安くて高速なADSL（asymmetric digital subscriber line）の登場により，サーバー群をセンター拠点に集約した形でインターネットVPN（仮想閉域網）を組むことが現実的になった。ただし，ファイアウォールやVPNルーターの設定には注意が必要。通信できなかったり，十分な通信速度を得られないことがある。

　サーバーを1拠点に集約したインターネットVPNを，ADSLで実現する企業が増えている。最大数Mビット/秒のADSLを使えば，各拠点から遠隔地にあるサーバーにアクセスしても，実用上支障のないレスポンスが得られるケースが多いからだ。

　一般に，サーバー群を置くセンター拠点はセキュリティを強固にする必要がある。ただし，ファイアウォールやVPNルーターの設定には注意が必要。不用意な設定をすると，通信できない場合もある。

IPsecパケットが通らない
ファイアウォールを「オフ」に

インターネットVPNでは，IPパケットを暗号化する。しかし，暗号化されたIPパケットを通せないファイアウォール製品もある。セキュリティを強固にしたいなら，製品選びの段階でこの点を考慮すべきだ。

　広告代理店業務を営むA社は，ADSLを使ったインターネットVPNで全国の拠点を接続することにした。センター拠点にファイアウォール装置を導入。その内側にIPsecによるVPN機能を持つルーターを配置した。

　ところが，各拠点からセンター拠点に接続できない。VPNルーターのログを確認してみると，拠点からの暗号化されたパケットが到達していないことが分かった。

　トラフィック・アナライザの「Sniffer」でファイアウォールとVPNルーターの間を調べると，パケットが来ていなかった。続いて，ADSLモデムとファイアウォールの間を調査してみると，IPsecパケットは到達していた。つまり，ファイアウォールがIPsecパケットを破棄していたのだ。

図1　A社が利用していたファイアウォールはIPsecパケットを識別できなかったため，VPNルーターのアクセスリストでセキュリティを確保 このファイアウォール製品は，TCPとUDP，ICMP以外のIPパケットはすべて破棄してしまう。A社は，DMZの構築をいったんは見送ることにした。

一時的にアクセス・リストで代用

　A社は原因究明のため，ファイアウォール装置の機能そのものを「オフ」に設定してみた。すると，今までがウソだったかのようにVPNトンネルが張れるようになった。つまり，VPNルーターはきちんと動作している。

　A社はファイアウォール・メーカーに電話をかけ，現状を詳しく説明して動作確認をするように依頼。当座をしのぐためファイアウォール機能をオフにし，VPNルーターのアクセス・リストだけで不正アクセスを防止することにした。

ファイアウォール製品を買い替え

　翌日，A社はメーカーから「確かにIPsec通信ができない」との返答を得た。このファイアウォールは，TCPとUDPとICMP以外のパケットを認識できなかったのだ。暗号化されたIPパケットは破棄してしまう（図1[拡大表示]）。

　A社のVPNルーターはESPを使って，IPパケットのヘッダー以外を暗号化する。最近のファイアウォール装置は「ESPを許可する設定」が可能なものが多いが，A社のファイアウォールはその設定ができなかった。

　今回，A社がファイアウォールを導入した狙いは，DMZを構築して公開用Webサーバーを設置すること。結局，IPsecが通過できるファイアウォール製品を新たに購入した。