top of page

JANOG 51 NETCON 問題解説 (Level 3-1)

  • 2023年1月31日
  • 読了時間: 4分

JANOG 51 にスタッフ(NETCON委員)として参加させていただきました。 作成した問題について、回答と解説を記載します。 私の作成した問題は以下となっています。

Level 3-1 IPsec VPN & NAT 問題


ree

技術要素

  • IPsec、スタティックルーティング、NAT(PAT)、ACL

構成解説

  • 本社:HQ(headquarters) は、ISP1の回線を使ってインターネット接続している プライベートIPアドレスは ISP1 と接続している 123.0.0.2 に変換されてISP1に出ていく

  • 本社と支社:BR(branch)は、ISP2の回線を使ってIPsecでVPNを構成している

  • 支社のPCは、IPsec VPN経由で本社を通って、ISP1からインターネットに抜けていく

  • 本社のHQ-PCのデフォルトゲートウェイは HQ1 になっている

  • ユーザは ISP1 / ISP2 にはログイン不可

問題文

NETCON Corp. の本社は、インターネット接続用にISP1の回線を使用しています。 今回、あらたに山梨県富士吉田市に支社をオープンさせることになり、 ISP2と契約して本社-支社間でIPsec VPNを構築することになりました。 セキュリティ上、支社のインターネット通信はすべて本社のネットワークを経由させたいと思っています。

以下のトラブルを解決して下さい。

■トラブル① 本社のPC:HQ-PCと、支社のPC:BR-PC間で、VPN通信が出来ません。 互いのPCでping疎通が出来るようにして下さい ただし、HQ-PC/BR-PCの設定を変更してはいけません。 各機器の既存のインターフェースのIPアドレス設定を変更したり、新たなインターフェースを追加してはいけません。 また、ダイナミックルーティングプロトコルやFHRPを動作させてはいけません。 トンネルモードを変更したり、トンネル設定自体を削除してはいけません。

■トラブル② 本社のPC:HQ-PCと、支社のPC:BR-PCが、ISP1を通ってインターネット(8.8.8.8)に対してping疎通できるようにして下さい。 ただし、既存のインターフェースのIPアドレス設定を変更したり、新たなインターフェースを追加してはいけません。 通信確認用の 8.8.8.8 以外のIPアドレス帯についても、ISP1を通るようにしてください

制約事項

・HQ-PCのデフォルトゲートウェイの変更は禁止 ・ダイナミックルーティングプロトコル、FHRP、PBR(Policy Base Routing)の使用禁止 ・HQ1/HQ2/BR の既存インターフェースのIPアドレス修正やインターフェースの追加は禁止 ・トンネルモードの変更、トンネル設定の削除は禁止 各ルータの GigabitEthernet1 は管理用のため、設定を変更してはいけません。  (機器にログイン出来なくなります)

ゴール

以下の状態になること

■トラブル① 支社のPC:BR-PC から本社のPC:HQ-PC に対してpingが成功する

BR-PC:~$ ping 172.16.0.100

PING 172.16.0.100 (172.16.0.100) 56(84) bytes of data.

64 bytes from 172.16.0.100: icmp_seq=1 ttl=61 time=7.05 ms

64 bytes from 172.16.0.100: icmp_seq=2 ttl=61 time=6.40 ms

64 bytes from 172.16.0.100: icmp_seq=2 ttl=61 time=6.40 ms

64 bytes from 172.16.0.100: icmp_seq=2 ttl=61 time=6.40 ms


■トラブル② 2つの拠点のPCから ping 8.8.8.8 が成功する

HQ-PC:~$ ping 8.8.8.8 PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data. 64 bytes from 8.8.8.8: icmp_seq=1 ttl=254 time=3.60 ms 64 bytes from 8.8.8.8: icmp_seq=2 ttl=254 time=3.44 ms 64 bytes from 8.8.8.8: icmp_seq=3 ttl=254 time=3.30 ms 64 bytes from 8.8.8.8: icmp_seq=4 ttl=254 time=3.27 ms


BR-PC:~$ ping 8.8.8.8 PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data. 64 bytes from 8.8.8.8: icmp_seq=1 ttl=252 time=5.01 ms 64 bytes from 8.8.8.8: icmp_seq=2 ttl=252 time=4.61 ms 64 bytes from 8.8.8.8: icmp_seq=3 ttl=252 time=4.96 ms 64 bytes from 8.8.8.8: icmp_seq=4 ttl=252 time=4.67 ms 64 bytes from 8.8.8.8: icmp_seq=5 ttl=252 time=4.84 ms

※設定を追加・修正したconfigも回答として送信してください。


問題解説

■トラブル① 拠点間通信の確立 初期状態では、HQ2とBR間のIPsec VPNが確立していません。 また、HQ1に支社のIPアドレス帯:192.168.0.0/24 のルーティングが無いため、 拠点間通信に失敗します。 ■トラブル② インターネット通信の確立 HQ2にデフォルトルートが無く、HQ1のNAT対象設定が不足しているため、 支社側がインターネット接続に失敗します。



回答


■トラブル①

【BR】
crypto ipsec profile Profile
 set transform-set Trans

int tun0
 tunnel source g2
 shut
 no shut


【HQ1】
ip route 192.168.0.0 255.255.255.0 172.16.0.254


■トラブル②

【HQ2】
ip route 0.0.0.0 0.0.0.0 172.16.0.1

【HQ1】
access-list 10 permit 192.168.0.0 0.0.0.255






別解と誤回答例

■トラブル① トンネルモードの変更やトンネル設定自体の削除は禁止されていますが、 transform-set の指定はありませんので HQ2側の transform-set を default にする方法でも 正解としています。

【HQ2】
crypto ipsec profile Profile
no set transform-set Trans

また、同様の理由で新たに transform-set 作成しても構いません。

【BR】
crypto ipsec trans New-from esp-des esp-sha-hmac

crypto ipsec profile Profile
 set trans New-from



■トラブル② NAT対象とするIPアドレス帯の制限はないので、以下のように全てのIPをNAT対象に設定しても 正解としています。

【HQ1】
access-list 10 permit 0.0.0.0 255.255.2555.255


誤回答

以下は、禁止事項に違反しています。 ■トラブル① ・ローカルにインターフェースを追加する

【BR】
int lo0
 ip add 172.16.0.100 255.255.255.255


・トンネルモードを変更する(IPsecを外す)


【BR/HQ2】
int tun0
 tunnel mode gre ip
 no tunnel protection ipsec profile Profile

■トラブル② ・ローカルにインターフェースを追加する

【BR/HQ1/HQ2】
int lo0
 ip add 8.8.8.8 255.255.255.255


・8.8.8.8 宛のみの static route を記載する

【HQ2】
ip route 8.8.8.8 255.255.255.255 172.16.0.1

→結構こちらの回答が多かったです。  これは「通信確認用の 8.8.8.8 以外のIPアドレス帯についても、ISP1を通るようにする」という題意は  満たせていないので、誤りとしています。



初期コンフィグ

ISP1

​host ISP1 no ip domain-lookup


int g2 ip add 123.0.0.1 255.255.255.252 no shut


int lo0 ip add 8.8.8.8 255.255.255.255

HQ1

host HQ1

no ip domain lookup


int g2

ip add 123.0.0.2 255.255.255.252

ip nat outside

no shut


int g3

ip add 172.16.0.1 255.255.0.0

ip nat inside

no shut


ip route 0.0.0.0 0.0.0.0 123.0.0.1

# ip route 192.168.0.0 255.255.255.0 172.16.0.254


ip nat inside source list 10 interface g2 overload


access-list 10 permit 172.16.0.0 0.0.255.255

# access-list 10 permit 192.168.0.0 0.0.0.255



HQ2

host HQ2

no ip domain lookup


int g2

ip add 124.0.0.2 255.255.255.252

no shut


int g3

ip add 172.16.0.254 255.255.0.0

no shut


crypto isakmp key 0 cisco address 124.0.0.6


crypto isakmp policy 10

encr 3des

authe pre

group 24


crypto ipsec trans Trans esp-des esp-sha-hmac


crypto ipsec profile Profile

set trans Trans


int tun0

ip add 1.1.1.1 255.255.255.255

tunnel so g2

tunnel des 124.0.0.6

tunnel mode ipsec ipv4

tunnel protection ipsec profile Profile


ip route 124.0.0.6 255.255.255.255 124.0.0.1

ip route 192.168.0.0 255.255.255.0 tun0


# ip route 0.0.0.0 0.0.0.0 172.16.0.1



ISP2

host ISP2 no ip domain lookup


int g2 ip add 124.0.0.1 255.255.255.252 no shut


int g3 ip add 124.0.0.5 255.255.255.252 no shut



BR

host BR

no ip domain lookup


int g2

ip add 124.0.0.6 255.255.255.252

no shut


int g3

ip add 192.168.0.1 255.255.255.0

no shut



crypto isakmp key 0 cisco address 124.0.0.2


crypto isakmp policy 10

encr 3des

authe pre

group 24


crypto ipsec trans Trans esp-des esp-sha-hmac


crypto ipsec profile Profile

# set trans Trans


int tun0

ip add 2.2.2.2 255.255.255.255

#tunnel so g2

tunnel so g3

tunnel des 124.0.0.2

tunnel mode ipsec ipv4

tunnel protection ipsec profile Profile



ip route 124.0.0.2 255.255.255.255 124.0.0.5


ip route 0.0.0.0 0.0.0.0 tun0






コメント

最新記事
アーカイブ
タグから検索
ソーシャルメディア
  • Facebook Basic Square
  • Twitter Basic Square
  • Google+ Basic Square

© 2023 by Name of Site. Proudly created with Wix.com

  • Facebook Social Icon
  • Twitter Social Icon
  • Google+ Social Icon
bottom of page