初めに

リモートワークが普及した現在、必須と言っても過言ではないのがVPN。「暗号化」とか「トンネリング」等断片的な情報は見聞きするものの、仕組みがイマイチわからない。そんなあなたへ、VPNについて説明します。VPNの「暗号化」部分は想像しやすいので、この記事は「トンネリング」について説明します。

なんでVPNが必要なの?

離れた拠点間でも安全にLAN内の機器と通信したいというのが主な目的となります。元々拠点間で通信するためには専用線を設けることがありましたが、これはコストがかかります。そのため、通常のインターネット回線を介しても専用線のように通信できるような技術が必要でした。

インターネットを介す通信の場合、以下の問題があります。

盗聴は「暗号化」によってある程度は対応できますが、プライベートIP/グローバルIPアドレスは厄介です。プライベートIP/グローバルIPの変換ならNATがありますが

上記で記載したような問題があります。またできれば社内ネットワークに接続できるユーザは制限したいですね。これらを解決する際に利用されるのが「トンネリング」と呼ばれる技術です。このトンネリングの肝は「カプセル化」です。

カプセル化の説明をする前に、ネットワーク上に流れるデータの構造を理解する必要があります。詳しくはこちらの記事を見てください。

トンネリング用のプロトコルとして代表的なものでGREというものがあります。

Q. 冒頭で話をした、プライベートIPアドレスのネットワークから、グローバルIPアドレスのネットワークを介してアクセスするにはどうすればいいか？
A. L3(プライベートIPアドレス)のパケットをL3(グローバルIPアドレス)でカプセル化する。

これだけではわからないので、もう少し詳しく説明します。

R2(192.168.2.0/24)のLANからR1(192.168.1.0/24)のLANへ通信したい場合、パケットは以下のような動きをします。

R2のLAN内の機器(192.168.2.X)から、R1のLAN内の機器(192.168.1.X)へを送信する。この時点のパケットの宛先/送信元は下記の通り。
- 宛先がR1のLAN側のプライベートIPアドレス(192.168.1.X)
- 送信元がR2のLAN側のプライベートIPアドレス(192.168.2.X)
R2は受け取ったパケットをGREパケットとしてカプセル化する。GREパケットの宛先/送信元は下記の通り。
- 宛先がR1のWAN側のグローバルIPアドレス(1.1.1.1)
- 送信元がR2のWAN側のグローバルIPアドレス(2.2.2.2)
R1は受け取ったGREパケットのカプセル化を解除する。解除後のパケットの宛先/送信元は下記の通り。
- 宛先がR1のLAN側のプライベートIPアドレス(192.168.1.X)
- 送信元がR2のLAN側のプライベートIPアドレス(192.168.2.X)

最終的にR1のLAN内に届くパケットは、あたかも隣接するプライベートネットワークから送られてきたデータのように見えます。またトンネリングという呼称をされていますが、イメージ的には、

というのが実際の動きに近いです。ネットワーク的な疎通を解決するためにカプセル化は頻繁に使用されます。例えばFWでHTTPの通信のみ許可されている環境でFTPを使ってファイル転送をしたい場合、FTPデータをHTTPデータでカプセル化する方式(FTP over HTTP)もあります。

トンネリングはネットワーク的な疎通は解決できますが、暗号化されているわけではないので、盗聴のリスクが残ります。そのためIPsecのような暗号化と組み合わせます。トンネリングとIPsecを使ったVPNは、IPsec-VPNと呼ばれます。