JANOG 51 NETCON 問題解説 (Level 3-1)
JANOG 51 にスタッフ(NETCON委員)として参加させていただきました。 作成した問題について、回答と解説を記載します。 私の作成した問題は以下となっています。
Level 3-1 IPsec VPN & NAT 問題
技術要素
IPsec、スタティックルーティング、NAT(PAT)、ACL
構成解説
本社:HQ(headquarters) は、ISP1の回線を使ってインターネット接続している プライベートIPアドレスは ISP1 と接続している 123.0.0.2 に変換されてISP1に出ていく
本社と支社:BR(branch)は、ISP2の回線を使ってIPsecでVPNを構成している
支社のPCは、IPsec VPN経由で本社を通って、ISP1からインターネットに抜けていく
本社のHQ-PCのデフォルトゲートウェイは HQ1 になっている
ユーザは ISP1 / ISP2 にはログイン不可
問題文
NETCON Corp. の本社は、インターネット接続用にISP1の回線を使用しています。 今回、あらたに山梨県富士吉田市に支社をオープンさせることになり、 ISP2と契約して本社-支社間でIPsec VPNを構築することになりました。 セキュリティ上、支社のインターネット通信はすべて本社のネットワークを経由させたいと思っています。
以下のトラブルを解決して下さい。
■トラブル① 本社のPC:HQ-PCと、支社のPC:BR-PC間で、VPN通信が出来ません。 互いのPCでping疎通が出来るようにして下さい。 ただし、HQ-PC/BR-PCの設定を変更してはいけません。 各機器の既存のインターフェースのIPアドレス設定を変更したり、新たなインターフェースを追加してはいけません。 また、ダイナミックルーティングプロトコルやFHRPを動作させてはいけません。 トンネルモードを変更したり、トンネル設定自体を削除してはいけません。
■トラブル②
本社のPC:HQ-PCと、支社のPC:BR-PCが、ISP1を通ってインターネット(8.8.8.8)に対してping疎通できるようにして下さい。
ただし、既存のインターフェースのIPアドレス設定を変更したり、新たなインターフェースを追加してはいけません。
通信確認用の 8.8.8.8 以外のIPアドレス帯についても、ISP1を通るようにしてください。
制約事項
・HQ-PCのデフォルトゲートウェイの変更は禁止 ・ダイナミックルーティングプロトコル、FHRP、PBR(Policy Base Routing)の使用禁止 ・HQ1/HQ2/BR の既存インターフェースのIPアドレス修正やインターフェースの追加は禁止 ・トンネルモードの変更、トンネル設定の削除は禁止 ・各ルータの GigabitEthernet1 は管理用のため、設定を変更してはいけません。 (機器にログイン出来なくなります)
ゴール
以下の状態になること
■トラブル① 支社のPC:BR-PC から本社のPC:HQ-PC に対してpingが成功する
BR-PC:~$ ping 172.16.0.100 PING 172.16.0.100 (172.16.0.100) 56(84) bytes of data. 64 bytes from 172.16.0.100: icmp_seq=1 ttl=61 time=7.05 ms 64 bytes from 172.16.0.100: icmp_seq=2 ttl=61 time=6.40 ms 64 bytes from 172.16.0.100: icmp_seq=2 ttl=61 time=6.40 ms 64 bytes from 172.16.0.100: icmp_seq=2 ttl=61 time=6.40 ms |
■トラブル② 2つの拠点のPCから ping 8.8.8.8 が成功する
HQ-PC:~$ ping 8.8.8.8 PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data. 64 bytes from 8.8.8.8: icmp_seq=1 ttl=254 time=3.60 ms 64 bytes from 8.8.8.8: icmp_seq=2 ttl=254 time=3.44 ms 64 bytes from 8.8.8.8: icmp_seq=3 ttl=254 time=3.30 ms 64 bytes from 8.8.8.8: icmp_seq=4 ttl=254 time=3.27 ms
BR-PC:~$ ping 8.8.8.8 PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data. 64 bytes from 8.8.8.8: icmp_seq=1 ttl=252 time=5.01 ms 64 bytes from 8.8.8.8: icmp_seq=2 ttl=252 time=4.61 ms 64 bytes from 8.8.8.8: icmp_seq=3 ttl=252 time=4.96 ms 64 bytes from 8.8.8.8: icmp_seq=4 ttl=252 time=4.67 ms 64 bytes from 8.8.8.8: icmp_seq=5 ttl=252 time=4.84 ms |
※設定を追加・修正したconfigも回答として送信してください。
問題解説
■トラブル① 拠点間通信の確立
初期状態では、HQ2とBR間のIPsec VPNが確立していません。
また、HQ1に支社のIPアドレス帯:192.168.0.0/24 のルーティングが無いため、
拠点間通信に失敗します。
■トラブル② インターネット通信の確立
HQ2にデフォルトルートが無く、HQ1のNAT対象設定が不足しているため、
支社側がインターネット接続に失敗します。
回答
■トラブル①
【BR】
crypto ipsec profile Profile
set transform-set Trans
int tun0
tunnel source g2
shut
no shut
【HQ1】
ip route 192.168.0.0 255.255.255.0 172.16.0.254■トラブル②
【HQ2】
ip route 0.0.0.0 0.0.0.0 172.16.0.1
【HQ1】
access-list 10 permit 192.168.0.0 0.0.0.255
別解と誤回答例
■トラブル① トンネルモードの変更やトンネル設定自体の削除は禁止されていますが、 transform-set の指定はありませんので HQ2側の transform-set を default にする方法でも 正解としています。
【HQ2】
crypto ipsec profile Profile
no set transform-set Transまた、同様の理由で新たに transform-set 作成しても構いません。
【BR】
crypto ipsec trans New-from esp-des esp-sha-hmac
crypto ipsec profile Profile
set trans New-from
■トラブル② NAT対象とするIPアドレス帯の制限はないので、以下のように全てのIPをNAT対象に設定しても 正解としています。
【HQ1】
access-list 10 permit 0.0.0.0 255.255.2555.255
誤回答
以下は、禁止事項に違反しています。 ■トラブル① ・ローカルにインターフェースを追加する
【BR】
int lo0
ip add 172.16.0.100 255.255.255.255
・トンネルモードを変更する(IPsecを外す)
【BR/HQ2】
int tun0
tunnel mode gre ip
no tunnel protection ipsec profile Profile■トラブル② ・ローカルにインターフェースを追加する
【BR/HQ1/HQ2】
int lo0
ip add 8.8.8.8 255.255.255.255
・8.8.8.8 宛のみの static route を記載する
【HQ2】
ip route 8.8.8.8 255.255.255.255 172.16.0.1→結構こちらの回答が多かったです。 これは「通信確認用の 8.8.8.8 以外のIPアドレス帯についても、ISP1を通るようにする」という題意は 満たせていないので、誤りとしています。
初期コンフィグ
ISP1
host ISP1 no ip domain-lookup int g2 ip add 123.0.0.1 255.255.255.252 no shut int lo0 ip add 8.8.8.8 255.255.255.255 |
HQ1
host HQ1 no ip domain lookup int g2 ip add 123.0.0.2 255.255.255.252 ip nat outside no shut int g3 ip add 172.16.0.1 255.255.0.0 ip nat inside no shut ip route 0.0.0.0 0.0.0.0 123.0.0.1 # ip route 192.168.0.0 255.255.255.0 172.16.0.254 ip nat inside source list 10 interface g2 overload access-list 10 permit 172.16.0.0 0.0.255.255 # access-list 10 permit 192.168.0.0 0.0.0.255 |
HQ2
host HQ2 no ip domain lookup int g2 ip add 124.0.0.2 255.255.255.252 no shut int g3 ip add 172.16.0.254 255.255.0.0 no shut crypto isakmp key 0 cisco address 124.0.0.6 crypto isakmp policy 10 encr 3des authe pre group 24 crypto ipsec trans Trans esp-des esp-sha-hmac crypto ipsec profile Profile set trans Trans int tun0 ip add 1.1.1.1 255.255.255.255 tunnel so g2 tunnel des 124.0.0.6 tunnel mode ipsec ipv4 tunnel protection ipsec profile Profile ip route 124.0.0.6 255.255.255.255 124.0.0.1 ip route 192.168.0.0 255.255.255.0 tun0 # ip route 0.0.0.0 0.0.0.0 172.16.0.1 |
ISP2
host ISP2 no ip domain lookup int g2 ip add 124.0.0.1 255.255.255.252 no shut int g3 ip add 124.0.0.5 255.255.255.252 no shut |
BR
host BR no ip domain lookup int g2 ip add 124.0.0.6 255.255.255.252 no shut int g3 ip add 192.168.0.1 255.255.255.0 no shut crypto isakmp key 0 cisco address 124.0.0.2 crypto isakmp policy 10 encr 3des authe pre group 24 crypto ipsec trans Trans esp-des esp-sha-hmac crypto ipsec profile Profile # set trans Trans int tun0 ip add 2.2.2.2 255.255.255.255 #tunnel so g2 tunnel so g3 tunnel des 124.0.0.2 tunnel mode ipsec ipv4 tunnel protection ipsec profile Profile ip route 124.0.0.2 255.255.255.255 124.0.0.5 ip route 0.0.0.0 0.0.0.0 tun0 |
