ヤマハルータでつくるインターネットVPN(8) シーン別のプロトコルの使い分け

ここまで2回に分けて、LAN間接続、あるいはリモートアクセスにインターネットVPNを利用する際の設定について解説してきた。その際に、複数のプロトコル、あるいは同一のプロトコルについ複数の動作モードを取り上げてきているので、「どういう風に使い分ければよいのか?」と疑問をお持ちになった方もいらっしゃることと思う。

そこで今回は、シーン別にプロトコルや動作モードをどう使い分けるかについて解説しよう。

LAN間接続の場合

まずLAN間接続VPNの話から始める。

LAN間接続VPNでは長時間にわたって接続を維持するため、安全性の確保が重要になる。また、ヤマハルータの仕様ではPPTPによるVPNは最大4セッションまでに制約されているため、拠点数が多くなるとPPTPではトンネルが足りなくなる可能性がある。そのことを考慮すると、LAN間接続ではIPsecを利用するべきだろう。

また、安全性からいってもIPsecを使うべきだといえる。IPsecでは強度が高いAES(Advanced Encryption Standard)暗号化アルゴリズムを利用でき、一方向ハッシュ関数を用いる改竄検出の仕組みも備わっている。さらに、定期的に鍵を交換する仕組み(re-key)があるため、同じ鍵を長時間にわたって使い続けることにはならない。それも、解読されるリスクを下げる際には重要な要素といえる。

IPsecを利用する場合、メインモードとアグレッシブモードの選択が必要になる。基本的な考え方は「双方とも固定IPアドレスならメインモード」、「片方のみ動的に変動するIPアドレスを使えるアグレッシブモード」という違いであり、固定グローバルIPアドレスを入手できるかどうかで両者を使い分けることになるだろう。当然ながら、固定IPアドレスを取得せずにアグレッシブモードで利用する方が回線コストが下がるが、堅牢性ではメインモードの方が上回る。

そこでヤマハルータでは、動的に変動するIPアドレスを用いている場合でも、それをヤマハ独自のダイナミックDNSサービス「ネットボランチDNSサービス」と組み合わせることで、メインモードによるIPsecの利用を可能としている。つまり、本来ならIPアドレスを指定すべきところに、ネットボランチDNSサービスによって取得したホスト名のFQDN(Fully Qualified Domain Name)を指定するわけだ。

その場合、ルータに対してネットボランチDNSサービスを利用するための設定を追加する必要がある。具体的な内容は以下の通りだ。なお、以下の例ではPPPoE接続を前提として、PPP用のppインタフェースを使用する内容になっている。

1. まず、使用したいホスト名(以下の例ではsample-02)を引数に指定して、netvolante-dnsコマンドを実行する。ホスト名に使用できる文字は、半角の英数字とハイフン、長さは63文字以内だ。

------------------------------------------------
# netvolante-dns hostname pp sample-02
# netvolante-dns go pp 1
[sample-02.aa0.netvolante.jp] を登録しました
新しい設定を保存しますか? (Y/N)Y
セーブ中... 終了
#
------------------------------------------------

2. 再起動や電源切断によってしても設定を忘れないように、設定を保存する。さらに、IPアドレスの変動に対応できるように、自動更新を有効にしておく。

------------------------------------------------
# netvolante-dns hostname host pp sample-02.aa0.netvolante.jp
# netvolante-dns use pp auto
# save
------------------------------------------------

なお、固定IPアドレスを使用している場合には回線が生きている限り問題ないが、ネットボランチDNSサービスと動的に割り当てられるIPアドレスの組み合わせでは、回線が生きていてもDNSを引けなくなるとIPsec通信が途絶するリスクが存在する点に留意したい。

フレッツ・グループやフレッツ・VPNワイドを利用する手もある

このほか、「インターネットVPN」ではなく、東西NTT地域会社が提供している「フレッツ・グループアクセス」(NTT東日本)、「フレッツ・グループ」(NTT西日本)、あるいは「フレッツ・VPNワイド」(NTT東日本、NTT西日本)といったサービスを利用する方法もある。これらはNTTのネットワークを利用するサービスであり、インターネットのように完全にパブリックなネットワークではないので、その分だけ安心感と信頼性が高い。

これらのサービスを利用する場合、東西NTT地域会社のFTTH(Fiber To The Home)サービスを申し込んだ上で、双方の拠点にヤマハルータを設置して所要の接続設定を行い、さらにトンネリングの設定を行う形になる。

インターネットと異なり、フレッツ系サービスを利用するユーザーに限定されたネットワークを利用するため、暗号化を使用しないIPIPトンネリングを利用する方法も考えられる。しかし実際には念には念を入れて、インターネットVPNと同様にIPsecをトンネルモードで動作させることが多いようだ。

リモートアクセスの場合

リモートアクセスの場合、クライアントがどこから接続してくるか分からないので、実質的にPPTPをpp接続で利用する使い方は使えない。つまり、PPTPをanonymousモードで動作させる方法が基本になる。

PPTPであれば、WindowsやMacOS XがPPTPクライアントを標準装備しているので、費用を最低限に抑えられる。ただし、ルータの仕様に起因する制限により、PPTPの同時接続推奨数についてはNetVolanteシリーズもRTXシリーズも4セッションとなっている。そのため、同時に着信を受け付けるクライアントPCの台数が多くなると、PPTPでは対応しきれない。

そのことを考慮すると、クライアントPCの台数が多い場合、あるいは堅牢性を重視したい場合には、IPsecをアグレッシブモードで動作させる必要がある。そうなるとOSがクライアント機能を持っていないので、ヤマハが提供しているIPsec対応のVPNクライアントソフトウェア「YMS-VPN7」を利用する必要がある。ただしWindows版のみだ。

「YMS-VPN7」を利用する場合、着信を受け付けるヤマハルータの側ではアグレッシブモードの固定IPアドレス側と同様の設定を行う。一方、発信側となる「YMS-VPN7」では、クライアント側で仮想的に使用するネットワークアドレス(内部的な動作形態はLAN間接続と同じになるため、実際には単一のPCであっても、LANで使用するネットワークアドレスに相当する値の指定が必要)と、着信を受け付けるルータに設定したものと同じ「名前」を指定する必要がある。

リモートアクセスVPNが利用できるかどうかは運次第

ところで。リモートアクセスを行う場面として考えられるのは、自宅から会社のLANに接続する場面ばかりとは限らない。無線LANを使ってインターネット接続を行える飲食店や公共施設など、あるいは出張先・旅行先の宿泊施設から利用する可能性も考えられる。

ところがこうした場所ではたいてい、クライアントPCにグローバルIPアドレスを割り当てることはせずに、家庭内、あるいはオフィス内と同様に、プライベートIPアドレスを割り当てた上で、インターネットとの境界に位置するルータがIPマスカレードによるアドレス変換を行っている。

そうした場面では往々にして、利用可能なプロトコルに制約が加わっている場合がある。実際、筆者は旅先の宿でインターネット接続が可能であれば、必ず自宅へのVPN接続(PPTPを利用)が可能かどうかを試してみる習慣だが、接続できない場面が少なくない。

また、ある時点ではVPNが利用可能だった施設で、後になって利用できなくなっていたり、その逆だったり、といったことも起きる。そのため、高速なインターネット接続が可能であっても、必ずしもリモートアクセスVPNを利用できるとは限らない点に留意しておきたい。SSL-VPNなら、こうした問題は起きにくいのだが。

ヤマハルータでつくるインターネットVPN ［第3版］

著者:井上孝司　協力:ヤマハ　価格:4,515円

本書は、ヤマハ社のVPNルータ NetVolante/RT/RTXシリーズを対象に、セキュリティの高いVPN環境を構築する手法を解説。VPN、IPsec利用環境の基礎知識から実構築・有効活用まで、「ヤマハルータ」の機能を活用した、さまざまなVPNの有効活用がこの1冊でできるようになる。また、QoS、バックアップ機能からルータの管理・メンテナンスもわかりやすく解説する。