インターネットVPNを接続した場合の通信とファイアウォールについて

インターネットVPNの通信の仕組みについて勉強中です。

拠点Aに対して、拠点B内のPCからインターネットVPNを接続後、拠点A内のサーバ(aaa.aaa.aaa.aaa)にアクセスするとき、拠点B内のインターネットVPN利用元のPCと拠点A内のサーバ間では、どのようなパケットのやりとりが発生するでしょうか。

前提条件：
①拠点B内では、インターネットにアクセスする際、必ず拠点B内設置のプロキシサーバを利用する
②拠点B内のPCにインターネットVPNクライアントソフトをインストール、拠点AにインターネットVPNを接続する
③拠点B内のPCにインストールされたVPNクライアントソフトは仮想ネットワークアダプタ（bbb.bbb.bbb.bbb）を作成する。
④拠点B内のPCの物理NICのプライベートIPアドレスはccc.ccc.ccc.cccである。
⑤拠点B内のプロキシサーバのプライベートIPアドレスはddd.ddd.ddd.dddである。

この時、

外部PCの物理NICのプライベートIPアドレス（ccc.ccc.ccc.ccc）がプロキシ経由で拠点A内のサーバ（aaa.aaa.aaa.aaa）と通信するのか？
それとも、仮想ネットワークアダプタ（bbb.bbb.bbb.bbb）がプロキシ経由で拠点A内のサーバと通信するのか？どちらでしょうか。
また、拠点B内のネットワーク機器でファイアウォールを導入している際、どのようなルールを適用すれば、上記の通信を制御することができるでしょうか。

No.1 ベストアンサー 回答者： makunanaman 回答日時： 2018/09/29 11:01

VPNにはHTTP Proxyを越えれるものと越えれないものがあります。

VPNプロトコルで代表的なのはL2TPやPPTPですが、
こいつらはHTTP Proxyを越えられません。
越えられるもので代表的なのはSoftEtherですが、
多分、下のリンクの図のような手順で通信していると思います。
(図だけみてください)。
HTTPのCONNECTメソッドでルートを開けるところは同じで、
HTTPS DATAとしてVPNのパケットを通す感じです。
(「多分」といっているのは、私はSoftEtherのパケットを実際に
見たことがあるわけではないからです。ただ、HTTP Proxyをスルーする
ソフトの大半はこれでやっています。)

https://community.pulsesecure.net/t5/Pulse-vADC- …
https://www.igvita.com/2011/12/01/web-vpn-secure …

> 外部PCの物理NICのプライベートIPアドレス（ccc.ccc.ccc.ccc）がプロキシ経由で
> 拠点A内のサーバ（aaa.aaa.aaa.aaa）と通信するのか？
> それとも、仮想ネットワークアダプタ（bbb.bbb.bbb.bbb）がプロキシ経由で
> 拠点A内のサーバと通信するのか？どちらでしょうか。

cccとaaaでBのPCとAのサーバは通信します。
ただ、
拠点AにVPNサーバがddd.…があり、
Proxyから観測できるのははbbbとdddの通信、
制限するのもbbbとdddの通信です。
VPNのパケットは上記例でいうと、src IPがccc、dist IPがaaaのパケットを
src IPがbbb、dist IPがdddのヘッダでくるまれたもの
(あるいはその逆方向パターン)になります。
もしご存じなかったのであれば、このあたりはVPNの基本になりますので、
こんな場ではなくてちゃんと調べられるとよいと思います。

> また、拠点B内のネットワーク機器でファイアウォールを導入している際、
> どのようなルールを適用すれば、上記の通信を制御することができるでしょうか。

難しいです。
CONNECTメソッドを制限するなどはありますが、
HTTPでこれまでやれていたことがいろいろとできなくなる可能性が高く、
たくさんのユーザに影響がでます。
それから、Proxyをスルーしにくくするだけで、厳密にはスルーする方法はあります。
通信に詳しい人間は制限をかけてもスルーする方法を見つけるでしょう。
CONNECTメソッドを全面禁止にするのは今の世の中だとできないので
完全にブロックするのは難しいです。
なので、大抵の場合、社内規則としてVPNの使用を禁止するなど
ガバナンスで制限をかけることが多いようです。

以上、参考になりますでしょうか。