VPNの件でご質問したいことがございます。

Question

サイト間VPN(IPsec)で対向側へSA（トンネル）をはった状態で対向側のPCに対してTRACEOUTEと行うと、途中の経路は表示されず、対向側のPCがいきなり表示されます。
インターネットのサーバに対してTRACEOUTEを行うと途中の経路情報が表示されるのに、なぜ、VPNで対向側へSA（トンネル）をはった状態で対向側のPCに対してTRACEOUTEを行うと途中の経路は表示されないのでしょうか？
理由について詳細な仕組みをご存知の方がいらっしゃいましたらご教授くださいますようお願い致します。

ymmasayan · Accepted Answer

どうしても知りたいというのなら別ですが。
トンネリングというのは途中の経路が見えたら変ですよね。
例えば、ＬＡＮとＬＡＮをＶＰＮで直結した時、途中(のルータ)が見えると
同一ＬＡＮではありませんよね。

キーワードは「カプセル化」だと思いますが。

jjon-com · Answer

>拠点Aのルータから拠点Bのルータのアドレスは
>暗号化されないという認識でよろしいでしょうか？

はい，大丈夫です。VPNルータA → VPNルータB間を流れるIPパケットは「送信元IPアドレス＝VPNルータA，受信先IPアドレス＝VPNルータB」です。このIPパケットのペイロード(※)は暗号化されていますが，IPパケットのヘッダは暗号化されていません。

※ペイロードという英語の意味は次のURLの 名詞4 を参照。
http://eow.alc.co.jp/payload/

>パソコンAからパソコンB宛ては、カプセル化されますが

はい，大丈夫です。PC-Aから発信されたIPパケットは「送信元IPアドレス＝PC-A，受信先IPアドレス＝PC-B」です。VPNルータAはこのIPパケットを暗号化して「単なるデータとしてペイロードに組み込んで」IPパケットという封筒に入れます。

>パソコンAからパソコンB宛ては、カプセル化されて拠点Bのルータに
>届いたときに、カプセルを解除するという認識でよろしいでしょうか？

はい，大丈夫です。VPNルータBは，受信したIPパケットのペイロードを復号します。すると中から「送信元IPアドレス＝PC-A，受信先IPアドレス＝PC-B」のIPパケットが出現します。

>拠点Aから拠点BへのVPNの途中経路で障害が発生した場合、
>どの迂回経路を使用しているか確認する方法はないでしょうか？

VPNの内側（PC-A，PC-Bと同様のIPアドレスを持つ機器）にとってはそれを知る由も無いです。VPNの外側（VPNルータA，VPNルータBと同様のIPアドレスを持つ機器）から見れば通常のIPネットワークですから，tracerouteなりpathpingなりでルーティングの異常を見つけることができるでしょう。

>途中の経路を見せないようにしているということでしょうか？

上記のとおり，途中の経路を見せないというより，VPNの内側からは見えないのです。

ymmasayan · Answer

私の知る限り

ＰＣ－Ａ　→　ＶＰＮルータＡ　→　(ＶＰＮ対応ルータＡ)　→→→→　
　　　　　　　　　　　(ＶＰＮ対応ルータＢ)　→　ＶＰＮルータＢ　→　ＰＣ－Ｂ

でＶＰＮルータがカプセル化とその逆をやっています。
従ってＶＰＮルータはカプセルの経路(迂回路も)を知っていますが、
ＰＣからそれを知ることは出来ないでしょう。

VPNの件でご質問したいことがございます。

どうしても知りたいというのなら別ですが。

>拠点Aのルータから拠点Bのルータのアドレスは

私の知る限り

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング