Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ポートを開けないVPN Tailscaleの話
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
moyashi
March 21, 2026
Technology
71
0
Share
ポートを開けないVPN Tailscaleの話
従来の外側ポートは不要。便利に使えるTailscaleの話。
moyashi
March 21, 2026
More Decks by moyashi
See All by moyashi
AWS SES VDMで 将来の配信事故を防げた話
moyashi
0
1.2k
順番待ちWebサービス 「MATENE」を 有料化した話と サービスを続けられた理由
moyashi
0
66
AIコーディングエージェントのはなし
moyashi
0
110
機械学習で画像を分類してみた話
moyashi
1
110
自分の学習データで画像生成AIを使ってみる話
moyashi
2
920
メールを受信トレイに届けよう - Gmailガイドラインの話
moyashi
3
870
Visual Studio Codeの使い方 基礎編
moyashi
0
130
プログラミング支援AI GitHub Copilot すごいの話
moyashi
0
5k
アナログ電話のナンバーディスプレイを安価にIT化する話
moyashi
1
220
Other Decks in Technology
See All in Technology
あるアーキテクチャ決定と その結果/architecture-decision-and-its-result
hanhan1978
2
520
Autonomous Database - Dedicated 技術詳細 / adb-d_technical_detail_jp
oracle4engineer
PRO
5
13k
建設的な現実逃避のしかた / How to practice constructive escapism
pauli
4
280
Oracle Cloud Infrastructure(OCI):Onboarding Session(はじめてのOCI/Oracle Supportご利⽤ガイド)
oracle4engineer
PRO
2
17k
BIツール「Omni」の紹介 @Snowflake中部UG
sagara
0
220
Even G2 クイックスタートガイド(日本語版)
vrshinobi1
0
210
OCI技術資料 : 証明書サービス概要
ocise
1
7.2k
AIがコードを書く時代の ジェネレーティブプログラミング
polidog
PRO
3
570
AIドリブン開発の実践知 ― AI-DLC Unicorn Gym実施から見えた可能性と課題
mixi_engineers
PRO
0
120
OCI技術資料 : ロード・バランサ 概要 - FLB・NLB共通
ocise
4
27k
OPENLOGI Company Profile
hr01
0
83k
制約を設計する - 非決定性との境界線 / Designing constraints
soudai
PRO
6
2.2k
Featured
See All Featured
The State of eCommerce SEO: How to Win in Today's Products SERPs - #SEOweek
aleyda
2
10k
YesSQL, Process and Tooling at Scale
rocio
174
15k
Measuring Dark Social's Impact On Conversion and Attribution
stephenakadiri
1
170
Stop Working from a Prison Cell
hatefulcrawdad
274
21k
What does AI have to do with Human Rights?
axbom
PRO
1
2.1k
Making Projects Easy
brettharned
120
6.6k
SEOcharity - Dark patterns in SEO and UX: How to avoid them and build a more ethical web
sarafernandez
0
160
jQuery: Nuts, Bolts and Bling
dougneiner
66
8.4k
StorybookのUI Testing Handbookを読んだ
zakiyama
31
6.7k
Lightning Talk: Beautiful Slides for Beginners
inesmontani
PRO
1
500
Building Better People: How to give real-time feedback that sticks.
wjessup
370
20k
Applied NLP in the Age of Generative AI
inesmontani
PRO
4
2.2k
Transcript
ポートを開けないVPN Tailscaleの話
もやし工房 石黒 光茂 @koike_moyashi mitsushige.ishiguro もやし工房
最近のランサムウェア被害 こわい
最近のランサムウェア被害 経路 VPN機器 62% リモートデス クトップ 22% その他 (メール・ USB、ソフ
トなど) 16% ランサムウェアの感染経路6つを徹底解説 https://cyber.spool.co.jp/ransomware-infection-routes/ 2025 日本のデータ
よくある侵入の流れ 経路 サーバを暗号化 社内ネットワークへ 横展開 装置へ侵入 (脆弱) $
VPNの用途 • 社外→社内 • 拠点間通信 • メンテ • 社内→クラウド •
外出先→自宅 などなど
VPNの用途 • 社外→社内 • 拠点間通信 • メンテ • 社内→クラウド •
外出先→自宅 などなど • リモート接続は必要 • 無くそうと思っても無くせない。
そこで 2020年からサービス開始
従来VPNの構成
従来VPNの構成 VPNサーバ(機器 or ソフト)が必要
従来VPNの構成 ポート開放が必要(VPN接続の入口) = インターネット側に入口が必要 閉鎖ネットワーク内のVPNもあるけど...
Tailscaleとは WireGuardと言うVPNプロトコルベースのメッシュVPN 「メッシュVPN」については後述
Tailscaleの特徴 • P2P通信 • VPNサーバ不要 • NAT越え可能 • ポート開放不要
Tailscaleの特徴 • P2P通信 • VPNサーバ不要 • NAT越え可能 • ポート開放不要 →
外側のポートを開かずに使える
NAT どうやって通信できるの? 社内PC 社内LAN ルータ/NAT インターネット 社外サーバ グローバルIPは一つ 「送信」した通信はいい感じに「戻って」来る インターネット側からは社内に入ってこれない
NAT越え どうやって通信できるの? STEP1: 仲介サーバに接続 自分のグローバルIPとポートを伝える STEP4: 直接P2P通信
NAT越え どうやって通信できるの? STEP2: それぞれの相手のグローバルIPとポートを伝える STEP4: 直接P2P通信
NAT越え どうやって通信できるの? STEP3: 同時に通信開始(Hole Punch) STEP4: 直接P2P通信
NAT越え どうやって通信できるの? STEP4: 直接P2P通信 STEP STEP4: P2Pで直接通信
NAT越え NAT traversal └ UDP Hole Punching どうやって通信できるの? STEP1: 仲介サーバに接続
自分のグローバルIPとポートを伝える STEP2: それぞれの相手のグローバルIPとポートを伝える STEP3: 同時に通信開始(Hole Punch) STEP4: 直接P2P通信
DERPリレー どうやって通信できるの? • P2Pが使えない時に自動的に使われる • 毎回サーバを仲介する • 遅いけど(無料でも)容量制限無し • 公式のセルフホスト用プログラムもある(derper)
• OSS版もある(headscale)
その結果 従来型のVPNでは難しかった(面倒くさかった) • DS-Lite(IPv6回線 + IPv4はトンネル + CGNAT*) • MAP-E(
IPv4 over IPv6+ CGNAT ) • IPv4 <-> IPv6 間 とかでもVPN接続できる。 ※ CGNAT : Carrier-Grade NAT。ISP内の巨大NAT
安全なの?? • エンドツーエンド暗号化。中継(DERP)でも復号不可 • WireGuardプロトコル モダン暗号のみ採用、コードが非常に少ない(数千行レベル) → バグや脆弱性が入りにくい • 管理者アカウントが突破されると終わり(SSO
+ MFA必須) • 別経路でクライアントがやられて、何か広がる(従来のLANやVPNも同じ) • Tailscale社への信頼
このソフトをどこに入れる? 対象のサーバ/クライアント全てに入れる(推奨)→後述 • Linux • Windows • Mac 対象のサーバ/クライアント全てに入れる Tailscale
Tailscale Tailscale
今までのVPN機器ぽい使い方 • Raspberry Piなど • Dockerコンテナ • OpenWRTルーター など 1台だけに入れる
Tailscaleサブネットルータ
最近のNAS • Synology、QNAPとかは公式アプリに入ってる • 先ほどのサブネットルータにもできる 外から共有ドライブをみたいだけとかなら
クライアント スマートフォンの公式アプリもある Tailscale ✕ スマホでLAN内のAIエージェントに指示する的なのも良く見る
できること • 外部(スマホも含む)→内部サーバ、PC接続 • 拠点間接続 • 内部PC→内部サーバの接続 • 内部サーバ同士
アクセス制御 • ユーザ ✕ 接続先 その他にグループやタグでまとめるのもある { "acls": [ {
"action": "accept", "src": ["
[email protected]
"], "dst": ["server1:22"] }, { "action": "accept", "src": ["
[email protected]
"], "dst": ["server2:80"] } ] }
できること • 外部(スマホも含む)→内部サーバ、PC接続 • 拠点間接続 • 内部PC→内部サーバの接続 • 内部サーバ同士
ゼロトラスト 「社内ネットワークだから信用する」をやめて、 毎回ユーザーと端末を確認してから接続させる 現実的にはフルメッシュはきついので、 対サーバの通信だけtailscale使うとか.. クライアント サーバA サーバB メッシュ状のVPN
クラウドのサーバにTailscale入れて接続とかも便利(外部ポートは開けない)
価格 • 無料プラン : 最大3ユーザ、100台 • 有料プラン : 1アクティブユーザ $6/月
拠点間などは1ユーザでできる(多分) 気になるお値段
まとめ • VPN用のポート開放不要、NAT越えが強い • 個人で使う分には無料プランで便利、スマホ対応 • 従来のVPNのメンテナンスコストと信頼度 vs Tailscaleの信頼度 •
これ入れればランサムウェア被害を受けない と言うわけではない 小規模、個人では結構便利に使える
moyashi
hanhan1978
oracle4engineer
pauli
sagara
vrshinobi1
ocise
polidog
mixi_engineers
hr01
soudai
aleyda
rocio
stephenakadiri
hatefulcrawdad
axbom
brettharned
sarafernandez
dougneiner
zakiyama
inesmontani
wjessup
