NATとの複雑な関係をなんとかしたい！VPNパススルー

はい、こんにちは。VPNの仕組みについて、連続記事でご紹介しております。

前回は、VPNで通信を行うとき、通信経路にNAT機器があるとうまくデータを通過させることができないことがあり、それを解決する方法として、NAT越え（NAT-T、NATトラバーサル）を取り上げました。具体的には、フレームにUDPヘッダを追加するのでしたね。

NATトラバーサルのフレーム構成

今回は、もう一つ大切な技術として、「VPNパススルー」をご紹介します。NAT越えとセットで説明されるこの技術、深追いは必要ありませんが、念のため抑えておきましょう。

では、いってみましょう！

VPNパススルーって何だ

VPNパススルーは、NATを使用するルーターがVPN通信を「通過」させる機能です。

VPN接続は、PPTP、L2TPなどのプロトコルを使用しますが、NAT越えの記事で紹介したとおり、NATはこれらの接続を適切に処理できない場合があります。

VPNパススルーという機能は、この問題を解決し、内部ネットワークからのVPN接続を容易にしてくれます。

NATとVPNの「複雑な関係」

NATは、複数の内部デバイスが1つのグローバルIPアドレスを共有できるようにする仕組みでしたね。IPv4のアドレスが枯渇している現代では、ネットワークにおいて重要な役割を果たします。

ただ、NATは元々VPNのような複雑なフレーム処理には最適化されていません。

NAT機能（正確にはNAPT）は、内部セグメントからインターネットへのパケットを送信する時に、送信元のプライベートIPアドレスをグローバルIPアドレスに書き換えて、さらにポート番号を書き換えます。

しかし、例えばIPsecのVPN通信に使用されるESPパケットには、ポート番号がないため、通常のNAT処理が適用できません。

ここで登場するのが、VPNパススルー機能です。ルーターは、VPNパケットを受信すると、IPアドレスだけを変換してインターネットに送り出し、元の送信元のIPアドレスを記録しておきます。こうすれば、受信パケットが正しく送信元に返送されます。

IPsecパススルーの場合は、ESPヘッダ内にあるSPI（Security Parameter Index）を識別に利用するらしいのですが、細かい仕組みはよく分かりません。すみません。

ただ、ややこしいことに、VPNパススルーは、ルータでIPSec Passthrough、PPTP Passthrough、L2TP Passthroughのように、プロトコルごとに個別に有効にする必要があります。

はい、本日は、ここまで。今回は、VPNパススルーについてお話ししました。う～ん、あまり腹落ちする説明ができなかったのですが、もっと勉強いたします…。

次回からは、いよいよ境界防御の最重要機器「ファイアウォール」についてお話ししましょう。

では！