VPNパススルーについて

VPNパススルー（VPN Pass-Through）は、家庭用ルーターや企業向けルーターの設定項目としてよく見かけるものの、何をしている機能なのかが曖昧なまま理解されがちです。

本記事では、一般的な説明にありがちな誤解を避けつつ、VPNパススルーの役割・必要になる理由・方式別の扱い・注意点を技術的に正確な形で整理します。

VPNパススルーの正確な定義

VPNパススルーとは、NAT（Network Address Translation）やファイアウォールを行っているルーターが、特定のVPN方式（主にIPsecやPPTP）を用いた通信を、LAN配下の端末から外部へ正常に成立させるために行う補助的な処理を指します。

重要なのは、

「VPN通信をそのまま素通りさせる機能」
ではない点です。

実際には、多くのルーターで以下のような処理が行われます。

• IPsecやPPTPといった NATと相性の悪いプロトコルを特別扱いする
• セッション管理や変換補助を行い、NAT配下でも通信が破綻しないようにする
• ルーター自身のVPN機能と、LAN側端末のVPN通信が競合しないようにする

この総称として「VPNパススルー」と呼ばれています。

実装内容はメーカーや機種によって異なり、厳密な仕様が統一されているわけではありません。

なぜVPN通信はNATと相性が悪いのか

VPNパススルーが必要になる理由は、VPN方式の特性とNATの仕組みが根本的に噛み合わないためです。

IPsecのESPはTCP/UDPではない

IPsecで実際のデータ通信を担う ESP（Encapsulating Security Payload） は、

• TCPでもUDPでもない
• IPプロトコル番号50として送信される

という特徴を持ちます。

NATは通常、「送信元IPアドレス + ポート番号」を基準に通信を管理・変換します。

しかしESPにはポート番号という概念がないため、

• どの内部端末の通信なのか識別しにくい
• 複数端末から同時にIPsec通信を行うと衝突しやすい

といった問題が生じます。

NATによるIPアドレス書き換えとIPsecの整合性保護が衝突する

IPsecは通信の安全性を確保するために、

• パケットが改変されていないこと
• 正しい相手から送られてきたこと

を検証する 整合性チェック（認証） を行います。

ところが、NATは通信途中で

• 送信元IPアドレス
• 場合によってはポート情報

を書き換えます。

IPsecの視点では、これは「通信途中で内容が改変された」と見なされるため、パケットが破棄され通信が成立しません。

NAT-T（NAT Traversal）が前提になる環境が多い

この問題を回避するため、現在のIPsec環境では多くの場合、

• ESPをUDPで包み直す（UDP 4500）
• NAT越えを前提とした通信方式に切り替える

NAT-T（NAT Traversal） が利用されます。

VPNパススルーは、こうした NAT-Tを含むIPsec通信が正しく通過できるよう補助する役割を担います。

VPN方式別：パススルーが関係する・しないケース

補足

• OpenVPNやWireGuard は通常のTCP/UDP通信として扱われるため、一般的なNAT環境で特別なパススルー設定を必要としないケースがほとんどです
• ただし、ネットワーク側でUDPが厳しく制限されている場合などは、VPN自体が成立しないことがあります（パススルーの問題ではありません）

VPNパススルーが必要になる典型的な利用シーン

自宅や社内LANから外部のVPNサーバーへ接続する場合

• 自宅ルーター配下のPCから会社のVPNへ接続
• 社内ネットワークから外部VPNサービスを利用

このような 「LAN内端末 → 外部VPN」 の構成でIPsec / L2TP / PPTP を使っている場合、VPNパススルーが必要になることがあります。

「VPNパススルー＝危険」は誤解

VPNパススルーについて、「有効にするとセキュリティリスクが高まる」と説明されることがありますが、これは やや誤解を招く表現です。

多くの場合、VPNパススルーは

• LAN内端末が外部へ通信する際の補助
• 既存のセッションを成立させるための特別処理

であり、外部からの侵入経路を自動的に開放する機能ではありません。

ただし注意点として、

• ルーター内部で特殊な例外処理が増える
• 内蔵VPN機能と競合する場合がある
• 不要な機能を有効にしたままにすると、トラブル時の切り分けが難しくなる

といった理由から、使っていないVPN方式のパススルーは無効化しておく方が運用上は無難です。

PPTPパススルーは非推奨とされる理由

PPTPは構成が単純で古くから使われてきましたが、

• 暗号方式や認証方式が古い
• 現代のセキュリティ要件を満たしにくい

といった理由から、現在では 積極的に推奨される方式ではありません。

そのため、

• 新規構築ではPPTPを選ばない
• PPTPパススルーが不要であれば無効化する

という運用が一般的です。

まとめ

• VPNパススルーは NAT配下で特定のVPN方式を成立させるための補助機能
• 主に IPsec / L2TP / PPTP で関係する
• 問題の本質は NATとIPsecの整合性保護の衝突
• OpenVPN / WireGuardでは依存しないケースが多い
• 「危険だからOFF」ではなく 「不要ならOFF」が正しい判断
• PPTPは現代では非推奨

以上、VPNパススルーについてでした。

最後までお読みいただき、ありがとうございました。