現在、インターネットVPN環境を利用して拠点間でのIPsecVPN通信を行うための構築準備をしています。
全くの初心者レベルですが、ご指摘・ご教授頂きたく思っております。
今回の構成は以下のようになります。
セキュリティアプライアンスのVPNゲートウェイはCiscoのASA5505を使用します。
まだ、顧客から外部I/F用のアドレス情報を頂いておりませんので外部I/Fに設定していますアドレスは仮想なものです。
--------------------------
拠点A 192.168.33.128/26ネットワーク
--------------------------
内部I/F 192.168.33.188
---------------
VPNゲートウェイ
---------------
外部I/F 209.165.200.226
|
|
----------
ADSLルータ
----------
|
|
|
|
-----------
ADSLルータ
-----------
|
|
外部I/F 209.165.200.236
----------------
VPNゲートウェイ
----------------
内部I/F 192.168.33.189
--------------------------
拠点B 192.168.33.128/26ネットワーク
--------------------------
1.この拠点間IPSec通信を行う際、ASA5505でのNAT制御は考える必要がありますでしょうか?
ADSLモデム兼ルータがあるのでセキュリティアプライアンスでのNAT制御は必要ないことになりますでしょうか?
自分の考えではASA5505でのF/WとVPNが共存する形だと考えています。
NAT制御が必要ならスタティックNATを考えておりますがこれで正しいでしょうか?
2.アクセスリストですが、tcp、udp、icmpパケットを通す設定を考えています。拠点間同士でのIPSec通信を行うとき、VPNパケットを通せるようにIKE用のUDP500番ポートを空ける必要があるとの記事も目にしました。
カプセル化のVPNパケット用に500番ポート以外に何番ポートを通すように設定すればよろしいかご教授頂けませんでしょうか?
3.ポリシー設定する際、ACL設定でInside-incoming、Outside-incomingで設定する時ですが、NAT制御を有効にした時は拠点間でのプライベートアドレスで設定するのは誤りとなると考えています。
NAT制御後のアドレスで設定すると考えていますがこの考えで正しいでしょうか?
全くのF/W、VPN未経験ということで、下らない質問かと存じますが、何卒宜しくお願い致します。
A 回答 (1件)
- 最新から表示
- 回答順に表示
No.1
- 回答日時:
自分は専門家ではないので、分かるとこだけ。
ADSLモデムルータでは、VPNのセッションが上手く張れない可能性が高い。
というのは、ルータ側がVPNの(IPsecの)パススルー機能に対応している必要があるから。
(ADSLモデムに付いて来るルーターにそこまでの機能が付いているかどうかは怪しいと思うので)
『IPsecパススルー対応』と書かれたルータを探してくる必要が有ると思う。
【参考:VPNとVPNパススルーの仕組み】
http://bb.watch.impress.co.jp/cda/bbword/6391.html
#質問の中に出てくる「NAT制御」が具体的に何を指しているのかが今一理解できないっす
この回答への補足
なるほど。ADSLルータにもIPsec対応ではないと全く無駄になってしまうということですね。
ADSLルータの使用を確認してみます。
NAT制御とはNAT変換を行うという意味での記述です。
今回の要件は拠点間でのIPSec通信ですのでNATはOFFにすると考えています。
ご回答ありがとうございます。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- その他(クラウドサービス・オンラインストレージ) VPN通信に遜色ないクラウドサービスはありますか? 4 2022/08/05 16:19
- VPN フリー wi-fi は安全ですか 自宅での wi-fi VPNを使用したら良い? 2 2022/05/31 04:12
- VPN VPNは設定した方がいいですか? VPNには常時接続するべき? 1 2023/05/25 17:43
- その他(セキュリティ) NTT東西をまたぐフレッツ光IP-VPNLANを構築するには? 1 2022/09/04 22:31
- UNIX・Linux Ubuntuサーバーでメールを受信できない 7 2022/08/23 20:55
- セキュリティホール・脆弱性 テレワークで会社支給パソコン以外でVPN接続を制限するやり方 教えて下さい 3 2022/08/31 12:40
- ネットワーク YAMAHA RTX1220 よりお薦めあれば教えてください 3 2022/04/24 11:33
- iPhone(アイフォーン) au→docomoのahamoへ キャリアメール引き継ぎたいです。 myauからアドレス持ち運びサー 1 2023/06/03 10:53
- Wi-Fi・無線LAN ローソンで wi-fi 接続できませんでした スマホは OPPO A 73です 何がいけなかったか 4 2022/05/31 03:53
- VPN 無料のwifiはなぜ危険性高い? VPN プライベートDNSモードにすれば安全? 2 2022/06/04 18:23
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
Wake On LANが不安定・出来ない
-
WAN側からPINGが通りません
-
NTT Web caster V130でのVPN
-
8443番ポートって?
-
【NVR500】外部からFTP接続する...
-
VNCで、WEBブラウザで操...
-
WAN側からルーターの管理画面に...
-
8000番や8080番のポー...
-
パソコンの「ローカル」って、...
-
ftpサーバー 接続できない
-
Windows10でUDPのポート解放が...
-
Windows10におけるUSB-RS232C機...
-
Ciscoルータ(1712)のIPアドレ...
-
PINGが通るのにネットワー...
-
ポートの80と443
-
iPhoneでIPアドレスを変更する...
-
スイッチのポート番号について
-
loってなんですか?
-
EXCEL VBAで、PnPでCOMポート番...
-
Dell Inspiron 14 5415 をコン...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
tracert コマンドが必ずtime out
-
NTT Web caster V130でのVPN
-
ポートの開放
-
メッセンジャーソフト(LAN...
-
WAN側からPINGが通りません
-
FTPサーバ(FileZilla server)...
-
UPnPのNAT越えの仕組みが分から...
-
Wake On LANが不安定・出来ない
-
pcAnywhere、これで本当にリモ...
-
gethostbynameを使うとエラーが...
-
WAN側からルーターの管理画面に...
-
BIG-IPのルーティングについて
-
【NVR500】外部からFTP接続する...
-
ルター BUFFALOの WZR-G54 へ外...
-
PHPメール送信エラー
-
FTPサーバー立時、NTTモデムNVI...
-
webサーバーとBlackICEの設定
-
イントラネットから外部(イン...
-
VNCで、WEBブラウザで操...
-
IPマスカレード機能って、安全?
おすすめ情報