インターネットVPNの通信の仕組みについて勉強中です。
拠点Aに対して、拠点B内のPCからインターネットVPNを接続後、拠点A内のサーバ(aaa.aaa.aaa.aaa)にアクセスするとき、拠点B内のインターネットVPN利用元のPCと拠点A内のサーバ間では、どのようなパケットのやりとりが発生するでしょうか。
前提条件:
①拠点B内では、インターネットにアクセスする際、必ず拠点B内設置のプロキシサーバを利用する
②拠点B内のPCにインターネットVPNクライアントソフトをインストール、拠点AにインターネットVPNを接続する
③拠点B内のPCにインストールされたVPNクライアントソフトは仮想ネットワークアダプタ(bbb.bbb.bbb.bbb)を作成する。
④拠点B内のPCの物理NICのプライベートIPアドレスはccc.ccc.ccc.cccである。
⑤拠点B内のプロキシサーバのプライベートIPアドレスはddd.ddd.ddd.dddである。
この時、
外部PCの物理NICのプライベートIPアドレス(ccc.ccc.ccc.ccc)がプロキシ経由で拠点A内のサーバ(aaa.aaa.aaa.aaa)と通信するのか?
それとも、仮想ネットワークアダプタ(bbb.bbb.bbb.bbb)がプロキシ経由で拠点A内のサーバと通信するのか?どちらでしょうか。
また、拠点B内のネットワーク機器でファイアウォールを導入している際、どのようなルールを適用すれば、上記の通信を制御することができるでしょうか。
No.1ベストアンサー
- 回答日時:
VPNにはHTTP Proxyを越えれるものと越えれないものがあります。
VPNプロトコルで代表的なのはL2TPやPPTPですが、
こいつらはHTTP Proxyを越えられません。
越えられるもので代表的なのはSoftEtherですが、
多分、下のリンクの図のような手順で通信していると思います。
(図だけみてください)。
HTTPのCONNECTメソッドでルートを開けるところは同じで、
HTTPS DATAとしてVPNのパケットを通す感じです。
(「多分」といっているのは、私はSoftEtherのパケットを実際に
見たことがあるわけではないからです。ただ、HTTP Proxyをスルーする
ソフトの大半はこれでやっています。)
https://community.pulsesecure.net/t5/Pulse-vADC- …
https://www.igvita.com/2011/12/01/web-vpn-secure …
> 外部PCの物理NICのプライベートIPアドレス(ccc.ccc.ccc.ccc)がプロキシ経由で
> 拠点A内のサーバ(aaa.aaa.aaa.aaa)と通信するのか?
> それとも、仮想ネットワークアダプタ(bbb.bbb.bbb.bbb)がプロキシ経由で
> 拠点A内のサーバと通信するのか?どちらでしょうか。
cccとaaaでBのPCとAのサーバは通信します。
ただ、
拠点AにVPNサーバがddd.…があり、
Proxyから観測できるのははbbbとdddの通信、
制限するのもbbbとdddの通信です。
VPNのパケットは上記例でいうと、src IPがccc、dist IPがaaaのパケットを
src IPがbbb、dist IPがdddのヘッダでくるまれたもの
(あるいはその逆方向パターン)になります。
もしご存じなかったのであれば、このあたりはVPNの基本になりますので、
こんな場ではなくてちゃんと調べられるとよいと思います。
> また、拠点B内のネットワーク機器でファイアウォールを導入している際、
> どのようなルールを適用すれば、上記の通信を制御することができるでしょうか。
難しいです。
CONNECTメソッドを制限するなどはありますが、
HTTPでこれまでやれていたことがいろいろとできなくなる可能性が高く、
たくさんのユーザに影響がでます。
それから、Proxyをスルーしにくくするだけで、厳密にはスルーする方法はあります。
通信に詳しい人間は制限をかけてもスルーする方法を見つけるでしょう。
CONNECTメソッドを全面禁止にするのは今の世の中だとできないので
完全にブロックするのは難しいです。
なので、大抵の場合、社内規則としてVPNの使用を禁止するなど
ガバナンスで制限をかけることが多いようです。
以上、参考になりますでしょうか。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- Excel(エクセル) ¥マークを含むパスの処理について(マクロ、または関数) 2 2022/12/25 02:11
- SQL Server ACCESSで3ファイルを結合して、表を作成するやり方を教えて下さい。 17 2022/08/15 20:34
- SQL Server ACCESSで複数テーブルを結合して、リストを作る方法を教えてください。 2 2022/08/12 19:32
- Perl perl このテキストファイルを簡単に配列に入れるには? 2 2022/04/27 20:24
- その他(データベース) カラム上の重複を削除するクエリを教えてください 3 2022/04/12 14:11
- SQL Server ACCESSで表が作りたく、そのためのSQL文や設定方法を教えてください。 1 2022/08/15 12:28
- その他(セキュリティ) NTT東西をまたぐフレッツ光IP-VPNLANを構築するには? 1 2022/09/04 22:31
- Visual Basic(VBA) 【VBA】特定の文字で改行(次の行)に行きたい。 3 2022/04/11 17:20
- その他(クラウドサービス・オンラインストレージ) VPN通信に遜色ないクラウドサービスはありますか? 4 2022/08/05 16:19
- その他(Microsoft Office) パワークエリの複数ファイルのデータ統合について 3 2022/07/14 17:06
関連するカテゴリからQ&Aを探す
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
MACアドレスが知られた場合の危...
-
tcp/ip通信で特定のデータが送...
-
NAT配下のDNSどうやって外から...
-
ICMP Echo Message はtcp,udp...
-
UDPパケットの分割について
-
通信用語 FR・CR接続って...
-
MACアドレスの情報はどこに保存...
-
Bluetoothに詳しい方?
-
FWの設定について(片方向のル...
-
ブロードキャスト転送できるか...
-
レンタルのWi-Fiを考えているの...
-
Juniper SSG5 パケットログにつ...
-
トラフィックとは
-
軍事目的? インターネット
-
ダイアルアップ回線方式とパケ...
-
スニファーとアナライザーの違い
-
PADについて
-
世界で一番権威のある用語集は...
-
iPhoneにインターネット共有と...
-
IPパケットやルータの役割って...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
MACアドレスが知られた場合の危...
-
tcp/ip通信で特定のデータが送...
-
FWの設定について(片方向のル...
-
デフォルトルート(ゲートウェ...
-
NAT配下のDNSどうやって外から...
-
ブロードキャスト転送できるか...
-
通信用語 FR・CR接続って...
-
MACアドレスの情報はどこに保存...
-
UDPパケットの分割について
-
TTL
-
ICMP Echo Message はtcp,udp...
-
PADについての質問です。
-
携帯電話のパケット(128バイト...
-
リピータハブっていつ使う?
-
異常パケット
-
UDPのデータの信頼性
-
sftpとインターネットVPN
-
カスケード接続について
-
NTTサービス『131』って何ですか?
-
NATとリバースプロキシについて
おすすめ情報