VPN接続方式

VPNの概要は、「VPNとは」をご覧ください。

ここでは、VPN接続方式について説明します。VPN接続方式は、目的や用途に応じて以下のように使い分けます。

最初に、VPN接続方式に共通する用語を解説します。

  • 認証
    なりすましを防止するために、通信先が正しい相手であるかを確認する技術です。アカウント情報(名前、パスワード)などを照合して確認します。
  • 暗号化
    データの盗聴や改ざんなどを防止するために、第三者が理解できないようにデータを複雑に変換する技術です。
  • トンネリング
    インターネットなどを介したネットワーク同士を、あたかも同一のネットワークのようにつなげる技術です。転送したいパケット(またはフレーム)を、新たなパケットで丸ごと包み込む(カプセル化)ことで実現します。
  • ネットボランチDNSサービス
    ヤマハが提供するDDNS(Dynamic Domain Name System)サービスです。グローバルIPアドレスの名前解決ができます。
    通常、VPNの設定では、接続先を特定するために固定のグローバルIPアドレスが必要です。しかし、固定のグローバルIPアドレスをお持ちでないお客様でも、このサービスで得られる「ホストアドレス」を利用すれば、VPNの設定・運用ができるようになります。

IPsec

IPsec(IP Security Architecture)は、インターネットで安全な通信を実現するために考えられたVPN接続方式です。盗聴や改ざんなどの脅威があるインターネットにおいて、データの暗号化や接続相手の認証、トンネリングなどを行う仕組みを提供します。各拠点のLAN同士を接続(LAN間接続)する場合、最も安全性の高いVPN接続方式です。

実際にVPN(LAN間接続)を構築するには、各拠点にIPsecに対応したルーターが必要です。

イメージ

では、簡単にIPsecの仕組みを紹介します。
IPsecでVPNを実現するには、一般的にIKEやESPといったプロトコルを利用します。ESPは暗号化を行うプロトコルで、IKEは暗号化に必要な「鍵」と呼ばれる情報を管理するプロトコルです。

IKE

IKE(Internet Key Exchage)には、IKEv1とIKEv2があります。ここでは、IKEv1について説明します(以降、IKEと呼びます)。

IPsecでは、安全性の高い通信を行うために、鍵と呼ばれる情報(パスワードや暗証番号のようなもの)を使用してデータを暗号化します。IPsecで使用される鍵は、データの暗号化、復号の両方に同じ鍵を使用することから「共通鍵」と呼ばれます。この共通鍵の生成、交換、更新を自動で行い、管理するプロトコルが「IKE」です。

IKEは、2つの段階(フェーズ1、フェーズ2)を経て、暗号化通信に必要な鍵情報の交換を行います。それぞれのフェーズでは、暗号アルゴリズム(3DES/AESなど)や認証アルゴリズム(MD5/SHA-1など)、鍵などの情報を交換して、合意を交わします。合意した情報の集合体をSA(Security Association)と呼びます。

ESP

ESP(Encapsulating Security Payload)は、データの暗号化や認証(※)を提供するプロトコルです。データをESPパケットとしてカプセル化することにより、暗号化を実現します。暗号化、および復号には、IKEで交換した共通鍵を使います。
※ ここでの認証とは、発信者の認証、およびデータの完全性(改ざんされていないこと)の認証を指します。

関連用語

IPsecに関連する用語です。IPsecをより理解したいときに、ご覧ください。

  • IKEフェーズ1の実行モード
    • メインモード
      接続先を認証するためのID情報として、接続先のグローバルIPアドレスを使用します。接続先を特定するために、両方の拠点で固定のグローバルIPアドレス(もしくはホストアドレス)が必要です。なお、ID情報も暗号化しますので、アグレッシブモードと比較して安全性が高くなります。
    • アグレッシブモード
      接続先を認証するためのID情報として、グローバルIPアドレスは使用しません。一方が固定のグローバルIPアドレス(もしくはホストアドレス)であれば、もう一方は動的なグローバルIPアドレスの構成でも利用できます。なお、ID情報を暗号化しないため、メインモードと比較して安全性は低くなります。
  • IPsecの動作モード
    • トンネルモード
      IPsecでLAN間接続をするためのモードです。暗号化や復号は、すべてルーターが行います。そのため、LANの始点や終点となるホストに特別な設定は必要ありません。
    • トランスポートモード
      エンドツーエンドの通信に対して、安全を保証するモードです。ルーターからリモートのルーターへTELNETで入るなど、特殊な場合に利用します。また、ホストから受信したL2フレームを暗号化するL2TP/IPsec、および、L2TPv3/IPsecにも利用します。
  • NATトラバーサル
    NATの内側にあるVPN装置(ルーターなど)が、IPsecを利用する場合に生じる問題を解決する機能です。ESPヘッダーの前にUDPヘッダーを付加することで、ポート番号を変換できるようにします。「NAT越え」とも呼ばれます。
  • マルチポイントトンネル
    通常のトンネルは、VPNの接続先を1箇所しか持たない「point-to-pointトンネル」です。一方、マルチポイントトンネルは、複数の接続先を持つ「point-to-multipointトンネル」です。新たな拠点を追加する場合、通常のトンネルでは、追加する拠点側と既存のネットワーク側の両方に設定が必要です。マルチポイントトンネルを利用すると、既存のネットワークの設定は変更せず、追加する拠点側の設定だけで簡単にVPNを構築できます。

技術情報

代表的な設定例

L2TP/IPsec

L2TP/IPsec は、「L2TP」と「IPsec」の2つのプロトコルを併用したVPN接続方式です。モバイル端末(スマートフォン、PCなど)から、インターネット経由で企業などのプライベートネットワークへ安全に通信(リモートアクセス)できる仕組みを提供します。

なお、リモートアクセスは、PPTPでも実現できます。L2TP/IPsecとの違いの1つは、認証するタイミングです。PPTPでは、暗号化されていない状態で認証を行います。一方、L2TP/IPsecでは、IPsecで暗号化されたトンネルの中で認証を行います。そのため、PPTPよりもL2TP/IPsecの方が、安全性が高いといわれています。

L2TPには、L2TPv2(L2TP version 2)とL2TPv3(L2TP version 3)の異なる2つのプロトコルが存在します。バージョンによって用途が異なりますので、ご注意ください。L2TP/IPsecでは、L2TPv2を使用しています。一般的に、L2TPv2をL2TP、L2TPv3をL2TPv3と表現することが多いため、本稿でもそのように呼ぶことにします。L2TPv3については、こちらをご覧ください

実際にVPNを構築するには、会社側にL2TP/IPsecに対応したルーターが必要です。また、外出先には、スマートフォンやPC(YMS-VPN8ソフトウェアライセンス版、または、YMS-VPN8同時接続ライセンス版をインストールしたもの)などが必要です。

イメージ

では、簡単にL2TP/IPsecの仕組みを紹介します。
L2TP/IPsecは、前述したとおり、L2TPとIPsecを併用したものです。L2TPはリモートアクセスを可能にするプロトコルで、IPsecはインターネットで安全な通信を実現するために考えられたプロトコルです。

L2TP

L2TP(Layer 2 Tunneling Protocol)とは、データリンク層(L2)でのトンネリングを実現するプロトコルです。認証、トンネリングに対応しています。PPPフレームに、L2TPヘッダーとUDPヘッダーを付加することで、IPネットワークで転送できるようにします。

IPsec

L2TPは暗号化に対応していません。そこで、IPsec(トランスポートモード)と組み合わせることによって、データを暗号化し、機密性や完全性を確保します。IPsecの詳細は、こちらをご参照ください

技術情報

代表的な設定例

PPTP

PPTP(Point to Point Tunneling Protocol)は、Microsoft社によって提案されたプロトコルで、Point-to-Pointプロトコル(PPP)と呼ばれる2点間を接続する技術を拡張したVPN接続方式です。1つの接続方式で、LAN間接続とリモートアクセスを実現できます。

PPTPは、認証、暗号化、トンネリングに対応していますが、IPsecに比べて安全性は低くなります。一方、LAN間接続とリモートアクセスを併用する場合、1つのVPN接続方式で実現できる手軽さがメリットです。また、Windows PCをPPTPクライアントとして気軽に利用できる点もメリットです。

実際にVPNを構築するには、各拠点にPPTPに対応したルーターが必要です。また、リモートアクセスする場合は、外出先にPPTPに対応したスマートフォンやPCなどが必要です。

イメージ

では、簡単にPPTPの仕組みを紹介します。
PPTPの実現には、GRE(Generic Routing Encapsulation)とMPPE(Microsoft Point-to-Point Encryption)を利用します。GREは、PPPフレームをカプセル化するプロトコルで、MPPEは暗号化方式です。

関連用語

PPTPに関連する用語です。PPTPをより理解したいときに、ご覧ください。

  • PAC / PNS
    PAC(PPTP Access Concentrator)は、PPTPトンネルの開始を要求する元の機器です。「PPTP Client」とも呼ばれます。
    PNS(PPTP Network Server)は、PACからの開始要求を受ける機器です。「PPTP Server」とも呼ばれます。

技術情報

代表的な設定例

IPIP

IPIP(IP over IP)は、トンネリングに特化した簡易的なVPN接続方式です。IPsecPPTPのような認証や暗号化には、対応していません。機密性の高い閉域網などを使って、簡単な設定でLAN間接続を実現できます。

一般的に、以下のような環境で利用します。

  • 閉域網サービスなど、安全な通信が提供されている環境
    閉域網サービスには、フレッツ・VPNワイドなどがあります。
  • IPv4とIPv6が混在するネットワーク環境
    IPには、IPv4とIPv6の2種類がありますが、IPv4とIPv6には互換性がありません。その関係を補う技術として、IPIPトンネルは有用です。

実際にVPNを構築するには、各拠点にIPIPに対応したルーターが必要です。

イメージ

では、簡単にIPIPの仕組みを紹介します。
IPIPは、IPパケットにさらにIPヘッダーを付加することで、トンネリングを実現します。たとえば、LAN側にIPv4のIPアドレス、WAN側にIPv6のIPアドレスを利用している場合を考えてください。IPv4とIPv6には互換性がありませんが、IPv4パケットにIPv6ヘッダーを付加してカプセル化することで、LAN間で通信が可能になります。

技術情報

代表的な設定例

L2TPv3

L2TPv3(Layer 2 Tunneling Protocol version 3)は、データリンク層(L2)でルーター間でのトンネリングを実現するVPN接続方式です。各拠点をLAN間接続して、同一セグメントのネットワークを構築できます。

L2TPには、L2TPv2(L2TP version 2)とL2TPv3(L2TP version 3)の異なる2つのプロトコルが存在します。バージョンによって用途が異なりますので、ご注意ください。リモートアクセスを実現するためのプロトコルであるL2TPv2(L2TP version 2)については、こちらをご覧ください

L2TPv3は、認証、トンネリングに対応していますが、暗号化には対応していません。そのため、L2TPv3だけで使用する場合は、閉域網など安全性が確保された環境で使用するのが一般的です。インターネットで使用する場合は、IPsec(トランスポートモード)を併用して、暗号化することができます。併用した方式を、「L2TPv3/IPsec」といいます。

実際にVPNを構築するには、各拠点にL2TPv3に対応したルーターが必要です。

イメージ

では、簡単にL2TPv3の仕組みを紹介します。
L2TPv3は、L2フレームにL2TPv3ヘッダーを付与します。さらに、UDPヘッダーを付加することで、ルーター間でのL2フレーム転送を可能にします。

関連用語

L2TPv3に関連する用語です。L2TPv3をより理解したいときに、ご覧ください。

  • ブリッジ機能
    複数のインターフェースを1つの仮想インターフェースに収容し、収容したインターフェース間をつなげる機能です。収容された各インターフェースは、1つのセグメントになります。
    各拠点をL2TPv3でLAN間接続する場合、L2TPv3のトンネルインターフェースとLANインターフェースを、1つの仮想インターフェースとして収容します。

技術情報

代表的な設定例