最近、自宅のルーターが壊れたため、ちょっと奮発して業務用のヤマハ・RTX1210というルーターに置き換えた。小規模な会社なら本社と支社の拠点間VPN接続をすることもできる機種だ。
このルーターをもう一台購入して、実家と自宅の間に拠点間VPNを構築し、さらに実家や自宅にネカフェからVPNリモートアクセスできるようにしてみたい。
これができると、以下が可能になる。
・海外やネカフェ、実家でMacを使うときも、自宅NASへ「タイムマシン」バックアップを保存
使う労力に対して結果が見合っていない気がするが、まあ遊びだから…。
さらに、副作用として以下も可能になる。
・海外にいるときも日本のAmazonプライムビデオのコンテンツが見られる(厳密にいうと規約違反らしいが、巷のVPNサービスのjほとんどはこれができることをウリにしている)
・中国にいるときもTwitterなど禁止アプリが使える(VPNに必要なポートの通信制限が掛かってなければ)
RTX1210をもう一台購入して実家に設置し、ヤマハ公式サイトを参考に設定すればそれができそうなのは分かったのだが、念の為、「もっとベターな方法がないのか」いろいろなVPNの方式について調べて比較してみる。
「vpn 方式」でGoogle検索して以下のサイトを読んだ。
・ヤマハ
https://network.yamaha.com/knowledge/vpn/protocol
・アイティーエム(ITM)
https://www.itmanage.co.jp/column/vpn-setting-method-type/
・イッツコム(itscom)
https://www.itscom.co.jp/forbiz/column/vpn/4857/
https://www.itscom.co.jp/forbiz/column/vpn/1976/#VPN
いろいろな観点があるため漫然と読んでいてもいまいち理解が進まないので観点を整理してみた。
■観点1「利用形態」
利用形態は、本社と支社などの拠点間を結ぶのが【拠点間接続VPN】、社員がVPNソフトウェアをインストールしたPCをネカフェや自宅から使って会社に接続するのが【リモートアクセスVPN】。
■観点2「インターネット網の利用有無」
サービス事業者が提供するVPNサービスは4つに分類できる。
インターネットを経由するものが【インターネットVPN】で、インターネットを経由せず、各種専用ネットワークを使うものが【IP-VPN】【エントリーVPN】【広域イーサネット】。
個人で自前で構築する場合はもちろん【インターネットVPN】になる。
インターネットVPNに関係あるプロトコルは以下の5種類(【OpenVPN】【IKEv2】【L2TP】【SSTP】【PPTP】)。
この中で、通信速度と安全性の両立を目指すと「【OpenVPN】か【IKEv2】の二択」(itscom)となるようだ。
以下、各プロトコルの解説から抜粋したもの。
【OpenVPN】
・オープンソースプロトコルで高速通信と安全性で安定しているが、サードパーティ製のソフトウェアが必要な場合がある。(ITM)
・OpenVPNは、安全性や速度、柔軟性など総合評価が最も高いVPNプロトコルです。さまざまな暗号化に対応しているだけでなく、オープンソースであるため常に精査・更新され、安全性が確保されています。設定オプションがあり、セキュリティ対策や速度などを柔軟にカスタマイズできるのも魅力です。(itscom)
・ポートの制限はほとんどありません。検閲の回避もできるため、検閲の厳しい国をまたいだビジネスには便利です。デメリットは、プラットフォームへのネイティブサポートがないという点です。(itscom)
【IKEv2】
・シスコとマイクロソフトで開発されたIPsecベースのトンネリングプロトコル。通信速度は比較的高速であり、切断されても自動的に再接続をしてくれる。モバイル端末では対応している種類が少なめな点がデメリット。(ITM)
・IKEv2は、「Internet Key Exchange Version2」の頭文字で、MicrosoftとCiscoの共同開発によって生まれました。高い安全性と、通信速度の速さを両立させたVPNプロトコルとして注目されています。(itscom)
・目玉は、通信信号を自動的に追従する機能です。これにより、通信環境が変わってもVPN接続をスムーズに維持できます。外回り中にVPN接続が必要とされるシーンでは大活躍です。(itscom)
・オープンソースではありませんが、WindowsだけでなくMacやAndroid、iOSなど幅広いOSでの利用が可能です。BlackBerryでも使える点が高く評価されています。とはいえ、万能ではありません。ルーターやプロバイダーによっては使用できない場合もあります。(itscom)
【L2TP】
・シスコのL2FとマイクロソフトのPPTPから由来されており、L2TP単一では暗号化が機能しないため、IPsecとともに提供されている。従って「L2TP/IPsec」と記載されていること多い。(ITM)
・セキュリティが強固で対応端末やOSが多いことから一般的に利用されているプロトコルだが、通信速度が遅いこととファイアウォールにブロックされてしまうことがある点がデメリットとなる。(ITM)
・L2TPは、「Layer 2 Tunneling Protocol」の頭文字です。L2TPそのものには暗号化などの機能がないため、IPsecというセキュリティシステムとセットで使用されます。L2TPでトンネリングし、IPsecが暗号化を担ってVPN接続するという流れです。(itscom)
・L2TPの魅力は、互換性に優れている点でしょう。幅広いデバイスで安全な接続が可能です。しかし、データのやりとりに毎回L2TPとIPsecという2つの処理システムを動かすため、速度が遅くなりがちです。(itscom)
・また、使用するポートにもよりますが、ファイアウォールでブロックされる頻度が増えるケースもあります。スムーズに仕事をしたい場合にはストレスが溜まるかもしれません。(itscom)
【SSTP】
・SSTPは、「Secure Socket Tunneling Protocol」の頭文字で、こちらもMicrosoftが開発したプロトコルです。SSTPの接続にはSSLが使用されています。SSLはSSL/TLSと表記されることもあり、クレジットカード決済やパスワードの入力にも使用されるプロトコルです。セキュリティ性能の高さに定評があります。(itscom)
・デメリットは、サポートしている端末が限定的だという点です。Microsoftが所有する独占暗号化標準で、オープンソースではありません。そのため、使用できる端末はWindows中心です。セキュリティ性能が高くビジネスに適したプロトコルだと言えますが、互換性が低さ残念な点でしょう。(itscom)
【PPTP】
・PPTPは、「Point-to-Point Tunneling Protocol」の頭文字です。最も古いプロトコルのひとつで、Microsoftによって開発されました。そのため、Windowsでは標準装備されています。(itscom)
・古いプロトコルであるため、古いデバイスでも使用可能です。通信速度は速く、動画ストリーミングなどを古いデバイスで楽しみたいときなどに最適と言えるでしょう。互換性も良く、ほぼすべてのデバイスで利用できます。(itscom)
・使いやすくスピードも速いというメリットに対し、デメリットは安全性が低い点です。無視できない脆弱性があるため、Appleではすでにサポートを中止しています。安全性が重要なビジネスシーンにおいては、他のプロトコルの方が向いているでしょう。(itscom)
・(安全性が低いため)ビジネスで利用することはおすすめできません。開発者であるMicrosoft自身がそのことを認めているくらいです。(itscom)
■観点4「VPN接続方式」
最後に、「VPN接続方式」の比較。「VPN接続方式」とは何ともあいまいな言葉に思えるが、実際は割と明確な用語のようで、複数の解説サイトでこの用語が用いられている。
ただ、プロトコルの【OpenVPN】はどの「VPN接続方式」に分類されるのかよく分からなかった。
【IPsec】
・最も安全性の高い方式で、各拠点のLAN同士を接続(LAN間接続)したい場合 (ヤマハ)
・IPsecでVPNを実現するには、一般的にIKE(Internet Key Exchange: 鍵管理プロトコル)やESP(Encapsulating Security Payload: 暗号化プロトコル)といったプロトコルを利用します。(ヤマハ)
・クライアント(ユーザ)が社外から社内ネットワークにアクセスをしファイルサーバやグループウェアを利用する場合です。オフィス内に居なくてもインターネット回線を通じてVPN接続をすれば利用できる形態です。但しクライアントマシンは社外から社内ネットワークにアクセスをする際、専用ソフトウェアで認証が必要になります。(ITM)
【L2TP/IPsec】
・安全性を確保して、スマホなどからリモートアクセスしたい場合 (ヤマハ)
・なお、リモートアクセスは、PPTPでも実現できます。L2TP/IPsecとの違いの1つは、認証するタイミングです。PPTPでは、暗号化されていない状態で認証を行います。一方、L2TP/IPsecでは、IPsecで暗号化されたトンネルの中で認証を行います。そのため、PPTPよりもL2TP/IPsecの方が、安全性が高いといわれています。(ヤマハ)
・「L2TP/IPsec」は、IPsecと「L2TP(Layer 2 Tunneling Protocol)」を組み合わせたVPN接続方式です。IPsecはネットワーク層のIPのレベルでパケットを暗号化し、ファイルウォールにブロックされるケースもあります。(itscom)
・L2TPは一段階下層のデータリンク層でカプセル化するので、透過できるネットワークの幅広さが利点ですが、暗号化をサポートしません。そこでIPsecと組み合わせ、社内LANへのセキュアなアクセスのために使われることが多いVPN接続方式です。(itscom)
・L2TPとはPPTPとL2FをベースにIETFが策定したプロトコルで、暗号化通信の機能を持たないためIPsecと組み合わせて利用することが多いです。L2TPは新バージョンであるL2TPv3からイーサーネットフレームをそのままにVPNに流す機能が加えられています。(ITM)
【PPTP (Point to Point Tunneling Protocol)】
・1つの接続方式でLAN間接続とリモートアクセスを併用したい場合、または、Windows PCから気軽にリモートアクセスしたい場合 (ヤマハ)
・拠点間接続のためのプロトコル「PPP(Point to Point Protocol)」を用いたVPN接続方式です。(itscom)
・PPTPはトンネリング・暗号化・認証をサポートしますが、IPsec VPNに比べるとセキュリティレベルは高くありません。(itscom)
・一方で、ひとつのVPN接続方式で拠点間接続とリモートアクセスの両方を実現できるのが利点です。Microsoft社によって提案されたVPN接続方式なので、Windows PCを手軽にPPTPクライアントとして利用できるという利点もあります。(itscom)
・TCP/IPネットワーク上のある機器から任意のアドレスの別の機器まで仮想的な伝送路を構築し、データを送受信するためのプロトコルです。暗号化の方法は定められていないがWindowsの認証機能やMicrosoftの暗号化機能と組み合わせて利用することが多いです。(ITM)
【SSL-VPN】
・通信の暗号化に「SSL(Secure Sockets Layer)」や「TLS(Transport Layer Security)」を用いるVPN接続方式です。HTTPと組み合わせた暗号化通信ならHTTPS、POP3と組み合わせるならPOP3Sといった具合に呼ばれる。SSL-VPNにはリバースプロシキ型・ポートフォワーディング型・L2フォワーディング型の3種類がある(itscom)
・インターネットに接続をしブラウザから認証をして利用するため、専用のソフトウェアが必要なく利用できます。接続方式は「SSL技術とリバースプロキシ技術」を組み合わせたものになります。(ITM)
【L2TPv3】
・拠点をLAN間接続して、同一セグメントのネットワークを構築したい場合 (ヤマハ)
■結論
正直、観点3「VPNプロトコル」と観点4「VPN接続方式」の区分があいまいだが、【OpenVPN】か【IPsec】か【L2TP/IPsec】を選んでおけば間違いなさそうだ。
【OpenVPN】をWikipediaで調べると、「OpenVPNは、サーバ間に暗号化されたトンネルを作成するためのオープンソースのVPNソフトウェアである。James Yonanが開発し、GNU GPLでリリースされている。」とある。また、「OpenVPN 構築」でググるとLinuxサーバー上にOpenVPNサーバー・ソフトウェアをインストールして構築する方法がたくさん出てくる。
一方、ヤマハのサイトには【OpenVPN】は登場せず、代わりに【IPsec】【L2TP/IPsec】の設定方法が載っている。
結論、自宅にVPNサーバーを構築するなら、以下の2つが有力手段となる。
・Linux PC上に【OpenVPN】サーバーを構築
・ヤマハのルーターに【IPsec】or【L2TP/IPsec】の設定をしてVPNサーバーを構築