Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ポートを開けないVPN Tailscaleの話
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
moyashi
March 21, 2026
Technology
0
10
ポートを開けないVPN Tailscaleの話
従来の外側ポートは不要。便利に使えるTailscaleの話。
moyashi
March 21, 2026
Tweet
Share
More Decks by moyashi
See All by moyashi
AWS SES VDMで 将来の配信事故を防げた話
moyashi
0
740
順番待ちWebサービス 「MATENE」を 有料化した話と サービスを続けられた理由
moyashi
0
62
AIコーディングエージェントのはなし
moyashi
0
110
機械学習で画像を分類してみた話
moyashi
1
110
自分の学習データで画像生成AIを使ってみる話
moyashi
2
900
メールを受信トレイに届けよう - Gmailガイドラインの話
moyashi
3
870
Visual Studio Codeの使い方 基礎編
moyashi
0
130
プログラミング支援AI GitHub Copilot すごいの話
moyashi
0
4.9k
アナログ電話のナンバーディスプレイを安価にIT化する話
moyashi
1
220
Other Decks in Technology
See All in Technology
コンテキスト・ハーネスエンジニアリングの現在
hirosatogamo
PRO
3
460
スクリプトの先へ!AIエージェントと組み合わせる モバイルE2Eテスト
error96num
0
180
Keycloak を使った SSO で CockroachDB にログインする / CockroachDB SSO with Keycloak
kota2and3kan
0
160
【Oracle Cloud ウェビナー】【入門編】はじめてのOracle AI Data Platform - AIのためのデータ準備&自社用AIエージェントをワンストップで実現
oracle4engineer
PRO
1
150
Lambda Web AdapterでLambdaをWEBフレームワーク利用する
sahou909
0
170
[JAWSDAYS2026]Who is responsible for IAM
mizukibbb
0
850
社内レビューは機能しているのか
matsuba
0
140
めちゃくちゃ開発するQAエンジニアになって感じたメリットとこれからの課題感
ryuhei0000yamamoto
0
120
進化するBits AI SREと私と組織
nulabinc
PRO
1
240
猫でもわかるKiro CLI(AI 駆動開発への道編)
kentapapa
0
260
AWS DevOps Agent vs SRE俺 / AWS DevOps Agent vs me, the SRE
sms_tech
3
890
生成AIで速度と品質を両立する、QAエンジニア・開発者連携のAI協調型テストプロセス
shota_kusaba
0
180
Featured
See All Featured
The browser strikes back
jonoalderson
0
810
Leveraging LLMs for student feedback in introductory data science courses - posit::conf(2025)
minecr
1
200
Faster Mobile Websites
deanohume
310
31k
So, you think you're a good person
axbom
PRO
2
2k
Darren the Foodie - Storyboard
khoart
PRO
3
2.9k
Build your cross-platform service in a week with App Engine
jlugia
234
18k
Why Your Marketing Sucks and What You Can Do About It - Sophie Logan
marketingsoph
0
110
HDC tutorial
michielstock
1
550
BBQ
matthewcrist
89
10k
The Pragmatic Product Professional
lauravandoore
37
7.2k
Unlocking the hidden potential of vector embeddings in international SEO
frankvandijk
0
200
Data-driven link building: lessons from a $708K investment (BrightonSEO talk)
szymonslowik
1
980
Transcript
ポートを開けないVPN Tailscaleの話
もやし工房 石黒 光茂 @koike_moyashi mitsushige.ishiguro もやし工房
最近のランサムウェア被害 こわい
最近のランサムウェア被害 経路 VPN機器 62% リモートデス クトップ 22% その他 (メール・ USB、ソフ
トなど) 16% ランサムウェアの感染経路6つを徹底解説 https://cyber.spool.co.jp/ransomware-infection-routes/ 2025 日本のデータ
よくある侵入の流れ 経路 サーバを暗号化 社内ネットワークへ 横展開 装置へ侵入 (脆弱) $
VPNの用途 • 社外→社内 • 拠点間通信 • メンテ • 社内→クラウド •
外出先→自宅 などなど
VPNの用途 • 社外→社内 • 拠点間通信 • メンテ • 社内→クラウド •
外出先→自宅 などなど • リモート接続は必要 • 無くそうと思っても無くせない。
そこで 2020年からサービス開始
従来VPNの構成
従来VPNの構成 VPNサーバ(機器 or ソフト)が必要
従来VPNの構成 ポート開放が必要(VPN接続の入口) = インターネット側に入口が必要 閉鎖ネットワーク内のVPNもあるけど...
Tailscaleとは WireGuardと言うVPNプロトコルベースのメッシュVPN 「メッシュVPN」については後述
Tailscaleの特徴 • P2P通信 • VPNサーバ不要 • NAT越え可能 • ポート開放不要
Tailscaleの特徴 • P2P通信 • VPNサーバ不要 • NAT越え可能 • ポート開放不要 →
外側のポートを開かずに使える
NAT どうやって通信できるの? 社内PC 社内LAN ルータ/NAT インターネット 社外サーバ グローバルIPは一つ 「送信」した通信はいい感じに「戻って」来る インターネット側からは社内に入ってこれない
NAT越え どうやって通信できるの? STEP1: 仲介サーバに接続 自分のグローバルIPとポートを伝える STEP4: 直接P2P通信
NAT越え どうやって通信できるの? STEP2: それぞれの相手のグローバルIPとポートを伝える STEP4: 直接P2P通信
NAT越え どうやって通信できるの? STEP3: 同時に通信開始(Hole Punch) STEP4: 直接P2P通信
NAT越え どうやって通信できるの? STEP4: 直接P2P通信 STEP STEP4: P2Pで直接通信
NAT越え NAT traversal └ UDP Hole Punching どうやって通信できるの? STEP1: 仲介サーバに接続
自分のグローバルIPとポートを伝える STEP2: それぞれの相手のグローバルIPとポートを伝える STEP3: 同時に通信開始(Hole Punch) STEP4: 直接P2P通信
DERPリレー どうやって通信できるの? • P2Pが使えない時に自動的に使われる • 毎回サーバを仲介する • 遅いけど(無料でも)容量制限無し • 公式のセルフホスト用プログラムもある(derper)
• OSS版もある(headscale)
その結果 従来型のVPNでは難しかった(面倒くさかった) • DS-Lite(IPv6回線 + IPv4はトンネル + CGNAT*) • MAP-E(
IPv4 over IPv6+ CGNAT ) • IPv4 <-> IPv6 間 とかでもVPN接続できる。 ※ CGNAT : Carrier-Grade NAT。ISP内の巨大NAT
安全なの?? • エンドツーエンド暗号化。中継(DERP)でも復号不可 • WireGuardプロトコル モダン暗号のみ採用、コードが非常に少ない(数千行レベル) → バグや脆弱性が入りにくい • 管理者アカウントが突破されると終わり(SSO
+ MFA必須) • 別経路でクライアントがやられて、何か広がる(従来のLANやVPNも同じ) • Tailscale社への信頼
このソフトをどこに入れる? 対象のサーバ/クライアント全てに入れる(推奨)→後述 • Linux • Windows • Mac 対象のサーバ/クライアント全てに入れる Tailscale
Tailscale Tailscale
今までのVPN機器ぽい使い方 • Raspberry Piなど • Dockerコンテナ • OpenWRTルーター など 1台だけに入れる
Tailscaleサブネットルータ
最近のNAS • Synology、QNAPとかは公式アプリに入ってる • 先ほどのサブネットルータにもできる 外から共有ドライブをみたいだけとかなら
クライアント スマートフォンの公式アプリもある Tailscale ✕ スマホでLAN内のAIエージェントに指示する的なのも良く見る
できること • 外部(スマホも含む)→内部サーバ、PC接続 • 拠点間接続 • 内部PC→内部サーバの接続 • 内部サーバ同士
アクセス制御 • ユーザ ✕ 接続先 その他にグループやタグでまとめるのもある { "acls": [ {
"action": "accept", "src": ["
[email protected]
"], "dst": ["server1:22"] }, { "action": "accept", "src": ["
[email protected]
"], "dst": ["server2:80"] } ] }
できること • 外部(スマホも含む)→内部サーバ、PC接続 • 拠点間接続 • 内部PC→内部サーバの接続 • 内部サーバ同士
ゼロトラスト 「社内ネットワークだから信用する」をやめて、 毎回ユーザーと端末を確認してから接続させる 現実的にはフルメッシュはきついので、 対サーバの通信だけtailscale使うとか.. クライアント サーバA サーバB メッシュ状のVPN
クラウドのサーバにTailscale入れて接続とかも便利(外部ポートは開けない)
価格 • 無料プラン : 最大3ユーザ、100台 • 有料プラン : 1アクティブユーザ $6/月
拠点間などは1ユーザでできる(多分) 気になるお値段
まとめ • VPN用のポート開放不要、NAT越えが強い • 個人で使う分には無料プランで便利、スマホ対応 • 従来のVPNのメンテナンスコストと信頼度 vs Tailscaleの信頼度 •
これ入れればランサムウェア被害を受けない と言うわけではない 小規模、個人では結構便利に使える
moyashi
hirosatogamo
error96num
kota2and3kan
oracle4engineer
sahou909
mizukibbb
matsuba
ryuhei0000yamamoto
nulabinc
kentapapa
sms_tech
.jpg){kind=avatar}
shota_kusaba
jonoalderson
minecr
deanohume
axbom
khoart
jlugia
marketingsoph
michielstock
matthewcrist
lauravandoore
frankvandijk
szymonslowik
