ネットワーク用語 > VPNパススルー
VPNパススルー †
VPNパススルー = VPN pass through
槻ノ木隆の「BBっとWORDS」 その6「VPNとVPNパススルーの仕組み」
■ VPNパススルーとは?
便宜上、ルータがVPNの機能を持つことを前提に話をしてきましたが、ルータではなくPC側にVPNを機能を持たせることも可能です(この場合、自宅の側でVPN対応ソフトをインストールしたマシンがルーティングも行なうことになります。SoftEtherが、ちょうどこういう形態になります)。
さて、こうした形態で接続を行ないたい場合、ルータには「VPNの通信をそのまま通す」機能が必要になります。
通常、ルータはNAT(Network Address Translator)/NAPT(Network Address and Port Translator)の機能を持っているわけですが、これを使ってしまうとしばしばVPNの通信がうまくいかなくなる場合があります。
これを避けるために、VPNを構築する場合は必要なパケットをそのまま通す仕組みが用意されることがあり、この仕組みをVPNパススルーと呼ぶます。
VPNパススルーといっても、必ずしもすべてのVPNが通るとは限りません。
先にVPNの代表例としてIPsec/PPTP/L2TPを挙げましたが、この3つとも通る場合もあれば、ルータによっては1つだけしか通らないなんて場合もあります。
このため、どの暗号化方式に対応しているかを明確にするため、メーカーでは「IPsecパススルー」や「PPTPパススルー」、「L2TPパススルー」というように対応方式を明示しているケースが多いわけです。
NAT traversal(NATトラバーサル)は、TCP/IPネットワークにおいてNAT機器を用いた上で、複数ホスト間のネットワーク接続を確立する際に生じる問題を解決するために設計されたアルゴリズムである。
ちなみに、NAT traversalはNAT通過を意味し、NAT越えとも呼ばれる。
NAT traversalとIPsec
IPsecが、NATを通過し正常に機能するためには、以下がファイアウォール上で許可される必要がある。
- Internet Key Exchange (IKE) - User Datagram Protocol (UDP) port 500
- Encapsulating Security Payload (ESP) - Internet Protocol (IP) 50
- IPsec NAT-T - UDP port 4500
多くの家庭用ルータでは、IPsecパススルーを有効とすることによりこれらが実現される。