2009/12/18
ネットワークのおべんきょしませんか?Vol.1021 IPSecのトラブル
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 『キーマンズネット』 http://www.n-study.com/books/2005/03/it.html リクルートが提供するIT製品情報提供サイトです。無料で利用することができ ます。 IT業界に身をおいている人は、エンジニアの方も営業職の方も関わりなく、キ ーマンズネットへの登録をオススメします! キーマンズネットへの登録は、以下のURLからバナーをクリックしてください。 http://www.n-study.com/books/2005/03/it.html ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ┌──ALL_@bout_Network────────────────────────┐ | | | ネットワークのおべんきょしませんか? | | http://www.n-study.com/ | └─────────────────────────ALL_@bout_Network─┘ 2009/12/18 Vol.1021 発行部数 約30000 Back Number: http://blog.mag2.com/m/log/0000046467 有料版PREMIUM: http://www.n-study.com/premium/index.htm 広告掲載について: http://www.n-study.com/2006/12/post_1.html WEBサイト広告掲載:http://www.n-study.com/2006/12/web.html コンテンツ提供: http://www.n-study.com/2006/12/post_2.html ※メルマガ解除は自己責任で行ってください。発行者ではいっさい対応しませ ん。メルマガの最後に各発行スタンドへのリンクを記載しています ┌──ALL_@bout_Network────────────────────────┐ ~INDEX~ ◆はじめに ◆IPSecのトラブル 【CCNPレベル】 ◆Geneが講師を担当するセミナー情報 ◆終わりに ◆書籍プレゼント企画メール未返信者へのお知らせ └─────────────────────────ALL_@bout_Network─┘ ┌──ALL_@bout_Network────────────────────────┐ 「はじめに」 こんにちは、発行者の Gene(じーん) です。 今回はIPSec VPNのトラブルについての問題をお届けします。IPSec VPNの設定 は、やることがいっぱいあって難しいですよね。それに、IPSec VPNだけじゃ なくて、他のことも考えないといけません。 今回のトラブルは、IPSec VPN自体の設定には問題はありません。IPSec VPNの 設定以外で考慮しなければいけないところに問題があります。 Webで少し検索してみると、IPSec VPN自体の設定例はたくさん見つかります。 でも、今回問題にしていることまで考慮した設定例はほとんどないと思います。 そのため、ちょっと難しいかもしれません。 いつものように、みなさんの回答をお待ちしています。時間があれば、ぜひ考 えてみてください。 あて先:info@n-study.com 件名:Vol.1019回答 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ IT用語を調べるときには・・・キーマンズネット「IT単語帳」 http://www.n-study.com/network/2008/10/itit.html ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 無料レポートはじめました!! ・テクニカルエンジニア(ネットワーク)平成16年午後解説 ≪New≫ ・テクニカルエンジニア(ネットワーク)平成15年午後解説 ≪New≫ ・IPルーティング 再び ・IPSecの概要 ・IPアドレッシングを基本から復習しましょ! ・テクニカルエンジニア(ネットワーク)平成14年午後解説 ・Ciscoルータのダイアルバックアップ ・レイヤ3スイッチの考え方とCisco Catalystスイッチの設定 ・CiscoルータでのBGP集約 を1つのPDFファイルで読んでいただけます!お申し込みはこちらから↓ http://www.n-study.com/report.html ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ★PCのアイドル中に社会貢献「Folding@home」★ http://folding.stanford.edu/Japanese/Main チームを作成しました!よろしければ、一緒にご参加ください!! チーム番号:64236 チーム名:N-STUDY ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ └─────────────────────────ALL_@bout_Network─┘ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ CCIEラボ試験対策を効率よく進めるためのコンテンツ 「究めるOSPF」 http://www.n-study.com/library/2005/11/ccnaccnpccieospfospf.html 「究めるBGP」 http://www.n-study.com/library/2008/07/bgp_for_ccie_lab.html 「究めるIPマルチキャスト」 http://www.n-study.com/library/2009/02/ccie_ip_multicast.html CCNPとCCIEラボ試験には、非常に大きな隔たりがあります。それを埋めようと 洋書やCCOなどWebの情報を基に勉強するのは、かなりの時間がかかります。 OSPF/BGP/IPマルチキャストについて、CCIEラボ試験レベルの技術を身につけ ていただくためのコンテンツです。 CCIEラボ試験だけでなく、実際のネットワーク構築でも参考にしていただける 内容にしています。 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ┌──ALL_@bout_Network────────────────────────┐ 「IPSecのトラブル 【CCNPレベル】」 ~ネットワーク構成~ 次のネットワーク構成で、IPSec-VPNにより拠点間の通信を行いたいと考えて います。 http://www.n-study.com/network/image/IPSec01.html 図 IPSec-VPNネットワーク構成 R1の拠点内には192.168.1.0/24のネットワークがあります。また、R2の拠点内 には192.168.2.0/24のネットワークがあります。R1、R2をVPNゲートウェイと して拠点間の通信のパケットをIPSecで暗号化します。また、インターネット へ接続するためにR1、R2でNATによって拠点内のプライベートアドレスをISPに 接続しているグローバルアドレスに変換できるようにしています。 なお、インターネットへ通信確認は150.1.1.100のIPアドレスで行うものとし ます。 ~設定概要~ R1、R2で下記の設定を行っています。 R1 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key cisco address 100.2.2.2 crypto isakmp keepalive 30 periodic ! crypto ipsec transform-set myset esp-3des esp-sha-hmac ! crypto map IPSEC 10 ipsec-isakmp set peer 100.2.2.2 set transform-set myset match address 100 ! interface Loopback0 ip address 192.168.1.1 255.255.255.0 ip nat inside ! interface FastEthernet0/0.101 encapsulation dot1Q 101 ip address 100.1.1.1 255.255.255.0 ip nat outside crypto map IPSEC ! ip route 0.0.0.0 0.0.0.0 100.1.1.100 ! ip nat inside source list 1 interface FastEthernet0/0.101 overload ! access-list 1 permit 192.168.1.0 0.0.0.255 access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ R2 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key cisco address 100.1.1.1 crypto isakmp keepalive 30 periodic ! crypto ipsec transform-set myset esp-3des esp-sha-hmac ! crypto map IPSEC 10 ipsec-isakmp set peer 100.1.1.1 set transform-set myset match address 100 ! interface Loopback0 ip address 192.168.2.2 255.255.255.0 ip nat inside ! interface FastEthernet0/0.102 encapsulation dot1Q 102 ip address 100.2.2.2 255.255.255.0 ip nat outside crypto map IPSEC ! ip route 0.0.0.0 0.0.0.0 100.2.2.100 ! ip nat inside source list 1 interface FastEthernet0/0.102 overload ! access-list 1 permit 192.168.2.0 0.0.0.255 access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ~トラブルの症状~ R1やR2からはインターネットへの接続は問題なく行うことができます。R1から インターネット(150.1.1.100)へPingすると次のように成功します。 R1 インターネット(150.1.1.100)への通信 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ R1#ping 150.1.1.100 source 192.168.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 150.1.1.100, timeout is 2 seconds: Packet sent with a source address of 192.168.1.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/23/64 ms ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ところが、R1とR2の拠点間のIPSecの通信ができません。 R1 拠点間の通信 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ R1#ping 192.168.2.2 source 192.168.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.2.2, timeout is 2 seconds: Packet sent with a source address of 192.168.1.1 U.U.U Success rate is 0 percent (0/5) ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ IPSec SAを確認すると、R1とR2間でIPSec SAが確立できていないようです。 R1 show crypto ipsec sa ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ R1#show crypto ipsec sa interface: FastEthernet0/0.101 Crypto map tag: IPSEC, local addr 100.1.1.1 protected vrf: (none) local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/0/0) current_peer 100.2.2.2 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 100.1.1.1, remote crypto endpt.: 100.2.2.2 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0.101 current outbound spi: 0x0(0) inbound esp sas: inbound ah sas: inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas: ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ~問題~ ・拠点間の通信ができない原因はなんですか? ・これを解決するためには、R1とR2でどのように設定を変更すればよいですか? └─────────────────────────ALL_@bout_Network─┘ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ たまにはシティーホテルでのんびり過ごしたいなぁって言う方は 一休ドットコムの高級ホテル・旅館の予約 ≪ http://www.n-study.com/ikkyu/ ≫ ホテル体験レポートもありますよ! ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ┌──ALL_@bout_Network────────────────────────┐ 「Geneが講師を担当するセミナー情報」 http://www.n-study.com/page/gene.html Geneが講師を担当するセミナー情報です。幅広い分野のネットワーク技術をわ かりやすく解説します。ご興味があるセミナーがあれば、ぜひご参加ください。 「Geneにネットワーク技術の講師をやってもらいたい!」という研修担当の方 は↓をご覧ください。 「Geneが御社のネットワーク技術研修の講師を承ります」 http://www.n-study.com/page/gene-instructor.html また、遠方にお住まいの方から「セミナーに参加できないのでテキストだけで も購入したい」というお問い合わせをちょくちょくいただくようになりました。 セミナー用のテキストの販売も開始しております。 <教材セットの内容> ・セミナーテキスト ・実機デモ資料 ・実機デモ動画解説 ・セミナー内容のマインドマップ ご注文についての詳細は下記リンクをご覧ください。 NE向けセミナー「OSPFの基礎をしっかり身に付ける!」教材セット http://www.n-study.com/library/2009/05/_011.html NE向けセミナー「OSPFの高度な機能をばっちり使えるようになる」教材セット http://www.n-study.com/library/2009/06/neospf.html ネットワークエンジニア向けセミナー「BGPの基本を学ぶ」教材セット http://www.n-study.com/library/2009/06/bgp.html ネットワークエンジニア向けセミナー「高度なBGPの設定」教材セット http://www.n-study.com/library/2009/06/bgp_1.html NE向けセミナー「IPマルチキャスト基礎」教材セット http://www.n-study.com/library/2009/06/neip.html ネットワークエンジニア向けセミナー「IPマルチキャスト応用」教材セット http://www.n-study.com/library/2009/06/ip.html NE向けセミナー「複数のルーティングプロトコルを使いこなす!」教材セット http://www.n-study.com/library/2009/07/ne.html NE向けセミナーIPv6ネットワーク構築のためのアドレッシング、 ルーティング、移行技術」教材セット http://www.n-study.com/library/2009/07/neipv6.html └─────────────────────────ALL_@bout_Network─┘ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 【新バージョンのCCNAにいち早く対応! 日経BP刊】 Cisco CCNA ICND1テキスト 640-822[640-802含む]対応 www.amazon.co.jp/exec/obidos/ASIN/4822283410/networkstudy-22/ref=nosim/ Cisco CCNA ICND2テキスト 640-816[640-802含む]対応 www.amazon.co.jp/exec/obidos/ASIN/4822283429/networkstudy-22/ref=nosim/ 新バージョンに対応した書籍では、一番早いはずです。これは、単に試験に 合格するだけではなくて、自信を持って「ネットワーク技術の基本は完 璧です!!」と言っていただけるようにするためです。 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 「ICND1/ICND2テキストに準拠したCCNA問題集」 日経BP社から出版されているICND1/ICND2テキストに対応したCCNA問題集です。 もちろん現行試験 640-802Jに対応しています。 豊富な問題数と詳細な解説で、試験合格のみならず、実務でCiscoデバイスを 扱うスキルアップを目指す方にぴったりです。 「ネットワーク技術をしっかり身に付けて CCNAに合格するための『CCNA問題集』 640-802J対応!」 http://www.n-study.com/library/2007/03/ccnaccna.html ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ┌──ALL_@bout_Network────────────────────────┐ 「終わりに」 高校生の時以来、長年愛読してきた「グインサーガ」の著者 栗本薫さんが亡 くなったのが今年の5月でした。 その後も、書きためていた原稿があったようで「グインサーガ」自体は出版さ れていました。だから、栗本さんが亡くなった実感があまりありませんでした。 でも、それが本当に最後の最後に。第130巻「見知らぬ明日」を読み終えまし た。いつもの半分の分量しかない栗本さんが書かれた「最後」のグインサーガ。 物語が大きく動いていきそうなところで【未完】となってしまいました。とて も残念です。 グインサーガ以外にも栗本さんの小説は好きで、よく読んでいました。これか ら、新しく栗本さんが書かれた小説が読めなくなるのはとても寂しいです。 また、暇を見つけてグインサーガを第1巻から再読してみたいと思っています。 時間を忘れて読みふけられるような物語を紡ぎ出してくださった栗本さんに感 謝です。あらためてご冥福をお祈りします。 グインサーガ 130 「見知らぬ明日」 http://www.amazon.co.jp/exec/obidos/ASIN/4150309752/networkstudy-22/ref=nosim/ └─────────────────────────ALL_@bout_Network─┘ ┌──ALL_@bout_Network────────────────────────┐ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 書籍プレゼント企画メール未返信者へのお知らせ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ※書籍プレゼント企画「ネットワーク構築の基礎」に当選された山田さんに お知らせです。 何度もご案内メールを出しているのですが、すべてエラーで戻ってきます! エラーメッセージを見ると、メールボックスの容量がいっぱいのようです。 このメッセージをご覧になったら、メールを受け取れるようにしていただい て、再度ご連絡ください。その際に、念のため第二連絡先のメールアドレ スも必ずお知らせください。 ※同じく、書籍プレゼント企画「ネットワーク構築の基礎」に当選された 特になしさんにお知らせです。メールは届いているはずですが、返信が 未だに確認できません。ご連絡ください。 お二人とも12/25(金)23:59までにご連絡頂けない場合は、当選取り消し ------------------------------------------------------------------ となりますのでご承知置き下さい。 その他の方には、プレゼントの発送が今週月曜日に完了しております。メール 便ですので、到着に時間が掛かりますが、来週まで届かない場合はご連絡くだ さい。 └─────────────────────────ALL_@bout_Network─┘ ★ご購読ありがとうございました★ ┌──ALL_@bout_Network────────────────────────┐ | | |WRITTEN BY:Engineer Support info@n-study.com | |WEB PAGE :http://www.n-study.com/ | | | | Copyright(C) 2008 Engineer Support All Rights Reserved | | | |このメールマガジンは以下のシステムを利用して発行しています。解除、メ | |ールアドレス変更は以下のリンクからご自分で行ってください。代行は行い | |ません。 | |なお、このメールマガジンの内容について、いかなる損害が生じても補償を | |することはできません。記載されている情報は、読者の方々の各自のご判断 | |でご利用ください。 | | | |◆めろんぱん http://www.melonpan.net/ | | http://www.melonpan.net/melonpa/mag-detail.php3?mag_id=000105 | |◆インターネットの本屋さん『まぐまぐ』 http://www.mag2.com/ | | http://www.mag2.com/m/0000046467.htm | |◆総合メールマガジンポータルサイト melma! http://www.melma.com | | http://www.melma.com/mag/01/m00017301/ | |◆カプライト | | http://cgi.kapu.biglobe.ne.jp/m/1676.html | |◆E-Magazine | | http://www.emaga.com/info/gene.html | | | └─────────────────────────ALL_@bout_Network─┘
