iOS で L2TP over IPsec ソリューション

Apple iPod touch 64GB MC547J/A 【最新モデル】

iPod Touch や iPad には標準の機能として L2TP、PPTP、IPsec を使った VPN 機能があります。iPhone は持っていないので確かなことは書けませんが、同じだと思います。

 

標準では SSL-VPN 非対応

残念ながら iOS は SSL-VPN には標準では対応していませんが、たとえば Juniper Networks社の SSL-VPN 装置があれば、Junos Pulse というアプリで SSL-VPN 接続する機能を追加できます。

また、SoftEther社が PacketiX またはそのオープンソース版 UT-VPN で iOS用のクライアントを提供してくれれば、もっと手軽に SSL-VPN が利用できるになります。一応 UT-VPN では iPhone 用のコードを追加予定とあるので、可能になる日がくるかも知れません。(参考)

 

▼VPN の目的を考える

標準機能でこれら三種類の VPN 方式のどれを選べばいいかは、目的によって変わると思います。

たとえば

  1. Wi-Fi の部分が不安なので通信路を常に暗号化しておきたい
  2. アクセスポートの制限のある Wi-Fi 接続環境で制限を取り除きたい
  3. 複数の iPod Touch や iPad、iPhone またはその他の Android デバイスや Windows からも VPN 接続したい
  4. SIP電話機を内線電話として使いたい

などと言った要件であれば普通は L2TP あたりが選択されるでしょうか。

 

選ぶ基準

もう少し、選ぶ基準を要約してみますと、PPTP はもう古い技術で、認証の部分や暗号化方式の MPPE などにセキュリティ上の不安があるため(安全じゃないと言う意味ではありません。)新しく構築するときにワザワザ選ぶような VPN 方式じゃないこと。(実際問題 L2TP は PPTP と Cisco Systems社の L2F を融合させて標準化したものです。)

次に L2TP と IPsec ですが、L2TP はそれ自体には暗号化の機能がないただのトンネリング・プロトコルです。ただし、レイヤー2でトンネリングできるので IP 以外のプロトコルも運べます。

IPsec にもトンネルモードがあるので、目的は達成できそうですが IPSec はレイヤー3のプロトコルであることから、汎用性を考えてレイヤー2でトンリングする L2TP を選んだというわけです。

ちなみに L2TP は先述した通り、そのプロトコル自体に暗号化機能がないために、IPsec に暗号化を任せるのが一般的です。つまり、IPsec 関係のプロトコルに L2TP のパケットを覆い隠してもらうので、L2TP over IPsec と言うわけですが、これは正式に RFC3193 (Securing L2TP using IPsec) として仕様が定められています。

 

L2TP も PPP認証可能

なお、勘違いしやすいのですが、L2TP の実体データは P2TP と同じで、PPPフレームを含んでいます。すなわち IP パケットは、

のようになっていますが、PPPフレームのうち、PPPペイロード部分(PPPヘッダを除いた部分)は P2TP では MPPE によって暗号化されるのに対して、L2TP over IPsec(以降、L2TP/IPsec) では、上記 UDPヘッダ以降が IPsec によって暗号化されます。

ユーザ認証が必要なければ MS-CHAPv2 等による認証も省略することも可能です。

 

次ページへ

 

関連するコンテンツ


コメントを残す


メモ - 以下の HTML タグと属性が利用できます。
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>