VPN接続はルーターのファイアウォールをバイパスしますか？

Question

私は最近VPNプロバイダーを調べており、 Vypyr VPN が firewall を追加の月額料金で提供していることに気付きました。ファイアウォールのページには次のように書かれています。

VyprVPNに接続すると、ワイヤレスルーターを通過して、インターネットへの専用接続が確立されます。この接続は共有されないため、...要求されていない受信スキャンはブロックされなくなりました。

[〜＃〜] hma [〜＃〜] は私が見ていた別のプロバイダーであり、ファイアウォールについての言及がないことに気付きました。それで私はそれらを撃ち、電子メールを送り次の応答を得た：

VPNはOS /ルーターのファイアウォールをバイパスしません。また、VPNはファイアウォールとしても機能しません。アドオンファイアウォールサービスは提供しておりません。マルウェアや侵入を防ぐには、優れたアンチウイルス/ファイアウォール保護スイートが必要です。

それで、誰が正しいのですか？ VPN接続はルーターのファイアウォールをバイパスしますか？ Vypyrのサイトを間違って読んだだけですか？

wolfgangsz · Accepted Answer

VPN自体はファイアウォールをバイパスせず、ファイアウォールを「トンネル」します。これを詳しく説明してみます。

コンピュータがコンテンツを取得したい場合。特定のWebページでは、HTTPリクエストを作成します。このパケットはTCPパケットにラップされ、Webサイトの名前はIPアドレスに解決され、TCPパケットはIPレイヤーに渡されますルーティング用。IPレイヤーは、IPアドレスとそのルーティングテーブルに基づいて、パケットの送信先（通常はデフォルトゲートウェイであるネクストホップルーター）を決定します。これは、TCPパケットをIPデータグラムに入れ、ネクストホップルーターのMACアドレスをIPデータグラムに入れ、イーサネットインターフェイスに渡します。イーサネットインターフェイスは、シバン全体を回線に送信します。

ファイアウォールは、この機械全体のIP層で機能します（通常、通常は機能します）。通常のSOHOルーター/ゲートウェイ/モデムデバイスには、発信接続とこれらの戻りパケットを許可するファイアウォールがあります。

VPN接続を確立するとどうなりますか？ VPNクライアントは、別の場所にあるVPNサーバーへの接続を作成します。重要な部分は、ルーティングテーブルも変更することです。これにより、一般に、IP層が発信トラフィックのすべてまたは一部を、直接インターフェイスからではなくVPNクライアントにルーティングするようになります。次に、VPNクライアントは、IPデータグラム全体を別のTCP=パケットにラップし（この正確な瞬間に、元のパケットはIPレイヤーから事実上見えなくなります）、このパケットはVPNサーバーに送信されます。（それをアンラップしてから渡します）。

これの正味の効果は「トンネル」の効果です。通常パケットに適用されるファイアウォールおよびルーティングルールは、VPN接続を介してパケットをプッシュすることによって「バイパス」されます。つまり、VPNトンネルが[〜＃〜] all [〜＃〜]発信トラフィックを処理する場合、SOHOルーターで適用されている保護メカニズムは無効になります。

これが、このコンテキストでの「バイパス」の意味を説明しているといいのですが。

womble · Answer

最大のlulzの場合、それらは両方間違っています-両方とも正しいです。

VPNは、ファイアウォールルールがブロックするように設計されていないように見えるため、中間ファイアウォールによってブロックされた可能性のあるトラフィックが通過することを許可します。たとえば、ファイアウォールが内部マシン宛てのすべての着信接続をブロックするように構成されている場合、トラフィックがVPNにカプセル化されている場合、そのトラフィックはnotファイアウォールによってブロックされます。ファイアウォールの観点からは、VPNトラフィックのように見えます。

一方、ファイアウォールは、VPNトラフィック自体をブロックするように構成されている場合（つまり、VPNトラフィックis）に関係なく、VPNトラフィック自体をブロックするルールを持つことができます（つまり、VPN機能しません）-そのため、ファイアウォールルールに注意する必要があります。

また、VPNエンドポイントのファイアウォールは、VPNトンネルから出て通常のトラフィックになるときにトラフィックを見ることができるため、トラフィックに影響を与える可能性があります。 Vypyrのファイアウォールサービスは、トラフィックがVPNに入り、エンドポイントに到達する前にフィルターをかけるものであり、そのトラフィックを最後までドロップするためだけに運ぶコストを節約できるものだと思います。

pjc50 · Answer

「ルーターのファイアウォールをバイパスしません。」少なくとも、「バイパス」を直感的に理解するためには間違っています。得られるのは、直接ネットワークに接続されているように見える、コンピューター上のネットワークインターフェイスです。したがって、OSファイアウォールが適用されていると思いましたが、ルーターはパケットを認識できません。 Vyprは正しいです。