つぶやきIPsecパススルー
IPsecパススルーとは?
- ESPによってIPパケットのカプセル化を行って通信するとき、ちょっとした問題が起こることがあります。
- というのも、ESPヘッダにはポート番号のフィールドがないので、そのままだとNAPT環境(変換のため、ポート番号もチェックされる!)において通信することができないのです。
- そんな時に、NAPT環境でもIPsecを行うための技術がIPsecパススルーです。
- NAPT機能をもったブロードバンドルータ上などで動作します。
IPsecパススルーの機能と先着一名問題
- ざっくり言うと、ESPでカプセル化されたパケットを特別扱いして、IPアドレスだけを変換します。
- この時に、そのパケットの送信元IPアドレスを覚えておいて、戻りのパケットが送り主にちゃんと戻るように中継します。
- しかしNAPT装置においてはセッションを識別できない(各パケットの関係性を知ることができない)ことから、1つのVPN先(IPsecでの通信先)に対しては一度に1つの送信元からしか通信できないという制限があります*1。
- この制約は先着一名問題と呼ばれます。