LinuCレベル3 303試験の例題と解説
328.4仮想プライベートネットワーク(VPN)
■トピックの概要
このトピックの内容は以下の通りです。
<328.4 仮想プライベートネットワーク(VPN)>
重要度 3
<説明>
OpenVPNの使用方法に精通していること。
<主要な知識範囲>
・OpenVPNの設定及び使用方法
<重要なファイル、用語、ユーティリティ>
・/etc/openvpn/
・openvpn サーバ及びクライアント
■例題
OpenVPNの説明として間違っているものを選びなさい。
1. OpenVPNはSSLを使用したVPNである
2. OpenVPNはL2およびL3でのVPNが実現できる
3. OpenVPNはクライアント証明書をサポートしている
4. OpenVPNはルーターを経由して利用できない
※この例題は実際のLinuC試験とは異なります。
解答と解説
答えは4. OpenVPNはルーターを経由して利用できない です。
OpenVPNではサーバーとクライアントの間でVPNを構築しますが、ブリッジモードだとL2、ルーティングモードだとL3の層で動作することになります。どちらが優れているというわけではありませんが、たとえばWindowsネットワークのファイル共有のようにL2でのブロードキャストを使用する仕組みをそのまま使いたい場合にはL2のブリッジモードなど、目的に応じた選択が必要になります。
OpenVPNの認証方式はいくつかありますが、接続させたいクライアントに証明書を用意するクライアント証明書方式が扱いやすいでしょう。クライアント証明書はクライアント毎に発行することも、共通で使用できるクライアント証明書を発行することもできます。不特定多数から接続したいユーザーだけを絞り込みたい場合には、都度クライアント証明書を発行する方が、アクセス許可を取り消したい場合に個別の取り消しで良いので管理がしやすくなります。
OpenVPNはSSLを利用していることでも分かる通り、HTTPS同様ルーターを経由して利用することもできます。また、OpenVPNサーバーをルーター(ファイアーウォール)の内側に配置したい場合には、ルーターで外部から内部への逆方向のアドレス変換(逆方向のNAT)を設定して接続を許可することもできます。このあたりの構成はセキュリティをどの程度守るべきか、セキュリティポリシーとの兼ね合いで調整しながら検討する必要があるでしょう。