Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ポートを開けないVPN Tailscaleの話

Avatar for moyashi moyashi
March 21, 2026
Technology
120
0

ポートを開けないVPN Tailscaleの話

従来の外側ポートは不要。便利に使えるTailscaleの話。

Avatar for moyashi

moyashi

March 21, 2026

More Decks by moyashi

See All by moyashi
AWS SES VDMで 将来の配信事故を防げた話
Avatar for moyashi moyashi
0
1.3k
順番待ちWebサービス 「MATENE」を 有料化した話と サービスを続けられた理由
Avatar for moyashi moyashi
0
100
AIコーディングエージェントのはなし
Avatar for moyashi moyashi
0
140
機械学習で画像を分類してみた話
Avatar for moyashi moyashi
1
130
自分の学習データで画像生成AIを使ってみる話
Avatar for moyashi moyashi
2
970
メールを受信トレイに届けよう - Gmailガイドラインの話
Avatar for moyashi moyashi
3
890
Visual Studio Codeの使い方 基礎編
Avatar for moyashi moyashi
0
150
プログラミング支援AI GitHub Copilot すごいの話
Avatar for moyashi moyashi
0
5.1k
アナログ電話のナンバーディスプレイを安価にIT化する話
Avatar for moyashi moyashi
1
230

Other Decks in Technology

See All in Technology
AIはどのように 組織のアジリティを変えるのか?
Avatar for J.K junki
4
1.1k
iOS アプリの「これって不具合ですか?」を AI に調べてもらう
Avatar for Yuki Miida miichan
0
110
攻撃者視点で考えるDetection Engineering
Avatar for Ruslan Sayfiev cryptopeg
3
2k
2026 TECHFRESH 畢業分享會 - 開發日常大解密!從領域驅動到企業級上線
Avatar for LINE Developers Taiwan line_developers_tw
PRO
0
1.3k
現地で盛り上がった WWDC26 Keynote
Avatar for ZOZO Developers zozotech
PRO
1
270
IaC コードを資産へ:AWS CDK 社内ライブラリと横断展開 / aws-summit-japan-2026
Avatar for k.goto gotok365
9
1.3k
アンオフィシャルな、オフィシャルからのお願い
Avatar for wataru yamazaki (DevRel) wyamazak_devrel
0
140
LayerXにおけるセキュリティ管理の現在地と次の一手
Avatar for tosho tosho
0
250
GitHub Copilot app最速の発信の裏側
Avatar for tomokusaba tomokusaba
1
200
LayerX コーポレートエンジニアリング室におけるサプライチェーンセキュリティへの取り組み / Supply Chain Security at LayerX Corporate Engineering
Avatar for Yuya Takeyama yuyatakeyama
2
690
コミュニティの有益性 ~JAWS Days 2026 での体験を通して~ / The Benefits of a Community ~Through My Experience at JAWS Days 2026~
Avatar for shiro seike seike460
PRO
0
190
AWS Security Agent といっしょに脅威モデリングをやってみよう
Avatar for amarelo_n24 amarelo_n24
1
180

Featured

See All Featured
Writing Fast Ruby
Avatar for Erik Berlin sferik
630
63k
Navigating the moral maze — ethical principles for Al-driven product design
Avatar for Skipper Chong Warson skipperchong
2
390
DevOps and Value Stream Thinking: Enabling flow, efficiency and business value
Avatar for Helen Beal helenjbeal
1
240
Navigating Weather and Climate Data
Avatar for Ryan Abernathey rabernat
0
220
Beyond borders and beyond the search box: How to win the global "messy middle" with AI-driven SEO
Avatar for David Carrasco davidcarrasco
3
160
What does AI have to do with Human Rights?
Avatar for Per Axbom axbom
PRO
1
2.2k
First, design no harm
Avatar for Per Axbom axbom
PRO
2
1.2k
Save Time (by Creating Custom Rails Generators)
Avatar for Garrett Dimon garrettdimon
PRO
32
3.5k
Mind Mapping
Avatar for Hélio Medeiros helmedeiros
PRO
1
260
Typedesign – Prime Four
Avatar for Hannes Fritz hannesfritz
42
3.1k
Designing for Performance
Avatar for Lara Hogan lara
611
70k
How to make the Groovebox
Avatar for あそなす asonas
2
2.2k

Transcript

  1. ポートを開けないVPN Tailscaleの話

  2. もやし工房 石黒 光茂 @koike_moyashi mitsushige.ishiguro もやし工房

  3. 最近のランサムウェア被害 こわい

  4. 最近のランサムウェア被害 経路 VPN機器 62% リモートデス クトップ 22% その他 (メール・ USB、ソフ

    トなど) 16% ランサムウェアの感染経路6つを徹底解説 https://cyber.spool.co.jp/ransomware-infection-routes/ 2025 日本のデータ

  5. よくある侵入の流れ 経路 サーバを暗号化 社内ネットワークへ 横展開 装置へ侵入 (脆弱) $

  6. VPNの用途 • 社外→社内 • 拠点間通信 • メンテ • 社内→クラウド •

    外出先→自宅 などなど

  7. VPNの用途 • 社外→社内 • 拠点間通信 • メンテ • 社内→クラウド •

    外出先→自宅 などなど • リモート接続は必要 • 無くそうと思っても無くせない。

  8. そこで 2020年からサービス開始

  9. 従来VPNの構成

  10. 従来VPNの構成 VPNサーバ(機器 or ソフト)が必要

  11. 従来VPNの構成 ポート開放が必要(VPN接続の入口) = インターネット側に入口が必要 閉鎖ネットワーク内のVPNもあるけど...

  12. Tailscaleとは WireGuardと言うVPNプロトコルベースのメッシュVPN 「メッシュVPN」については後述

  13. Tailscaleの特徴 • P2P通信 • VPNサーバ不要 • NAT越え可能 • ポート開放不要

  14. Tailscaleの特徴 • P2P通信 • VPNサーバ不要 • NAT越え可能 • ポート開放不要 →

    外側のポートを開かずに使える

  15. NAT どうやって通信できるの? 社内PC 社内LAN ルータ/NAT インターネット 社外サーバ グローバルIPは一つ 「送信」した通信はいい感じに「戻って」来る インターネット側からは社内に入ってこれない

  16. NAT越え どうやって通信できるの? STEP1: 仲介サーバに接続 自分のグローバルIPとポートを伝える STEP4: 直接P2P通信

  17. NAT越え どうやって通信できるの? STEP2: それぞれの相手のグローバルIPとポートを伝える STEP4: 直接P2P通信

  18. NAT越え どうやって通信できるの? STEP3: 同時に通信開始(Hole Punch) STEP4: 直接P2P通信

  19. NAT越え どうやって通信できるの? STEP4: 直接P2P通信 STEP STEP4: P2Pで直接通信

  20. NAT越え NAT traversal └ UDP Hole Punching どうやって通信できるの? STEP1: 仲介サーバに接続

    自分のグローバルIPとポートを伝える STEP2: それぞれの相手のグローバルIPとポートを伝える STEP3: 同時に通信開始(Hole Punch) STEP4: 直接P2P通信

  21. DERPリレー どうやって通信できるの? • P2Pが使えない時に自動的に使われる • 毎回サーバを仲介する • 遅いけど(無料でも)容量制限無し • 公式のセルフホスト用プログラムもある(derper)

    • OSS版もある(headscale)

  22. その結果 従来型のVPNでは難しかった(面倒くさかった) • DS-Lite(IPv6回線 + IPv4はトンネル + CGNAT*) • MAP-E(

    IPv4 over IPv6+ CGNAT ) • IPv4 <-> IPv6 間 とかでもVPN接続できる。 ※ CGNAT : Carrier-Grade NAT。ISP内の巨大NAT

  23. 安全なの?? • エンドツーエンド暗号化。中継(DERP)でも復号不可 • WireGuardプロトコル モダン暗号のみ採用、コードが非常に少ない(数千行レベル) → バグや脆弱性が入りにくい • 管理者アカウントが突破されると終わり(SSO

    + MFA必須) • 別経路でクライアントがやられて、何か広がる(従来のLANやVPNも同じ) • Tailscale社への信頼

  24. このソフトをどこに入れる? 対象のサーバ/クライアント全てに入れる(推奨)→後述 • Linux • Windows • Mac 対象のサーバ/クライアント全てに入れる Tailscale

    Tailscale Tailscale

  25. 今までのVPN機器ぽい使い方 • Raspberry Piなど • Dockerコンテナ • OpenWRTルーター など 1台だけに入れる

    Tailscaleサブネットルータ

  26. 最近のNAS • Synology、QNAPとかは公式アプリに入ってる • 先ほどのサブネットルータにもできる 外から共有ドライブをみたいだけとかなら

  27. クライアント スマートフォンの公式アプリもある Tailscale ✕ スマホでLAN内のAIエージェントに指示する的なのも良く見る

  28. できること • 外部(スマホも含む)→内部サーバ、PC接続 • 拠点間接続 • 内部PC→内部サーバの接続 • 内部サーバ同士

  29. アクセス制御 • ユーザ ✕ 接続先 その他にグループやタグでまとめるのもある { "acls": [ {

    "action": "accept", "src": ["[email protected]"], "dst": ["server1:22"] }, { "action": "accept", "src": ["[email protected]"], "dst": ["server2:80"] } ] }

  30. できること • 外部(スマホも含む)→内部サーバ、PC接続 • 拠点間接続 • 内部PC→内部サーバの接続 • 内部サーバ同士

  31. ゼロトラスト 「社内ネットワークだから信用する」をやめて、 毎回ユーザーと端末を確認してから接続させる 現実的にはフルメッシュはきついので、 対サーバの通信だけtailscale使うとか.. クライアント サーバA サーバB メッシュ状のVPN

  32. クラウドのサーバにTailscale入れて接続とかも便利(外部ポートは開けない)

  33. 価格 • 無料プラン : 最大3ユーザ、100台 • 有料プラン : 1アクティブユーザ $6/月

    拠点間などは1ユーザでできる(多分) 気になるお値段

  34. まとめ • VPN用のポート開放不要、NAT越えが強い • 個人で使う分には無料プランで便利、スマホ対応 • 従来のVPNのメンテナンスコストと信頼度 vs Tailscaleの信頼度 •

    これ入れればランサムウェア被害を受けない と言うわけではない 小規模、個人では結構便利に使える