目次

インターネットVPN

  • インターネット経由で外部からLANに入ってくることはできない。しかし、認証さえあれば、インターネット側からLANに入れてもよいのではないかというのが自然な発想である。このような使い方を可能とする技術の1つがインターネットVPNである。
  • インターネットVPNは、インターネットからの入り口を1つ追加するという機能がある。

インターネットVPNのデメリット

  • VPN装置の導入のために、ネットワーク構成の変更が必要である。
  • リモートクライアントへの専用ソフトウェアの導入が必要である。
  • NATを使った環境などで、リンクの確立がうまくいかないケースがある。

インターネットVPNの構築

サーバーとして使う場合

  • 一般に市販されているブロードバンドルーターは、一部の高価格機種を除くと、TCP/IPプロトコル専用になっている。
    • 特にインターネット側から来る通信パケットを「LAN内の○○に転送する」といった設定をする機能jは、通信の種類をTCPのポート番号で指定するのが一般的である。しかし、VPNの通信はTCPではないので、TCPのポート番号による転送設定はできない。
    • つまり、TCPにしか対応していないブロードバンドルーターでは、LAN内にリモートアクセスサーバーを置いて使えない。

[補講]WindowsXPのリモートアクセスサーバー機能は、同時に3つまでの接続を処理できる。つまり、リモートアクセスサーバーを加えて最大4台のPCで、インターネット経由で複数のPCを繋いだ仮想LANを構築できるわけである。 ◇

  • PPTPプロトコルは、最初の段階でTCP/IPプロトコルを使い、認証が完了するとIPプロトコルとGREプロトコルを使うようになる。
    • そこで、TCPのポート(1723番)とプロトコル番号(47番)*1という2種類の通信パケットを、LAN内にあるリモートアクセスサーバーのローカルIPアドレスに転送するようにルーターを設定する。
  • ブロードバンドルーターのDMS設定で、GREパケットも含めて転送してくれる可能性がある。
  • VPNサーバー機能が内蔵されたルーターもある。
  • VPNサーバーの接続状況を確認する画面から、接続中の通信を明示的に切断することができる。

クライアントとして使う場合

  • クライアントが直接ADSLモデムやメディアコンバータなどと直結している場合は、VPNソフトを使えばよい。
    • VPNソフトはWindowsが標準に持っている。
  • ブロードバンドルーター配下のLAN内にクライアントがいる場合は、ブロードバンドルーターのVPNパススルー(PPTPパススルー、IPsecパススルー)機能を利用すればよい。
  • クライアントの場合は外部から一方的に通信が届くサーバーと異なり、まず自分側からVPN通信が始まる。その場合の処理は比較的簡単だが、セキュリティの問題も少ないので、ほとんどのブロードバンドルーターが対応している。

[補講]VPNパススルー機能はクライアント側だけを想定した機能である。 ◇

[補講]VPNパススルー機能が無効の状態で、LAN内からリモートアクセスすると、大抵の場合認証はできるが、その後でエラーになるという症状が出る。

 PPTPの場合、認証はTCP/IPプロトコルを使って行い、認証が済んでから、本来のVPNプロトコルであるGREプロトコルに切り替わるからである。 ◇

参考文献

  • 『Windows98SE/Me/2000/XP対応 自宅のパソコンを会社のLANにつなぐ本 完全解決テクニック』
  • 『すっきりわかった!VPN』


*1 GREプロトコルに対応する。