VPN接続について

VPNの仕組みについて調べているのですが、
どうしてもうまく理解できない部分があります。
もし詳しい方おりましたら、お力添え願いたいと思います。

(1)必要なものについて
VPNを構築するのに最低限必要なものは
・VPNルーター
・回線契約
という認識をしています。
VPNルーターが両拠点間で必要であったり、またクライアントに特別なモジュールが必要であったりする場合は、どのような時でしょうか？

(2)VPNの動きについて
一度VPN接続を確立すると、ローカルのセグメントと同じように操作ができるようになりますが、
通信の仕組みはどうなっているのでしょうか。
（VPN先のIP接続元に振られるわけではなく、常にVPNルーターを経由し、VPNルーターへ接続して
VPNルーターから目的のサーバー等にアクセスしているイメージでしょうか？
VPNを確立すると、逆に自分のセグメントへ通信する際もVPNルーターへ接続してしまうのでしょうか。）

(3)自分のセグメントと、VPNの接続先のセグメントにも同じIPが存在した場合、
どのように対処すると通信に支障がなくすむでしょうか。

少し長くなってしまいましたが、宜しくお願いします。

No.2 回答者： utun01 回答日時： 2012/02/10 23:40

(1)について

・仮想マシンを最低2台動かせるスペックのPC1台（最近のデスクトップPCなら大体OK）
・仮想マシン上にLinuxをインストールしてOpenVPN、及び仮想ネットワークを構築する知識
があれば、タダでできます。

(2)について
No.1さんのご回答で不足無いかと思います。

(3)について
VPNで外部ネットワークと通信する場合には、必ず一度VPN装置を通過する必要があります。
その上で、VPN装置上で宛先ネットワークへのルーティングにVPNを咬ませる様な形になる訳です。
ですので、VPN装置自体をGWとするか、GWの外側にVPN装置を置く関係上、同一セグメントとすることは出来ません。
例として、自分のネットワークが「192.168.0.0/24」であれば、宛先ネットワークは「192.168.1.0/24」の様にする必要があります。

No.1 回答者： graniph2011 回答日時： 2012/02/10 08:52

(1)必要なものについて

→ルータがVPN機能を有していることが多いので一般的認識でVPNルータが必要と言っても誤りではないですが、本来の意味で言えばルータである必要はありませんので厳密には「VPN装置」が必要です。

また、VPNは1台では行うことは出来ません。必ず１：１、もしくは１：他のピアツーピア接続になります。送信側のVPN装置でデータを暗号化すれば、受け取る側のVPN装置が複合する必要があります。ですので、

＞どのような時でしょうか？

これに対する答えは、「例に漏れず必ず必要」です。

また、VPNがWANを介する必要は必ずしも絶対ではありません。LAN内でVPNを作ることは出来ますので回線の契約は必須ではありません。
（もちろんこれは天の邪鬼な回答であり、WANのように盗聴のリスクがある区間にVPNを設定するのが当たり前です。）

(2)VPNの動きについて
例えば、クライアントにVPNクライアントソフトを導入するパターンだと、アクセス先と同一セグメントにあるかのようなヘッダがデータに付加されます。その状態でデータが暗号化され、その外側に通常通りのヘッダが付加されます。そのデータは通常通り一般の回線を経由し、アクセス先のVPNルータによって複合されます。同一セグメントであるかのようなヘッダがありますのでそのまま通信出来ます。詳細はかなり省いてますが、概要はこのような感じです。

＞VPNを確立すると、
のくだりは、構築環境に依存します。環境により動作は様々です。

(3)
これはIPネットワークの原則としてこのような状況にならないように構築することが望ましいです。割り当てるIP帯を分けるなどして、重複しないように構築してください。