VPNルーターとは、VPN機能を搭載したルーターでネットワーク機器の一種です。特定の人のみが利用可能で情報漏洩を防ぐことができる、安全な専用ネットワーク「VPN」、なかでも「インターネットVPN」を構築するには欠かせない存在です。

VPNとは、「Virtual Private Network」の略で、直訳すると「仮想の専用ネットワーク」となります。専用回線になるので特定の人・端末しかアクセスできず、安全性の高いネットワークシステムを構築できます。一方、「Virtual(仮想)」とある通り「専用線」のように、通信を完全に独占する１対１の通信方式ではなく、あくまで「仮想」の専用線を構築しています。「仮想」とは、伝送路（データ通信回線）としては他のユーザーと共用している状況ですが、プロトコルによって、ソフトウェア的にはあたかも専用ネットワークであるかのような挙動をするようなネットワークであるということです。

VPNを構築する際、使われるネットワークの種類にはインターネットVPN、IP-VPN、広域イーサネットなどがありますが、ルーターが必要になってくるVPNはこのうち「インターネットVPN」になります。

VPNで使われるネットワークの種類など、VPNに関する詳細は下記のコラムよりご覧下さい。

VPN接続の仕組みは、「トンネリング」「暗号化」「認証」の３つの要素に分けられます。まず、「トンネリング」ではデータの送信者と受信者の間に仮想的なトンネルを設け、外部への情報漏洩のリスクを低減します。これは、送信したいパケットを新たなパケットで包む「カプセル化」によって実現します。さらに「暗号化」することで、データのやりとりが外部から閲覧される、改ざんされるといったことができないようにします。また、「認証」ではデータの受信者と送信者が、お互いに、自分が通信したいと思っている正しい相手かどうか確認する制御を行い、第三者が侵入していないか監視しています。

一般的に、VPNルーターは、この３つの処理を行うため、VPNの構築にはルーターの設置が不可欠となります。

さらに、VPNを構築するプロトコルには種類がいくつもあります。そのためルーターも、どのプロトコルに対応した製品であるのか、注意しながら最適なルーターを選ぶ必要があります。

それでは、ここでVPNルーターの設定方法を簡単に解説します。

まずは、どのプロトコルでVPNを構築を選び、それにあったルーターを選定します。プロトコルの種類についてはこの後解説しますので、メリットやデメリットを理解したうえで、利用するプロトコルを選ぶ必要があります。「トンネリング」「暗号化」「認証」の３つはルーターで処理されるため、選んだプロトコルにあったルーターを活用しましょう。

続いて、VPN接続ができるユーザーを設定します。アクセスする人のユーザー名やパスワードの提供が必要です。安全性確保のために、マトリクス認証や２段階認証なども併用されるケースが多くなっています。

最後に接続確認を行います。PCなどのクライアント側に専用のソフトウェアが必要となることもあるので、こちらをダウンロードして接続を行いましょう。

なお、具体的な設定方法については利用するルーターによって異なりますので、詳細は各製品Webサイトや、ホームページ、ヘルプページを参照すると良いでしょう。弊社アムニモの製品・サービスを活用されている方は下記のヘルプページをご覧下さい。

• Edge Gateway 同士の IPsec 接続設定例
• Edge Gateway と Cisco ルーター間での IPsec 接続設定例

そもそも、ネットワークがつながり、通信を行うためには、通信を行うためのプロトコル（約束）とTCP/IPやOSI参照モデルなどと呼ばれる「階層・レイヤー」が存在します。VPN接続においては、様々なプロトコルや仕組みを用いて、「トンネリング」「暗号化」「認証」を、各レイヤーに対して実行しています。使うプロトコルやその組み合わせ、仕組みが様々存在するため、VPN構築の手法は多様です。

どのプロトコルを使って、どの階層・レイヤーに対して対策を行うかによってVPN構築の方法が変わってきますので、本記事では代表的なプロトコル・手法を４つ紹介します。

ルーターによって対応するプロトコルや接続方法が異なるため、VPNルーターを選定する際は、まずどのプロトコルをつかってインターネットVPNを構築するのかを決定し、そのプロトコルに対応したルーターを選ぶ必要があります。

【紹介する４つのVPNプロトコル】

• IPsec-VPN
• SSL-VPN
• L2TP/IPsec
• PPTP

IPsecは、「Security Architecture for Internet Protocol」または「Internet Protocol Security」の略で、インターネットプロトコルにおけるやり取りにおいてセキュリティを構築するための、安全性の高いアーキテクチャです。情報の漏洩や改ざんを防ぐための仕組みを実現するため、様々なプロトコルが使われています。暗号化されているため、万が一通信内容を盗聴された場合でも、その内容を閲覧することはできません。

特徴としては、IPsecはOSI参照モデルにおける「ネットワーク層（第３層）」において暗号化を行っています。結果、上位層である「トランスポート層」や「アプリケーション層」が暗号化に対応していなくても、下位層である「ネットワーク層」が暗号化しているため、より安全に通信を行うことができます。ただその一方で、ファイアウォールと相性が悪いというデメリットもあるので注意が必要です。

ちなみに、現在普及が少しずつ進んでいるIPv6では「IPsec」が標準的に用意されています。しかし、現在でも引き続きIPv4が使われているケースが大半で、IPv4ではIPsecは標準ではなくオプションであることも多いです。

【OSI参照モデル】

IPsecの仕組みや接続方法は下記コラムで詳しく解説しています。よろしければご覧下さい。

続いて紹介するVPN接続の方法は、「SSL-VPN」です。SSL-VPNとは、暗号化する際にSSL技術を活用するVPN接続方法です。SSLは、「Secure Sockets Layer」の略で、Webサイト等でも幅広く使われるプロトコルです。特にクレジットカードの情報や個人情報をやりとりする際によく使われています。

SSL-VPNでは、TCP/IPやOSI参照モデルにおける「セッション層（第５層）」における暗号化・認証の仕組みである「SSL暗号通信」を活用しています。IPsecと比べると上位層での暗号化であることからセキュリティ面ではやや劣りますが、リモート接続に優れていることと、低コストであることからオフィス外からのアクセスやリモートワークなどで広く使われている手法です。

また、IPsecでは、クライアント側のPCにもVPNのソフトをインストールする必要がありますが、SSLでは特別なソフトウェアは不要でWebブラウザのみで通信可能です。そのため、利便性が高いこともSSL-VPNが選ばれる理由の一つになります。それから、IPsec(トランスポートモード)と異なり、ヘッダ部分は暗号化されないため、ファイアウォールを柔軟に適用できます。

ただその一方で、IPsecよりも、アプリケーションによっては動作しない可能性が高まります。IPsecがより深い階層「ネットワーク層」で動作しているのとは異なり、SSLがより上位の層である「セッション層」で動作していることが原因です。

IPsecとSSL-VPNの特長を下記にまとめました。

L2TP/IPsecはL2TPとIPsecを組み合わせたVPN接続方式です。

L2TPとは、Layer 2 Tunneling Protocolの略で、データリンク層（第２層）において、データの送信者と受信者の間に仮想のトンネルを築く「トンネリング」を行うためのプロトコルです。「PPP(Point-to-Point Protocol)」接続を確立することでVPN接続を行っており、具体的にはPPPフレームを送信側でカプセル化し、受信側でカプセル化解除することで、情報を届けることができます。単体では暗号化の機能を持たないため、上記で紹介したIPsecと併用することで安全性を確保する場合が多く「L2TP/IPsec」として表記されることが多いです。

L2TPを活用するメリットとしては、まず、１つのVPNトンネルで複数のユーザーセッションをやり取りできるという点です。それから「対応するプロトコルが多い」という点も特長です。L2TPでは、UDP/IPやATM、フレームリレー（FR）などのプロトコルを使うことができます。

ただ、その一方でIPsecと併用するとその分処理に時間がかかり、通信の速度が比較的遅いというデメリットも存在します。

L2TPは新バージョンであるL2TPv3が存在し、前バージョンのL2TPv2とは異なるものとなるため、どちらを使うのか、注意が必要です。

PPTPとは「Point-to-Point Tunneling Protocol」の略で、L2TPと同様に、IPネットワーク上にある機器から任意のアドレスの別の機器まで仮想伝送路を構築しデータを送受信する、いわゆる「トンネリング」のためのプロトコルの一種です。データリンク層（第２層）のプロトコルである「PPP(Point-to-Point Protocol)」を拡張する形で開発されました。具体的には、PPPフレームをGRE（Generic Routing Encapsulation）によりカプセル化することでIPネットワークを通過できるようになり、接続先とトンネルを構築するという方法です。PPTP自体には認証・暗号化機能が備わっていませんが、MS-CHAP (Microsoft Challenge-Handshake Authentication Protocol)により認証を行い、MPPE(Microsoft Point-to-Point Encryption)により暗号化をすることで、安全性を高めています。

また、PPTPはL2TP/IPsecと比較されることも多いですが、L2TP/IPsecとの違いの一つは認証の順番です。PPTPでは暗号化されていない段階で認証を行いますが、L2TP/IPsecでは、暗号化されたトンネルの中で認証を行うという違いがあります。そのため、L2TP/IPsecの方が比較的安全性が高いと言われています。ただし、PPTPはWindowsにサポートされているためWindowsとの親和性が高く、手軽にVPNを構築可能で、利便性が高いことがメリットといえるでしょう。

ちなみに、PPTPもL2TPも、どちらもデータリンク層（第２層）で処理が行われることから「L2VPN(Layer 2 Virtual Private Network)」とまとめられることもあります。

このようにVPN接続には利用するプロトコルやレイヤーによって様々な種類があります。従来活用しているネットワークの構成や、VPNを利用するシーンによってどの手法を使うのか、選択する必要があります。

【OSI参照モデルとVPN構築方法の一覧】

※L2TPの場合、暗号化はIPsecで行われることが多く、これは第３層で行われる。

そのプロトコルを使うのかによって対応するルーターは変わってきますので、ルーターを選ぶ際は注意して選定しましょう。

インターネットVPNを構築する際は、プロトコルの種類により選ぶべきルーターが変わってくることはお伝えしましたが、インターネットVPNをどのようなシーンで利用するかによっても、必要な機能等が変わってきます。ここではシーンとして「拠点間を接続するVPN」と「移動する端末からアクセスするVPN」の２つに分けてご紹介します。

拠点間を接続するインターネットVPNは、主に本社や支社内のそれぞれに固定のグローバルIPを割り振り、そのうえで拠点同士をVPNによってプライベートIP接続する方法です。固定のグローバルIP間でVPNのトンネルを構築しており、IPsecを使う場合には「Mainモード」と呼ばれています。

一方、移動する端末からアクセスするVPN、つまりIPアドレスが決まっていない場所から閉域のネットワークにアクセスするVPNも存在します。これはリモートワーク等で従業員が各家庭の固定されていないIPアドレスから、インターネットを経由して社内のイントラネットなどに接続する用途や、離れた場所にあるIoT機器を社内のネットワークに接続するにも使われることがあります。これはIPsecを使う場合には「Aggressiveモード」と呼ばれています。

IPsecの「Main mode」と「Aggressive mode」については下記コラムでも解説しています。よろしければご覧下さい。

本記事では、VPNルーターの役割や選定の重要性について、仕組みやVPNを構築するプロトコルの種類などについてご説明しました。VPNの特長を理解したうえで、適切なVPNルーターを選定いただければと思います。

アムニモでは安全性の高いVPNを構築可能なIPsecに対応したLTEルーターを販売しております。本ルーターは、ファームウエアの２重化や通信回線の冗長化、瞬停対策など、高い信頼性が特徴で、高い安定性が求められるVPN構築で活躍するLTE対応のコンパクトルーターです。IPsecを使ったVPN構築を検討されているお客様はお気軽にご相談ください。

※IPsec対応は次期バージョンアップで予定しております。
※その他のアムニモのゲートウェイシリーズ製品もIPsecに対応しております。

なお、弊社のゲートウェイやルーターのIPsec接続の方法は、下記記事をご覧下さい。

• Edge Gateway 同士の IPsec 接続設定例
• Edge Gateway と Cisco ルーター間での IPsec 接続設定例