目次 †
インターネットVPN †
- インターネット経由で外部からLANに入ってくることはできない。しかし、認証さえあれば、インターネット側からLANに入れてもよいのではないかというのが自然な発想である。このような使い方を可能とする技術の1つがインターネットVPNである。
- インターネットVPNは、インターネットからの入り口を1つ追加するという機能がある。
インターネットVPNのデメリット †
- VPN装置の導入のために、ネットワーク構成の変更が必要である。
- リモートクライアントへの専用ソフトウェアの導入が必要である。
- NATを使った環境などで、リンクの確立がうまくいかないケースがある。
インターネットVPNの構築 †
サーバーとして使う場合 †
- 一般に市販されているブロードバンドルーターは、一部の高価格機種を除くと、TCP/IPプロトコル専用になっている。
- 特にインターネット側から来る通信パケットを「LAN内の○○に転送する」といった設定をする機能jは、通信の種類をTCPのポート番号で指定するのが一般的である。しかし、VPNの通信はTCPではないので、TCPのポート番号による転送設定はできない。
- つまり、TCPにしか対応していないブロードバンドルーターでは、LAN内にリモートアクセスサーバーを置いて使えない。
[補講]WindowsXPのリモートアクセスサーバー機能は、同時に3つまでの接続を処理できる。つまり、リモートアクセスサーバーを加えて最大4台のPCで、インターネット経由で複数のPCを繋いだ仮想LANを構築できるわけである。 ◇
- PPTPプロトコルは、最初の段階でTCP/IPプロトコルを使い、認証が完了するとIPプロトコルとGREプロトコルを使うようになる。
- そこで、TCPのポート(1723番)とプロトコル番号(47番)*1という2種類の通信パケットを、LAN内にあるリモートアクセスサーバーのローカルIPアドレスに転送するようにルーターを設定する。
- ブロードバンドルーターのDMS設定で、GREパケットも含めて転送してくれる可能性がある。
- VPNサーバー機能が内蔵されたルーターもある。
- VPNサーバーの接続状況を確認する画面から、接続中の通信を明示的に切断することができる。
クライアントとして使う場合 †
- クライアントが直接ADSLモデムやメディアコンバータなどと直結している場合は、VPNソフトを使えばよい。
- ブロードバンドルーター配下のLAN内にクライアントがいる場合は、ブロードバンドルーターのVPNパススルー(PPTPパススルー、IPsecパススルー)機能を利用すればよい。
- クライアントの場合は外部から一方的に通信が届くサーバーと異なり、まず自分側からVPN通信が始まる。その場合の処理は比較的簡単だが、セキュリティの問題も少ないので、ほとんどのブロードバンドルーターが対応している。
[補講]VPNパススルー機能はクライアント側だけを想定した機能である。 ◇
[補講]VPNパススルー機能が無効の状態で、LAN内からリモートアクセスすると、大抵の場合認証はできるが、その後でエラーになるという症状が出る。
PPTPの場合、認証はTCP/IPプロトコルを使って行い、認証が済んでから、本来のVPNプロトコルであるGREプロトコルに切り替わるからである。 ◇
参考文献 †
- 『Windows98SE/Me/2000/XP対応 自宅のパソコンを会社のLANにつなぐ本 完全解決テクニック』
- 『すっきりわかった!VPN』
