NATとの複雑な関係をなんとかしたい!VPNパススルー
はい、こんにちは。VPNの仕組みについて、連続記事でご紹介しております。
前回は、VPNで通信を行うとき、通信経路にNAT機器があるとうまくデータを通過させることができないことがあり、それを解決する方法として、NAT越え(NAT-T、NATトラバーサル)を取り上げました。具体的には、フレームにUDPヘッダを追加するのでしたね。
今回は、もう一つ大切な技術として、「VPNパススルー」をご紹介します。NAT越えとセットで説明されるこの技術、深追いは必要ありませんが、念のため抑えておきましょう。
では、いってみましょう!
VPNパススルーって何だ
VPNパススルーは、NATを使用するルーターがVPN通信を「通過」させる機能です。
VPN接続は、PPTP、L2TPなどのプロトコルを使用しますが、NAT越えの記事で紹介したとおり、NATはこれらの接続を適切に処理できない場合があります。
VPNパススルーという機能は、この問題を解決し、内部ネットワークからのVPN接続を容易にしてくれます。
NATとVPNの「複雑な関係」
NATは、複数の内部デバイスが1つのグローバルIPアドレスを共有できるようにする仕組みでしたね。IPv4のアドレスが枯渇している現代では、ネットワークにおいて重要な役割を果たします。
ただ、NATは元々VPNのような複雑なフレーム処理には最適化されていません。
NAT機能(正確にはNAPT)は、内部セグメントからインターネットへのパケットを送信する時に、送信元のプライベートIPアドレスをグローバルIPアドレスに書き換えて、さらにポート番号を書き換えます。
しかし、例えばIPsecのVPN通信に使用されるESPパケットには、ポート番号がないため、通常のNAT処理が適用できません。
ここで登場するのが、VPNパススルー機能です。ルーターは、VPNパケットを受信すると、IPアドレスだけを変換してインターネットに送り出し、元の送信元のIPアドレスを記録しておきます。こうすれば、受信パケットが正しく送信元に返送されます。
IPsecパススルーの場合は、ESPヘッダ内にあるSPI(Security Parameter Index)を識別に利用するらしいのですが、細かい仕組みはよく分かりません。すみません。
ただ、ややこしいことに、VPNパススルーは、ルータでIPSec Passthrough、PPTP Passthrough、L2TP Passthroughのように、プロトコルごとに個別に有効にする必要があります。
はい、本日は、ここまで。今回は、VPNパススルーについてお話ししました。う~ん、あまり腹落ちする説明ができなかったのですが、もっと勉強いたします…。
次回からは、いよいよ境界防御の最重要機器「ファイアウォール」についてお話ししましょう。
では!
この記事が気に入ったらサポートをしてみませんか?