Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ポートを開けないVPN Tailscaleの話
Search
moyashi
March 21, 2026
Technology
120
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
ポートを開けないVPN Tailscaleの話
従来の外側ポートは不要。便利に使えるTailscaleの話。
moyashi
March 21, 2026
More Decks by moyashi
See All by moyashi
AWS SES VDMで 将来の配信事故を防げた話
moyashi
0
1.3k
順番待ちWebサービス 「MATENE」を 有料化した話と サービスを続けられた理由
moyashi
0
110
AIコーディングエージェントのはなし
moyashi
0
140
機械学習で画像を分類してみた話
moyashi
1
130
自分の学習データで画像生成AIを使ってみる話
moyashi
2
970
メールを受信トレイに届けよう - Gmailガイドラインの話
moyashi
3
900
Visual Studio Codeの使い方 基礎編
moyashi
0
150
プログラミング支援AI GitHub Copilot すごいの話
moyashi
0
5.1k
アナログ電話のナンバーディスプレイを安価にIT化する話
moyashi
1
240
Other Decks in Technology
See All in Technology
AWS Summit の片隅で、体育座りしながらコミュニティがにぎわう理由を考えた
k_adachi_01
2
330
GitHub Copilot運用のリアル ~AI Credit時代にどう向き合うか~
takafumisu2uk1
0
590
『AIに負けない』より『AIと遊ぶ』」〜ワクワクが最強のテスト・QA学習戦略_公開用
odan611
1
320
サイバーエージェントにおけるAI推進戦略と変革への取り組み
shotatsuge
0
660
「ビジネスがわかるエンジニア」とは何か?
ryooob
0
440
“詰む”前に仕組みを作れ 〜技術の波に溺れないためのキャッチアップ術〜
takasyou
8
4.8k
攻撃者がいなくてもAIエージェントはインシデントを起こす
nomizone
0
180
デジタル・デザイン構想 by Sayaka Ishizuka
y150saya
0
170
クラウドファンディング版StackChan 3体(4体)をインタラクティブな体験型作品にして展示もした話 / スタックチャンお誕生日会2026
you
PRO
0
270
SRE歴2ヶ月でも開発6年の知見を活かして、チームで止まっていた環境改善を前に進めた話
a_ono
0
170
AI・ロボティクスと自動化社会 / AI, Robotics, and the Automated Society
ks91
PRO
0
130
AWS Blocks を触ってみた/first-tach-aws-blocks
fossamagna
2
100
Featured
See All Featured
How GitHub (no longer) Works
holman
316
150k
Six Lessons from altMBA
skipperchong
29
4.3k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
PRO
201
75k
Tips & Tricks on How to Get Your First Job In Tech
honzajavorek
1
550
Large-scale JavaScript Application Architecture
addyosmani
515
110k
技術選定の審美眼(2025年版) / Understanding the Spiral of Technologies 2025 edition
twada
PRO
118
120k
The #1 spot is gone: here's how to win anyway
tamaranovitovic
3
1.1k
Data-driven link building: lessons from a $708K investment (BrightonSEO talk)
szymonslowik
1
1.1k
Navigating Weather and Climate Data
rabernat
0
260
The MySQL Ecosystem @ GitHub 2015
samlambert
251
13k
Ten Tips & Tricks for a 🌱 transition
stuffmc
0
150
The browser strikes back
jonoalderson
0
1.3k
Transcript
ポートを開けないVPN Tailscaleの話
もやし工房 石黒 光茂 @koike_moyashi mitsushige.ishiguro もやし工房
最近のランサムウェア被害 こわい
最近のランサムウェア被害 経路 VPN機器 62% リモートデス クトップ 22% その他 (メール・ USB、ソフ
トなど) 16% ランサムウェアの感染経路6つを徹底解説 https://cyber.spool.co.jp/ransomware-infection-routes/ 2025 日本のデータ
よくある侵入の流れ 経路 サーバを暗号化 社内ネットワークへ 横展開 装置へ侵入 (脆弱) $
VPNの用途 • 社外→社内 • 拠点間通信 • メンテ • 社内→クラウド •
外出先→自宅 などなど
VPNの用途 • 社外→社内 • 拠点間通信 • メンテ • 社内→クラウド •
外出先→自宅 などなど • リモート接続は必要 • 無くそうと思っても無くせない。
そこで 2020年からサービス開始
従来VPNの構成
従来VPNの構成 VPNサーバ(機器 or ソフト)が必要
従来VPNの構成 ポート開放が必要(VPN接続の入口) = インターネット側に入口が必要 閉鎖ネットワーク内のVPNもあるけど...
Tailscaleとは WireGuardと言うVPNプロトコルベースのメッシュVPN 「メッシュVPN」については後述
Tailscaleの特徴 • P2P通信 • VPNサーバ不要 • NAT越え可能 • ポート開放不要
Tailscaleの特徴 • P2P通信 • VPNサーバ不要 • NAT越え可能 • ポート開放不要 →
外側のポートを開かずに使える
NAT どうやって通信できるの? 社内PC 社内LAN ルータ/NAT インターネット 社外サーバ グローバルIPは一つ 「送信」した通信はいい感じに「戻って」来る インターネット側からは社内に入ってこれない
NAT越え どうやって通信できるの? STEP1: 仲介サーバに接続 自分のグローバルIPとポートを伝える STEP4: 直接P2P通信
NAT越え どうやって通信できるの? STEP2: それぞれの相手のグローバルIPとポートを伝える STEP4: 直接P2P通信
NAT越え どうやって通信できるの? STEP3: 同時に通信開始(Hole Punch) STEP4: 直接P2P通信
NAT越え どうやって通信できるの? STEP4: 直接P2P通信 STEP STEP4: P2Pで直接通信
NAT越え NAT traversal └ UDP Hole Punching どうやって通信できるの? STEP1: 仲介サーバに接続
自分のグローバルIPとポートを伝える STEP2: それぞれの相手のグローバルIPとポートを伝える STEP3: 同時に通信開始(Hole Punch) STEP4: 直接P2P通信
DERPリレー どうやって通信できるの? • P2Pが使えない時に自動的に使われる • 毎回サーバを仲介する • 遅いけど(無料でも)容量制限無し • 公式のセルフホスト用プログラムもある(derper)
• OSS版もある(headscale)
その結果 従来型のVPNでは難しかった(面倒くさかった) • DS-Lite(IPv6回線 + IPv4はトンネル + CGNAT*) • MAP-E(
IPv4 over IPv6+ CGNAT ) • IPv4 <-> IPv6 間 とかでもVPN接続できる。 ※ CGNAT : Carrier-Grade NAT。ISP内の巨大NAT
安全なの?? • エンドツーエンド暗号化。中継(DERP)でも復号不可 • WireGuardプロトコル モダン暗号のみ採用、コードが非常に少ない(数千行レベル) → バグや脆弱性が入りにくい • 管理者アカウントが突破されると終わり(SSO
+ MFA必須) • 別経路でクライアントがやられて、何か広がる(従来のLANやVPNも同じ) • Tailscale社への信頼
このソフトをどこに入れる? 対象のサーバ/クライアント全てに入れる(推奨)→後述 • Linux • Windows • Mac 対象のサーバ/クライアント全てに入れる Tailscale
Tailscale Tailscale
今までのVPN機器ぽい使い方 • Raspberry Piなど • Dockerコンテナ • OpenWRTルーター など 1台だけに入れる
Tailscaleサブネットルータ
最近のNAS • Synology、QNAPとかは公式アプリに入ってる • 先ほどのサブネットルータにもできる 外から共有ドライブをみたいだけとかなら
クライアント スマートフォンの公式アプリもある Tailscale ✕ スマホでLAN内のAIエージェントに指示する的なのも良く見る
できること • 外部(スマホも含む)→内部サーバ、PC接続 • 拠点間接続 • 内部PC→内部サーバの接続 • 内部サーバ同士
アクセス制御 • ユーザ ✕ 接続先 その他にグループやタグでまとめるのもある { "acls": [ {
"action": "accept", "src": ["
[email protected]
"], "dst": ["server1:22"] }, { "action": "accept", "src": ["
[email protected]
"], "dst": ["server2:80"] } ] }
できること • 外部(スマホも含む)→内部サーバ、PC接続 • 拠点間接続 • 内部PC→内部サーバの接続 • 内部サーバ同士
ゼロトラスト 「社内ネットワークだから信用する」をやめて、 毎回ユーザーと端末を確認してから接続させる 現実的にはフルメッシュはきついので、 対サーバの通信だけtailscale使うとか.. クライアント サーバA サーバB メッシュ状のVPN
クラウドのサーバにTailscale入れて接続とかも便利(外部ポートは開けない)
価格 • 無料プラン : 最大3ユーザ、100台 • 有料プラン : 1アクティブユーザ $6/月
拠点間などは1ユーザでできる(多分) 気になるお値段
まとめ • VPN用のポート開放不要、NAT越えが強い • 個人で使う分には無料プランで便利、スマホ対応 • 従来のVPNのメンテナンスコストと信頼度 vs Tailscaleの信頼度 •
これ入れればランサムウェア被害を受けない と言うわけではない 小規模、個人では結構便利に使える