natとIPsec（VPN）の違い

nat(napt)を使えば異なるネットワークにかるローカルPC同士でもsshで通信したりできると思うのですが、できないのでしょうか？

ローカルPC同士を繋ぐときにIPsecというものをよく聞きます。

具体的にこの２者の役割の何がちがうのでしょうか？

よろしくおねがいします。

No.2 回答者： nobu_boo 回答日時： 2011/04/04 21:39

IPv4のLAN間で機器同士を接続するにあたって、NATやNAPTの変換除外を設定してグローバルな環境でやり取りすることはできると思います。

しかしここでの質問の主な内容はSSHとIPsecの違いのことでしょうか？

SSHもIPsecも暗号と認証を使って外からパケットの内容が分からないように機器間を確実に通信するということでは似ていると思います。
ただし、SSHは相手の機器にリモートでログインして相手の機器の操作を行う、IPsecは機器間のIP接続をほぼそのまま暗号でつなぐ(すべてのプロトコルではありませんが)、という違いがあります。

SSHの場合は、rshやrloginやtelnetなどの操作を暗号化したものとしてイメージできると思います。

IPsecの場合は、接続した機器間では暗号化されると困る制御用のプロトコルや任意の指定したプロトコルを除いて、多くのプロトコルがそのまま暗号通信でやり取りできます。

IPsecで機器間を接続するパターンとしては、ルータとルータ間、PCとPC間、PCとMFP/Printer間、などがあります。
たとえば、PCとMFP間をIPsecで接続すると、MFPを設定する時のhttp、印刷する時のRaw(9100)やlpr、スキャンしたファイルをMFPからPCに保存する時のSMBやFTP、MFPの状態をPCに取得するSNMPなど、普通にLANで接続した時に行う主なやり取りがそのまま暗号化でやり取りできます。
来るIPv6ネットワークでは、多くの機器がグローバルアドレスを持てるようになりますから、今のIPv4ネットワークより適用範囲が広がるのではないかと思います。そのような場合、お互いを認証するための共有キーや証明書を持ち合い管理することも必要になります。

No.1 回答者： beefisdead 回答日時： 2011/04/04 11:37

私たちが使うNAPTは、単一のグローバルIPアドレスを複数のコンピュータで使うための方法です。

つまり、NAPTの外側にあるコンピュータからは、その内側のコンピュータはまとめてひとつのグローバルIPを持っているように見えてしまいます。
したがって、外側からは内側のコンピュータを指定する方法がなく、sshなどをすることはできません。

ただし、NAT機器のポートフォワーディングを使えば、そのIPの特定のポート番号を、内側のコンピュータの特定のポート番号にひもづけることはできます。これによって、世界中から内側のコンピュータにアクセスできるようにできます。公開したいサービスの数がそれほど多くない場合は便利です。


いっぽうで、VPNを使った場合は、プライベートIPアドレス同士がルーティングされているように見せることが可能です。つまり、NATの内側同士で通信ができます。これは実用上は内側で閉じているので、世界中からは見えません。

IPsecはあくまでVPNのさいに利用する暗号化方式なので、この場合に関係があるのはVPNです。