社内勉強会で喋ったVPNの概要。プライベートネットワークとはなんぞや。みたいな話。

1. VPNについて
野村裕佑
1
2012年2月29日水曜日

2. 注意（免責）
• VPNは製品や仕様ではない
• 構築・管理した中で得た感覚です
• ネットワーク管理の話がほとんどです
2
2012年2月29日水曜日

3. VPNとは
• VPN:Virtual Private Network
日本語訳：仮想閉域網
• 拠点間のネットワーク接続や通信路の暗
号化のために使われる
• Private Networkの仮想化
3
2012年2月29日水曜日

4. VPNの疑問
• 拠点間通信ってなにをするのs？
• なぜ通信路が安全なの？
• そもそもPrivate Networkってなに？
4
2012年2月29日水曜日

5. PrivateとPublic
Internet
Public
GW
Private
（社内）
PC PC PC PC
5
2012年2月29日水曜日

6. Private Networkとは
• Internetに対するいわゆるLAN(Local Area
Network)側
• 安全とされる。Internetとつながってい
ないから。
• （LAN内に悪い奴がいたら、残念でし
た…）
6
2012年2月29日水曜日

7. インターネットつな
がってますけど
• Internetで情報をやりとりするためには
グローバルIPアドレスが必要。
• ローカルIPアドレスではInternetを介した
通信ができない。（社内のみ）
• ローカルIPアドレスとグローバルIPアド
レスとは
7
2012年2月29日水曜日

8. ローカルIPアドレス
• Private Network内で使えるIPアドレス。
10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16
• Internetではルーティングされない。
• Private NetworkとInternetが通信するため
の仕組みがある
→ NAT, NAPT(APT, IP masquerade)
8
2012年2月29日水曜日

9. NAT, NAPT
• Network Address (and Port) Translation
• ローカルIPアドレスをグローバルIPアド
レスに変換する仕組み
• 少数のグローバルIPアドレスをみんなで
分け合う仕組み
• （市販のルータではまとめて”NAT”と呼
ぶ）
9
2012年2月29日水曜日

10. NAT
グローバルIPアドレス
Internet G1, G2を持っている
Public 対応表を管理
GW G1 192.168.1.11
Private 1 G2 192.168.1.14
192.168.1.0/24
11 12 13 14
PC PC PC PC
対応表にあるアドレスだけInternetと通信可能
10
2012年2月29日水曜日

11. NAPT
グローバルIPアドレス
Internet G1を持っている
Public 対応表を管理(port毎)
GW G1:4095 192.168.1.11:123
Private 1 G1:4097 192.168.1.14:253
192.168.1.0/24 G1:4098 192.168.1.11:98
s
11 12 13 14
PC PC PC PC
対応表にあるアドレスだけInternetと通信可能
11
2012年2月29日水曜日

12. NAPTの特徴
• 少ないIPアドレスを使い回す（安価）
• 通信時のみInternetとの通信経路ができる
→ 外部から接続できないのでF/W代わり
• （管理者として）ルータのメモリ負荷が
結構大きい
12
2012年2月29日水曜日

13. Private Networkは安全
• パケットがGWを越えてそのまま外に出
ることは無いから
• NAPTにより（副次的に）外からの接続
が制限されているから
• 中に悪いやつがいないから
13
2012年2月29日水曜日

14. LANケーブルが届かない件
• 同じ会社なのに、
• ビルが増えた
• 拠点が増えた
• そもそもLANケーブルは数メートルから
数キロ程度しか通信できない
14
2012年2月29日水曜日

15. 拠点間接続
• 同じ社内だし、同一Private Networkのよ
うに自由に安全に接続したい
Internet
拠点A 拠点B
15
2012年2月29日水曜日

16. 拠点間接続（専用線）
宛先が192.168.2.0/24なら 宛先が192.168.1.0/24なら
専用線に送出 専用線に送出
（拠点BのGWに転送） （拠点AのGWに転送）
192.168.1.0/24 192.168.2.0/24
拠点A 拠点B
16
2012年2月29日水曜日

17. 専用線の特徴
• 品質と安全性は接続業者が保証
• 高価
• 契約や開通に時間がかかる
• スイッチ切り替えるだけじゃないんです
かプロバイダさん
17
2012年2月29日水曜日

18. VPN登場
• 要するにローカルIPパケットをInternet経
由で送れればいいんでしょ？
18
2012年2月29日水曜日

19. VPNの概念
宛先が192.168.2.0/24なら 宛先が192.168.1.0/24なら
拠点BのGWに転送 拠点AのGWに転送
Internet
192.168.1.0/24 192.168.2.0/24
拠点A 拠点B
19
2012年2月29日水曜日

20. ボクがかんがえたVPN
宛先：GW B
IPヘッダ IPヘッダ データ
GW A GW B
LAN: LAN:
192.168.1.0/24 192.168.2.0/24
IPヘッダ データ IPヘッダ データ
宛先：192.168.2.21 宛先：192.168.2.21
カプセル化：トンネリングの基礎的な概念
20
2012年2月29日水曜日

21. ボクがかんがえたVPN
の問題点
• データ部分がPublicに流れる。Privateのつ
もりがInternetで盗聴可能
• 全く関係ない人がPrivate Network内にパ
ケットを送ることが可能（GW用とロー
カル用のIPヘッダを2つ付ければいい）
21
2012年2月29日水曜日

22. 一般的なVPN
・事前に互いを認証
・通信を暗号化
宛先が192.168.2.0/24なら 宛先が192.168.1.0/24なら
拠点BのGWに転送 拠点AのGWに転送
192.168.1.0/24 192.168.2.0/24
拠点A 拠点B
22
2012年2月29日水曜日

23. VPN実現方法
• IPsec(トンネルモード)
• IPパケットをカプセル化(L3)
• IPsec(トランスポートモード) + L2TP
• PPPパケットをカプセル化・PPPの機能を利用(L2)
• IPsecでIPペイロードだけを暗号化(L3)
• SoftEther/UT-VPN
• 仮想NICと仮想HUBを作る(L2)
• EthernetフレームをSSL/TLSで転送(L4-)
• などなど……
23
2012年2月29日水曜日

24. まとめ
• VPN：Internet経由でPrivate Network同士
のような通信をする技術
• 専用線のようなもの
• 実態は、Internetを介してローカルパケッ
トを転送する技術（トンネル）
• やり方は色々。IPsecがよく使われる
24
2012年2月29日水曜日