これからの季節に親子でハイキング! >>

インターネットVPNの通信の仕組みについて勉強中です。

拠点Aに対して、拠点B内のPCからインターネットVPNを接続後、拠点A内のサーバ(aaa.aaa.aaa.aaa)にアクセスするとき、拠点B内のインターネットVPN利用元のPCと拠点A内のサーバ間では、どのようなパケットのやりとりが発生するでしょうか。

前提条件:
①拠点B内では、インターネットにアクセスする際、必ず拠点B内設置のプロキシサーバを利用する
②拠点B内のPCにインターネットVPNクライアントソフトをインストール、拠点AにインターネットVPNを接続する
③拠点B内のPCにインストールされたVPNクライアントソフトは仮想ネットワークアダプタ(bbb.bbb.bbb.bbb)を作成する。
④拠点B内のPCの物理NICのプライベートIPアドレスはccc.ccc.ccc.cccである。
⑤拠点B内のプロキシサーバのプライベートIPアドレスはddd.ddd.ddd.dddである。

この時、

外部PCの物理NICのプライベートIPアドレス(ccc.ccc.ccc.ccc)がプロキシ経由で拠点A内のサーバ(aaa.aaa.aaa.aaa)と通信するのか?
それとも、仮想ネットワークアダプタ(bbb.bbb.bbb.bbb)がプロキシ経由で拠点A内のサーバと通信するのか?どちらでしょうか。
また、拠点B内のネットワーク機器でファイアウォールを導入している際、どのようなルールを適用すれば、上記の通信を制御することができるでしょうか。

A 回答 (1件)

VPNにはHTTP Proxyを越えれるものと越えれないものがあります。


VPNプロトコルで代表的なのはL2TPやPPTPですが、
こいつらはHTTP Proxyを越えられません。
越えられるもので代表的なのはSoftEtherですが、
多分、下のリンクの図のような手順で通信していると思います。
(図だけみてください)。
HTTPのCONNECTメソッドでルートを開けるところは同じで、
HTTPS DATAとしてVPNのパケットを通す感じです。
(「多分」といっているのは、私はSoftEtherのパケットを実際に
見たことがあるわけではないからです。ただ、HTTP Proxyをスルーする
ソフトの大半はこれでやっています。)

https://community.pulsesecure.net/t5/Pulse-vADC- …
https://www.igvita.com/2011/12/01/web-vpn-secure …

> 外部PCの物理NICのプライベートIPアドレス(ccc.ccc.ccc.ccc)がプロキシ経由で
> 拠点A内のサーバ(aaa.aaa.aaa.aaa)と通信するのか?
> それとも、仮想ネットワークアダプタ(bbb.bbb.bbb.bbb)がプロキシ経由で
> 拠点A内のサーバと通信するのか?どちらでしょうか。

cccとaaaでBのPCとAのサーバは通信します。
ただ、
拠点AにVPNサーバがddd.…があり、
Proxyから観測できるのははbbbとdddの通信、
制限するのもbbbとdddの通信です。
VPNのパケットは上記例でいうと、src IPがccc、dist IPがaaaのパケットを
src IPがbbb、dist IPがdddのヘッダでくるまれたもの
(あるいはその逆方向パターン)になります。
もしご存じなかったのであれば、このあたりはVPNの基本になりますので、
こんな場ではなくてちゃんと調べられるとよいと思います。

> また、拠点B内のネットワーク機器でファイアウォールを導入している際、
> どのようなルールを適用すれば、上記の通信を制御することができるでしょうか。

難しいです。
CONNECTメソッドを制限するなどはありますが、
HTTPでこれまでやれていたことがいろいろとできなくなる可能性が高く、
たくさんのユーザに影響がでます。
それから、Proxyをスルーしにくくするだけで、厳密にはスルーする方法はあります。
通信に詳しい人間は制限をかけてもスルーする方法を見つけるでしょう。
CONNECTメソッドを全面禁止にするのは今の世の中だとできないので
完全にブロックするのは難しいです。
なので、大抵の場合、社内規則としてVPNの使用を禁止するなど
ガバナンスで制限をかけることが多いようです。

以上、参考になりますでしょうか。
    • good
    • 0

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人はこんなQ&Aも見ています

このQ&Aと関連する良く見られている質問

Qぷららというプロバイダのホスト地域割り当て表というサイトを見るとぷららのfqndには都道府県までの情

ぷららというプロバイダのホスト地域割り当て表というサイトを見るとぷららのfqndには都道府県までの情報しか書かれていないことがわかるのですが、ipアドレスからの地域検索みたいなサイトだと市まで出てきます。ipアドレスだけで市まで分かるということはfqndだけでも市まで分かるはずですよね?
しかし、何度ホスト地域割り当て表とfqndを眺めてもやはり都道府県までの情報しか書かれていません。なぜ地域検索サイトでは市まで出てきたのですか??
そもそもぷららのfqndには自分の見方が間違えているだけで市までの情報が書かれているのですか?

Aベストアンサー

うーん?
あなたが言ってる渡る情報ってa13が東京だとかそういうやつのことを言ってるんだとは思うけど
それって渡ってると言えないことはないけど
調べないとor知ってないとわからないよね?
ぷららの場合はfqnd=IPがわかれば調べればわかるって話

Qhttp://oshiete.goo.ne.jp/qa/10718926.html 様々な意見がある

http://oshiete.goo.ne.jp/qa/10718926.html
様々な意見があるのですが、結局半永久なのか期間が決められているのかどちらなんでしょうか?

そもそも半永久にすることは技術的に可能なんですか?何百年も前のアクセスログが残っているのですか?

https://bb.watch.impress.co.jp/cda/news/4432.html
ちなみにYahoobbは半永久にしたそうですが、これは期間が無制限ということが言いたいんですか?

Aベストアンサー

>どうして
あなたは毎回そうなのですが
自分で貼ったページぐらいしっかりと読んでから質問しませんか?

Q【自宅のネット環境が悪いので改善したいです。】 初めまして、閲覧ありがとうございます。 質問や返信等

【自宅のネット環境が悪いので改善したいです。】


初めまして、閲覧ありがとうございます。
質問や返信等でもし失礼がございましたら改善していきたいと思っております。

現在は光回線の契約はしていて、親機から無線で接続しています。しかし、PC、ゲーム機、スマホ全てで頻繁に接続が切れてしまうのでどうにかオンラインゲームが安定して出来るまでは改善させたいです。
回線の引き直しも少し視野に入れています。

必要な事はこちらでも調べますので、どなたかアドバイスをよろしくお願いします…


以下、自宅の環境についてです。
・地域は中国地方です。
・家の離れに回線が引かれてあり、親機もそこにありました。
・母屋テレビで光のやつが見れるっぽい。
・母屋2階(直線距離20m程、無線LANルータの中継機能を使用)、母屋1階(直線距離5m程)の2箇所で主に使用中。
・2階でPC、ゲーム機。1階はほぼスマホのみ使用しています。
・2階の速度は下り100k〜15M、上り500k〜50M。
1階はスマホから、下り100k〜5M、上り200k程。

Aベストアンサー

離れに無線親機があるんですか?

回線引き直しも想定しているのであれば、
母屋2階に引き込み、かつ無線親機を設置。
PCへは有線接続。その他は無線で飛ばす。

コンセント差し込みタイプの無線子機などを併用すれば、
改善は期待できると思います。

QWi-Fiマークが出てるのにネットできない

家のスマホ タブレットがWi-Fiマークが出てるのに
ネットができません
YouTubeは見れるのにナゼなんでしょう
何回かWi-Fiのルータのコンセント抜き5分くらい置いてみたらまた使えました
でも1時間くらいでネットだけ見れなくります
どうか教えてください

Aベストアンサー

うちもよくあります。マークが出てるのにWiFiできないときは、プロバイダに問題があったりしました。なのでプロバイダに問い合わせました。

Q無線LAN接続について困っています。 現在、 ・NTT RT-500KI(光電話ルーター) ・ソフト

無線LAN接続について困っています。
現在、
・NTT RT-500KI(光電話ルーター)
・ソフトバンク光BBユニット(E-WMTA2.3)
・GE-PON(ONU)
・PA- WR1200H(無線LANルーター)
がつながってますが、Wi-Fi範囲が狭いため量販店に行ったところPA- WR1200HをBUFFALOのWSR-2533DHPに交換するよう勧められ購入しました。接続してみましたがSSIDと暗号化キーを入力しても「internet回線判別中」から先に進めません。結局E-WMTAのSSIDを選択して以前と同じ状態です。
PA- WR1200HとWSR-2533DHPを差し替えただけですが、接続の仕方が間違っているのでしょうか?シロウトで全くわかりません…教えてください

Aベストアンサー

> WSR-2533はmanualのAPで良いのですか?

それで良いです。

AUTO に戻しても繋がるはずですが、何も変わりません。


> あとSSIDはソフトバンクBBユニットの30F772CF?かWSR-2533のBUFFALO-G-4A?どちらを選択したら良いですか?

BUFFALO-* の方です。BUFFALO-A-* が 5GHz、BUFFALO-G-* が 2.4GHz のようです。

BUFFALO-A-* は子機が対応していないと一覧に表示されません。

30F772CF に接続したら、WSR-2533DHP を設置した意味がありません。

ソフトバンクBBユニットの無線LAN機能は、可能なら停止した方が良いです。無線親機が複数あると電波干渉します。2.4GHz は電波干渉に弱いです。

セットアップメニューの表示
http://ybb.softbank.jp/support/connect/hikari/router/bbu23-menu.php

無線LAN機能停止設定
http://ybb.softbank.jp/support/connect/hikari/router/bbu23-detail01.php#stop-wi-fi_04_08


可能なら、下記ページの送信出力が 100% になっているか確認した方が良いです。

WSR-2533DHP エアステーション設定ガイド
http://manual.buffalo.jp/buf-doc/35021206-03.pdf

30ページ: 無線設定 > 2.4 GHz(11n/g/b)
33ページ: 無線設定 > 5 GHz(11ac/n/a)


Android なら、下記ソフトで周辺の電波状況を確認できます。

Wifi Analyzer
https://play.google.com/store/apps/details?id=com.farproc.wifi.analyzer&hl=ja

> WSR-2533はmanualのAPで良いのですか?

それで良いです。

AUTO に戻しても繋がるはずですが、何も変わりません。


> あとSSIDはソフトバンクBBユニットの30F772CF?かWSR-2533のBUFFALO-G-4A?どちらを選択したら良いですか?

BUFFALO-* の方です。BUFFALO-A-* が 5GHz、BUFFALO-G-* が 2.4GHz のようです。

BUFFALO-A-* は子機が対応していないと一覧に表示されません。

30F772CF に接続したら、WSR-2533DHP を設置した意味がありません。

ソフトバンクBBユニットの無線LAN機能は、可能なら停止した方が...続きを読む

Q外出先でフリーWi-Fiに繋がっていた場合、ネットに繋げなければ危険性はありませんか。

外出先でフリーWi-Fiに繋がっていた場合、ネットに繋げなければ危険性はありませんか。

Aベストアンサー

電源切っていれば問題ないですが、
電源入っている状態だとwifiはパスワードなくても繋がるのか、
私はwifi offにしていても某コーヒーチェーン店にいると何かしら更新されて、何よりもバッテリーが秒殺でなくなります…。
満員電車のなかでも誰かのwifiひろうことがあります。
私はauのandroidですが、電源切るか機内モードにしたほうが無難です。

QWindows10への更新って無料なんですよね? ダウンロードしようと思うんですがー データー通信は

Windows10への更新って無料なんですよね?
ダウンロードしようと思うんですがー
データー通信は 結構かかりますか?

Aベストアンサー

なんか回答が色々ありますが、Windows10の更新は無料です。
マンションのWi-Fiということで通信料金もかかりません。

そもそもクレジットカードや銀行口座など登録しているわけではありませんので、
請求先自体がわからないです。基本的に料金がかかる場合は先に登録が必要になります。

基本的にスマホもそうですが更新しないでインターネットに繋ぐのはウィルス感染のリスクが大きく高まります。
お金かかると回答している人はかかりませんのでして下さいね。

Qネット回線の工事についてです。 自分が今戸建ての二階の部分だけ賃貸で住んでいます。 一階は事務所とな

ネット回線の工事についてです。
自分が今戸建ての二階の部分だけ賃貸で住んでいます。
一階は事務所となっています。
関わりはないです。

ネット工事を行うには電柱から回線?を引っ張って来なければならないのですが
壁に穴を開けてもいいと大家からは許可を頂いてはいるのですが自治会長の許可がなかなか下りないようで
この下りない理由がわかりません。

ケーブル巻く際にこすれて傷ついたらとか黒ずんだりしたらなど
退去する際に問題になったらいけないので許可を頂くと言っていたのですが
大家が出てくるのならわかるのですがなぜ自治会長の許可が必要なのでしょうか?

Aベストアンサー

>壁に穴を開けてもいいと大家からは許可を頂いてはいるのですが自治会長の許可がなかなか下りないようで
この下りない理由がわかりません。
ケーブル巻く際にこすれて傷ついたらとか黒ずんだりしたらなど
退去する際に問題になったらいけないので許可を頂くと言っていたのですが
大家が出てくるのならわかるのですがなぜ自治会長の許可が必要なのでしょうか?

残念ながら、何の権限をもって、その許可を必要としているのかが全く不明とも言えます。
電柱から、あなたの家までに、自治会長の私有地があるのかってなりますからね。

一般的には、電柱は、公共の道路なりに面して建てられている。
そして、電柱から、私有地に直接ひかれていますからね。ですから、不要なはずなんですが・・・
電柱のたっているのが、自治体が管理している土地なんですかね?

そもそも、同じ自治体に住んでいる人が、FTTHを契約するときに自治会長の許可を得たのかが疑問ですが・・・
単純に、自治会長が替わり、適当なことをいっているのか。それとも許可不要だったのか、大家が、自治会長って言い訳で先延ばしをしているかになりますけどもね。

あるいは、単純に自治会長の域がかかった、業者でないから、拒否をしているのか、単純に貢ぎ物を要求しており、それがないのか、拒否をしているかになりますから。

>壁に穴を開けてもいいと大家からは許可を頂いてはいるのですが自治会長の許可がなかなか下りないようで
この下りない理由がわかりません。
ケーブル巻く際にこすれて傷ついたらとか黒ずんだりしたらなど
退去する際に問題になったらいけないので許可を頂くと言っていたのですが
大家が出てくるのならわかるのですがなぜ自治会長の許可が必要なのでしょうか?

残念ながら、何の権限をもって、その許可を必要としているのかが全く不明とも言えます。
電柱から、あなたの家までに、自治会長の私有地があるのかって...続きを読む

Qhttps://bb.watch.impress.co.jp/cda/news/4432.html

https://bb.watch.impress.co.jp/cda/news/4432.html
このサイトを見てどうしてyahooBBというプロバイダはわざわざアクセスログを金をかけてまで半永久に残すのかな?と思って質問したところ
回答者に見落としてると指摘されたのですが、どこを見落としているのか教えてください。

Aベストアンサー

>プライベートipどうしを接続する方法VPNというのは普通の人が自動でいつのにか使っていることはないということですよね?

基本的に、普通の人(個人)が無自覚で使っていることはないでしょう。知らずに使っている可能性がないとは断言できません。

VPNは特別な技術ではないので、自覚して使っている個人はいます。

企業で使っていることはあるので、技術的なことは知らずに使っている社員はいるでしょう。


>普通の人がネット上のサイトを見る場合はルーターのグローバルipが相手に知られるということですよね?

その通りです。


>https://bb.watch.impress.co.jp/cda/news/4432.html
>この記事には社内システムのアクセスログとははっきり書かれていないのにどの部分からそのことだと汲み取りましたか?

何百万件もの個人情報が漏洩して、データベースへのアクセス制限を強化したと書いてあります。個人情報にアクセスできる社員は制限されているとも書いてあります。

そのようなシステムに、理由もなくグローバルIPを割り振るバカな技術者はいません。常識的に考えて、外部(インターネット)から接続できないシステムであると考えるのが妥当です。


>プロバイダのアクセスログは大手になればなるほど利用者が多くなりデータ量が増えるため長期間は保存しなくなるということですか?

そうとは限りません。大手であれば資金力があります。

問題は、設備投資に見合う、長期保存するだけの理由があるか否かです。

>プライベートipどうしを接続する方法VPNというのは普通の人が自動でいつのにか使っていることはないということですよね?

基本的に、普通の人(個人)が無自覚で使っていることはないでしょう。知らずに使っている可能性がないとは断言できません。

VPNは特別な技術ではないので、自覚して使っている個人はいます。

企業で使っていることはあるので、技術的なことは知らずに使っている社員はいるでしょう。


>普通の人がネット上のサイトを見る場合はルーターのグローバルipが相手に知られるということです...続きを読む

Qどこどこjpというサイトで自分の住所の市までの情報が出てきたのですが、相手に渡る情報はアクセスログぐ

どこどこjpというサイトで自分の住所の市までの情報が出てきたのですが、相手に渡る情報はアクセスログぐらいなのになぜ市まで分かるのでしょうか?

Aベストアンサー

豊富な検索データを貯めてるからです。


このQ&Aを見た人がよく見るQ&A

人気Q&Aランキング

価格.com 格安SIM 料金比較