• 締切済み

グローバル(国際)IP-VPNについて

グローバル(国際)IP-VPNについて やや専門よりの質問で申し訳ありません。 日本の企業で海外に拠点を作り、単純業務をするセンターを構築しようとしています。 免許の取得や、ビザ関係の就労についての課題、ファシリティの確保や、 敷設するインターネットなど、様々な問題はほぼクリア出来ているのですが、 1つだけ不明なのが、掲題の件の「グローバルIP-VPN」です。 現地から日本のWebやサーバへアクセスしても、特にストレスを感じないのですが、 日本にある社内システムへ対しアクセスさせる際に、 「IP-VPNを導入すべきなのではないか?」という会話があります。 セキュリティ面では確かにやや不安はあるものの、SSL通信が出来ていますし、 個人的には月に数十~数百万だしてIP-VPNを導入する意味があるのか? と思っている次第です。 やってみてダメなら導入というように出来れば良いのですが、 当然、そういうわけにもいかず、、、 グローバルIP-VPNは国際的な通信の際、導入は必須と思われますか? ご意見やアドバイスを頂ければ非常に幸いです。 #自分で調べろ、詳しい人に聞け、入れてみれば?などのご意見はご遠慮下さい。

みんなの回答

  • koi1234
  • ベストアンサー率53% (1866/3459)
回答No.4

私の認識が違ってたらすいません IP-VPNって聞くと専用線や閉塞網内でのVPNのイメージがありますが違いますでしょうか? 国内と海外だと多分専用線って感じになるのではないかと思います 私の場合VPN導入に当たってIP-VPNとインターネットVPN両方を検討しましたが コストの面で専用線は断念しました 閉塞網VPNはNTTでありますが確か当時東西またいでのサービスが 無かったためこれも断念しました 議題になっているVPNがインターネット回線をバックボーンとしたVPN の事を指しているのであればSSL通信とVPNどちらで通信を行うか ということですよね? インターネットVPNの構築自体にそれほど極端なランニングコストはかかりませんし 各拠点固定固定IPにすればセキュリティも高まります (PPTPよりIPSecのほうが良いでしょう) SSL通信余り詳しくありませんが特定IP以外からもアクセスできる (ポートだけ)ってことであればVPN(IPSec)の方がリスクは 減るのではないかと思います 私はRTX1000で国内2拠点常時接続しています

  • nnori7142
  • ベストアンサー率60% (755/1249)
回答No.3

 他の方の回答もありますが、方法的にはキャリア型VPNと、VPNゲートウェイ機器を利用したインターネット型VPNがありますが、拠点が海外拠点がありますので、VPNゲートウェイ機器を双方設置し、IPsec通信設定若しくはPPTP通信設定を実施する方法があります。  日本拠点(サーバ側)と海外拠点、拠点数に応じて構築方法が変わりますが、PPTP通信ですと推奨拠点数が5拠点程といった部分があり、それ以上になるとPPTPサーバやVPNルーター等の仕様により接続が不安定になる場合も経験しております。  お勧めはIPsecによるトンネリング構築ですが、対応機器及び構築が比較的容易、通信安定性・信頼性の観点から、日本拠点(サーバ側)にYamaha製「RTX1100」や「RTX1500」、海外拠点側に「RT107e」等がお勧めです。それと、拠点毎グローバルIPアドレスの固定が出来ない場合には、NetvolanteDNS取得・更新設定を実施、サーバ及び海外拠点PCがルーターのNAT配下でしか動作出来ない環境の場合には、IPsec NATトラバーサル設定を実施若しくは、ルーターのESPパケットを送受信するように構築する方法となりますね。  もう一つの方法は、コレガ製「VPNゲートウェイシステム」の導入ですが、これはしたことがないので、やってみないと解りません。  他方法としては、仮想VPNソフトウェア等の導入ですが、Softether社「PacketiX VPN Server 2.0 」等の導入ですが、サーバにかかる負荷やクラスタリングまで考慮するのであれば、 Enterprise Editionとなりますね。(拠点数及び接続端末台数によりライセンス追加契約が必要です)

回答No.2

規模(海外の端末台数)や用途によりますが、IP-VPNを構成するより、SSL-VPNとかでは用途は満足できないのでしょうか? 例えば、ファイルサーバやグループウェアへの接続であれば、今時のSSL-VPN装置で対応できます。 Juniper社のSAや、F5のFirePassが有名です。 国内側の公開セグメントにアプライアンス機器を設置し、海外からはインターネット経由でSSLアクセスします。 海外が固定IPであれば、SSL-VPNゲートへの接続も海外の固定IPからのみに限定すると安全ですね。 また、他の方法は、L2VPNって手法や、ファイアウォールのリモートVPN(JuniperのSSG、FortiGate等々)

回答No.1

必須かどうかは環境に依存するかと思います。 例えば国内側のネットワークでも機密性の高いデータへのアクセス権が制限されていたり、そもそも別のネットワークに入っているなどの場合で、外部からの(不正も含めた)アクセスで国内の機密情報を盗まれることがない場合に、 海外拠点とやりとりされるデータの機密性が全て低いのならばVPNの導入は必須ではないでしょう。 逆に海外拠点とやり取りするデータの機密性も高い、海外拠点からアクセルされる国内側ネットワークのセキュリティも脆弱(機密性の高い情報に容易にアクセスできる)な状態ならば、VPNの導入はごくごく一般的に妥当な対策だと思います。 ざっくり言えば、VPNはインターネット網を通じてアクセスしてくる端末のうち、予め登録しておいた端末(例えば海外拠点のPCや出張用ノートPCなど)のみをローカルなネットワークの世界(今回の場合は国内拠点内のネットワーク網)の一員として扱うための手法です。 (ですからグローバルIPを仮想的にプライベートIPに変換して、第三者によるグローバルIPへの直接のアクセスのリスクを低減できるわけです。) 不正アクセスによる情報漏えいの可能性はVPNの導入により大きく下がりますが、それ以外の要因(機密性の高い情報に社内の誰でもが容易にアクセスできてしまう、など)での情報漏えいについては効果はありません。 理想を言えば、両輪で進められるのが宜しいかと思います。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • グローバルIP1個でインターネットVPNとSSL-VPNは可能?

    始めまして  小規模なネットワーク管理を任されましまい わからない所があったのでご教授頂きたく質問いたしました タイトルの通りグローバルIPは1つでインターネットVPNを2拠点間で使用しています。そこにSSL-VPNを通したいのですが、 現状どちらか一方が繋がる設定しかできませんでした。 これは設定の問題なのでしょうか それともグローバルIPが二つないと解決できないのでしょうか 設定の問題であれば「ここがポイント!」など教えていただきたいです configを張りたいのですが現在交渉中です(つд・) 使用中の機器は サーバ拠点がRTX1200 支店がRTX1000 SSL-312(SSLアプライアンス)をRTX1200の配下に置いています。 ご教授宜しくお願い致します。

  • SSL-VPNのメリット?

    SSL暗号化されているWebポータルで通信を行うのと、 SSL-VPNのもとでWebポータルで通信を行うのと何が違うのでしょうか? 質問を言い換えると、SSL対応Webポータルにおいて、SSL-VPNを導入するメリットはどういうところにありますか(社外からのアクセスはWebサーバのみとして)? よろしくお願いします。

  • VPNについての基礎部分について

    VPNの基本的な概念について、4点質問したいと思います。 1.VPNにはクライアントとVPN機器、VPN機器による拠点間接続があり、後者は基本的にはWAN(拠点間接続は、基本的に何かしらのVPNか専用網で構成されている) 2.DMZ領域にあるサーバーは、基本的にVPNでアクセスはしない。DMZではおけないサーバー(ファイルサーバー)まどを外部からアクセスする際に、VPN機器は導入を検討される。 3.端末制御(アクセス制御)や認証については、基本的にはVPN機器本体で行うのでしょうか。 (他の認証(ワンタイムパスワードのアプリ)などと組み合わせるのが一般的でしょうか) 4.IPSecとSSL-VPNの違いについて (リモートアクセスはSSL-VPNのほうが、クライアントのアプリが不要な分よいとされていますが、 何かデメリット(特定のアプリが起動しない、特定のポートしか利用できない)などはありますでしょうか。 また、拠点間ではIPSecのほうが一般的な理由はどういったものでしょうか。 長文になってしまい申し訳ございません。 ご存知の方いらっしゃいましたら、アドバイス宜しくお願いします。

  • VPN設定(クライアントにグローバルIP)

    次のようなことを実現したいです。 <拠点A> グローバルIPアドレス: 202.XXX.XXX.70 - 202.XXX.XXX.78 プライベートネットワークアドレス: 172.16.10.XXX <拠点B> グローバルIPアドレス: 207.XXX.XXX.50 - 207.XXX.XXX.58 プライベートネットワークアドレス: 172.16.30.XXX 拠点Aと拠点BはVPNで繋がっております。 都合上、拠点Aに202.XXX.XXX.74と固定のグローバルIPアドレスをクライアントに振り、同様に拠点Bにも207.XXX.XXX.55とクライアントに振ってあり、この間をVPNを通して通信する必要がでてきました。 このグローバルIPアドレスを固定に振っているもの同士のVPN接続ができなくて困っています。 VPNは繋がっておりますので、プライベート空間同様の設定をすればグローバルIPアドレスであっても繋がるのではと思ったのですが、うまくいきません、、、 拠点B(客先)からはVPNルーターのグローバルIPアドレスとクライアントに振られている固定のグローバルIPアドレスを情報としてもらっています。 上記以外、拠点B側の設定はまったく分かりません。 拠点A側で行ったこととしては、固定IPのクライアントにNICを2枚挿して、1つをグローバル、1つをプライベートでIP設定しました。 また、ルーティングテーブル中に拠点BのルーターとクライアントのIPへの通信はプライベート側のNICにパケットを転送するように設定しました。 ルーターの設定は、拠点Bからのパケットを固定IPのクライアントに送るようにファイヤーウォールに穴を開けました。 NATやIPマスカレードはグローバルIPをクライアントで持っているため、必要ないと思い設定していません。 トンネルはできていますので、そこへクライアントに固定で振っているグローバルIPが通れば・・・と考えているのですが、、、 行き詰まりました。ご教授頂けたらと思います。 VPNルーター: YAMAHA RTX1500 クライアントOS: WindowsXP

  • IP-VPNでの通信速度 上り?下り?

    2拠点(A-B)間でIP-VPNを構築する場合の通信速度について教えてください。 拠点Aと拠点Bで通信速度(回線の太さ)が異なる場合、通信速度はどこの制限を受けますか。 例えば拠点AはADSL、拠点Bは光ケーブル、といった場合です。 通常のインターネットでは『上り・下りの速度』はISPサーバへ接続した場合の通信速度で分かりやすいんですが、 IP-VPNの場合も同様に考えてよいのでしょうか。 拠点Bから拠点Aにアクセスしデータ取得する場合は、『下り』ということで光の速度が出るのでしょうか。 それとも拠点AのADSLの速度で制限を受けるのでしょうか。 初歩的な質問ですが、教えていただければありがたいです。

  • VPNについて

    すみません、大体のお答えで結構なので、ご指南下さい。 とある事務所があって、そこにVPN対応のルータ(富士通 SIRシリーズ予定)があって、固定IPの設定がされているとします。 そこから離れた別の「 拠点A 」があって、そこにある1台のパソコンから事務所へVPN接続しようとした場合、「 拠点A 」では、やはりVPN対応のルータが必要なのでしょうか? 出来ればWindows7にあるという、VPN機能で繋げたいな~と思うのです。 ちなみに「 拠点A 」では、アクセスラインにFOMAの通信カードを利用する予定です。前記のとおり、PCは1台しかありません。 実際の設定は業者の方に依頼しますが、機器構成としてどうなのかな、と思い質問してみました。 どうぞ、ご指南下さい。よろしくお願いします。

  • VPN接続について

    VPNの仕組みについて調べているのですが、 どうしてもうまく理解できない部分があります。 もし詳しい方おりましたら、お力添え願いたいと思います。 (1)必要なものについて VPNを構築するのに最低限必要なものは ・VPNルーター ・回線契約 という認識をしています。 VPNルーターが両拠点間で必要であったり、またクライアントに特別なモジュールが必要であったりする場合は、どのような時でしょうか? (2)VPNの動きについて 一度VPN接続を確立すると、ローカルのセグメントと同じように操作ができるようになりますが、 通信の仕組みはどうなっているのでしょうか。 (VPN先のIP接続元に振られるわけではなく、常にVPNルーターを経由し、VPNルーターへ接続して VPNルーターから目的のサーバー等にアクセスしているイメージでしょうか? VPNを確立すると、逆に自分のセグメントへ通信する際もVPNルーターへ接続してしまうのでしょうか。) (3)自分のセグメントと、VPNの接続先のセグメントにも同じIPが存在した場合、 どのように対処すると通信に支障がなくすむでしょうか。 少し長くなってしまいましたが、宜しくお願いします。

  • IP-VPNに関して

    IP-VPNに関して疑問点があります。 NTTコミュニケーションのIP-VPNサービスでは、回線を選択する際に、”ACCA”の回線でしか網への乗り入れができないのでしょうか? 例えば、日本テレコムODN+イーアクセスの経路からの乗り入れは不可能なのでしょうか? 素人質問になりますが、よろしくお願い致します。

  • SSL-VPN + PKI について

    リモートアクセスで社内のサーバーにアクセスする際、 SSL-VPN通信と、電子証明書でユーザーの正当性を判断する方法を 取ろうと思っています。 そこで質問なのですが、コスト的にどのような方法が一番安いでしょうか? リモートアクセス利用者は10名以下だと思います。 アクセスは外出先や自宅のラップトップからになります。 Pentioの提供する プライベートCA+USBトークン+SSL-VPN などの商品は 300万円を超えてきますよね・・ ちょっと現実的じゃないです。 プライベートCAを独自に構築する手順などを載せたサイトもありますが、 IT知識のある人でしたら、手順を見ながら構築できるものなのでしょうか? 独自のプライベートCAで、サーバー&クライアント証明書の認証して、SSL-VPN通信する事は セキュリティの面から見て、不安なことはありますか? (社員が社内のデータにアクセスするだけなのですが) SSL-VPN機器を使った二要素認証で、 どのような方法が最も手軽で、安全なのか、ご教示頂ければ助かります。

  • VPN経由でのネットワークコンピュータへのアクセスについて

    VPN経由でのネットワークコンピュータへのアクセスについて 拠点:Aと拠点:BはVPNで接続しているとします。 拠点:Aから、拠点:Bのサーバに名前(¥¥サーバ名) でアクセスしたいと思っています。 ・拠点:Aと拠点:Bが、VPNで接続していて、特にドメインを組んで  いない場合は、どうしたらIPではなく名前だけでアクセスできるのでしょうか? ・拠点:Aと拠点:Bが、VPNで接続して、さらにドメインを構築した場合は、  どこを参照して、名前だけでアクセスすることが可能なのでしょうか? hosts、lmhosts、優先DNSで指定されているDNSサーバなど、IPと名前の関連付けされる 箇所がたくさんあるのですが・・・。 初心者で申し訳ございませんが、よろしくお願い致します。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する