インターネットVPNとは

インターネットVPNとは、インターネットを仮想的にプライベートネットワークとして利用するための技術です。プライベートネットワークとは、限られたユーザだけが利用するためのネットワークです。

インターネットVPNによって、インターネットを介して企業の拠点間のプライベートネットワークの通信ができます。また、外出先の社員がインターネット経由で拠点内ネットワークへアクセスして、プライベートネットワークの通信が可能です。拠点間の通信を行うためのインターネットVPNは、サイトツーサイトVPNと呼ばれます。外出先の社員が利用するインターネットVPNはリモートアクセスVPNです。

図 サイトツーサイトVPNとリモートアクセスVPN
図 サイトツーサイトVPNとリモートアクセスVPN

個人ユーザでもインターネットVPNを利用することがあります。外出先から、自宅の家電製品やファイルサーバ(NAS)などにアクセスするためにリモートアクセスVPNを利用します。


プライベートネットワークについて以下の記事をご覧ください。


単にインターネットに接続するだけではダメ

インターネットVPNによって、企業の拠点間を相互接続して通信することができます。ただし、ただ単に企業の各拠点をインターネットに接続するだけでいいわけではありません。拠点内のネットワークとインターネットで利用しているアドレスについて思い出しましょう。

企業の拠点内のネットワークは通常プライベートアドレスを利用しています。一方、インターネットはグローバルアドレスを利用しています。プライベートアドレスは閉じたネットワークで利用することが前提で、インターネット上で宛先がプライベートアドレスになっているパケットは転送されません。インターネット上のルータが破棄します。

図 インターネット経由の拠点間の通信
図 インターネット経由の拠点間の通信
図では、送信元IPアドレスのNAT変換は考慮していません。

宛先プライベートアドレスのときにパケットが破棄されることについての詳細は以下の記事をご覧ください。


VPNゲートウェイ

VPNゲートウェイは、インターネットVPNを構築するための機器です。VPNゲートウェイはインターネットVPNを実現するために、次のような動作を行っています。

  • プライベートネットワークの通信のパケットを暗号化
  • インターネット介してVPNゲートウェイ間でパケットを転送できるようにカプセル化
VPNゲートウェイの専用機器もあれば、ルータにVPNゲートウェイの機能が組み込まれていることもあります。企業向けでも個人向けでも多くのルータにVPNゲートウェイ機能が組み込まれています。

プライベートネットワークの通信の内容が第三者に漏れてしまうのは望ましくありません。そのため、プライベートネットワークの通信のパケットを暗号化して、第三者に漏れてしまわないようにします。

そして、暗号化したパケットをVPNゲートウェイ間で転送するために新しくIPヘッダを付加します。新しいIPヘッダの宛先IPアドレスはパケットを転送するべきVPNゲートウェイとします。

暗号化とカプセル化されたプライベートネットワークの通信のパケットは、インターネットを介して、対向のVPNゲートウェイへ転送されます。対向のVPNゲートウェイでは、カプセル化を解除して、暗号化されたデータを復号します。そして、本来の宛先にデータを転送します。

なお、通常のインターネットの通信のパケットは、VPNゲートウェイでの、暗号化やカプセル化を行いません。

図 インターネットVPNの通信と通常のインターネットの通信
図 インターネットVPNの通信と通常のインターネットの通信

図では、VPNゲートウェイとルータは別の機器として考えています。また、NATについて考慮していません。通常のインターネットの通信では、送信元IPアドレスはNATによってグローバルアドレスに変換されます。

インターネットVPNを実現するためのプロトコル

インターネットVPNを実現するためには、前述のように、データの暗号化とVPNゲートウェイ間を転送するためのカプセル化を行います。そのために以下のプロトコルがよく利用されています。

  • IPSec
  • SSL
  • PPTP