- 締切済み
IPsecをサブネットの内部及び外側に適用する方法
IPsecをサブネットの内部及び外側に適用する方法 添付図のようなネットワークを想定します。 あるイントラネットの中に、サブネットが2つ、独立して接続されているクライアントが2つあります。 このとき、IPsecを使用して 薄い水色で囲んだ範囲内のクライアントは相互に暗号化通信をできるようにしたいと考えています。 ここで、例えば[192.168.2.12]と[192.168.3.1]の通信においては、ルータ[192.168.2.1]と[192.168.3.1]の間でトンネルモードを使用することでIPsec通信が可能となります。 では、Subnet_1 内にある[192.168.1.12]がルータ[192.168.2.1]や[192.168.3.1]とIPsec通信を行う場合、どういった設定を行えば良いのでしょうか? [192.168.1.12]はサブネット内にありますが、この場合は直接 [192.168.2.1]とのトンネルモード、あるいは直接 [192.168.3.1]とのトランスポートモードの通信は可能なのでしょうか? ただし、水色枠の範囲外にある[192.168.1.11]は他のクライアントとIPsec通信は行わないようにします。 宜しくお願いします。
- ネットワーク
- 回答数1
- ありがとう数11
- みんなの回答 (1)
- 専門家の回答
みんなの回答
- ts244
- ベストアンサー率41% (53/127)
ルータ[192.168.1.1]とHost[192.168.3.1]で、IPsecカプセリングの対象が [192.168.1.12/32-192.168.3.1/32]の間の通信になるように、 設定すればいいのではないでしょうか? 数千円のブロードバンドルータだと場合によっては、ルータのファイアウォール機能が 悪さをして不味いことがおきることがあるかもしれませんが、業務用のものであれば ルータ[192.168.1.1]では単純にIPのルーティングだけを行わせて、 ホスト間で直接IPsecで通信することも勿論可能です。
関連するQ&A
- サブネットについて
いつもお世話になっています。 サーバ側とクライアント側の間にルータがあり、 ルータ設定することで通信できるように 作業を進めました。(相方がですが。。) サーバ側とクライアント側でそれぞれ サブネットを組む意味が良く分からないのです。 通信(PINGなど)ができるならば、 いちいちサブネットを組む必要性はないような気がします。 ご教授宜しくお願いします。
- ベストアンサー
- その他([技術者向] コンピューター)
- 認証方法として証明書を使用したIPsec通信について
認証方法として証明書を使用したIPsec通信がうまくいかないので質問させていただきます。 現在IPsecの動作確認として以下のような環境で確認を行っています。 ・ハブを挟んだ2台のPC間でのトランスポートモードによるIPsec通信 ・2台のPCのOSはWindowsXP Proffessionalでそれぞれに固定IPアドレスを割り振る ・相手PCに対してのpingで通信を確認 互いのPCでIPセキュリティーポリシーを作成し、認証方法に事前共有キーを指定した場合には正常に暗号化した通信が行えています。 しかし、その状態で認証方法を証明書使用に変更した場合、通信ができなくなってしまいます。 (使用する証明書はPCにデフォルトで入っているものを何種類か指定してみましたがダメでした) 認証に使用する証明書はデフォルトでPCに入っているものではダメなのでしょうか?それとも何か設定が足りないのでしょうか? ご教授よろしくお願いします。
- 締切済み
- ネットワーク
- VPN IPSEC接続に関して
恐れ入りますがIPSEC_VPNに関してご教授ください。 IPSEC対応ルーター「NTT_Webcaster7000」を導入してのVPNを検討しています。 WAN側は固定グローバルIPでサイトToポイントでの運用を考えています。 クライアントは必要時にWindowsのクライアント機能を使ってIPSECにて接続をすることを考えています。拠点間での接続は考えていません。 そこでですがPPTPでの構成時はPPTPサーバへのアクセスのたびにWindows仮想 プライベートネットワークを使用してダイアルアップ接続の要領で接続をしていましたがIPSECの場合も同様の手順での接続ができると考えてよろしいのでしょうか? 恐れ入りますがよろしくお願いいたします。 ※PPTPでの運用は考えておりません。
- 締切済み
- その他(インターネット接続・通信)
- Windows標準のVPNでのipsecについて
YAMAHAのRTX1100をVPNサーバーとして、社員が外出先からリモートで VPN接続しようと考えています。 このルーターはPPTPの同時接続数は4までなので、ipsecを使用してと 考えているのですが、ipsecの場合、WindowsXP,7標準のVPNクライアント機能 では接続できないという記事を見ました。 やはり、できないのでしょうか? VPNクライアントソフトはあるようですが、非常に高いので躊躇しています。 よろしくお願いします。
- ベストアンサー
- SE・インフラ・Webエンジニア
- DHCPサーバーの設定について(違うサブネットへの振り当て)
現在ネットワークの勉強用に下記のようなネットワークを組んでいます。 RouterAは固定IP1個を提供しているプロバイダAに接続し RouterCは動的IPを割り当てる通常のプロバイダに接続しています。 RouterBは10.0.0.0/25と10.0.0.128/25 のネットワークが 相互に通信できるようにRouterAとRouterCを接続し ルーティング設定で相互のネットワークへ通信ができる状態に組んでいます。 RouterA側の10.0.0.0/25は外部公開用のWebサーバーです。 RouterC側の10.0.0.128/25は通常のネット用です。 このたび10.0.0.0/25に所属するServer(10.0.0.105)でDHCPサーバーを構築しようと思い DHCPの配布元からDHCP Server 3.0.4をダウンロードし コンパイル、インストールを行いました。 結果的には10.0.0.0/25側のネットワークで10.0.0.128/25側の違う サブネットに所属するクライアントにIPアドレスを割り当てたいと思っています。 設定ファイルを下記のように設定しましたが 10.0.0.128/25側のルーターに接続したPCがDHCPからIPアドレスを取得してくれません。 技術的に不可能なのでしょうか。それとも何か他に設定が必要なのでしょうか。 server-identifier サーバーのFQDN; ddns-update-style none; subnet 10.0.0.128 netmask 255.255.255.128 { authoritative; ddns-updates off; range 10.0.0.160 10.0.0.190; option routers 10.0.0.129; option subnet-mask 255.255.255.128; option domain-name-servers 10.0.0.105; option broadcast-address 10.0.0.255; default-lease-time 3600; max-lease-time 7200; } この設定では No subnet declaration for eth0 (10.0.0.105). と表示され起動しませんでしたので下記を追加しましたら DHCPサーバーは起動できましたが冒頭のとおりです。 subnet 10.0.0.0 netmask 255.255.255.128 { range 10.0.0.160 10.0.0.126; }
- ベストアンサー
- Linux系OS
- サブネットの説明として以下は正しいですか?
只今、サブネットとはどういったものなのかを調べているのですが、サイトによって解説が若干異なっているようで悩んでいます。 参考サイトAでは、「サブネットとは、ハブやLANスイッチで構成されるLANのことで、ルーターを経由しないで直接通信できる範囲である。」と書いてあります。 [参考サイトA] http://itpro.nikkeibp.co.jp/members/NNW/NETPOINT/20040720/2/ しかし、他のページを見ると、 「インターネットのような巨大なネットワークは、いくつもの小さなネットワークが相互に連結されてできている。また、大企業などではネットワーク管理や回線資源の分配を効率よく行うために、ネットワークをいくつかの小さな単位に分割して管理する場合がある。このような場合に、管理単位となる小さなネットワークをサブネットという。」と書いてあります。 [参考サイトB] http://e-words.jp/w/E382B5E38396E3838DE38383E38388.html 前者の記述は分かりやすくすっきりするのですが、後者の記述だと、なんとなくルータを経由するような規模のネットワークもサブネットと言うような気がしてしまって、なんとも気持ちが悪いです。 (決して、そうだとは書いてないのですが) 詳しい方、いらっしゃいましたら、ご教示願います。
- ベストアンサー
- ネットワーク
- トランスポートモードとトンネルモードについて
情報セキュリティアドミニストレータの午前問題で、 http://www.kimura-kouichi.com/security/h18/2006/18amex4.htm 問33 通信の暗号化に関する記述のうち,適切なものはどれか。 正解:ア IPsecのトランスポートモードでは,ゲートウェイ間の通信経路上だけではなく,発信側システムと受信側システムとの間の全経路上でメッセージが暗号化される。 とありますが、 トランスポートモードはパケットのデータ部分のみを暗号化し、 トンネルモードがデータ部分とヘッダをまとめて暗号化するのではないでしょうか?
- ベストアンサー
- ネットワーク
- CCNAの練習問題サブネットについて
CCNA取得に向けて勉強を始めており、練習問題を解いているのですが、以下の問題の意味と解答が恥ずかしながら全く理解できないため、かみ砕いた内容で解説していただけると大変助かります。 解説にある「均等に8つに分けるためサブネットマスクは255.255.224.0(/19)となります。」とありますが、ここでサブネットマスクが255.255.224.0(/19)となる理由が特に知りたいです。 (問題) ネットワーク172.25.0.0が8つの等しいサブネットに分割されている。ルータでipsubnet-zeroコマンドが設定されているときに、3番目のサブネットのホストに割り当てることができるIPアドレスはどれか? 3つを選択せよ。 (解答) ip subnet-zero クラスフルネットワークをサブネット化した後の最初のサブネットアドレスはゼロサブネットと呼ばれます。 例:172.25.0.0/16(クラスフルネットワークアドレス) 172.25.0.0/24(クラスレスネットワークアドレス) 上記の場合、172.25.0.0/24がゼロサブネットとなります。 そのため172.25.0.0/16とホスト部のビットが同様になるため区別ができません。 また、ホスト部のビットがすべて1であるものをオールワンサブネットといいます。 「ip subnet-zero」コマンドはゼロサブネットとオールワンサブネットをクラスレスネットワークとして使用できるようにするコマンドです。 クラスフルアドレス IPアドレスには以下図のようなクラスがあります。 5つのクラスのうち、ユーザに割り当てられるクラスはA~Cの3つだけです。 172.25.0.0はクラスBアドレスでIホストアドレス長は16ビット(/16)となり、IPアドレス数は65536です。 均等に8つに分けるためサブネットマスクは255.255.224.0(/19)となります。 172.25.0.0のサブネットマスクが255.255.224.0の場合 ネットワークアドレスは第3オクテットが32の倍数で、第4オクテットが0になります。 また、ブロードキャストアドレスは第3オクテットが32の倍数から1を引いた数で、第4オクテットが255になります。 そのため、3番目のサブネットのネットワークアドレスは172.25.64.0となり、 172.25.64.1~172.25.95.254の範囲がホストアドレスとして利用できます。 よって、解答は「172.25.78.243」、「172.25.72.0」、「172.25.94.255」になります
- ベストアンサー
- ネットワーク
- トンネルモードとトランスポートモード
IPsecのトランスポートモードでは、NAPT越しの通信が行なわれている様ですが、どういう手段で別のネットワークの中の相手を認識しているのでしょうか?
- ベストアンサー
- 情報処理技術者
- DDNSとL2TP/IPsecを利用したVPN接続
画像のような構成でクライアント←→サーバー側ルータ間でL2TP/IPsecVPNを構築して Wake up On Lanでサーバーを起動させてから RDTでサーバーを操作したいと思うのですが 何点か疑問が浮かんだので質問させてください。 1、そもそもDDNSを使用して上記のようなこと(特にL2TP/IPsecVPN接続をしてからのWoLでのサーバーの起動)は可能なのでしょうか? 2、ルータ越えについて NATトラバーサルやIPsecパススルーは、各クライアント・サーバーでIPsecパケットからL2TPパケットを取り出す場合に必要な機能なのであって、 クライアント←→サーバー側ルータ間L2TP/IPsecVPNのサーバー側ルータ or ルータ←→ルータ間L2TP/IPsecVPNでは必要のない機能なのでしょうか? また、クライアント←→サーバー側ルータ間L2TP/IPsecVPNの構築が可能な場合ですが、サーバー側ルータにはL2TPパススルー機能が必須というとこでよろしいでしょうか? (ルータでIPsecパケットが復号され、実際にサーバー側LAN内を流れるのはL2TPパケットだと思ったため) 以上、よろしくお願いいたします。
- 締切済み
- その他(インターネット接続・通信)
