フルトンネルとスプリットトンネルの違いを説明しようと思ったきっかけ
アドベントカレンダー9日目です。
VPNの接続形式に関する記事になります。
以前の記事、シリーズで4本書いたAWS Client VPNとAzure P2Sを比較してみたからの派生した記事です。
以前の記事はこちら。
AWS Client VPNとAzure P2S 機能比較 01~AWS Client VPN構築編01~
AWS Client VPNとAzure P2S 機能比較 02~AWS Client VPN クライアントPC設定編~
AWS Client VPNとAzure P2S 機能比較 03~Azure P2S構築編~
AWS Client VPNとAzure P2S 機能比較 04~Azure P2S クライアントPC設定編~
AWS Clinet VPNはフルトンネル形式もスプリットトンネル形式も選択可能、Azure P2Sは現時点(記事執筆時の2022/11/29)ではスプリットトンネルのみです。
色んな会社、主にVPNを販売する会社でフルトンネルとスプリットトンネルの違いを説明しているサイトはありますが、構成図を使って説明しているサイトが少ない気がしたのでこちらで記載しようと思ったのがきっかけです。
もし私の認識に間違いがあればお手数ですがコメントください。
前提条件
自宅にあるClientから会社にあるFirewall機能付きルーターにVPN接続を行う
今回はアイコンはCiscoのものを使っています。
なぜアイコンの色が緑色かというと、緑色はStatusがNormalということらしいです。
1. フルトンネルとは
VPN接続時に、VPNクライアントのデフォルトゲートウェイがVPN接続先機器になるVPNの接続形式です。
文字で書くとこうなりますが、図にするとこうなります。
こうなります。
もう少し詳しく説明すると、VPN接続を行ったあと、Clientはデフォルトゲートウェイが前述の説明の通り会社にあるFirewall機能付きルーターになります。
なのでインターネット接続、つまりデフォルトゲートウェイに向かう通信は全て会社にあるFirewall機能付きルーターを経由して行うことになります。
当然会社にあるServerにアクセスする際は
こうなります。
インターネット接続の赤太線の中にVPN接続を示す青線が入っているのは、VPN接続がインターネット接続の中を通っているからです。
2. スプリットトンネルとは
VPN接続時に、VPNクライアントのデフォルトゲートウェイが元々Clientが持っているデフォルトゲートウェイのままの接続形式です。
文字で書くとこうなりますが、図にするとこうなります。
いや、これホント自分でもどうかと思ったんですが、こんな図になっちゃいました。
図示するのが難しんですが、こうなります。
余計わかんなくなっちゃいそうですね。
ちょっと時間をおいて図は再考します。
まだ入院してた時のダメージが残ってるみたいで、考えがまとまりません・・・
補足説明を行うと、VPN接続はフルトンネルと同じくインターネット接続の中を通ります。
しかしインターネット接続は自宅のルーターから直接接続します。
こうすることでインターネット接続の速度は保ちつつ、社内のサーバへの接続のみをVPN接続の中を通すことが可能です。
当然会社にあるServerにアクセスする際は
こうなります。
フルトンネルと同じですね。
3. フルトンネルとスプリットトンネルのメリットデメリット
フルトンネルは会社のルーター経由ですべての通信が行われます。
メリットとしては通信制御を行いやすいですが、クライアント台数が増えると会社のルーターの負荷が増えて全体の速度が低下するデメリットがあります。
スプリットトンネルは必要な通信のみVPN経由で行われ、インターネットへの通信は自宅のルーター経由で行われます。
メリットとしては最小限の通信のみを会社のルーターで受けるためルーターの負荷は軽く、Clientからのインターネット通信も早いですが、Clientのインターネットへの通信を制御することができません。
通信を制御する、とは、具体的にはAllow ListやBlock Listを用いてClientで閲覧できるWebサイトを制御する、ということです。
ケースバイケースと言えばそれまでですが、よりセキュアなのはどちらか?と言われるとフルトンネルの方がセキュアと言えます。
如何でしょうか?
本日はこれまで。