LinuCレベル3 303試験の例題と解説

328.4仮想プライベートネットワーク(VPN)

今回は303試験の試験範囲から「328.4 仮想プライベートネットワーク(VPN)」についての例題を解いてみます。

■トピックの概要
このトピックの内容は以下の通りです。

<328.4 仮想プライベートネットワーク(VPN)>
重要度 3

<説明>
OpenVPNの使用方法に精通していること。

<主要な知識範囲>
・OpenVPNの設定及び使用方法

<重要なファイル、用語、ユーティリティ>
・/etc/openvpn/
・openvpn サーバ及びクライアント

■例題
OpenVPNの説明として間違っているものを選びなさい。

1. OpenVPNはSSLを使用したVPNである
2. OpenVPNはL2およびL3でのVPNが実現できる
3. OpenVPNはクライアント証明書をサポートしている
4. OpenVPNはルーターを経由して利用できない

※この例題は実際のLinuC試験とは異なります。


解答と解説

答えは4. OpenVPNはルーターを経由して利用できない です。

OpenVPNはSSLをベースにしたVPNを実現するためのソフトウェアです。SSLというとWebサーバーへのアクセスを保護するHTTPSを思い浮かべますが、SSLは暗号化通信を提供するためのプロトコルであり、ライブラリであるので、様々な通信で応用されています。OpenVPNもその一つといえます。

OpenVPNではサーバーとクライアントの間でVPNを構築しますが、ブリッジモードだとL2、ルーティングモードだとL3の層で動作することになります。どちらが優れているというわけではありませんが、たとえばWindowsネットワークのファイル共有のようにL2でのブロードキャストを使用する仕組みをそのまま使いたい場合にはL2のブリッジモードなど、目的に応じた選択が必要になります。

OpenVPNの認証方式はいくつかありますが、接続させたいクライアントに証明書を用意するクライアント証明書方式が扱いやすいでしょう。クライアント証明書はクライアント毎に発行することも、共通で使用できるクライアント証明書を発行することもできます。不特定多数から接続したいユーザーだけを絞り込みたい場合には、都度クライアント証明書を発行する方が、アクセス許可を取り消したい場合に個別の取り消しで良いので管理がしやすくなります。

OpenVPNはSSLを利用していることでも分かる通り、HTTPS同様ルーターを経由して利用することもできます。また、OpenVPNサーバーをルーター(ファイアーウォール)の内側に配置したい場合には、ルーターで外部から内部への逆方向のアドレス変換(逆方向のNAT)を設定して接続を許可することもできます。このあたりの構成はセキュリティをどの程度守るべきか、セキュリティポリシーとの兼ね合いで調整しながら検討する必要があるでしょう。

ページトップへ