こんなことってありません?
![NW図(ただのIP).jpg, SIZE:320x177(12.4KB) NW図(ただのIP).jpg](https://femt.ddo.jp/modules/xpwiki/gate.php?way=ref&_nodos&_noumb&page=%E8%87%AA%E5%AE%85%E9%AF%96%E8%A8%88%E7%94%BB%2F%E3%83%88%E3%83%B3%E3%83%8D%E3%83%AB%E6%8E%A5%E7%B6%9A%E3%81%A3%E3%81%A6%E4%BD%95%E3%81%A0%E3%81%B9%3F&src=NW%E5%9B%B3%28%E3%81%9F%E3%81%A0%E3%81%AEIP%29.jpg)
普段は拠点(右の図のさらにFireWallの右側)で、いろんなサーバのデータを使用して作業をしています。ですがたまたま外にお出かけすることになりまして、出先端末を持って外へ。ですが、その拠点、セキュリティ管理はしっかりしていて、中に入ることはできません。FireWallで通信が阻まれてしまいます。ああっ拠点のファイルサーバの中にある、あのデータにアクセスできれば一発なんだけどなぁぁぁ!!でもふつーのIP接続だと、そーいう事を許してくれません。ああ、歯がゆいっ!!
トンネル接続を使用すると…
![NW図(VPN接続).jpg, SIZE:320x177(15.2KB) NW図(VPN接続).jpg](https://femt.ddo.jp/modules/xpwiki/gate.php?way=ref&_nodos&_noumb&page=%E8%87%AA%E5%AE%85%E9%AF%96%E8%A8%88%E7%94%BB%2F%E3%83%88%E3%83%B3%E3%83%8D%E3%83%AB%E6%8E%A5%E7%B6%9A%E3%81%A3%E3%81%A6%E4%BD%95%E3%81%A0%E3%81%B9%3F&src=NW%E5%9B%B3%28VPN%E6%8E%A5%E7%B6%9A%29.jpg)
ここで、トンネル接続を試してみます。拠点FireWallは、トンネル接続用の通信を通過し、内部のVPNサーバとやり取りしてくれるようにしておいてあげます。そーすると、トンネルパケットだけはFireWall通過して、VPNサーバまではいってくれます。こうしておくと、出先端末から拠点に向けて、トンネル接続用のIPを投げてやります。すると、するるるっ、とVPNサーバと接続されます。
後は、拠点端末から、VPNサーバを経由して、内部のデータベースやら、ファイルサーバやら、ストリーミングサーバやらにアクセスできるって寸法ですね。
さて、どーやって通信しているのでしょう?
![トンネルの仕組み.jpg, SIZE:320x240(19.9KB) トンネルの仕組み.jpg](https://femt.ddo.jp/modules/xpwiki/gate.php?way=ref&_nodos&_noumb&page=%E8%87%AA%E5%AE%85%E9%AF%96%E8%A8%88%E7%94%BB%2F%E3%83%88%E3%83%B3%E3%83%8D%E3%83%AB%E6%8E%A5%E7%B6%9A%E3%81%A3%E3%81%A6%E4%BD%95%E3%81%A0%E3%81%B9%3F&src=%E3%83%88%E3%83%B3%E3%83%8D%E3%83%AB%E3%81%AE%E4%BB%95%E7%B5%84%E3%81%BF.jpg)
トンネルっていうと、ものすごい仕組みのような気がしますが、種を明かすとなーんてことはないもの。ただのIPパケットです。右の図を見てください。一応Linuxを前提にお話しするので、eth0っていうネットワークデバイスでIP通信をしていると仮定します。
さて、トンネルっていっても、TCPやら、UDPやらのなんかのパケットです。トンネルサーバ/トンネルクライアント間で、ふつーにIP通信をしております。さて、このトンネルのサーバ/クライアントが通信を確立すると…新たなネットワークデバイス(トンネルデバイス)ってのができます。何がどーなるかというとこのトンネルデバイスに向けてバケットを送信すると、送信したパケットの中身が、そのまんまトンネルサーバ/クライアント通信パケットのペイロード部に突っ込まれるんですね。分からない人は、IPのお勉強してね。
するとどうなるか。トンネルは、出先端末-VPNサーバ間で接続されています。出先端末のトンネルデバイスに入ったパケットは、VPNサーバのトンネルデバイスからするするっと出てきます。逆方向もまた同じ。つまり、トンネルクライアント⇔トンネルサーバ間は、パケットが導通することはわかっているので、このIPパケットに乗っかって、本当に通信したい、アプリA⇔アプリB間のパケットがやり取りされます。なもんで、出先端末側トンネルデバイス⇔VPNサーバ側のトンネルデバイスまでが、仮想的にネットワークカードみたいに扱えちゃうのですね。
ここでポイント
当然、このトンネルデバイスは抜け道になります。このため、トンネルを張る際、出先端末⇔VPNサーバ間で認証手続きを行えば、特定の許されたユーザのみが、この恩恵にあずかることができる。また、この出先端末⇔VPNサーバ間のトンネルIPパケットのペイロードに暗号をかけておけば、通信を傍受されたとしても中身が分からないので、非常に安全、っていう寸法ですね。
拠点のセキュリティを守りつつ、出先での使い勝手の良さを守る。これがトンネル接続を行うメリットです。*1
*1 一般的に言われる、拠点-拠点間をインターネット網を使用して通信するというVPNの考え方。トンネルの使い方はほかにもいくつかあります。逆の考えで、プライベート網内を突っ切って、直接外に出よう!というトンネルの場合は、トンネルを暗号化しない使い方してるところもある(フレッツの地域IP網とかね)
ぺージ情報 | |
---|---|
ぺージ名 : | 自宅鯖計画/トンネル接続って何だべ? |
ページ別名 : | 未設定 |
ページ作成 : | maruo |
閲覧可 | |
グループ : | すべての訪問者 |
ユーザー : | すべての訪問者 |
編集可 | |
グループ : | なし |
ユーザー : | なし |