VPNパススルーとは何か、そしてどのように動作するのか？

なぜ一部のルーターはVPNパススルーが必要なのですか？

ルーターは主に2つのタイプに分かれ、ネイティブでVPN接続を受け入れるものと、受け入れないものがあります。

ネイティブでVPN接続を受け入れるルーターは、IPsec（Internet Protocol Security）、PPTP（Point-to-Point Tunneling Protocol）、またはL2TP（Layer Two Tunneling Protocol）などの技術をサポートします。

このルーターをVPNサーバーとして機能させるか、別のVPNゲートウェイとサイト間VPNを作成できます。

一部のルーターの設計では、VPNサーバーとしての使用をサポートしていません。これらのルーターはネイティブでこの種の技術をサポートしないため、VPNトラフィックをブロックします。VPNを使用するには、この制限を回避する必要があります。

これはVPNパススルー機能で行うことができます。アクティブにすると、VPNクライアントからのトラフィックがインターネットを経由してVPNゲートウェイに到達します。

VPNパススルー機能は多くのホームルーターで利用可能であり、PPTPとIPsec VPNの両方をサポートするため、標準として広く受け入れられています。

言い換えれば、この機能により、プライベートネットワーク上のコンピューターがアウトバウンドVPNを確立できます。これは着信VPN接続の正常な動作に影響を与えたり妨げたりしません。

この名前は、この機能がVPNトラフィックをルーターを通過させることを許可することから来ています。ポートを開ける必要はありません。プロセスは完全に自動です。

VPNとVPNパススルーの違いは何ですか？

この機能は主に小規模ビジネス向けのインターネットゲートウェイデバイスや一般消費者向けのVPNルーターに存在します。これらのデバイスはIPsec、PPTP、L2TP、またはSSL（Secure Sockets Layer）VPNテクノロジーのようなVPNプロトコルと連携します。

つまり、VPNクライアントが存在せずとも、これらのデバイスは中央サーバーまたはVPNゲートウェイに接続できることを意味します。このタイプのクライアントはこのようなルーターと互換性がなく、混ぜようとして時間を無駄にするだけです。

VPNパススルー機能をサポートする小規模ビジネスネットワークデバイスは、VPNクライアントからのデータパケットをVPNテクノロジーで暗号化し、インターネットに到達させることを許可します。

なぜVPNパススルーが必要なのか？

市場に出回っているほとんどのルーターには、組み込みのVPNパススルーが付いています。これは、IPsecまたはPPTPプロトコルを使用するVPNを利用するために必要です。

ただし、これらのセキュリティプロトコルが、OpenVPNやIKEv2/IPsecなどのより高速でセキュアなプロトコルによって置き換えられたため、この機能は不要になりました。

VPNプロトコルは、NAT（ネットワークアドレス変換）およびPAT（ポートアドレス変換）技術とネイティブで互換性がありません。

これは、これらの技術をベースにしたネットワークデバイスを使用して複数のコンピューター間で同じインターネット接続を共有する場合の問題です。

このシナリオには2つの可能な解決策があります：PPTPパススルーまたはIPsecパススルー。

PPTPパススルーとその動作

ほとんどのルーターはPPTPと互換性のないNATプロトコルを使用してインターネットに接続します。PPTPパススルーはこの問題を回避し、VPN接続がNATバックグラウンドを通過できるようにします。ただし、NATは正しく機能するためにポートの使用を必要とします。

PPTPは制御にポート1723上のTCP（Transmission Control Protocol）チャネルを使用し、データを収集しVPNトンネルを作成しますが、ポートは使用しません。

PPTPのネイティブGREはVPNトンネルを確立するためにポートを必要としません。NATは有効なIPアドレスとポート番号が必要なため、競合が発生します。

PPTPパススルー機能は、GRE機能を再構成し、一部のサービスを強化することによって動作します。最も重要なのは、コールIDを追加することです。

PPTPクライアントがサーバーに接続すると、一意のコールIDを作成し、変更されたヘッダーに挿入します。このコールIDは、NAT変換におけるポートの代替として利用可能です。

コールIDはPPTPポートマッピング全体で広く使用され、NATを利用するPPTPクライアントを一意に識別します。

これはネイティブにはPPTPトラフィックの代替として機能するはずですが、これはルーターによって自動的に認識されない非標準の手順です。

PPTPパススルー機能により、PPTPがNATルーターを通過できるようになります。ルーターはPPTPトラフィックを検出すると、通常のポートから呼び出し元のIDで指定されたポートに切り替えるように強制されます。

この機能により、VPNクライアントはアウトバウンドのPPTP接続を確立できます。

IPsecパススルーとその動作

IPsecパススルーはNATトラバーサル（NAT-T）を使用して動作し、NATを必要とするゲートウェイ上でIP接続を安全に確立および維持します。

IPsec VPNはNATプロトコルと正しく連携するためにNAT-Tを使用する必要があります。そうでない場合、トラフィックは暗号化されず、VPNトンネリングが作成されません。

NAT-TはセキュリティペイロードをUDP（User Datagram Protocol）パケットにカプセル化し、NATが認識します。

このプロセスは、IPsecの基盤がファイアウォールとネットワークアドレストランスレータを通過するために完全に有効にする必要があるプロトコルであるため、はるかに効率的です。

• Internet Key Exchange（IKE） – User Datagram Protocol（UDP）ポート500
• IPsec NATトラバーサル – NATトラバーサルが機能している場合、UDPポート4500
• Encapsulating Security Payload（ESP） – IPプロトコル番号50
• Authentication Header（AH） – IPプロトコル番号51

多くのルーターには、IPsecパススルーと呼ばれるプログラム内に特定の機能が組み込まれており、すべてのサポートされているバージョンのMicrosoft WindowsはNATトラバーサルがデフォルトで有効になっているため、設定を変更する必要はありません。

VPNパススルーを無効にすべきですか？

VPNパススルーを無効にすべきなのは、全体的なセキュリティを向上させる場合だけです。それ以外はファイアウォールを介して開かれてアクセス可能な通信ポートがブロックされます。

ただし、これによりゲートウェイの背後にいるユーザーはVPN接続を作成および維持できなくなります。この制限は、ファイアウォールでVPNポートをブロックすることによって生じます。

SOHO（小規模オフィス/ホームオフィス）ネットワークのVPNユーザーは、これらのポートをブロックしないほうが良いでしょう。

結論

VPNパススルーは、ネットワークまたはインターネットに接続するために使用するルーターでサポートされていない古いVPNプロトコルを使用する必要がある場合に必要です。

レガシーテクノロジーを使用している場合、これはアクティベートする必要がある機能かもしれませんが、現在では歴史的な興味のある機能である可能性が高いです。

VPNパススルーをサポートするルーター

この場合、VPNパススルーの標準となっている最も信頼性の高い効率的なルーターは、Netgear WGR614ワイヤレスルーターです。これは少なくとも3つの同時VPN接続をサポートしています。

次に、Netgear FWAG114 ProSafeがあります。前の製品よりもやや高価ですが、エンドツーエンドVPN、より一般的にはサイト間VPNとしても知られるものもサポートしています。

結局のところ、VPNパススルー手順には多くの利点があり、ほとんどデメリットがありません。これにより、デフォルトのシステム設定を克服して、ほぼすべてのルーターでVPNを使用できるようになります。

今では、ルーターがVPNに接続できない場合の対処方法を知っています。ルーター自体に応じてIPSecまたはPPTP VPNパススルーを実行し、プライバシーの新鮮な風を歓迎しましょう。