ルーターがIPsecを通さない
取引先ファイアウォールに注意
IPsec導入時に注意が必要なのが,“NAT越え”と呼ばれる問題だ。アドレス変換機能を利用する場合,正常にIPsec通信ができなくなることがある。対策方法は複数あり,設定方法や影響が及ぶ機器の範囲が異なる。用途や影響の範囲を見極めて導入する必要がある。
建設会社のB社は,IPsecを使ったインターネットVPNを活用している。営業のx氏は取引先への直行が多く,いちいちオフィスに戻っていては効率が悪い。そこで,PHS経由のインターネットVPNを使い社内のメール・サーバーにアクセスしていた。ある日,自宅のADSL回線からでもB社に接続できると同僚に聞き,接続してみた。
ところが,何度試してもタイムアウトとなって接続できない。B社の情報システム部が調査したところ,x氏の自宅のブロードバンド・ルーター(BBルーター)のアドレス変換機能が原因と分かった。
|
| 図2 B社はブロードバンド・ルーターを使う社員が本社に接続できなくなった ブロードバンド・ルーターでアドレス変換をしており,IPsecの鍵交換で使うポート番号やIPアドレスが変わって通信できなくなった。ルーターが装備するIPsecのパケットを素通りさせる「IPsecパススルー」機能を使うことで解決した。 |
ルーターのパススルー設定で解決
システム・インテグレータに相談したところ,解決法は三つあるという。(1)BBルーターを使わない,(2)BBルーターの「IPsecパススルー」機能を使う,(3)VPNクライアント/装置の「NATトラバーサル」機能を使う――である。
(1)はパソコンから直接インターネットに接続する方法で,設定が複雑になる。そのうえ,インターネットに無防備でパソコンをさらすことになり,パソコンにファイアウォール・ソフトを導入する必要がある。(2)はBBルーターがポート番号を変えずに素通りさせる方法。簡単で,設定を変える手間も少ない。(3)のNATトラバーサルは,一般にUDPでカプセル化してNATの問題を回避する方法。クライアントとセンター側のVPN製品が,これに対応している必要がある。
B社では,セキュリティの確保やすぐに対応できることなどを重視して,(2)のパススルー機能を採用。x氏がBBルーターの設定を変えたところ,通信できるようになった。
ただし,BBルーターによって同時にパススルー接続できる端末数が1台の場合と,複数台の場合があるので注意が必要だ。パススルー機能の同時接続数については,製品カタログなどで明示してあるケースが少ない。このためB社のシステム部は,複数台で接続できるBBルーターを調査し,小規模の拠点向けに推奨BBルーターとして公表した。
