放をしていなくてもできます。
(ポート開放が必要なのはインターネットを経由する時のみです)

最初は混同しがちなので間違えないようにしましょう。

自分のグローバルIPは下記サイトから確認できます。
https://www.cman.jp/network/support/go_access.cgi

ここに出てきたIPアドレスと開放したポート番号を相手に伝えましょう。

追記(2018/09/25)
何故かポート開放できない場合、
ソフトがきちんと起動してホストが立っているか、ポート番号があっているか、ファイアーウォールがちゃんと許可されているか確認したい場合があります。
スタートメニューで「リソース」と検索してリソースモニターを起動しネットワークタブのリッスンポートの欄を見ると現在ホストが立っているプログラムの一覧を見ることができます。
下図はMinecraftで「TCPの25565」ポートでホストを立てている場合のリソースモニターの表示です。

ポート開放を確認する場合や実際に相手と通信する場合は、必ずリッスンポートにTCPポートが表示されていてかつ、ファイアーウォールの状態が「許可、制限なし」となっている必要があります。

2021年02月18日追記
リソースモニターのリッスンポートはリッスンの状態は黒字ですが、ホストを終了してリッスンの状態じゃなくなると、60秒間薄字の状態になった後消えます。
薄字の状態ではホストはたっていない状態なので通信はできないので注意してください

※但し、市販のセキュリティソフトにファイアーウォールが付属している場合(コントロールパネルのファイアウォールに黄色いバーが表示されている状態)は「ファイアーウォールの状態」とは無関係に、例外設定を行う必要がある可能性があります。市販のファイアーウォールを使用している場合での「ファイアーウォールの状態」の表記に関してはすべてのセキュリティソフトで試していないので、ご自身でご確認ください。

UDPのポートも表示されますが、ポート開放を確認する場合は通常の確認用のサイトではできません。
そのソフト用のクライアントで実際に通信できるか試してもらう必要がありますので注意してください。

最後にポート開放できない時の確認項目

ポート開放ができないと表示される場合、次の項目が正しく行われているか確認してください
1.TCPポートがリッスンになっている(サーバーが立っている）
2.ファイアーウォールでポートの許可が正しく設定されている
3.ルータで正しくポート開放の設定がされている
4.ローカルIPアドレスが正しい。
5.グローバルIPアドレスが正しい
6.二重ルータでない。
7.ポート開放が可能な番号か確認する(V6プラスなどIPv6のサービスを使用している場合)

1.TCPポートがリッスンになっている(サーバーが立っている）
リソースモニターのネットワークタブのリッスンポートでTCPのポート番号が存在するか確認してください。たいていの場合ポート開放確認サイトはTCP専用です。
リッスンポートにUDPのポート番号しかない場合では、そのゲーム専用の確認サイトを使用するか、同じゲームを持っている人にログインできるか試してもらうしか確認はできません。

2.ファイアーウォールのポートの許可が正しく設定されている。
Windowsのファイアーウォールの許可はリソースモニターのネットワークタブのリッスンポートで確認できますが、市販のセキュリティソフトのファイアーウォールを使用している場合は、セキュリティソフトのログや通知などを有効にして確認するしかありません。

3.ルータで正しくポート開放の設定がされている
ルータの設定画面で設定したけど、「チェックが入っていない」、最後に「OKボタンや適用を押し忘れる」、「ルータの再起動が必要」など色々ありますが、
ルータの型番とポート開放でグーグルで調べて出てきた結果の通りに行えばたいてい上手くいきます。

4.ローカルIPアドレス(プライベートIPアドレス)が正しい
パソコンのローカルIPアドレスと、ポート開放の転送先のIPアドレスが一致している必要があります。ちなみに一つのポート番号につき、一つのローカルIPまでしか転送できない事に注意してください。
「グローバルIP:ポート」をルータが「ローカルIP:ポート」に転送する際、2つ以上のローカルIPが設定されているとどのIPに転送すればいいか、分からなくなるためです。

5.グローバルIPアドレスが正しい
ポート開放確認サイトでは、基本アクセスしているパソコンのグローバルIPが自動で入力されるので問題はないですが、手動で入力するタイプの場合はグローバルIPが正しいか確認する必要があります。

6.二重ルータではない。
コマンドプロンプトで「tracert yahoo.co.jp」を使用して二重ルータではないか確認してください。

7.ポート開放が可能な番号か確認する(V6プラスなどIPv6のサービスを使用している場合)
V6プラスやIPv6オプションライトなどの一部のサービスではポート開放が可能な番号に限りがあります。たいていの場合、ルータのポート開放を設定するページに「ポート開放使用可能番号」が載っていることが多いです。

もしわからないことがあればコメント欄か、下記Twitterまでご連絡下さい
https://twitter.com/iori016