インターネットVPNとは

インターネットVPNとは、インターネットを仮想的にプライベートネットワークとして利用するための技術です。プライベートネットワークとは、限られたユーザだけが利用するためのネットワークです。

インターネットVPNによって、インターネットを介して企業の拠点間のプライベートネットワークの通信ができます。また、外出先の社員がインターネット経由で拠点内ネットワークへアクセスして、プライベートネットワークの通信が可能です。拠点間の通信を行うためのインターネットVPNは、サイトツーサイトVPNと呼ばれます。外出先の社員が利用するインターネットVPNはリモートアクセスVPNです。

図 サイトツーサイトVPNとリモートアクセスVPN
図 サイトツーサイトVPNとリモートアクセスVPN

個人ユーザでもインターネットVPNを利用することがあります。外出先から、自宅の家電製品やファイルサーバ(NAS)などにアクセスするためにリモートアクセスVPNを利用します。

プライベートネットワークについて以下の記事をご覧ください。

ネットワークのおべんきょしませんか?
 
いったい誰が利用するネットワーク?
https://www.n-study.com/internetworking-overview/network-classification/
誰が利用するネットワーク? ~とても大事な「ネットワークの分類」の観点~データを転送するためのネットワークそのものの動作を行うのがネットワークインフラストラクチャですが、いろいろ種類があります。「LAN」とか「WAN」とか「インターネット」とか・・・これ以降、ネットワークインフラストラクチャを単に「ネットワーク」と表記します。これらのネットワークは、地理的に近いとか遠いとかという分類の観点で語られることが多いです。LANは「近く」で、WANとインターネットは「遠く」という感じです。でも、こんな分類は分かり...
ネットワークのおべんきょしませんか?
プライベートネットワークの概要
https://www.n-study.com/internetworking-overview/private-network/
企業の社内ネットワークや個人の家庭内ネットワークなど限られたユーザだけが利用するためのネットワークがプライベートネットワークです。

単にインターネットに接続するだけではダメ

インターネットVPNによって、企業の拠点間を相互接続して通信することができます。ただし、ただ単に企業の各拠点をインターネットに接続するだけでいいわけではありません。拠点内のネットワークとインターネットで利用しているアドレスについて思い出しましょう。

企業の拠点内のネットワークは通常プライベートアドレスを利用しています。一方、インターネットはグローバルアドレスを利用しています。プライベートアドレスは閉じたネットワークで利用することが前提で、インターネット上で宛先がプライベートアドレスになっているパケットは転送されません。インターネット上のルータが破棄します。

図 インターネット経由の拠点間の通信
図 インターネット経由の拠点間の通信
図では、送信元IPアドレスのNAT変換は考慮していません。

宛先プライベートアドレスのときにパケットが破棄されることについての詳細は以下の記事をご覧ください。

ネットワークのおべんきょしませんか?
なぜプライベートアドレスではインターネットの通信ができない?
https://www.n-study.com/ip-addressing/internet-communication-with-private-address/
プライベートアドレスだと返ってこられないプライベートアドレスでは、インターネットの通信ができない理由を考えておきましょう。ポイントは、「通信は双方向である」ということです。Webブラウザなどのアプリケーションの通信は、何らかのデータを送信するとその返事が返ってくるのが基本です。プライベートアドレスのままだと、インターネットの通信ができないのは返事が返ってこられないからです。返事が返ってこられないからなければ、アプリケーションの通信は成立しません。プライベートアドレスは重複しているアドレス範囲企業...

VPNゲートウェイ

VPNゲートウェイは、インターネットVPNを構築するための機器です。VPNゲートウェイはインターネットVPNを実現するために、次のような動作を行っています。

  • プライベートネットワークの通信のパケットを暗号化
  • インターネット介してVPNゲートウェイ間でパケットを転送できるようにカプセル化
VPNゲートウェイの専用機器もあれば、ルータにVPNゲートウェイの機能が組み込まれていることもあります。企業向けでも個人向けでも多くのルータにVPNゲートウェイ機能が組み込まれています。

プライベートネットワークの通信の内容が第三者に漏れてしまうのは望ましくありません。そのため、プライベートネットワークの通信のパケットを暗号化して、第三者に漏れてしまわないようにします。

そして、暗号化したパケットをVPNゲートウェイ間で転送するために新しくIPヘッダを付加します。新しいIPヘッダの宛先IPアドレスはパケットを転送するべきVPNゲートウェイとします。

暗号化とカプセル化されたプライベートネットワークの通信のパケットは、インターネットを介して、対向のVPNゲートウェイへ転送されます。対向のVPNゲートウェイでは、カプセル化を解除して、暗号化されたデータを復号します。そして、本来の宛先にデータを転送します。

なお、通常のインターネットの通信のパケットは、VPNゲートウェイでの、暗号化やカプセル化を行いません。

図 インターネットVPNの通信と通常のインターネットの通信
図 インターネットVPNの通信と通常のインターネットの通信

図では、VPNゲートウェイとルータは別の機器として考えています。また、NATについて考慮していません。通常のインターネットの通信では、送信元IPアドレスはNATによってグローバルアドレスに変換されます。

インターネットVPNを実現するためのプロトコル

インターネットVPNを実現するためには、前述のように、データの暗号化とVPNゲートウェイ間を転送するためのカプセル化を行います。そのために以下のプロトコルがよく利用されています。

  • IPSec
  • SSL
  • PPTP
ネットワークのおべんきょしませんか?
2022年ページビューランキング | ネットワークのおべんきょしませんか?
https://www.n-study.com/2022-pv-ranking/
2022年「ネットワークのおべんきょしませんか?」コンテンツのページビューランキングTOP10です。

ネットワーク技術解説記事のアップデートや新規記事をTwitterでお知らせしています。

CCNAを目指すなら『基礎からのCCNA(200-301)攻略テキスト』

詳細な解説と実践的な演習シナリオでスキルアップ

「ネットワークのおべんきょしませんか?」内の記事を検索

インターネットVPN