VPNのデフォルトゲートウェイについて

VPNのデフォルトゲートウェイは、「VPNを使うと通信がどう流れるのか」「なぜ遅くなったり、つながらなくなったりするのか」を理解する上で非常に重要な概念です。

ただし、表現を簡略化しすぎると誤解を生みやすいため、実際のネットワーク挙動に即して説明します。

デフォルトゲートウェイとは

デフォルトゲートウェイとは、

• 宛先IPが自分の属するネットワークに存在しない場合
• どこへ転送すべきか判断できない通信を
• 「とりあえずここへ送る」と決めておく出口

を指します。

ネットワーク的には、これは「デフォルトルート（0.0.0.0/0）のネクストホップ」という形でOSのルーティングテーブルに定義されています。

通常の家庭やオフィスでは、この役割を自宅・社内のルーターが担っています。

VPN接続で何が起きるのか

VPNを接続すると、端末には以下が追加されます。

• 仮想的なネットワークインターフェース（VPNインターフェース）
• VPNサーバーへ向かう暗号化トンネル
• それに伴うルーティングテーブルの変更

ここで重要なのは、

端末が「どの通信を、どのインターフェースに流すか」を再定義される

という点です。

「VPN側のデフォルトゲートウェイ」という表現の注意点

実務でよく使われる「VPN側のデフォルトゲートウェイ」という言い方は、厳密には以下の意味で使われています。

• 端末の デフォルトルート（0.0.0.0/0）がVPNインターフェースを向く
• その結果、ほぼすべての通信がVPNトンネルに流れ込む

重要なのは、

• VPNサーバーそのものが、物理的に端末のゲートウェイになるわけではない
• VPNトンネルの外側の通信（VPNサーバーへ到達する通信）は、依然としてローカル側のゲートウェイを使う

という点です。

つまり「VPNをデフォルトゲートウェイにする」とは、論理的なルーティングの優先度をVPN側に切り替えるという意味になります。

フルトンネル（VPNをデフォルトルートにする構成）

概要

フルトンネルとは、端末のデフォルトルートをVPNインターフェースに向ける構成です。

結果として、

• インターネット通信
• 社内システム通信
• DNS問い合わせ

など、ほぼすべての通信がVPNトンネル経由になります。

実務上の重要な補足（省略されがちな点）

フルトンネルでも、本当にすべての通信がVPNを通るわけではありません。

VPN接続を成立させるために、

• VPNサーバー自身のIPアドレス（またはホスト）宛通信
• 認証・キープアライブ等の制御通信

については、

• ローカル側ゲートウェイ経由の「例外ルート」

が必ず存在します。

この例外があるからこそ、「VPNへ接続する通信を、VPNで送ろうとしてループする」という矛盾が回避されています。

メリット

• 公共Wi-Fiでも通信経路が一貫して保護される
• 通信制御・ログ管理が集中しやすい
• IP制限・社内限定システムと相性が良い

デメリット

• VPNゲートウェイがボトルネックになりやすい
• 通信遅延や帯域不足が顕在化しやすい
• 出口設計（NAT/DNS/IPv6）が甘いと全通信が詰まる

スプリットトンネル

概要

スプリットトンネルとは、

• 特定の宛先（IPプレフィックス、サブネット、場合によってはDNS条件）
• だけをVPN経由にし
• それ以外は通常のネットワーク（ローカルゲートウェイ）へ送る

構成です。

注意点

「社内宛通信だけVPN」と表現されがちですが、これは

• 社内システムのIP帯が明確に定義できる場合

に限って成立します。

実際の環境では、

• SaaS化された社内システム
• CDNや外部APIを経由する業務アプリ
• DNS応答によって行き先が変わるサービス

などが混在し、「社内＝固定IP帯」と単純に言えないケースが多くなっています。

メリット

• 通信速度が出やすい
• VPN機器への負荷を抑えられる
• Web会議や動画利用と相性が良い

デメリット

• 宛先定義の設計ミスで接続不能が起きやすい
• 公共Wi-Fi利用時はセキュリティ設計が必須
• 運用が複雑になりやすい

VPN接続後のトラブルと正しい切り分け視点

「VPN接続後に通信が遅い」場合

VPNがデフォルトルートになっている可能性は高いですが、それだけが原因とは限りません。

考慮すべき代表的要因

• VPNゲートウェイの帯域・負荷
• 暗号化処理によるCPU負荷
• MTU / MSS不整合
• DNS応答遅延（VPN側DNSの性能問題）
• 遠回りの経路設計

「社内には入れるがWebが見られない」場合

これも単一原因ではありません。

よくある原因

• VPN側にインターネット出口（NAT/デフォルトルート）が無い
• DNSがVPN側に切り替わり名前解決できていない
• セキュリティポリシーで外部通信が遮断されている
• IPv4/IPv6の経路不整合
• MTU問題でHTTPS通信だけ詰まる

セキュリティ評価の正しい考え方

フルトンネル＝安全
スプリットトンネル＝危険

と単純に判断するのは正確ではありません。

• スプリットトンネルでも、端末FW、EDR、DNS保護、ゼロトラスト設計を組み合わせれば十分に安全な構成は可能
• フルトンネルでも、出口側の監視や制御が弱ければ安全とは言えない

重要なのは、

何を守りたいのか（脅威モデル）と、どこで制御するのか

です。

まとめ

• デフォルトゲートウェイとは「宛先不明通信の最終出口」
• VPNでは、端末のデフォルトルートの向きが変わる
• フルトンネルは「ほぼ全通信をVPNへ」だが例外ルートが必須
• スプリットトンネルは「特定宛先のみVPN」で設計難度が高い
• 遅延・不通の原因はルーティング以外にも多数存在する

以上、VPNのデフォルトゲートウェイについてでした。

最後までお読みいただき、ありがとうございました。