Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ポートを開けないVPN Tailscaleの話
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
moyashi
March 21, 2026
Technology
100
0
Share
ポートを開けないVPN Tailscaleの話
従来の外側ポートは不要。便利に使えるTailscaleの話。
moyashi
March 21, 2026
More Decks by moyashi
See All by moyashi
AWS SES VDMで 将来の配信事故を防げた話
moyashi
0
1.3k
順番待ちWebサービス 「MATENE」を 有料化した話と サービスを続けられた理由
moyashi
0
99
AIコーディングエージェントのはなし
moyashi
0
130
機械学習で画像を分類してみた話
moyashi
1
130
自分の学習データで画像生成AIを使ってみる話
moyashi
2
970
メールを受信トレイに届けよう - Gmailガイドラインの話
moyashi
3
890
Visual Studio Codeの使い方 基礎編
moyashi
0
140
プログラミング支援AI GitHub Copilot すごいの話
moyashi
0
5.1k
アナログ電話のナンバーディスプレイを安価にIT化する話
moyashi
1
230
Other Decks in Technology
See All in Technology
ルールやカスタム機能、どう使う?理想の出力を引き出すために今知りたいIBM Bob 5つの機能
muehara
0
160
AI時代の私の技術インプットとアウトプット術
tonkotsuboy_com
15
8.1k
APIテストとは?
nagix
0
160
はじめてのDatadog
kairim0
0
240
美味しいスイスチーズを作ろう🧀🐭
taigamikami
1
190
ポスター発表&デモと総括 / Poster Presentations & Demonstrations and Summary
ks91
PRO
0
180
テストコードのないプロジェクトにテストを根付かせる
tttol
1
240
Oracle AI Database@Google Cloud:サービス概要のご紹介
oracle4engineer
PRO
6
1.5k
ITエンジニアを取り巻く環境とキャリアパス / A career path for Japanese IT engineers
takatama
4
1.8k
Oracle Cloud Infrastructure:2026年5月度サービス・アップデート
oracle4engineer
PRO
1
280
Claude Codeですべての日常業務を爆速化しよう!
minorun365
PRO
17
16k
自称宇宙最速で不合格となったAIP-C01にリベンジを果たすべくAIで問題集アプリを作ってみた。
yama3133
0
250
Featured
See All Featured
Balancing Empowerment & Direction
lara
6
1.1k
SEO for Brand Visibility & Recognition
aleyda
0
4.6k
Large-scale JavaScript Application Architecture
addyosmani
515
110k
A brief & incomplete history of UX Design for the World Wide Web: 1989–2019
jct
2
380
YesSQL, Process and Tooling at Scale
rocio
174
15k
DBのスキルで生き残る技術 - AI時代におけるテーブル設計の勘所
soudai
PRO
65
55k
Optimizing for Happiness
mojombo
378
71k
Design of three-dimensional binary manipulators for pick-and-place task avoiding obstacles (IECON2024)
konakalab
0
440
Leadership Guide Workshop - DevTernity 2021
reverentgeek
1
290
Money Talks: Using Revenue to Get Sh*t Done
nikkihalliwell
0
240
Embracing the Ebb and Flow
colly
88
5.1k
Building the Perfect Custom Keyboard
takai
2
780
Transcript
ポートを開けないVPN Tailscaleの話
もやし工房 石黒 光茂 @koike_moyashi mitsushige.ishiguro もやし工房
最近のランサムウェア被害 こわい
最近のランサムウェア被害 経路 VPN機器 62% リモートデス クトップ 22% その他 (メール・ USB、ソフ
トなど) 16% ランサムウェアの感染経路6つを徹底解説 https://cyber.spool.co.jp/ransomware-infection-routes/ 2025 日本のデータ
よくある侵入の流れ 経路 サーバを暗号化 社内ネットワークへ 横展開 装置へ侵入 (脆弱) $
VPNの用途 • 社外→社内 • 拠点間通信 • メンテ • 社内→クラウド •
外出先→自宅 などなど
VPNの用途 • 社外→社内 • 拠点間通信 • メンテ • 社内→クラウド •
外出先→自宅 などなど • リモート接続は必要 • 無くそうと思っても無くせない。
そこで 2020年からサービス開始
従来VPNの構成
従来VPNの構成 VPNサーバ(機器 or ソフト)が必要
従来VPNの構成 ポート開放が必要(VPN接続の入口) = インターネット側に入口が必要 閉鎖ネットワーク内のVPNもあるけど...
Tailscaleとは WireGuardと言うVPNプロトコルベースのメッシュVPN 「メッシュVPN」については後述
Tailscaleの特徴 • P2P通信 • VPNサーバ不要 • NAT越え可能 • ポート開放不要
Tailscaleの特徴 • P2P通信 • VPNサーバ不要 • NAT越え可能 • ポート開放不要 →
外側のポートを開かずに使える
NAT どうやって通信できるの? 社内PC 社内LAN ルータ/NAT インターネット 社外サーバ グローバルIPは一つ 「送信」した通信はいい感じに「戻って」来る インターネット側からは社内に入ってこれない
NAT越え どうやって通信できるの? STEP1: 仲介サーバに接続 自分のグローバルIPとポートを伝える STEP4: 直接P2P通信
NAT越え どうやって通信できるの? STEP2: それぞれの相手のグローバルIPとポートを伝える STEP4: 直接P2P通信
NAT越え どうやって通信できるの? STEP3: 同時に通信開始(Hole Punch) STEP4: 直接P2P通信
NAT越え どうやって通信できるの? STEP4: 直接P2P通信 STEP STEP4: P2Pで直接通信
NAT越え NAT traversal └ UDP Hole Punching どうやって通信できるの? STEP1: 仲介サーバに接続
自分のグローバルIPとポートを伝える STEP2: それぞれの相手のグローバルIPとポートを伝える STEP3: 同時に通信開始(Hole Punch) STEP4: 直接P2P通信
DERPリレー どうやって通信できるの? • P2Pが使えない時に自動的に使われる • 毎回サーバを仲介する • 遅いけど(無料でも)容量制限無し • 公式のセルフホスト用プログラムもある(derper)
• OSS版もある(headscale)
その結果 従来型のVPNでは難しかった(面倒くさかった) • DS-Lite(IPv6回線 + IPv4はトンネル + CGNAT*) • MAP-E(
IPv4 over IPv6+ CGNAT ) • IPv4 <-> IPv6 間 とかでもVPN接続できる。 ※ CGNAT : Carrier-Grade NAT。ISP内の巨大NAT
安全なの?? • エンドツーエンド暗号化。中継(DERP)でも復号不可 • WireGuardプロトコル モダン暗号のみ採用、コードが非常に少ない(数千行レベル) → バグや脆弱性が入りにくい • 管理者アカウントが突破されると終わり(SSO
+ MFA必須) • 別経路でクライアントがやられて、何か広がる(従来のLANやVPNも同じ) • Tailscale社への信頼
このソフトをどこに入れる? 対象のサーバ/クライアント全てに入れる(推奨)→後述 • Linux • Windows • Mac 対象のサーバ/クライアント全てに入れる Tailscale
Tailscale Tailscale
今までのVPN機器ぽい使い方 • Raspberry Piなど • Dockerコンテナ • OpenWRTルーター など 1台だけに入れる
Tailscaleサブネットルータ
最近のNAS • Synology、QNAPとかは公式アプリに入ってる • 先ほどのサブネットルータにもできる 外から共有ドライブをみたいだけとかなら
クライアント スマートフォンの公式アプリもある Tailscale ✕ スマホでLAN内のAIエージェントに指示する的なのも良く見る
できること • 外部(スマホも含む)→内部サーバ、PC接続 • 拠点間接続 • 内部PC→内部サーバの接続 • 内部サーバ同士
アクセス制御 • ユーザ ✕ 接続先 その他にグループやタグでまとめるのもある { "acls": [ {
"action": "accept", "src": ["
[email protected]
"], "dst": ["server1:22"] }, { "action": "accept", "src": ["
[email protected]
"], "dst": ["server2:80"] } ] }
できること • 外部(スマホも含む)→内部サーバ、PC接続 • 拠点間接続 • 内部PC→内部サーバの接続 • 内部サーバ同士
ゼロトラスト 「社内ネットワークだから信用する」をやめて、 毎回ユーザーと端末を確認してから接続させる 現実的にはフルメッシュはきついので、 対サーバの通信だけtailscale使うとか.. クライアント サーバA サーバB メッシュ状のVPN
クラウドのサーバにTailscale入れて接続とかも便利(外部ポートは開けない)
価格 • 無料プラン : 最大3ユーザ、100台 • 有料プラン : 1アクティブユーザ $6/月
拠点間などは1ユーザでできる(多分) 気になるお値段
まとめ • VPN用のポート開放不要、NAT越えが強い • 個人で使う分には無料プランで便利、スマホ対応 • 従来のVPNのメンテナンスコストと信頼度 vs Tailscaleの信頼度 •
これ入れればランサムウェア被害を受けない と言うわけではない 小規模、個人では結構便利に使える
SiteGround - Reliable hosting with speed, security, and support you can count on.
moyashi
muehara
tonkotsuboy_com
nagix
kairim0
taigamikami
ks91
tttol
oracle4engineer
takatama
minorun365
yama3133
lara
aleyda
addyosmani
jct
rocio
soudai
mojombo
konakalab
reverentgeek
nikkihalliwell
colly
takai
