IPsecのモードに関する質問です。

「拠点VPNルータ間の場合はグローバルIPアドレスが変わることが少ない。そのためグローバルIPアドレスを認証情報とするメインモードを使用する。リモートVPNの場合はクライアントのIPアドレスが変わることが多いからIPアドレスを認証情報にしないアグレッシブモードにする」

という内容の説明が多いです。

しかし、そもそもモードの違いは、通信相手の認証情報を暗号化した状態で送受信できる(メインモード)か暗号化しないで送信する(アグレッシブ)かなので、何を認証情報に使用するかでモードを決定するという説明に違和感を覚えます。

例えばPSKなどを認証情報にし、ホストVPNサーバに登録している場合はクライアントのIPアドレスが変わってしまうような状況(リモートVPN)だとしても、認証情報を暗号化して送信するメインモードにすべきですよね？


私の認識は間違っているのでしょうか？
以上よろしくお願いいたします。

正しい答えになっているかわかりませんが、わかる範囲でお答えします。

まず
＞通信相手の認証情報を暗号化した状態で送受信できる(メインモード)か暗号化しないで送信する(アグレッシブ)かなので
これは合っているのですが、一つ前提があります。
それは「メインモードはIPアドレスも認証範囲」になると言う事です。
そのため、送信元・送信先のIPアドレスはどちらも固定でなければいけません。

次にIPsecで利用する認証機能なのでIKEを利用するものと思います。
認証方法としては共有鍵・公開鍵などあると思いますが、いずれにせよ送信元・送信先の端末に鍵の設定や証明書を設定する必要があります。

リモートVPNの場合は毎回IPアドレスが変わってしまうため、そのたびにこのような事前準備を行うのは非現実的なのかなと思います。

そのため説明文にもある通り、IPアドレスの固定が保証できるならメインモードで、それができないならIPアドレスを認証対象から外したアグレッシブモードにするのかなと考えております。

>グローバルIPアドレスを認証情報とするメインモードを使用する。
は、グローバルIPアドレスを暗号化する認証情報に含める。
>IPアドレスを認証情報にしないアグレッシブモードにする
は、IPアドレスを暗号化する認証情報に含めない。
と解釈するとよいのではないでしょうか。

MAKI様、boyonboyon様

ご返答いただきありがとうございます！

「メインモードはIPアドレスも認証範囲」
→そういうものだと自分の中に落とし込みました。


IPを認証情報にしようとするから、IPが固定された場合(拠点間のメインモード)と固定されない場合(リモートvpnのアグレッシブ)の2つの場合に分けて考える必要が出てくるため、初めからIPを認証にしないで、何か別の認証情報(単純な例だとパスワードとか)にすれば、全てのIKEフェーズ1でメインモードが使えるのではないか

と思い質問させていただいた次第でございます。勉強になりました！