プロが教えるわが家の防犯対策術!

現在、インターネットVPN環境を利用して拠点間でのIPsecVPN通信を行うための構築準備をしています。
全くの初心者レベルですが、ご指摘・ご教授頂きたく思っております。

今回の構成は以下のようになります。
セキュリティアプライアンスのVPNゲートウェイはCiscoのASA5505を使用します。
まだ、顧客から外部I/F用のアドレス情報を頂いておりませんので外部I/Fに設定していますアドレスは仮想なものです。

  --------------------------
拠点A  192.168.33.128/26ネットワーク
--------------------------

内部I/F 192.168.33.188
---------------
    VPNゲートウェイ
---------------
   外部I/F 209.165.200.226


----------
ADSLルータ
----------
|
|
 |
 |
-----------
ADSLルータ
-----------
   | 
|
外部I/F 209.165.200.236
----------------
     VPNゲートウェイ
----------------
内部I/F 192.168.33.189

--------------------------
拠点B 192.168.33.128/26ネットワーク
--------------------------

1.この拠点間IPSec通信を行う際、ASA5505でのNAT制御は考える必要がありますでしょうか?
ADSLモデム兼ルータがあるのでセキュリティアプライアンスでのNAT制御は必要ないことになりますでしょうか?
自分の考えではASA5505でのF/WとVPNが共存する形だと考えています。

NAT制御が必要ならスタティックNATを考えておりますがこれで正しいでしょうか?

2.アクセスリストですが、tcp、udp、icmpパケットを通す設定を考えています。拠点間同士でのIPSec通信を行うとき、VPNパケットを通せるようにIKE用のUDP500番ポートを空ける必要があるとの記事も目にしました。
カプセル化のVPNパケット用に500番ポート以外に何番ポートを通すように設定すればよろしいかご教授頂けませんでしょうか?

3.ポリシー設定する際、ACL設定でInside-incoming、Outside-incomingで設定する時ですが、NAT制御を有効にした時は拠点間でのプライベートアドレスで設定するのは誤りとなると考えています。
NAT制御後のアドレスで設定すると考えていますがこの考えで正しいでしょうか?

全くのF/W、VPN未経験ということで、下らない質問かと存じますが、何卒宜しくお願い致します。

A 回答 (1件)

自分は専門家ではないので、分かるとこだけ。



ADSLモデムルータでは、VPNのセッションが上手く張れない可能性が高い。
というのは、ルータ側がVPNの(IPsecの)パススルー機能に対応している必要があるから。
(ADSLモデムに付いて来るルーターにそこまでの機能が付いているかどうかは怪しいと思うので)

『IPsecパススルー対応』と書かれたルータを探してくる必要が有ると思う。

 【参考:VPNとVPNパススルーの仕組み】
  http://bb.watch.impress.co.jp/cda/bbword/6391.html

#質問の中に出てくる「NAT制御」が具体的に何を指しているのかが今一理解できないっす

  

この回答への補足

なるほど。ADSLルータにもIPsec対応ではないと全く無駄になってしまうということですね。
ADSLルータの使用を確認してみます。

NAT制御とはNAT変換を行うという意味での記述です。

今回の要件は拠点間でのIPSec通信ですのでNATはOFFにすると考えています。

ご回答ありがとうございます。

補足日時:2007/09/13 01:09
    • good
    • 0

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!