https://www.ap-siken.com/kakomon/04_haru/pm05.html

設問1(1)
(あ)を通過するパケットの送信元IPアドレスが
どの機器のアドレスとなっているかですが、
本文中のどこを見れば解答がNPCであると断定できますか？
私はFWかNPCのどちらかだと考えました。
FWで送信ポートのIPアドレスに書きかえる・書きかえないの文言が
どこにもなさそうなので、判断できませんでした。
解説を読んでも納得できません。

流れは
営業所NPC→IPsecルータ2→IPsecルータ1→L3SW→FW→L2SW→プロキシサーバ
なので
営業所NPCのIPパケットは
送信元IP（営業所NPC）宛先IP（プロキシサーバのプライベートIP（と仮定））
で、IPsecルータ2でトンネルモードでやったとして、
頭にIPヘッダがついて（ESPカプセル化）、頭のIPヘッダはIPsecルータのグローバルIPアドレスになる
IPsecルータ1でESPカプセル化が解除されて
送信元IP（営業所NPC）宛先IP（プロキシサーバのプライベートIP（と仮定））
のパケットがでてくる。
L3SW→FW→L2SW→プロキシサーバ
まではNATもやってないのでL3SWでセグメント越えとしてMACアドレスはつけかわってもIPアドレスはかわらないので、送信元IPアドレスは営業所NPCとなる。

GinSanaさん
ご回答ありがとうございます。

>L3SW→FW→L2SW→プロキシサーバ
>まではNATもやってないので
→このNATをやっていないというのはなぜ判断できるのかが理解できない点です。
  「NAT変換をしている」の記載がないからでしょうか？

>→このNATをやっていないというのはなぜ判断できるのかが理解できない点です。
>  「NAT変換をしている」の記載がないからでしょうか？
判断する材料が少ないのは事実です。
本問のネットワーク図でインターネットとFWの間にルータの存在が図示されています。
通常、試験のネットワーク図でインターネットとFWの間に機器が配置されていることは
少なく、この位置にルータが明示的に図示されることは非常に稀です。

これは出題者が恣意的に配置したと考えられ、暗黙的にこのルータでIPアドレス変換を
行っているという意思を示していると考えられます。
また、明示的にFWでIPアドレス変換をしてると書かれていないのも上の理由を補強する
ものと捉えています。

こういった判断に迷う問題が時たま出題されますが、その時はどちらがより自然かを
考慮して解答するしかないと思われます。

>にゅさん
おはようございます。

>→このNATをやっていないというのはなぜ判断できるのかが理解できない点です。
>  「NAT変換をしている」の記載がないからでしょうか？

NPCは基本的にプライベートIPアドレスが設定されていると思います。
社内のPCが社内のDMZと通信するにあたって、NATによりアドレス変換を行う理由は特に無いように感じます。

また、仮にNATやNAPTでアドレス変換を行ってしまったら、プロキシサーバで接続元のIPアドレスをログとして取得することが難しくなりますよね。

NATやNAPTは元々アドレスを秘匿する役割が大きいと思います。
通信の内容から考えて、秘匿する必要のないアドレスなので、NAT変換はしていないと考えるのは如何でしょうか。

pixさん
ご回答ありがとうございます。
難しいですね。
書かれていないことはしていないものと判断することにします。

犬さん
ご回答ありがとうございます。
>また、仮にNATやNAPTでアドレス変換を行ってしまったら、プロキシサーバで接続元のI>Pアドレスをログとして取得することが難しくなりますよね。
→おっしゃる通りですね。
  NATする必要があるかについても考えていこうと思います。