平成21年秋期午後問5
広告
ずわたろうさん
(No.1)
https://www.ap-siken.com/kakomon/21_aki/pm05.html
〔案3の課題〕
とありますが、具体的にどんな事をして対処したと考えられますか?
の(2)答えがアの
ということですが、トンネルモードは常識として新IPヘッダ付与されているものだとおもってましたが、新IPヘッダとは別にまたIPヘッダを付与するということでしょうか。それとも新IPヘッダの内側にある元のIPヘッダをIPsec専用のIPアドレスに変えるということでしょうか。後者の場合なら、クライアントPC側の設定でDHCPサーバーをIPsecVPNルーターとして設定するなどの作業が必要かな?と思うのですが、そうした場合、リモートアクセスしないときはクライアントPC側の設定で、もとのDHCPサーバーをDHCPサーバーとして使うような設定とかが必要で大変ではないか?と思いました。
どういう風に重複する流れなのかもあまり理解できていません。
分かりにくい質問で恐縮ですが、詳しい方いましたらご教授お願いします。
〔案3の課題〕
>営業員の利用環境を調査したところ,NAPTを利用している環境があったが,NAPTの利用に関連>して発生することのある問題には対処できていることが確認できた。
とありますが、具体的にどんな事をして対処したと考えられますか?
>出張先のホテルにあるe(DHCPサーバ)から,動的にf(ローカルIPアドレス)を取得する場合,>T社ネットワーク内でf(ローカルIPアドレス)が重複してしまい,リモートアクセスができなくな>るおそれがある。
の(2)答えがアの
>本社DHCPサーバからIPsec専用のIPアドレスを携帯用PCに割り当てる。
ということですが、トンネルモードは常識として新IPヘッダ付与されているものだとおもってましたが、新IPヘッダとは別にまたIPヘッダを付与するということでしょうか。それとも新IPヘッダの内側にある元のIPヘッダをIPsec専用のIPアドレスに変えるということでしょうか。後者の場合なら、クライアントPC側の設定でDHCPサーバーをIPsecVPNルーターとして設定するなどの作業が必要かな?と思うのですが、そうした場合、リモートアクセスしないときはクライアントPC側の設定で、もとのDHCPサーバーをDHCPサーバーとして使うような設定とかが必要で大変ではないか?と思いました。
どういう風に重複する流れなのかもあまり理解できていません。
分かりにくい質問で恐縮ですが、詳しい方いましたらご教授お願いします。
2023.08.19 13:22
GinSanaさん
★AP プラチナマイスター
(No.2)
>営業員の利用環境を調査したところ,NAPTを利用している環境があったが,NAPTの利用に関連>して発生することのある問題には対処できていることが確認できた。
>とありますが、具体的にどんな事をして対処したと考えられますか?
まず、IPsecを使うわけなので、AH、 ESP、IKEとの相性が問題になるが、全滅です。
平成27年のネスペの午後2のP15から16にかけて、なんでダメなのかが書いてあります。
https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt8000000gxj0-att/2015h27a_nw_pm2_qs.pdf
で、IPsec NATトラバーサルで対応します
IPsec - NATトラバーサル(IPsecとNAT/NAPTが共存できない理由)
でもググってください
2023.08.19 17:59
ずわたろうさん
(No.3)
NATトラバーサルというのですね。
ありがとうございました。
もっとよく調べてみます。
ありがとうございました。
もっとよく調べてみます。
2023.08.21 21:53
陽射さん
★AP ブロンズマイスター
(No.4)
>ということですが、トンネルモードは常識として新IPヘッダ付与されているものだとおもってましたが、
>新IPヘッダとは別にまたIPヘッダを付与するということでしょうか。それとも新IPヘッダの内側に
>ある元のIPヘッダをIPsec専用のIPアドレスに変えるということでしょうか。
新IPヘッダについて、拠点間通信と出先から拠点への通信では、動作が変わるため2つについて説明いたします。
拠点間のIPsecの通信(所謂LAN間接続)の場合、インターネット上を行き来できるようIPsecルータ間は、暗号化された元のパケットの外側にグローバルIPアドレスのヘッダが付与されます。IPsecルータ間を出ると、これらが取り払われ復号化されたパケットが相手に届くという仕組みです。
これに対し、クライアントがトンネルモードで接続する場合、元のパケットのIPヘッダーは、IPsecルータから付与された仮想IPアドレスになります。T社ネットワークと通信するのはこの仮想IPアドレスと考えていただいて問題ありません。
上記は、PCからIPsecクライアントでIPsecルータのGIPに通信を確立する過程で行われます。IPsecクライアントのインストール後にPCのネットワークに仮想I/Fが自動的に作成されますが、仮想IPアドレスは仮想I/Fに付与されます。
設問3(2)は、本社DHCPサーバからFWを経てDHCPプロトコルで出先のPCと通信しているわけではなく、FWが本社DHCPサーバと連携しFWからPCに払い出し可能なIPアドレスを割り当てている動作となります。DHCPサーバがなくともFWでIPアドレスの配給は可能ですが、DHCPサーバで一元管理する目的があると思います。
パケットについては、元のパケットの外側にIPヘッダーが外側に付加される形となります。この時点で元のパケットは暗号化されます。
●外側のIPヘッダについて
PC~ルータ(ホテルなどのルータ)間
送信元:ローカルIPアドレス
宛先:IPsecルータのグローバルIPアドレス
ルータ~IPsecルータ
送信元:ルータのグローバルIPアドレス(NAPTによりグローバルIPアドレス変換)
宛先:IPsecルータのグローバルIPアドレス
●これ以降は、外側のIPヘッダが取り払われ元のパケットが復号化されるため
送信元:IPsec用の仮想IPアドレス
宛先:通信相手(サーバなど)
>どういう風に重複する流れなのかもあまり理解できていません。
物理I/FとIPsec用の仮想I/Fに同じIPが割り当てられたケースを想定していると考えられます。(物理I/Fは、ホテルのルータのDHCP機能で配給されたアドレス、IPsec用の仮想I/Fは、IPsecルータから配給されたアドレス)
Windowsの場合、2つのI/FでIPアドレスが重複すると一方がリンクローカル(169.254.xx.xx)に強制的に変わります。そうなるとVPN通信が成立しなくなります。
>リモートアクセスしないときはクライアントPC側の設定で、もとの
>DHCPサーバーをDHCPサーバーとして使うような設定とかが必要で大変ではないか?
インターフェースが分れているため特段気にする必要はありません。また、IPsecクライアントが未接続の場合、IPsec用の仮想I/Fはオフラインとなるため影響はありません。
2023.08.22 20:22
返信投稿用フォーム
スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。