VPNFAQ023. VPN によるブリッジ対象のセグメントが非プライベート IP アドレスである場合の設定

    目次
     

    質問

    私の大学では、VPN Server においてローカルブリッジ接続を構築している先の LAN では、プライベート IP アドレスではなく、グローバル IP アドレスを用いています。すなわち、VPN のクライアントユーザーが VPN 接続をしたときに、VPN を経由して、各自のコンピュータにグローバル IP アドレスを割当てる必要があります。このような構成において何らかの注意すべき事項はありますか ?
     

    回答

    VPN Server の仮想 HUB では、デフォルトでは以下の IP アドレスを VPN クライアントが使用するものとして想定しています。
     
    ・ 10.0.0.0/8
    ・ 172.16.0.0/12
    ・ 192.168.0.0/16
    ・ 169.254.0.0/16
     
    仮想 HUB は、原則として Ethernet フレームを透過的に伝送します。したがって、上記以外の IP アドレスをソースアドレスとするユーザーのパケットも、何ら設定することなく、自由に通信できます。
     
    ただし、一部のセキュリティポリシーは、処理量を削減するために、IP パケットが VPN ユーザーによって発信されたものであるか、それともインフラストラクチャ側によって発信されたものであるかを見分ける場合があります。このような識別方法としては、IP パケットのソース IP アドレスが上記のリスト範囲に含まれるかどうかによって見分けます。そのため、大学などでユーザーにグローバル IP アドレスを割当てたい場合においてはこのようなセキュリティポリシー機能の一部が正しく動作しないかも知れません。
     
    そこで、VPN Server では「private_ip.txt」という特殊なファイルを VPN Server と同一のディレクトリに設置することにより、上記のプライベート IP アドレスとみなされる範囲を拡張することができるようになっています。private_ip.txt ファイルには複数行を書くことができます。たとえば、このテキストファイルには以下のように記述します。
     
    ===
    130.158.0.0/16
    133.51.0.0/16
    ===
     
    上記のような「private_ip.txt」を書けば、筑波大学が有する 2 個のグローバル IP アドレスを、VPN Server においては特別にプライベート的な IP アドレスとして使用するように指示します。「private_ip.txt」ファイルを設置した後は、VPN Server サービスを再起動する必要があります。