北海道で一週間ワーケーションをした感想と押さえておきたいポイント
今年も、暑いですね。。。 今年は家でクーラーを使わないという自分ルールを作って過ごしていたのですが、仕事をしていると自分よりも先にMacが参ってしまって、ファンがウィンウィン回り続けます。朝の比較的温度の低い時間から仕事を始めてみたり、macを冷たいタオルで覆ったり、うちわで扇いでみたりしましたが、それでもやっぱり動きが遅くなってしまいます。
そんな時、楽天トラベルで北海道はいまどれぐらいで泊まれるのか調べてみると、4泊5日のホテルの朝食付きで飛行機の往復代金込みで33000円ほど(GoTo適用の場合)。想像以上に安かったので東京の暑さから脱出して、涼を求めて北海道で1週間ほどワーケーションをしてきました。
これまでリモートワークの気分転換に何度かビジネスホテルに泊まってきましたが、ホテルで本格的に仕事をするという経験は始めてです。
北海道のどこでワーケーションをしようか悩みましたが、今回は札幌を拠点にワーケーションをすることにしました。実際に1週間ワーケーションをしてみて、いくつか押さえておきたいポイントが見つかったので感想を交えながら共有します。
ワーケーションで押さえておきたいポイント
気候
どうせ東京を離れてワーケーションをするのであれば、自分の理想の環境に行って仕事をしましょう。今回は涼を求めて札幌に決めました。 当たり前ですけど、札幌は東京に比べれば大分涼しいです。札幌の町中を歩いていても羽織れるような長袖の上着を着ている人を多く見かけます。もし、海の近くで働きたいのであれば、沖縄や千葉県の太平洋側なども良いかもしれないですね。
ホテルの近くにコンビニがある
コンビニがホテルの近くにあると、ちょっと何か軽食を買ったり、休憩で飲み物を買いに行ったりと便利に使えます。北海道には、セイコーマートという最強のコンビニがあるのでコンビニという点ではアドバンテージがあります。特に札幌にはセイコーマートがたくさんあるのでおすすめです。
朝食が出る
朝食が出ると本当に楽です。朝からホテルの美味しい朝食を食べておくと午前中脳に栄養がまわって集中できます。また、朝食の時間は決まっているので、生活リズムを取り崩さないストッパーの役割も果たします。
大浴場がある
大浴場もあると便利ですね。湯船に手足を広げて入って一日の仕事の疲れを癒すことが出来ますし、部屋のユニットバスに洗濯物を干している場合はいちいち移動させなくて済みます。また、大浴場が何時まで開いているかもチェックしておきましょう。いまはコロナの影響で通常よりも早く閉まるケースも多いと思います。
ホテルの周りに色々な種類の飲食店がある
ワーケーションをするにあたって、色々な種類の飲食店があると助かります。この色々なの意味は、料理のジャンルのことではありません。色々なスタイルで食事が出来るという意味です。もし、リゾート地のようなところでワーケーションをしてしまったら、周りには複数人で数時間滞在することを前提とした飲食店しかないかもしれません。 一人でワーケーションをしていたり、時間がないのでさっと食事を済ませたいときにコンビニしか選択肢がないとなるとかなりストレスです。その点、札幌には色々な種類の飲食店があり、一人でも入りやすかったり、さっと食べれるお店がたくさんあったので良かったです。
ホテルの近場に観光地がある
せっかくワーケーションをしているのですから、仕事をした後の平日でも観光をしましょう。札幌はこの意味でも良かったです。時計台や電波塔など見に行けて、すすきのの歓楽街や夜の北海道大学を散歩したり出来ます。
自分で洗濯できる設備がある
これは結構見逃されそうなポイントですが、何日も滞在すると洗濯をする必要が出てきます。僕は完全に考慮に入れてなくて、ホテル内に洗濯できる施設がなかったので、結局旅行用の洗剤を買って自分の部屋で手で服を洗って部屋に干していました。これは、調子に乗って高級ホテルに泊まると発生しやすい問題なので注意です。 こういう点ではビジネスホテルの方が優れているかもしれません。
トップ スーパーナノックス 旅行用 洗剤 洗濯洗剤 液体 ワンパック 10g×10袋
- 発売日: 2016/04/26
- メディア: ヘルスケア&ケア用品
レンタルサイクルを利用できる都市だと最高
レンタサイクルが使えると、観光の幅が広がります。自分の好きなタイミングでほぼ市内ならどこでも素早く移動できるので時間を大幅に節約出来るからです。 札幌にはポロクルというレンタサイクルのサービスがあって、電動自転車を乗りまわすことが出来ます。僕も札幌滞在中にはこのサービスに本当にお世話になりました。
オフの日に遠出できる観光地がある
ワーケーションのオフの日には少し遠出をしましょう。僕の場合は、月曜〜木曜に働いて、金曜日に有給を取得して、金・土で旭川・美瑛のほうに行きました。同じ都市にずっと居ると刺激が減ってくるので、オフの日に遠出にちょうどいい観光地があると気分が盛り上がります。
まとめ
これらのポイントを多く満たすホテルで思いつくのが、僕もリモートワークの気分転換でよく利用するドーミーインです。
今回の滞在ではドーミーイン以外のホテルに泊まったのですが、洗濯の手間を考えると安定のドーミーインに泊まった方が良かったかもしれません。やはり、ポイントを全て押さえているドーミーインはすごいです。
今回挙げたポイントは、家で仕事する場合と同じ長さの時間で仕事することを前提としています。ワーケーション期間中は本業の仕事の時間を減らせるのであれば、あえて上に挙げたポイントを外して朝食や夕食を自分で作ってみるというのもありかもしれないですね。
たぶん、人それぞれ、会社それぞれで、ワーケーションの定義も異なると思うので、自分にはどんな定義があっているのか、実際にワーケーションをして模索してみるのも面白いと思います。また今度は別のスタイルで、10月にもワーケーションが出来そうだったらやりたいと思います。
iPhone SE2で楽天モバイル unlimited を1ヶ月利用した感想
7月に楽天LinkのiOS版がリリースされたということで、1年間無料と通信量無制限に惹かれて楽天モバイルunlimitedに乗り換えてみました。結論から言うと、いまのところは非常に玄人向けの回線で、Mac OSのベータ版を利用しているような感覚です。
申し込み
楽天モバイルunlimitedは、こちらのページから申し込むことが出来ます。
若干WEBサイトの作りこみに甘いところがあるように感じましたが、サイトを作った人の気持ちを考えながら記入していけば、普通のWEBエンジニアなら戸惑うところはないと思います。インターフェースで気になるところもありますが、おそらく、今後はどんどん良くなっていくと思います。
WEBフォームから申し込みをした後、自分の場合は2日ほどで物理simが届きました。同封されている説明書に記載されている内容と、twitterや個人ブログの内容を総合的に判断して考えながら設定すれば、無事に楽天モバイルをiPhone SE2で利用出来るようになります。
楽天モバイルでは、通話やSMSの送受信にRakuten Link というアプリを使います。このアプリで通話やSMSの送受信をすることが、キャンペーンによるポイントをもらう条件にもなっています。今までは、このRakuten LinkアプリはAndroid版しか存在しなかったのですが、7月からiOS版が出てきて、iPhoneもサポートするような、しないような状態となりました。
以下は、楽天モバイルunlimitedを1ヶ月ほど利用してみての感想です。
利用して気付いた点
iOS版の楽天Linkはほぼ使える
僕が申し込んだ時には、サポートページのiPhone SE2の"国内通話 かけ放題"の項目は×となっていましたが、最近は○に変わりました。確かに、7月の料金明細をみると、通話料は含まれていませんでした。でも、いきなり変わるかもしれないので、心の準備はしておこうと思います。SMS機能を受信できないという書き込みをtwitterやブログでも時々見ましたが、いまのところは僕の場合は問題なく受信できています。でも、いきなり変わるかもしれないので、心の準備はしておこうと思います。
通信速度は思ったよりも遅かった
自分の住んでいるところは楽天モバイルの対応エリアです。室内で楽天モバイルの速度を調べてみたら、測定結果は8Mbpsほどでした。調子が良くて、15Mbpsぐらい。他の人のレポートを見ると、室内でも40Mbpsぐらい出ているのを多く見かけたのですが、建物の構造によって結構変わるのかもしれません。ちなみに、二子玉川駅のプラットフォームで測ると45Mbpsほど出ていました。
こんな、家庭用基地局の商品を出しているぐらいなので、楽天モバイル側も室内の電波の入りの悪さは課題と思っているのかもしれません。
追記 都内で帯域を測定してみると窓側の屋内で120Mbps出ていました。場所によっては屋内でもスピードが出ます。楽天モバイルのサイトに表示される対応エリアでも、実際にはかなり弱いことがあるようなので、契約する前に自宅で試すことが出来るのであれば、試してからの方がいいと思います。
楽天モバイル対応エリアでもパートナー回線のデータは消費される
自分の住んでいる生活圏では楽天回線エリアと公式のページでは表示されているのですが、実際に使ってみるとパートナー回線に繋がることが多いです。
楽天モバイル対応エリアでも、auの回線の方が繋がりやすい場所ではこのような現象が起きてしまうのかもしれないです。また、パートナー回線(au回線)につながった状態では、自動的に楽天モバイル回線に切り替わらないこともあるようです。iPhone SE2は、動作保証製品となっているような、なっていないような状態なので、このケースに該当しているのかもしれないですね。(追記:2020年9月21日現在も、家からではau回線に繋がってしまいます。楽天モバイルの回線はあまり家の奥までは届かないのかもしれません。)
au回線では、速度制限のない状態は5GBまでなので、いざというときにau回線でスピードを出したい場合は、普段はパートナー回線をオフにして、楽天回線エリアでは楽天回線を利用するように設定したほうがいいかもしれません。
現在使われておりませんのアナウンスがたまに流れる
楽天モバイルに切り替えてから、自分の電話番号に電話をかけてくれた人から、現在使われておりませんというアナウンスを受けるという連絡を何度かもらいました。電話をかけてくれた全ての人からいつも現在使われておりませんというアナウンスになるわけではなくて、一部の人では問題なく電話を受けることができました。この現象は数日間続いて、iPhoneを再起動するまで直りませんでした。長距離移動した時にこの現象が起きたので、基地局が切り替わったり、パートナー回線に切り替わったりのタイミングで発生することがあるのかもしれません。この不具合はかなり辛いです。仕事用の携帯に楽天モバイルを利用していて、このアナウンスが流れたら、取引先からの信用を失いかねません。(追記:2020年9月21日現在のところ、最近ではこの現象に遭遇していません。)
まとめ
こう書いてみると、うまく動いていないところも多く、一般の人に自信を持って進められるクオリティの回線およびサービスにはまだ到達していないように感じます。とはいえ、楽天モバイルのサービス内容(クオリティはともかく)、価格は他の大手キャリアと比べて非常にわかりやすくて一歩抜きん出ているとは思います。当分、混乱も続くのかもしれませんが、オペレーションが安定してきて大規模なプロモーション活動を実施すれば、楽天という抜群の知名度も貢献して他の大手キャリアに対して十分な脅威になるのではないかと思います。その時には、料金の値下げやサービス内容の充実化など消費者に利益がよりもたらされるようになるかもしれないですね。
川崎地元応援券を使おう
じもと応援券とは
自治体のyoutubeチャンネルを登録している人はあまり多くないと思いますが、自分は住んでいる川崎市のyoutubeチャンネルを登録して時々見ています。
閲覧数は多くても数千回ですが、新型コロナが流行してからは市内の感染状況とか医療現場の様子や、コロナの影響に対する助成金情報などが動画で紹介されています。 この川崎市のチャンネルで、新型コロナで落ち込んでいる市内の消費を盛り上げるために地元応援券を発行することが紹介されていました。
10000円で購入すると川崎市内の店舗で利用できる13000円分の商品券が受け取ることが出来ます。10000円を支払って13000円分のサービスを受けられるので、1 -( 10000 / 13000) = 0.2308 となっておよそ23.1%の還元を受けることが出来ます。昔やっていたpaypayの100億円あげちゃうキャンペーンの還元率は20%だったのでそれを上回ります。最初にこれをyoutube動画で見た時は、すごいお得なキャンペーンだなと感じたのですが、申し込みは低調だそうです。
10月17日 追記
開始当初は低調と言われていたじもと応援券ですが、最近は大分認知されて人気が高まっているようです。第3次の販売時には行列(!)まで出来ていたようです。
10月31日 追記
窓口販売になってから想定よりもずっと早いペースで完売してしまいました。申し込み方法の分からなくて購入できない人が多かったのか、1次・2次で購入していた人がさらに必要な分を購入したのか不明ですが、潜在的には人気があったのですね。
利用できる店舗例
大型スーパーや家電量販店が含まれていないのが低調な理由なのだそうですが、家族が数人いる世帯なら有効期間の間(2020年7月20日〜2021年1月31日3月31日(追記:じもと応援券の期限が2ヶ月延長されました!!))に市内で利用できるのではないかと思います。
自分の住んでいる駅の周辺でも、美容室やクリーニング店、薬局、整骨院、本屋、セブンやファミマなどのコンビニ、ローカルのお弁当屋やレストラン、少し遠出して遊園地など利用できるところが結構ありました。コロナでリモートワークで働いている人も多いと思うので近所のお店で使えるところがあるのではないでしょうか。
ホテルもいくつか利用できるようなので、ホカンスやワーケーションに利用するのもいいのではないかと思います。僕もそのうちどこか利用すると思います。
川崎日航ホテル www.okura-nikko.com
川崎市外の旅行にも利用可能
川崎市以外のホテルへの宿泊や旅行でも、じもと応援券はGoToトラベルキャンペーンと一緒に利用できそうです。例えば、川崎市内のじもとの旅行代理店に行ってそこで旅行パックを購入すればじもと応援券とGoToトラベルを併用して旅行に行くことが出来ます。
例えば、この旅行代理店だと、新幹線などが安くなりやすい日本旅行のパッケージも扱っているようなのでお得になりそうです。
対応店舗の探し方
すでにいくつかのお店で利用してみましたが、まだそんなに使っている人は多くなさそうな印象です。地元応援券の利用時には、お店の人が冊子から券を切り取らないといけないのですが結構切り目が分かりづらくて切り取るのには苦労していました。慣れればだんだんスムーズになるのかもしれないです。
少し検索しづらいページですが、店舗数は増えています。
7月22日時点で川崎市内の3000店、9月18日時点で4000店を超えて、その後も対応店舗数は増えています。この調子でいけば、当初目標としていた5000店も年内に達成出来そうな勢いです。
じもと応援券利用可能店舗数の推移
- 7月22日(水) 3006店舗 <= 3000店舗突破
- 7月27日(月) 3114店舗
- 7月28日(火) 3130店舗
- 7月29日(水) 3204店舗
- 7月30日(木) 3240店舗
- 7月31日(金) 3277店舗
- 8月3日(月) 3339店舗
- 8月4日(火) 3376店舗
- 8月5日(水)3408店舗
- 8月6日(木)3424店舗
- 8月7日(金)3452店舗
- 8月11日(火)3508店舗
- 8月12日(水)3523店舗
- 8月13日(木)3549店舗
- 8月14日(金)3562店舗
- 8月17日(月)3562店舗
- 8月18日(火)3605店舗
- 8月19日(水)3606店舗
- 8月20日(木)3610店舗
- 8月21日(金)3612店舗
- 8月24日(月)3651店舗
- 8月25日(火)3670店舗
- 8月26日(水)3683店舗
- 8月27日(木)3690店舗
- 8月28日(金)3690店舗
- 9月5日(土)3796店舗
- 9月7日(月)3796店舗
- 9月8日(火)3834店舗
- 9月9日(水)3834店舗
- 9月10日(木)3834店舗
- 9月11日(金)3877店舗
- 9月15日(火)3941店舗
- 9月16日(水)3951店舗
- 9月17日(木)3952店舗
- 9月18日(金)4010店舗 <= 4000店舗突破
- 9月23日(水)4029店舗
- 9月24日(木)4073店舗
- 9月25日(金)4082店舗
- 9月28日(月)4110店舗
- 9月29日(火)4126店舗
- 10月4日(日)4175店舗
- 10月5日(月)4199店舗
- 10月6日(火)4234店舗
- 10月7日(水)4266店舗
- 10月8日(木)4274店舗
- 10月9日(金)4300店舗
- 10月10日(土)4300店舗
- 10月11日(日)4300店舗
- 10月12日(月)4329店舗
- 10月13日(火)4373店舗
- 10月14日(水)4394店舗
- 10月15日(木)4439店舗
- 10月16日(金)4479店舗
- 10月19日(月)4557店舗
- 10月20日(火)4596店舗
- 10月21日(水)4595店舗
- 10月22日(木)4689店舗
- 10月23日(金)4697店舗
- 10月25日(日)4749店舗
- 10月26日(月)4820店舗
- 10月27日(火)4884店舗
- 10月28日(水)4912店舗
- 10月29日(木)4913店舗
- 10月30日(金)4916店舗
- 10月31日(土)4916店舗
- 11月1日(日)4916店舗
- 11月2日(月)4916店舗
- 11月3日(火)4992店舗
- 11月4日(水)4992店舗
- 11月5日(木)5086店舗 <= 5000店舗突破
- 11月6日(金)5088店舗
- 11月7日(土)5088店舗
- 11月8日(日)5092店舗
- 11月11日(水)5104店舗
- 11月12日(木)5109店舗
- 11月14日(土)5149店舗
- 11月16日(月)5188店舗
- 11月17日(火)5198店舗
- 11月19日(木)5201店舗
- 11月24日(火)5236店舗
- 11月25日(水)5238店舗
- 11月26日(木)5239店舗
- 11月28日(土)5252店舗
- 11月29日(日)5252店舗
- 12月2日(水)5270店舗
- 12月3日(木)5270店舗
- 12月5日(土)5271店舗
- 12月15日(火)5301店舗
- 12月21日(火)5317店舗
(目標の5000店舗を突破して以降は、お店の増え方も緩やかになりましたね。)
Google Mapから探せるように情報をまとめている人がいるので、こちらを使えば対象店舗をGoogle Mapからも確認できます。
地元応援券を利用した際には、その利用した金額分だけ、店舗に地元応援券の紙を渡さないといけないので物理的に紙をやりとりできないインターネットなどで決済を終わらせることは出来ないようです。物理的な紙ではなくて、バーチャルなモノで決済出来たら、より使い勝手はよくなりそうなので、その点は残念ですね。
自分の生活範囲内でも、何かしら利用できるお店はあると思うので、利用できる金額の範囲内で川崎市の人はぜひ購入して使ってみましょう。
Final Fantasy 7 remakeをクリアした感想
注意!!:この感想にはネタバレを含みます
つい最近、Final Fantasy 7 remakeをクリアしました。FF7は自分にとっては思い入れのあるゲームで、このゲームのためにわざわざプレステ4の本体を購入しました。
Final Fantasy 7のリメイクの制作が最初に発表されたのが2015年。まさかそこから発売まで5年が経過するとは思いませんでした。ものすごいフライングで発表していたんですね。待ちくたびれたと思うべきなのでしょうが、社会人になってから時間の過ぎるのが早く感じるようになって、あ、来月発売なんだという感じが正直なところでした。
PS4のグラフィックは初代PSと比べて圧倒的に綺麗になったと言いたいところですが、意外と(?)初代のムービーシーンや魔晄炉などのダンジョンのシーンも善戦していたと思います。むしろ、PS4はグラフィックは綺麗なのですが、まだまだCG独特の雰囲気は残っており、PS2以降あまり進化していないのかなと感じました。
プレステ4を購入して驚いたのは、ストレージにHDDが使われていたことです。PS4は一番最初の発売が2013年なので、もう設計が古いのかもしれません。どうりで、チョコボを呼んでからの移動にやたらとロード時間を取られるわけです。
ストーリーは、事前の告知通りミッドガルを出るところまでです。switchのゼルダと比べると自由度はかなり小さいです。バイクに乗った謎の新キャラ(?)は、1チャプターのみでそこまで深くストーリーには絡みませんでした。レッドXIIIは、かませ犬の役割になっていました。本作の終わり方から察するに、次の作品で完結する可能性も十分にあると感じました。と言うのも、ストーリーの最後の方で、もう次回作以降は原作に従わなくてもよい展開になっていたからです。実際、オリジナルを忠実に再現するとなると、続編をあと3作品ぐらい作らないといけなくなるのではと思うのですが、開発費用が膨らむ一方で、脱落するユーザ数は増えていくでしょうから多くても続編はあと2本。現実的には1本ではないかと思います。続編からはオリジナルに忠実に従わなくても良いようになれば、次回で完結させることも出来るようになるので都合がいいでしょう。
今作で一番印象の良かった要素は、戦闘です。ロールプレイングゲームを10年ぶりぐらいにした自分には、アクション性の融合した戦闘は昔のターン制のバトルよりも遥かに爽快感があり快適でした。流石に、あのリアルなグラフィックで、戦闘時は敵と味方で一列に向き合って変なゲージが出てくる昔のスタイルだと違和感がすごいでしょうね。ボスも強すぎるでもなく、だからといって弱すぎるでもなく、自分には丁度いいバランスでした。(ただ、戦闘時にはマテリアを付け替えられるとよかった)
発売から3日で350万本ほど全世界で売れたそうで、いまは400万本ぐらい売れているのかもしれません。
- 日本: 8500円ぐらい https://www.yodobashi.com/product/100000001004478626/
アメリカ: 6000円ぐらい https://www.amazon.com/Final-Fantasy-VII-Remake-PlayStation-4/dp/B00ZS80PC2
イギリス: 5500円ぐらい Final Fantasy VII: Remake PS4 Game • Compare prices (21 stores) »
で売っているようです。実際はどのぐらいかは分かりませんが、返品率など考慮したうえで、1本出荷されると5000円スクウェア・エニックスに売上が計上されるとすると、大体200億円ぐらいの売上になりそうです。過去作のFFのナンバリングの開発費は50億円ほどかかっていているらしく、
『FF15』DLC開発中止と特別損失についての時系列整理と考察 [19/11/20 Stadia等追記]|HAL’s Blog
今作はunreal engine 4という他社でも使われているゲームエンジンを流用しているようなので、開発費は暴騰していないと仮定すると、
スクエニがDQ11、FF7リメイク、KH3でUnreal Engine 4を使う理由。自社製エンジンが一番の足枷だったか - Kultur
200億円 - 50億円 = 150億円で、少なくとも今作では利益はちゃんと出ていると思います。次回作が出る頃にはPS5が主流になると思うので、今作で得た開発ノウハウをどれだけ流用できるかが課題となるのではないでしょうか。(PS4が全盛期のうちに続編も出すことが出来たら、開発費用を抑えられたのかもしれないですが。)ちなみに、オリジナルのFinal Fantasy 7は、wikipediaによるとPC版やSteam版などを含めて1260万本売れているそうです。
続編がどうなるのか、まだまだはっきりしていませんが、少なくとも今作は子供の頃に遊んだFF7のオリジナルを懐かしみながら楽しくプレイ出来ました。続編がPS5で出たらまた喜んで購入したいと思います。
所得税の計算方法(サラリーマン向け)
米株投資を始めて、ここ数年毎年確定申告をするようになり、以前よりも税金の仕組みに興味を持つようになりました。確定申告する時には、サラリーマンであれば国税庁の確定申告書等作成コーナーから源泉徴収票を元に金額を入力していけば申告用紙を作成出来るのですが、実際にどんな計算が内部でされているのか気になって調べてみました。
所得税の計算式
所得税は以下の計算式で求められます。所得税のしくみ|国税庁
所得税 = (収入金額 - 給与所得控除 - 所得控除) x 税率
以下、この計算式の各項目を説明します。
収入金額と給与所得控除
一般的なサラリーマンの場合、収入金額は会社から支払われる給与等の収入の総額、いわゆる年収となります。給与所得控除は、勤務に伴う必要経費です。会社が支給してくれるから必要な経費なんてないよと思う人もいるかもしれませんが、以下の表のように給与所得控除の額は収入金額ごとに設定されています。
平成29年分~令和元年分
給与等の収入金額 (給与所得の源泉徴収票の支払金額) |
給与所得控除額 |
---|---|
1,800,000円以下 | 収入金額×40% 650,000円に満たない場合には650,000円 |
1,800,000円超 3,600,000円以下 | 収入金額×30%+180,000円 |
3,600,000円超 6,600,000円以下 | 収入金額×20%+540,000円 |
6,600,000円超 10,000,000円以下 | 収入金額×10%+1,200,000円 |
10,000,000円超 | 2,200,000円(上限) |
ちなみに、この給与所得控除の計算方法は令和2年分以降から以下のように変更されるそうです。見てわかる通り、年収850万円以上の場合の控除額が減っています。850万円以下も控除額が10万円減っていると思うかもしれませんが、後で述べる所得控除の基礎控除(No.1199 基礎控除|国税庁)の額が38万円から48万円に変更となるのでプラス・マイナス0となりトータルの収入金額に対する控除額は変わりません。
令和2年分以降
給与等の収入金額 (給与所得の源泉徴収票の支払金額) |
給与所得控除額 |
---|---|
1,800,000円以下 | 収入金額×40%-100,000円 550,000円に満たない場合には、550,000円 |
1,800,000円超 3,600,000円以下 | 収入金額×30%+80,000円 |
3,600,000円超 6,600,000円以下 | 収入金額×20%+440,000円 |
6,600,000円超 8,500,000円以下 | 収入金額×10%+1,100,000円 |
8,500,000円超※ | 1,950,000円(上限) |
所得控除
所得控除は、控除の対象となる扶養親族が何人いるかなどの個人的な事情を加味して税負担を調整するもので、以下の種類があります。 所得税のしくみ|国税庁 所得金額から差し引かれる金額(所得控除)|国税庁
- 雑損控除
- 医療費控除
- 社会保険料控除
- 小規模企業共済等掛金控除
- 生命保険料控除
- 地震保険料控除
- 寄附金控除
- 障害者控除
- 寡婦控除・寡夫控除
- 勤労学生控除
- 配偶者控除
- 配偶者特別控除
- 扶養控除
- 基礎控除
最近話題のふるさと納税は「寄付金控除」、iDecoは「小規模企業共済等掛金控除」に入ります。会社の給料明細に記載されている厚生年金、健康保険、雇用保険は「社会保険料控除」に入ります。
厚生年金は月収や賞与に応じてその額が定められています。例えば、月収40万円の人は、等級では24となり、厚生年金の半分は会社が払ってくれるので本人の支払う厚生年金は37515円です。
所得税の税率
所得税の税率は課税所得金額によって異なります。課税所得金額は、
課税所得金額 = 収入金額 - 給与所得控除 - 所得控除
となります。課税所得金額に対して、以下の所得税の税率を掛け算することで所得税の金額が算出されます。 No.2260 所得税の税率|所得税|国税庁
所得税 = 課税所得金額 x 税率
課税される所得金額 | 税率 | 控除額 |
---|---|---|
195万円以下 | 5% | 0円 |
195万円を超え 330万円以下 | 10% | 97,500円 |
330万円を超え 695万円以下 | 20% | 427,500円 |
695万円を超え 900万円以下 | 23% | 636,000円 |
900万円を超え 1,800万円以下 | 33% | 1,536,000円 |
1,800万円を超え4,000万円以下 | 40% | 2,796,000円 |
4,000万円超 | 45% | 4,796,000円 |
課税所得金額の計算式を見てわかる通り、所得税の税率は収入金額に対して適用されるわけではありません。課税所得金額に対して適用されます。 ということは、自分の収入は600万円だから、20%の課税となるわけではありません。課税所得金額を計算して、はじめて自分の所得税の税率がわかるわけです。サラリーマンで課税所得金額が695万円を超えて税率23%になる場合は、かなりの高収入ということになります。
課税所得金額が400万円の場合、税率は20%で控除額は42.75万円なので、所得税は以下のようになります。
400 x 0.20 - 42.75 = 37.25万円
なぜ、42.75万円を引くのかというと、課税所得金額のうち最初の195万円は5%の税率、195万円~330万円は10%の税率、330万円~695万円は20%の税率と計算されるので、5%の税率のものと10%の税率の分を引いているからです。
ですので、課税所得金額が400万円の時の所得税は以下のようにも計算できます。
195 x 0.05 + (330 - 195) x 0.10 + (400 - 330) x 0.20 = 9.75 + 13.5 + 14 = 37.25万円
税額控除と基準所得税額
課税所得税に対して、所得税の税率を適用すれば所得税額を計算できますが、これがそのまま税務署に納める額となる人もいれば、所得税額からさらに控除出来る人もいます。
基準所得税 = 所得税 - 税額控除
サラリーマンの場合であれば、外国株の配当による外国税額控除(米国株の配当はこれに該当)、基準を満たしたマンションの購入による住宅借入金等特別控除などで差し引ける場合があります。この税額控除は確定申告をしないと受けることが出来ないようです。税額控除は、所得税から直接引かれるので、控除のインパクトは所得控除よりも大きいです。所得税額から税額控除を差し引いた後の所得税額を、基準所得税額というそうです。
所得税の計算例
ここまでの内容を元に、所得税がどのくらいになるのか、年収別に計算してみたいと思います。ここでは、話を単純化するために全ての例で、納税者は30歳の独身、職場の所在地は東京都、生命保険や地震保険への加入無し、給与は毎月均等払いで賞与は無しとして、所得控除は必要最低限のものとなるようにします。大半の人はここで出す例よりも所得控除の額は大きくなって、所得税額はもっと小さくなるはずです。所得税の計算は年によって変わるので令和元年のもので計算します。
年収400万円の所得税
- 収入金額: 400万円
- 給与所得控除: 400 x 0.2 + 54 = 134万円
所得控除: 基礎控除 + 社会保険料控除 = 基礎控除 + (厚生年金 + 健康保険 + 雇用保険) = 38 + (3.111 + 1.683 + 33.333 x 3/1000) x 12 = 96.73
- 厚生年金・健康保険の計算は、平成31年4月分(5月納付分)からの健康保険・厚生年金保険の保険料額表 を参考
- 雇用保険の計算は、平成31年度の雇用保険料率を参考
所得税 = (収入金額 - 給与所得控除 - 所得控除) x 税率 = (400 - 134 - 96.73) x 税率 = 169.27 x 0.05 = 8.46
- 収入金額に占める所得税の割合 = 8.46 / 400 = 2.116 %
年収600万円の所得税
- 収入金額: 600万円
- 給与所得控除: 600 x 0.2 + 54 = 174万円
所得控除: 基礎控除 + 社会保険料控除 = 基礎控除 + (厚生年金 + 健康保険 + 雇用保険) = 38 + (4.575 + 2.475 + 50 x 3/1000) x 12 = 124.4
- 厚生年金・健康保険の計算は、平成31年4月分(5月納付分)からの健康保険・厚生年金保険の保険料額表 を参考
- 雇用保険の計算は、平成31年度の雇用保険料率を参考
所得税 = (収入金額 - 給与所得控除 - 所得控除) x 税率 = (600 - 174 - 124.4) x 税率 = 301.6 x 0.1 - 9.75 = 20.41 万円
- 収入金額に占める所得税の割合 = 20.41 / 600 = 3.402 %
年収800万円の所得税
- 収入金額: 800万円
- 給与所得控除: 800 x 0.1 + 120 = 200万円
所得控除: 基礎控除 + 社会保険料控除 = 基礎控除 + (厚生年金 + 健康保険 + 雇用保険) = 38 + (5.673 + 3.366 + 66.66 x 3/1000) x 12 = 148.868
- 厚生年金・健康保険の計算は、平成31年4月分(5月納付分)からの健康保険・厚生年金保険の保険料額表 を参考
- 雇用保険の計算は、平成31年度の雇用保険料率を参考
所得税 = (収入金額 - 給与所得控除 - 所得控除) x 税率 = (800 - 200 - 148.868) x 税率 = 451.132 x 0.2 - 42.75 = 47.4764 万円
- 収入金額に占める所得税の割合 = 47.4764 / 800 = 5.935 %
結果を見ていけばわかる通り、所得税の収入金額に占める割合(%)は、収入が増えるごとに高くなります。年収800万円の人は年収400万円の人と比べて、収入では2倍ですが、所得税では5倍以上を支払っています。 税務署の立場から見ると、800万円の人から確実に税金を徴収するほうが、400万円の人から税金を徴収するよりも5倍以上効率的に所得税を徴収できる形になります。より年収が高くなると、収入に占める所得税の割合はより高くなり、高収入の人からはより効率的に税金を徴収できるようになるというわけです。また、現在は東日本大震災からの復興のための施策を実施するために基準所得税額に対して2.1%の復興特別所得税が導入されています。
住民税の計算方法はこちら
リモートワークの気分転換にホテルに泊まって家まで自転車で帰ってみる
前回、リモートワークで気分転換にホテルに泊まってから早3ヶ月。
緊急事態宣言も解除され、前回泊まったドーミーイン川崎から神奈川県の人限定で割安に泊まれるプランのメルマガ案内を受けたのでまた泊まってきました。
前回は、夜ごはんは外で食べたのですが、今回はやる事があったので外には食べに行かず、代わりにubereatsを使ってみました。ビジネスホテルでもubereatsは運んでくれるんですね。さすがに部屋までは外部の人は来れないので、ホテルの玄関で待ち合わせて受け取りました。このホテルはセブンイレブンとも直結なのでちょっとビールなど飲み物を買いに行くのに便利です。
前回は食べなかった夜鳴きそばを今回は食べました。そばはハーフサイズと聞いていたのですが、ダブルサイズにも出来るようでダブルサイズにしている人も結構いました。
今回ミスしたのが寝る時間。温泉に入って、夜1時30分ぐらいまで漫画を読んでいたらうまく寝付けなくなり、目が覚めたら朝の9時、、、。朝ごはんのラストオーダーが8時45分なので朝食を食べ損ねてしまいました。。。ドーミーイン のカーテンの遮光性は抜群なので、朝の光で目覚めたい人は少しカーテン開けた方がいいかもしれません。
今回は、出来るだけ密集を避けるのと運動を兼ねて、帰りは電車ではなくて自転車で家まで帰りました。hello cyclingというサービスを使います。
このhello cyclingというレンタル自転車のサービスは、多摩川沿いなどでたくさん見かけることができます。スマホのアプリから予約して、近くのセブンイレブンまで行きます。Kyashカードでも支払いができました。自転車を予約するといきなり2000円引かれたのでびっくりしましたが、これはちゃんと決済の利用できるクレジットカードかどうか確認するためにしているようです。自転車を返却した時に引かれた2000円が戻ってきていました。
乗り始めて最初は電動機能があることに気づかなかったのですが、以下の写真のようにパネルから電源を入れると電動アシスト機能が有効になって坂道でも座ったまま快適に自転車を漕ぐことができます。
自転車を借りて5分ぐらい漕ぐとすぐ多摩川の河川沿いのコースに行けます。
朝ごはんを抜いてしまったので途中で寄り道して、新丸子駅近くのらーめん喜輪でお昼ごはんを食べました。
らーめん 喜輪 (㐂輪/kirin) - 新丸子/ラーメン [食べログ]
自転車のレンタル料は、15分で70円。途中でらーめん食べたりしたので、2時間使って560円でした。多摩川沿いを走る電車ってあまりないので多摩川を沿った移動をしたい人にはけっこう需要はあるのかもしれないですね。自分が家に向かって帰っている間にも、hello cyclingを利用している人を何人も見かけました。僕もよく多摩川走るので、片道は走って帰りは自転車という使い方も面白そうだなと思いました。
AWS環境にAmazon Linux 2でOpenVPNサーバを構築・運用する
以前、AWS環境にOpenVPNサーバを構築して運用する記事を書きました。
この記事は、Amazon Linuxでの構築を前提に書かれているのですが、いまはAmazon Linux 2が主流となっています。そこで、Amazon Linuxから、Amazon Linux 2向けに記事を書き直してみました。
目次
どんな方式でVPNサーバを構築するか
以下記事の通り、VPN通信を実現するには様々な方法(PPTP, L2TP/IPsec, SSTP, IKEv2, )があります。
今回も以前の記事と同じように、TLSを利用したOpenVPNの証明書認証方式でVPNサーバを構築します。
VPNの認証方式を証明書認証にすることで、ユーザごと個別に証明書を有効・無効にしてアクセスの許可・拒否を設定出来ます。 パスワード認証の方が設定は楽ですが、退職者が出るたびに新しいパスワードを設定して、VPN利用者全員にパスワードの更新を周知する手間が生じるので、長期的に見れば証明書認証の方が運用は楽になります。
AWSのVPC上にVPNサーバを構築することで、以下のようなケースで利用できるようになります。
- EC2とのSSH通信をVPNサーバ経由でネットワークを閉じて出来るようになるので、SSH通信をしたいサーバにパブリックIPを付与する必要がなくなります。SSHの入り口を外部から無くせるので、外部からの脅威を軽減できます。
- AWS上に構築した社内向けWEBアプリを、プライベートIPのみの閉じたネットワークで公開出来るようになります。パブリックIPを持たないので外部から社内ツールに侵入される脅威を軽減できます。(もちろん、たとえ閉じたネットワークでも認証・権限管理、監査機能をアプリ側にちゃんと実装する方が安心です。)
構築手順
構成図
以下のネットワーク構成を想定して、VPNサーバを構築します。
- 複数のVPCがあるのであれば、別途VPC Peeringを設定することで、VPNサーバの置かれたVPCとは異なるVPC上のサーバとも通信が出来ます。
- VPNを経由してインターネットに接続するようにしたい場合は、VPNサーバの所属するsubnetのルートテーブルにインターネットゲートウェイなどを設定して、外部通信できるようにしておいてください。
AWSの設定
セキュリティグループの作成
VPNサーバにアタッチするセキュリティグループを作成します。セキュリティグループの名前は自分の好きな名前で大丈夫です。
セキュリティグループのInboundルールに、
- UDP:1194 PORT:0.0.0.0/0(openvpnの通信に利用、全てのIPからのアクセスを許可、特定のIPのみからしかVPNを利用しないのであればIPの絞り込み可能。)
- TCP:22 PORT:自分のIPアドレス(自分のIPからのアクセスを許可、VPNサーバの作成後は削除可能)
を設定してください。
ElasticIPの用意
VPNサーバのグローバルIPアドレスを固定するために、AWSコンソールからElasticIPをVPNサーバにアタッチします。 ElasticIPをVPNサーバに紐付けなくてもVPNサーバは構築出来るのですが、サーバを再起動する度にIPアドレスが変わると、VPN利用者に新しいIPを共有し直す、もしくはDNSレコードの設定を変える必要があるので、後々の運用を考えて最初から固定IPにしたほうが楽になります。
VPNサーバの構築
Amazon Linux 2でVPNサーバを構築します。Amazon Linux 2の最新版のAMIを利用します。 10人以下の利用であれば、VPNサーバの負荷は小さい場合がほとんどなので、インスタンスタイプは低いものでも大丈夫です。今回は、t3.microで構築をしました。
サーバの基本設定
Amazon Linuxを起動したら、下準備として以下の設定をします。
日本時間の設定
sudo timedatectl set-timezone Asia/Tokyo
IPパケット転送の有効化
Linuxはデフォルトではパケットの転送を許可していないので、Linuxサーバ上のあるネットワークインターフェースから別のネットワークインターフェースに向けてIPパケットの転送を有効化するために、以下のカーネルパラメータ設定を行います。
sudo sh -c "echo -e '\nnet.ipv4.ip_forward = 1' >> /etc/sysctl.conf" # load /etc/sysctl.conf settings sudo sysctl -p
iptablesによるマスカレードの有効化
iptablesで、natテーブルのPOSTROUTINGチェインに対して、VPNの仮想ネットワークIPレンジ(10.8.0.0/24)から、eth0インターフェースに対して来たパケットを、マスカレードするように設定追加します。サーバの再起動後もこのiptables設定が有効となるように、iptables-restore < /etc/sysconfig/iptables
の文字列を /etc/rc.localのファイルに追加します。
sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE sudo iptables-save | sudo tee /etc/sysconfig/iptables sudo chmod +x /etc/rc.d/rc.local echo 'iptables-restore < /etc/sysconfig/iptables' | sudo tee -a /etc/rc.local
認証局(Certificate Authority)の構築
今回作るOpenVPNのサーバでは、インスタンスの稼働台数が減らせるので、認証局(CAサーバ)の機能とVPNの機能を同じEC2インスタンスに構築します。 本格的に運用するのであれば、CA(Certificate Authority)サーバとOpenVPNサーバは分離させた方がセキュリティ的にはより安全になります。
分離させておくことで、
- OpenVPNサーバの台数を増やして冗長化させたいときに、認証局周りの設定をOpenVPNサーバを増やした時にどうするか考える手間を減らせます。
- 認証局サーバを外部からアクセス出来ないように分離しておくことで、認証局の秘密鍵(ca.key)が漏洩するリスクを減らすことが出来ます。
Amazon Linux 2ではインストールされるeasy-rsaのパッケージバージョンが上がっており、以前の記事で書いたAmazon Linuxの場合とは実行するコマンドが変わっています。
easy-rsaのインストール
# epelレポジトリからRSA鍵を管理するeasy-rsaパッケージをインストール sudo amazon-linux-extras install epel sudo yum install easy-rsa
認証局の作成
# PKI(public key infrastructure)のディレクトリ(pki)階層を作成 sudo /usr/share/easy-rsa/3/easyrsa init-pki # 認証局の秘密鍵・証明書を作成する、今回はnopassを指定して秘密鍵にはパスフレーズを設定しない、セキュリティ面では設定をしたほうがいい sudo /usr/share/easy-rsa/3/easyrsa build-ca nopass ## ex. Common Name (eg: your user, host, or server name) [Easy-RSA CA]:toripiyo CA # Diffe-Hellman パラメータを生成(実行が終了するまで数分かかる) sudo /usr/share/easy-rsa/3/easyrsa gen-dh # CRL(証明書執行リスト)を作成 sudo /usr/share/easy-rsa/3/easyrsa gen-crl
VPNサーバの証明書作成
sudo /usr/share/easy-rsa/3/easyrsa build-server-full server nopass
クライアントの証明書作成
OpenVPNサーバを利用するクライアントの証明書作成をします。
# 証明書の期限を365日に設定してtorippyという名前でクライアント証明書と秘密鍵を作成 # 今回の場合は、nopassを指定して秘密鍵にパスフレーズを設定していないが、クライアント証明書が漏洩した時に利用されにくいようにパスフレーズは設定しておいたほうが良い sudo /usr/share/easy-rsa/3/easyrsa --days=365 build-client-full torippy nopass # pki ディレクトリをホームディレクトリの配下から/usr/share/easy-rsa/3の配下に移動させる sudo mv ~/pki /usr/share/easy-rsa/3
OpenVPNサーバの構築
"認証局(Certificate Authority)の構築"で、OpenVPNを利用するのに必要なCA, サーバ, クライアントの秘密鍵・証明書を作成しました。今度は、OpenVPNサーバの設定をします。
OpenVPNのインストール
sudo yum install openvpn
ta.keyの作成
cd /etc/openvpn sudo openvpn --genkey --secret ta.key
crl.pemを/etc/openvpnに配置
sudo cp /usr/share/easy-rsa/3/pki/crl.pem /etc/openvpn sudo chmod +r /etc/openvpn/crl.pem
OpenVPNの設定
以下の内容で、設定ファイルを配置します。
sudo vi /etc/openvpn/server.conf ===================================================== port 1194 proto udp dev tun # use virtul point-to-point IP link device user nobody group nobody ca /usr/share/easy-rsa/3/pki/ca.crt # CA certificate cert /usr/share/easy-rsa/3/pki/issued/server.crt # OpenVPN server certificate key /usr/share/easy-rsa/3/pki/private/server.key # OpenVPN private key dh /usr/share/easy-rsa/3/pki/dh.pem # DH parameters file crl-verify /etc/openvpn/crl.pem server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt # keep same IP address # push "redirect-gateway def1" # all traffic goes through vpn server # push "dhcp-option DNS 172.31.0.2" # use internal DNS resolver push "route 172.31.0.0 255.255.0.0" # vpc private ip range keepalive 10 120 cipher AES-256-GCM max-clients 20 persist-key persist-tun tls-crypt /etc/openvpn/ta.key status openvpn-status.log log-append /var/log/openvpn.log verb 3 =================================================================
server.confの設定ファイルの内容に関する、いくつかの項目を説明します。
dev tun
: tun仮想ネットワークデバイスを設定する。tunは、IPv4/IPv6のOSIレイヤー3で動作してルーターのように働く。vpnのクライアントは、サーバ側のサブネット(10.1.0.0/255.255.0.0)には参加しないで、vpn独自のサブネット(10.8.0.0/255.255.255.0)からipを割り当てられる。dev tap
の場合は、サブネットを分けなくても済むようになるが、サブネットが分かれていないのでクライアントからサーバへのアクセスのIP制限を設定したい時にはtunよりもやりにくくなる。user nobody, group nobody
: openvpnは、初期化後はroot権限がなくても動作するようにデザインされているので、nobody ユーザ・グループ権限で動かすようにしている。dh
: diffie hellmanパラメータの値をもつファイル。server
: VPNネットワークのサブネットを設定する。クライアントはserverで指定しているIPレンジからVPN接続用のIPを割り当てられる。push "redirect-gateway def1"
: このディレクティブを有効化させると、openvpnに接続するクライアントのデフォルトゲートウェイをVPNを経由するように設定できる。つまり、ウェブサイトの閲覧時に全てのトラフィックをVPN経由に設定できるようになる、ただし、VPNサーバ側ではNATの設定などをしておかないと正しく動作しない可能性がある。push "dhcp-option DNS"
: VPNに接続した際に利用するDNSサーバを指定する。AWSの内部DNSサーバのIPを指定すれば、内部DNSレコードを引くようにすることもできる。push "route"
: VPNの先にあるネットワークと通信したい時にそのネットワークのIPレンジを指定。上の設定例では、AWS内部のVPCネットワーク内のインスタンスとクライアントが通信出来るように、VPCのIPレンジの10.1.0.0を指定している。tls-crypt
: あまり深くは把握してないのですが、この鍵情報をサーバとクライアントで事前に共有しておくことで、TLS通信をする際にclient helloの段階から暗号化出来るそうです。暗号化することで、openvpnプロトコルの通信をしていることを検知出来ないようにしたり、TLS DOS攻撃の抑制を出来るようになるそうです。serverfault.com
OpenVPNの起動と自動起動の有効化
sudo systemctl start openvpn@server sudo systemctl status openvpn@server sudo systemctl enable openvpn@server
サーバ再起動
サーバを再起動してもopenvpnは正常に稼働するかどうか確認するためにサーバを再起動
sudo reboot
これで、OpenVPNサーバが起動出来ました。次は、クライアントに配布するOVPNファイルをopenvpnサーバ上で作成します。
OVPNファイルの作成
OpenVPNサーバにVPN接続するために、VPNを利用するクライアントは、以下の情報が必要になります。
これらの情報をそれぞれ別ファイルで作成すると、VPNを利用するクライアントは合計5個のファイルを管理する必要があります。これでは、管理が大変なので、ovpnという拡張子を持つ1個のファイルにまとめます。
ovpnファイルは、以下の手順で作成できます。この例では、torippyというクライアント名のovpnファイルを作成しています。
client_name="torippy" vpn_server_ip="vpn serverのグローバルip" cat > ${client_name}.ovpn << EOF client dev tun proto udp remote ${vpn_server_ip} port 1194 cipher AES-256-GCM resolv-retry infinite nobind persist-key persist-tun ca [inline] cert [inline] key [inline] tls-crypt [inline] verb 1 keepalive 10 120 remote-cert-tls server <ca> `sudo cat /usr/share/easy-rsa/3/pki/ca.crt` </ca> <cert> `sudo cat /usr/share/easy-rsa/3/pki/issued/${client_name}.crt` </cert> <key> `sudo cat /usr/share/easy-rsa/3/pki/private/${client_name}.key` </key> <tls-crypt> `sudo cat /etc/openvpn/ta.key` </tls-crypt> EOF
作成したovpnファイルを、openvpnを利用するクライアントユーザに安全な方法を経由して渡します。このovpnファイルが第3者に渡ってしまうとその第3者によってVPNを利用されてしまうので漏れないように気をつける必要があります。万一漏洩しても被害を少なく出来るように、クライアントの証明書作成の際にパスフレーズを設定しておくと、パスフレーズを正しく入力しないとVPNサーバに接続出来ないので、設定しておくほうがセキュリティ的には安心です。
VPNを利用するユーザは、渡されたovpnファイルを利用してVPNに接続します。MacでTunnelblickを利用する場合は、以下の手順となります。
- tunnelbrickをインストール
brew cask install bunnelbrick
- tunnelbrickを起動する
- ovpnファイルを画面右上のtunnelbrickのアイコンにドラッグアンドドロップする
- 表示されてきたプロンプト画面でOnly Meをクリックする
- Macのパスワード入力を求められるので入力する。証明書のパスフレーズも求められるので入力する。これでVPNサーバとクライアントでコネクションを貼れるようになる。
運用手順
新しいクライアントの追加
- minckyというクライアントを追加して、そのクライアントのovpnファイルを作成する。(秘密鍵にパスフレーズを設定する場合は、nopassのオプションを外す)
- minckyのovpnファイルの作成方法は、torippyの場合と同様
client_name='mincky' cd /usr/share/easy-rsa/3 sudo /usr/share/easy-rsa/3/easyrsa --days=365 build-client-full ${client_name} nopass
既存クライアントの証明書失効
- 退職などに伴って、発行済の証明書からVPNサーバに接続出来なくなるようにする。
client_name='mincky' cd /usr/share/easy-rsa/3 sudo /usr/share/easy-rsa/3/easyrsa revoke ${client_name} # /etc/openvpn/crl.pem を更新する sudo /usr/share/easy-rsa/3/easyrsa gen-crl sudo cp /usr/share/easy-rsa/3/pki/crl.pem /etc/openvpn # このコマンドは、すでに上書きするcrl.pemファイルに読み込み権限があれば不要 # nobodyユーザから読み込める権限であれば、openvpnの再起動は不要 # クライアント接続時に、openvpnは、crl.pemファイルを読み込んで失効している証明書リストを確認 sudo chmod +r /etc/openvpn/crl.pem