前回、VPNについて、ざっくりと簡単に触れましたので、大体のイメージが掴めたかと思います。

今回は、VPN接続で家の外から自宅のネットワークに接続するために必要な条件について、話していきます。

「海外から日本のネットワークにつなぐ（１）」の最後に、環境要因によって、技術的に実現できないことがVPNにもあると述べました。

それでは、環境要因がVPNの障壁になるのは、どういったものでしょうか。

代表的なものは、ケーブルテレビのインターネットです。
なぜなら、以下のような特徴があるからです。

もっともケーブルテレビのインターネットの全てがそうであるわけではありません。また、その他インターネットサービスプロバイダであっても、自宅にVPNサーバを立ち上げることを想定しているISPは、多くないでしょう。

外国から日本のネットワークにVPN接続し、あたかも日本にいるかのように振る舞うのであれば、接続を十分維持し、最適にVPNを利用できるだけの通信帯域として、上下の通信速度は、最低でも10Mbpsは欲しいところです。

また、日本のネットワークとして契約するISPは、利用規約でサーバの立ち上げを禁止していないこと、VPNサーバを利用するためにグローバルIPアドレスを払い出していること、自前のルータを使用するためにモデムにはブリッジ接続できる設定があること、これらを基準に選定するといいでしょう。

もし、何らかの事情で既存のネットワークに外部からアクセスする必要がある場合は、VPNの自由度は、一気に減ってしまいます。

なぜなら、VPNの方式によっては、対応するVPNプロトコルのポートを開放する必要があり、そのためには接続先のルータの設定を変更する必要があるからです。

ルータは、基本的に外部からの内部に対する通信を許可していません。内部から外部に対する通信があった場合は、当該セッションに関し、外部から内部に対する通信を許可するというのが一般的なセキュリティの規則です。

自宅のドアが施錠されていることをイメージすれば、分かりやすいかと思います。

そして、ポートを解放するということは、ドアに鍵穴を設けるようなイメージです。ドアに鍵穴がなければ、外部から内部にアクセスすることはできません。

また、どの鍵が利用できるかは、ドアであるルータ（ゲートウェイ）の設定で決まります。つまり、アクセス先に自前のルータが設置できない環境では、出入りを自由に管理できないわけです。

ISPから貸与されたルータ機能付きのモデムにてブリッジ接続できない場合、喩えるなら、あらかじめ用意された解錠方式を使い、決められた暗証番号でしかドアの開閉ができないというイメージでいいでしょう。

もちろん、ISP貸与の一部のルータ機能付きのモデムでは、ポート解放を許可せず、自由に設定が変更できないものも存在します。

この場合は、当該ネットワーク内にVPNサーバを立ち上げても、外部にあるVPNクライアントからアクセスできません。

VPNの方式ごとに開放が必要なポートが異なるので、当該VPNにて使用する外部ポートが閉じられていては、VPNを確立することができないからです。

なお、どのVPN方式でどのポートの解放が必要かといったことは、ここでは触れません。興味がある方は、以下、ウェブサイトの【VPNプロトコル比較】の表を参考にしてみてください。

次に、ISPから払い出されるIPアドレスについて、プライベートIPアドレスか、グローバルIPアドレスの違いをイメージしやすいように説明します。

通信業界では、データ転送を郵便配達によく例えるのですが、プライベートIPアドレスが割り当てられたルータとは、送り手から見れば、私書箱のようなイメージです。

送り手からは、受取人の住所は分かりませんが、私書箱という形で宛先を指定します。その宛先に当たるのがプライベートIPアドレスをいうわけです（注意：あくまで概念を理解しやすくするためのイメージです）。

プライベートIPアドレスが割り当てられたルータ配下のネットワークにおいて、VPNサーバを立ち上げても外部からアクセスできないのは、「私書箱を公開しても、送り手が受取人の自宅に行くことができない」からと考えていいでしょう。

グローバルIPアドレスの場合、「郵便局だけが受取人の住所を把握しているのではなく、送り手が受取人の住所を知っている」のです。だから、VPNサーバを立ち上げたら、そこにデータ転送することができるわけです。

もちろん、郵便同様、受取拒絶されることもありますが、あて名不完全で配達できませんという理由で配達されないことはないという意味です。

（続く）