ミエルリンクの技術(上)

ミエルリンクは、会社のオフィス内に設置した機器を通じて、外出先のパソコンを会社のLANに接続します。そんなことできるのがあたり まえ。会社も外出先のパソコンもインターネットに接続してあるんだから。でも今までは、そのあたりまえがあたりまえじゃなかったのです。あたりまえのこと を実現するのに、とても苦労していました。ミエルリンクは、この苦労を無くして、あたりまえのことをあたりまえにします。

ミエルリンクはなぜそんなことができるのか、その技術に少し触れてみましょう。もちろん、こんなことを知らなくてもミエルリンクは使え ます。

目次

社外から社内に接続することの課題
    ア ドレス変換装置(NAT)
    動 的IPアドレス
  セ キュリティ

これまでの解決方法
  NATを越えてVPN接続する
  動 的IPを越えてVPN接続する

過去の解決方法を評価する
  NAT の外側にVPNサーバを置く方法
  ト ラフィック中継サーバを置く方法
  ダ イナミックDNSサービスを利用する方法

ミエルリンクの解決方法
  ミエルリンクの「仲介サーバ」とは
  ミエルリンクの接続方法
  ミエルリンクのセキュリティ

社外から社内に接続することの課題

アドレス変 換装置(NAT)

NATとはNetwork Address Translation の略称です。アドレス変換装置(NAT)とは、1個ないし複数個のグローバルなIPアドレスを複数の コンピュータで共有する仕組みのことをいいます。普通の会社はこのNATを使っています。理由は主に2つ。

理由その1 「外」のIPアドレスは1個だけ。会社のLANの中の複数台のコンピュータでインターネットを使おうと すると、NATするしかありません。
普通の会社のインターネットへの接続回線に割り当てられているグローバルなIPアドレスは、たいて いの場合1個だけです。一方会社のLANの中には複数台のコンピュータがあり、外側の1個しかないア ドレスでは足りないので、異なるIPアドレスが設定されています。このような複数台のコンピュータ でインターネットを使う場合に、アドレス変換装置(NAT)が使われています。アドレス変換装置 (NAT)によってLANの内側とルータの外側のIPアドレスが自動的に変換され、複数台のコンピュータ でインターネットを自由に使えるようになっているのです。アドレス変換機能はブロードバンドルータ などに内蔵されています。

理由その2 外部からの侵入を防ぐため、ファイアウォールの代わりにNATを使用している。
インターネットからの不正な侵入を防ぐことを目的として、インターネット側のIPアドレスと会社の LANの中のIPアドレスを別にして、アドレス変換装置(NAT)を使って外部と内部の通信を行っている 場合があります。この場合のアドレス変換装置(NAT)は、一種の簡易的なファイアウォールとして使 用されています。

このように、普通の会社がインターネットに接続する際に必須といってもいいNATなのですが、NAT を使っていると普通はVPNが実現できません。

動的IPアドレス

普通の会社の普通のインターネットの接続回線には、不定期に変更されるグローバルなIPアドレス が割り当てられています。不定期に変更される、つまり固定されていないIPアドレスを動的IPアドレスといいます。動的IPアドレスが割り当てられている 理由 は接続先のISP事業者の設備上の都合や接続回線の契約内容によりますが、比較的安価な月額料金が設定された接続 回線には通常、動的IPアドレスが割り当てられています。

外出先のパソコンから会社のLANに 接続するためにオフィス内に設置した機器をVPNサーバと呼びますが、このVPNサーバには固定のグロー バルなIPアドレスが必要です。インターネットでは通常グローバルな固定IPアドレスが居場所を探すた めに必要であり、これがないとどこに接続したらよいか分からなくなるためです。

そうすると、普通の会社の普通のインターネットへの接続回線では、固定のグローバルIPアドレスがないためにVPNサーバが設置でき ず、 従ってVPNが利用できません。 

セキュリティ(更新予定)

「外」側にVPNサーバを置いておくこと
 ファイアウォールに穴を開けておくこと
UPnPを管理者でなくとも自動的に設定して使ってしまえること

これらは全て、セキュリティのリスクを高めます。

これまでの解決方法

NATを越えてVPN接続する

解決方法 その1 VPNサーバを NATの「外側」に設置する
会社のLANにNATの外側を作って、そこにVPNサーバを置くことでNATを越えようという試み。
たとえば、DMZ(非武装地帯)を作ってVPNサーバを置く、あるいは、専門的な知識を必要とするルータの 特殊な設定や高価なルータの導入によってNATの外側を作り、VPNサーバを置く、などの方法があります。

解決方法 その2 「トラフィック中継サーバ」を設置する
VPNサーバが置いてあるLANの拠点とVPNクライアントである社外のパソコンの双方からアクセスできる場所に「トラフィック中継 サーバ」を立てて、両者の通信データを中継することでNATを越えようという試み。
「トラフィック中継サーバ」とは、通信データを中継するサーバのことをいい、L2の世界では「仮想ハブ」など といわれることもあります。このトラフィック中継サーバは、固定のグローバルなIPアドレスを持つか、 あるいは「外側」からアクセスしてもらう対策をすることが前提になります。

動的IPアド レス を越えてVPN接続する

解決方法 その3 ダイナミックDNS(DDNS)を利用する
利用者が自分の情報を登録できるインターフェースを持ったDNSサービスを、ダイナミックDNS(Dynamic Domain Name System)サービスと いいます。このダイナミックDNSサービスを提供している事業者を探して自分の情報を登録することで、IPアドレスが絶えず変わってもそのサービス事業者 のDNSサーバを参 照すれば、その時点の自分のグローバルなIPアドレスが探し出せるようになります。
このサービスに使われるDNSサーバは通常、DNSレコードのキャッシュを比較的短時間に設定することで、登録者のその時点でのIPアドレスの情報を取得 しています。

解決方法 その4 「トラフィック中継サーバ」を設置する
上記、「NATを越えてVPN接続する解決法その2」と同じ。 VPNサーバが置いてあるLANの拠点とVPNクライアントの双方からアクセスできる場所に「トラフィック中継 サーバ」を立てて、両者の通信データを中継することで動的IPアドレスを越えようという試み。
このトラフィック中継サーバは、固定のグローバルなIPアドレスが必要か、あるいは「外側」からアクセスをしてもらう算段をする必要があります。  

(ミエルリンクの技術(中)へ続く)

こちらから

ミエルリンク『はじめましてキャンペーン』継続のご案内

ミエルリンクはじめましてキャンペーン第1回抽選会を行いました。抽 選会リポートはこちらからどうぞ。

『はじめましてキャンペーン』は、継続して実施いたします。現在のままご登録いただいていれば、今後の抽選会でも当選のチャンスがあります。

ま た、お友達などにもご紹介いただければ更に当選のチャンスが高まります。下記URLにアクセスして、「ご紹介」の箇所に記載されているURLをコピー& ペーストして、メールでお友達に送ってあげてください。今後登録の継続を希望されない場合は、残念ですが、下記URLから応募のキャンセルをお願いしま す。キャ ンペーンのページには、こちらから進んでくださ い。