オンライン授業とVPN 1.【基礎編】
VPNとインターネットの基礎知識
NetSupport Schoolは、先生方が生徒(学生)さんのPC画面をリアルタイムでモニタリングして学習状況をチェックしたり、授業や宿題に使うファイルの配布・回収を行ったりと、PCを使った授業に便利な機能が満載の、授業支援ソフトウェアです。
ここでご紹介する「VPN」を利用すると、NetSupport Schoolを教室の中で利用するのと同様に、オンライン授業(在宅学習)でもお使いいただけるようになります。
この記事では、VPNを使うと何ができるのか、そもそもVPNとは何なのか…そんな疑問にお答えします。
1. VPNとは? なぜ必要?
新型コロナウイルス禍を機に、校内、あるいは自宅にいる先生が、各家庭にいる生徒を対象に授業を行う「オンライン授業」が行われるようになりましたが、これまでオンライン授業の実現手段としては、主に「Zoom」に代表されるWeb会議システムが応用されてきました。
Zoomをオンライン授業に利用する場合、参加者がどこから接続するかを考える必要はありません。Zoomには、離れたLAN(ローカルエリアネットワーク=学校や職場、家庭などの範囲内にあるPCを接続するためのネットワーク)上にある端末どうしを結びつける中間サーバーがあるからですが、その存在も意識する必要はありません。
一方、NetSupport School(以下、NSS)は、ICT教育(ICT授業)を行う教室において、LANで接続されたPCを端末として用いて授業を行う目的で開発されており、Zoomのように離れた場所にあるPC(異なるLANに接続されているPC)同士を接続することは想定されていません。
校内、すなわちLANの内部にある端末に割り当てられているPCと、学校の外、つまり先生や生徒の自宅にある端末を接続することは、そのままではできません。
では、校内のLANにあるNSSを使って、オンライン授業を実現する手段はないのでしょうか?
その実現手段こそが「VPN」です。
VPNはVirtual Private Networkの略で、日本語では「仮想プライベートネットワーク」と訳されることが多いようです。
ざっくり言えば、学校、事業所などのプライベートネットワーク(ここではLANの別名と考えてください)に、自宅などネットワークの外から入れるようにする技術的手段です。
VPNを用いることで、LANの外側にある端末どうしが同一の仮想的(擬似的)なLAN上で接続されることになり、NSSのようなLANを前提としているアプリケーションソフトウェアを、LANの外にある端末との間で利用できるようになります。端末機器と目的のLANの間の接続経路(トンネルと呼びます)は暗号化されるのが一般的なので、中間地点でデータが盗まれることもありません。
つまり、「VPNがあれば、NSSでオンライン授業ができる」ということです。
VPNにはいろいろな実現方法がありますが、どの方法であれ、VPNの本体ともいえる「VPNサーバー」が必要です。
学校などでは学校専用のVPNサーバーの構築(「サーバーを立てる」と表現します)が、管理やセキュリティの面からも唯一の方法です。
また、学校の外からVPNに参加するPC、つまり先生や生徒が各家庭で使用している端末上に、「VPNクライアント」と呼ばれる機能の設定(またはインストール)を行う必要もあります。
2. VPNの前提知識 – インターネットとLANについて
VPNを理解するのに欠かせないのが、インターネットとLANの基本的な知識です。
今ではある程度普遍化しているとは思いますし、ここで紹介する程度の内容は理解されている方も多いかと思いますが、おさらいとしてご一読いただければ幸いです。
ほとんどの家庭や学校では、ルーター(「ホームゲートウェイ」「(インターネット)モデム」など他の名称で呼ばれることもありますが、以下、ルーターと総称)を使ってケーブルやWi-Fi(無線)でインターネット接続を共有していると思います。
厳密な意味でのインターネット接続は、「グローバルIPアドレス」と呼ばれる、全世界と疎通可能な「アドレス(住所)」が、端末機器(PC、タブレット、スマートフォン、スマートスピーカー、動画視聴用機器など。以下「端末」と呼びます)に割り当てられることで実現されています。このアドレスは、インターネット接続業者(プロバイダー)から割り当てられます。
しかし、グローバルIPアドレス(※)の数には限りがあり、家庭内にある複数の端末に1個1個割り当てるには足りません。
※インターネット接続に利用されるIPアドレスとして現在も一般的な「グローバルIPv4アドレス」を指します。近年導入が進みつつある「IPv6」というアドレス体系なら、数はほぼ無限なのですが、今回はIPv6に関する詳細な解説は省略します。
なお、ここ数年で国内のフレッツ光回線における高速なインターネット接続として急速に広まっている「IPv4 over IPv6」という技術を利用する場合、ポート開放(後述)ができない(DS-Lite方式=transix, Xpassなど)か、開放できるポートの数と番号が限られる(MAP-E方式=v6プラス、OCNバーチャルコネクトなど)ため、この記事で解説するVPNの構築が困難になる場合があります。
そこで、1つのグローバルIPアドレスを複数の端末で共有するために提供されるのが、ルーターです。
多くの家庭用ルーターにはPCなどをケーブル(LANケーブル)で直接接続するための「LAN端子」が付いていますが、最近はケーブルを使わずWi-Fi(無線)だけで接続していることも多いでしょう。ケーブルの有無に関係なく、ルーターを介して1台以上のPCやスマホなど(以下、インターネット端末または単に端末)がつながっている状態こそが、「LAN(ローカルエリアネットワーク)」です。ちなみにLANに対して、グローバルIPアドレスの割り当てられるネットワーク(外からルーターまでのインターネット網)を「WAN(ワイドエリアネットワーク)」と呼びます。
LAN上であっても、端末ごとにはIPアドレスが必要です。LAN上では「プライベートIPアドレス」という、そのLANの中だけで有効なIPアドレスを利用します。
IPアドレス(IPv4)は0.0.0.0から255.255.255.255まであり、その多くはインターネット上で疎通できるユニークなアドレスなのですが、いくつかの範囲がインターネットと直接疎通できない、LANのためのプライベートIPアドレスに割り当てられています。
多くのルーターでは、「192.168.x.y」というIPアドレスが端末ごとに割り当てられることになっています。この192.168.x.y(192.168.0.0~192.168.255.255)がプライベートIPアドレスとして代表的なものです(範囲は他にもあります)。
xもyも0から255までの256個ですが、xはルーターごとに初期設定で特定の1つの数字に決まっています(変更も可能)。
yも256個で(※)端末ごとに割り当てられ、1はルーター自身(これも大抵は変更可能)、0と255は端末には使えないので、一般に2から254までの253個が、ルーター1台(1つのLAN)あたりの割り当て可能なIPアドレス数です。
※yで表す256個のネットワーク範囲を「サブネット」と呼び、1つのLANを指します。LANの設定では「255.255.255.0」のように範囲を指定しますが、この範囲指定形式を「サブネットマスク」と呼び、例えば「255.255.255.0」は256個(端末数はルーターを含め254個)、「255.255.255.240」とした場合は16個(同、14個)になります。
プライベートIPアドレスは使える範囲が決まっている上に、そのLANの中でだけ使えればよいので、同じアドレス範囲を持つLANはあちこちに存在することになります。ひょっとしたら隣の家や会社でも、同じ192.168.0.xというアドレス体系を持ったLANが動いているかもしれません。しかし、それぞれ別々のLANですから、自分の家の192.168.0.x配下の端末と、隣の家の192.168.0.xにあるそれは、互いに疎通し合うことはありません。
ルーターは、1つのグローバルIPアドレスを、ルーター配下にある各端末で共有するために、グローバルとプライベートの間でアドレス変換(NAT=ネットワークアドレス変換)を行うほか、LAN上の端末を相互に接続する役割(「ハブ」といいます)も持っています。
LANに接続している端末からは、ブラウザなどを使ってインターネット側のWebサイトなどが見られるようになります。LANに接続している端末が2台以上なら、相互にファイル(文書、写真など)を共有することも可能です(ただし、主にプライバシー上の理由から、共有を許可する設定を行わないとファイル共有はできません)。
なお、端末でインターネットを使えるようにするには、同じLAN上で端末ごとに重複しないIPアドレスを割り当てる必要があります。この割り当てを自動的に行うルーターの機能を「DHCP」といい、ルーターだけでなくインターネットプロバイダーやスマートフォンの通信キャリアでも、端末へのIPアドレス割り当てにはDHCPを使っています。
現在のインターネット端末は、DHCPによってルーターから自動的にIPアドレスを受け取る設定が一般的です。普段LANとかIPアドレスなどの存在を一切意識しなくてもインターネットが使えるのは、DHCPのおかげといえます。
ルーターの設定で、IPアドレス以外に留意すべきものとして「ポート」の存在があります。
ポートとはプライベートIPアドレス(ルーターの内側にあるLAN)にあるプログラムが、グローバルIPアドレス(インターネット)との通信に利用するアクセス先で、TCP、UDP、IPなどの種類があります。多くのプログラムでは利用するポートが決まっていて、「ウェルノウンポート(既知のポート)」と呼ばれます。例えばWebサーバーではTCP 80(HTTP)と443(HTTPS)番で、もし変更するとWebブラウザからのアクセスに工夫が必要になってきます。
代表的なVPNである「L2TP/IPsec」では、UDP 500/1701/4500、IP(ESP) 50の計4つのウェルノウンポートと決まっていますが、これはLAN内にL2TP/IPsec 方式のVPNを立てる場合、これらのポートをインターネット側から見られるように設定することが不可欠、ということです。後で説明しますが、俗に「ポート開放」と呼ばれる設定で、ルーターで行います。
以上、VPNとその前提となるLANについての基礎的なお話でした。
次の記事では、いくつもの種類があるVPNの中から何を選ぶべきかと、VPNの構築にあたって準備すべき事柄をご紹介します。