Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ポートを開けないVPN Tailscaleの話
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
moyashi
March 21, 2026
Technology
87
0
Share
ポートを開けないVPN Tailscaleの話
従来の外側ポートは不要。便利に使えるTailscaleの話。
moyashi
March 21, 2026
More Decks by moyashi
See All by moyashi
AWS SES VDMで 将来の配信事故を防げた話
moyashi
0
1.3k
順番待ちWebサービス 「MATENE」を 有料化した話と サービスを続けられた理由
moyashi
0
94
AIコーディングエージェントのはなし
moyashi
0
120
機械学習で画像を分類してみた話
moyashi
1
120
自分の学習データで画像生成AIを使ってみる話
moyashi
2
960
メールを受信トレイに届けよう - Gmailガイドラインの話
moyashi
3
880
Visual Studio Codeの使い方 基礎編
moyashi
0
140
プログラミング支援AI GitHub Copilot すごいの話
moyashi
0
5.1k
アナログ電話のナンバーディスプレイを安価にIT化する話
moyashi
1
230
Other Decks in Technology
See All in Technology
LLM時代のリファクタリング戦略_AIエージェントによる段階的・安全なTS移行方法
play_inc
0
170
Oracle AI Database@Google Cloud:サービス概要のご紹介
oracle4engineer
PRO
6
1.4k
個人最適から組織最適へ — 仕組みで進めるAI推進
rfdnxbro
0
110
GCASアップデート(202603-202605)
techniczna
0
280
Agentic AI時代における メルカリのAIガバナンスとガードレール実装
naoichihara
14
12k
コーディングエージェントはTypeScriptの 型エラーをどう自己修正しているのか
melonps
4
440
Sansan Engineering Unit 紹介資料
sansan33
PRO
1
4.5k
シンデレラなんかになりたくない!ガラスの靴が割れた時代にどう歩く?
nomizone
0
170
RubyでRuby拡張を書いたらRubyより35倍速になったってどういうこと??
kazuho
3
570
JavaScript実装の自作プログラミング言語をTypeScript実装に移行した話
keisukeikeda
1
140
TypeScriptとAngular Signal で実現する保守性の高いアプリケーション設計 - 3層アーキテクチャによる責務分離の実践(たつかわ) https://2026.tskaigi.org/talks/10
nealle
1
320
基礎から解説!Icebergで紐解くSnowflake×Databricks連携の現在地
cm_yasuhara
0
240
Featured
See All Featured
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
31
10k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
31
2.8k
SEO for Brand Visibility & Recognition
aleyda
0
4.5k
How to Grow Your eCommerce with AI & Automation
katarinadahlin
PRO
1
190
Java REST API Framework Comparison - PWX 2021
mraible
34
9.3k
Noah Learner - AI + Me: how we built a GSC Bulk Export data pipeline
techseoconnect
PRO
0
180
What’s in a name? Adding method to the madness
productmarketing
PRO
24
4k
Automating Front-end Workflow
addyosmani
1370
210k
Tell your own story through comics
letsgokoyo
1
930
The untapped power of vector embeddings
frankvandijk
2
1.7k
Gemini Prompt Engineering: Practical Techniques for Tangible AI Outcomes
mfonobong
2
400
We Are The Robots
honzajavorek
0
230
Transcript
ポートを開けないVPN Tailscaleの話
もやし工房 石黒 光茂 @koike_moyashi mitsushige.ishiguro もやし工房
最近のランサムウェア被害 こわい
最近のランサムウェア被害 経路 VPN機器 62% リモートデス クトップ 22% その他 (メール・ USB、ソフ
トなど) 16% ランサムウェアの感染経路6つを徹底解説 https://cyber.spool.co.jp/ransomware-infection-routes/ 2025 日本のデータ
よくある侵入の流れ 経路 サーバを暗号化 社内ネットワークへ 横展開 装置へ侵入 (脆弱) $
VPNの用途 • 社外→社内 • 拠点間通信 • メンテ • 社内→クラウド •
外出先→自宅 などなど
VPNの用途 • 社外→社内 • 拠点間通信 • メンテ • 社内→クラウド •
外出先→自宅 などなど • リモート接続は必要 • 無くそうと思っても無くせない。
そこで 2020年からサービス開始
従来VPNの構成
従来VPNの構成 VPNサーバ(機器 or ソフト)が必要
従来VPNの構成 ポート開放が必要(VPN接続の入口) = インターネット側に入口が必要 閉鎖ネットワーク内のVPNもあるけど...
Tailscaleとは WireGuardと言うVPNプロトコルベースのメッシュVPN 「メッシュVPN」については後述
Tailscaleの特徴 • P2P通信 • VPNサーバ不要 • NAT越え可能 • ポート開放不要
Tailscaleの特徴 • P2P通信 • VPNサーバ不要 • NAT越え可能 • ポート開放不要 →
外側のポートを開かずに使える
NAT どうやって通信できるの? 社内PC 社内LAN ルータ/NAT インターネット 社外サーバ グローバルIPは一つ 「送信」した通信はいい感じに「戻って」来る インターネット側からは社内に入ってこれない
NAT越え どうやって通信できるの? STEP1: 仲介サーバに接続 自分のグローバルIPとポートを伝える STEP4: 直接P2P通信
NAT越え どうやって通信できるの? STEP2: それぞれの相手のグローバルIPとポートを伝える STEP4: 直接P2P通信
NAT越え どうやって通信できるの? STEP3: 同時に通信開始(Hole Punch) STEP4: 直接P2P通信
NAT越え どうやって通信できるの? STEP4: 直接P2P通信 STEP STEP4: P2Pで直接通信
NAT越え NAT traversal └ UDP Hole Punching どうやって通信できるの? STEP1: 仲介サーバに接続
自分のグローバルIPとポートを伝える STEP2: それぞれの相手のグローバルIPとポートを伝える STEP3: 同時に通信開始(Hole Punch) STEP4: 直接P2P通信
DERPリレー どうやって通信できるの? • P2Pが使えない時に自動的に使われる • 毎回サーバを仲介する • 遅いけど(無料でも)容量制限無し • 公式のセルフホスト用プログラムもある(derper)
• OSS版もある(headscale)
その結果 従来型のVPNでは難しかった(面倒くさかった) • DS-Lite(IPv6回線 + IPv4はトンネル + CGNAT*) • MAP-E(
IPv4 over IPv6+ CGNAT ) • IPv4 <-> IPv6 間 とかでもVPN接続できる。 ※ CGNAT : Carrier-Grade NAT。ISP内の巨大NAT
安全なの?? • エンドツーエンド暗号化。中継(DERP)でも復号不可 • WireGuardプロトコル モダン暗号のみ採用、コードが非常に少ない(数千行レベル) → バグや脆弱性が入りにくい • 管理者アカウントが突破されると終わり(SSO
+ MFA必須) • 別経路でクライアントがやられて、何か広がる(従来のLANやVPNも同じ) • Tailscale社への信頼
このソフトをどこに入れる? 対象のサーバ/クライアント全てに入れる(推奨)→後述 • Linux • Windows • Mac 対象のサーバ/クライアント全てに入れる Tailscale
Tailscale Tailscale
今までのVPN機器ぽい使い方 • Raspberry Piなど • Dockerコンテナ • OpenWRTルーター など 1台だけに入れる
Tailscaleサブネットルータ
最近のNAS • Synology、QNAPとかは公式アプリに入ってる • 先ほどのサブネットルータにもできる 外から共有ドライブをみたいだけとかなら
クライアント スマートフォンの公式アプリもある Tailscale ✕ スマホでLAN内のAIエージェントに指示する的なのも良く見る
できること • 外部(スマホも含む)→内部サーバ、PC接続 • 拠点間接続 • 内部PC→内部サーバの接続 • 内部サーバ同士
アクセス制御 • ユーザ ✕ 接続先 その他にグループやタグでまとめるのもある { "acls": [ {
"action": "accept", "src": ["
[email protected]
"], "dst": ["server1:22"] }, { "action": "accept", "src": ["
[email protected]
"], "dst": ["server2:80"] } ] }
できること • 外部(スマホも含む)→内部サーバ、PC接続 • 拠点間接続 • 内部PC→内部サーバの接続 • 内部サーバ同士
ゼロトラスト 「社内ネットワークだから信用する」をやめて、 毎回ユーザーと端末を確認してから接続させる 現実的にはフルメッシュはきついので、 対サーバの通信だけtailscale使うとか.. クライアント サーバA サーバB メッシュ状のVPN
クラウドのサーバにTailscale入れて接続とかも便利(外部ポートは開けない)
価格 • 無料プラン : 最大3ユーザ、100台 • 有料プラン : 1アクティブユーザ $6/月
拠点間などは1ユーザでできる(多分) 気になるお値段
まとめ • VPN用のポート開放不要、NAT越えが強い • 個人で使う分には無料プランで便利、スマホ対応 • 従来のVPNのメンテナンスコストと信頼度 vs Tailscaleの信頼度 •
これ入れればランサムウェア被害を受けない と言うわけではない 小規模、個人では結構便利に使える
moyashi
play_inc
oracle4engineer
rfdnxbro
techniczna
naoichihara
melonps
sansan33
nomizone
kazuho
keisukeikeda
nealle
cm_yasuhara
eileencodes
marktimemedia
aleyda
katarinadahlin
mraible
techseoconnect
productmarketing
addyosmani
letsgokoyo
frankvandijk
mfonobong
honzajavorek
