ここから質問投稿すると、最大4000ポイント当たる!!!! >>

お世話になります。

IPsec over TCP/UDPというのがありますが、
どういう時にTCP、あるいはUDPになるのか
理解ができません。

どなたかご存知の方、ご教授頂けますでしょうか。

このQ&Aに関連する最新のQ&A

A 回答 (2件)

> しかし、なぜNAT環境だとUDPなのか理解が難しいですね。



正確を期すと、厳密な意味での"NAT (Network Address Translation)" であれば、ESP over IPでも ESP over UDP でも問題なく通信できますが、最近よく使われる"NAPT (Network Address and Port Translation)" では、ESP over UDP (または ESP over TCP)である必要があります。

なぜか。
NAPTの動作原理を理解されていればわかると思いますが、NAPTは通信プロトコルとしてTCP/IPまたはUDP/IPを使うことが前提になっている技術です。
ESP over IPは、NAPTではまともに扱えないので何らかの例外処置を執る必要が出てくるのです。

なぜESP over TCPではなくてESP over UDPか、という話だと、この短いスペースで説明できるほど理解が深くないので説明はパスさせてください。
(一応ヒント:TCP over TCP はよくない、という話があります。これを調べてみてください。根っこは同じはずです)
    • good
    • 0
この回答へのお礼

Toshi0230様

お忙しいところ、ご回答頂きありがとうございます。

Toshi0230様の説明から得たヒントをもとに、色々調べてみようと
思います。

どうもありがとうございました。

お礼日時:2008/07/25 00:44

何も考えずに"IPSec"というと、ESP over IPになったりしてしまうのですが、「NAT(NAPT)透過型IPSec」なるものだと、ESP over UDPなどの方式でNAT(NAPT)を超えてIPSecが使えるようになります。



もちろん、「NAT透過型IPSec」を使う場合は送受信側双方が対応していることが前提になります。

# 非常にぶっきらぼうな説明なのはご容赦
    • good
    • 0
この回答へのお礼

Toshi0230様

ご回答ありがとうございます。
簡単にいうとそういうことになるのですね。

クライアントの環境がNAT環境などの場合は、UDPを使うのですね。

しかし、なぜNAT環境だとUDPなのか理解が難しいですね。
すみません。

お礼日時:2008/07/24 19:46

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

QL2TP/IPSecのルータのポート開放

L2TP/IPSecのルータのポート開放なんですが

ルータのポートフォワーディングで
1701 (udp) ・・・・l2tp
4500 (udp)・・・・ipsec-nat-t
500 (udp)・・・isakmp

の3つを宅内サーバに向けて開放していますが、つながりません。
ポート開放の番号や数が違うんでしょうか?

同じようにサーバ側のパケットフィルタリングでも上記3つを開放しています。

Aベストアンサー

 お尋ねの件ですが、1701ポートNoをトンネルトランスポートされるようにしていますか?
 4500番はNATトラバーサル用ポート番号、500番はIPSEC認証キー用番号ですが、ポート開放以外にルーターのIPフィルタのパス登録コマンド、out登録コマンドにて通信透過されるようにしていますか?
 上記のチェックでも駄目な場合、DMZホスト設定でルーターの着信データを全てサーバへ向けてみては如何でしょうか?
 DMZの場合、全てのデータ着信はサーバへ向きますので、セキュリティ設定はサーバ側にて破棄登録等実施された方が良いかもしれません。

QIPSECとL2TP/IPSECの違いについて

基本的な事ですいません。よくわからなくて困っておりますので助けていただけると助かります。

ヤマハのルータRTX1100と107eを使って2拠点間VPNを構築しようと思っています。ipsecを使う予定なのですが、ヤマハのサイトなど色々調べても、l2tp/ipsecでのVPNの設定例はiphoneやipadと拠点をつなぐ例になっているものばかりで、ルータを使っての拠点間VPNの場合はipsecの設定が紹介されています。
そもそもルータでつなぐ拠点間VPNの場合は選択肢としてl2tp/ipsecを使うことはできないのでしょうか? (意味ないのでしょうか?)

l2tp/ipsecの方が新しいファームから実装されているようなので、スピードやセキュリティ面でもそちらを使った方がいいのかなと思っているのですが(単純ですいません)

l2tp/ipsecを使うべきかipsecのみでいいのか教えていただけると幸いです

Aベストアンサー

 お尋ねの件ですが、L2TPアクセス自体リモートアクセス型接続ですので、LAN間接続VPNでは出来ません。
 参考サイト・・「http://www.rtpro.yamaha.co.jp/RT/docs/l2tp_ipsec/#support」
 因みに、RT107EのL2TPアクセスはファームウェア更新した際に利用可能となりますが、認証レベルはchapかpapしか対応出来ません。特定のアンドロイド端末ですと、mschap-v2しか対応出来ない機種もありますので、注意点です。
 よって、LAN間VPNはIPSEC-VPNになりますが、アクセスレスポンスで言うと「3des-cbc sha-hmac」、セキュリティレベルで言うと「aes256-cbc sha256-hmac」になります。なおIPSEC-VPN接続には、鍵交換用ポート解放・パススルー設定(UDP500)と、暗号化双方向通信ポートとしてespパケットをパススルーする設定が必要です。
 それと、相手先IPセグメント(対向ルーターセグメント)のネットワーク経路を通知する設定(静的ルーティング)をIPSECトンネルルートアクセス出来るようにしないといけません。Yamahaでは出来ませんが、富士通ルーターでは、「Ethernet over IP」設定をする事で、全拠点・同一セグメントでのアクセスが可能です。IPSECトンネル通信内部に仮想HUBを構築し、仮想HUBを経由して同一セグメントアクセスを可能としています。
 つまり、Yamahaルーターで構築する場合、夫々の拠点のIPアドレスは違う数値でなければいけない点、YamahaルーターのWAN側の接続機器(モデム)により、モデム内部にDMZ設定(YamahaのWAN側に全転送)、若しくは静的IPマスカレードにてespパケットとUDP500番の通信をYamahaWAN側へ転送する設定、モデムにもスタティックルート設定でYamahaとセグメント通信出来るようにする作業が発生することも想定されます。
 Yamahaルーターが、上記の様にルーターモデムに接続するのではなく、自身でPPPOE接続する場合にはYamahaのみの設定でOKです。 ※IPSEC-VPN接続する為には、グローバルIPが最低1個必要です。(NetvolanteDNSドメインでも代用可能です)

 お尋ねの件ですが、L2TPアクセス自体リモートアクセス型接続ですので、LAN間接続VPNでは出来ません。
 参考サイト・・「http://www.rtpro.yamaha.co.jp/RT/docs/l2tp_ipsec/#support」
 因みに、RT107EのL2TPアクセスはファームウェア更新した際に利用可能となりますが、認証レベルはchapかpapしか対応出来ません。特定のアンドロイド端末ですと、mschap-v2しか対応出来ない機種もありますので、注意点です。
 よって、LAN間VPNはIPSEC-VPNになりますが、アクセスレスポンスで言うと「3des-cbc sha-hmac」、...続きを読む

QIPSecのaggressiveモードとmainモード

IPSecにはaggressiveモードとmainモードとがあるかと思いますが、なぜ固定IPならmainモード、動的IPならaggressiveモードとなっているのでしょうか?
ご存知の方いらっしゃいましたら教えてください。

Aベストアンサー

こんにちは。

正確には、「認証方法をPre-Shared Keyとしたときに」は動的IPの場合にはAggressiveモードを使わざるを得ないのです。よって固定IP==Mainモード、動的IP==Aggressiveモードというわけではありません。

Pre-Shared Key認証では、VPN装置毎にPre-Shared Keyを持つ必要があります。その時の装置とKeyの対応はIPで判断します。
MainモードはID情報(IPアドレス)を暗号化して交換します。その暗号化の為にはPre-Shared Keyが必要です。しかしPre-Shared Keyは相手のIPが判らないと特定できず、相手のIPは暗号化が可能になってからでないと入手できない....というループ問題になってしまいます。
よってMainモードでのPre-Shared Key認証ではあらかじめIPが判っている必要があるのです。

AggressiveモードではID情報は暗号化しません。Mainモードより情報交換が簡易化されているので、いきなり(暗号化無しで)ID情報(IP)を交換してしまいます。
よって動的IPでもかまわないのです。
当然にMainモードよりセキュリティレベルは少し下がります。

こんにちは。

正確には、「認証方法をPre-Shared Keyとしたときに」は動的IPの場合にはAggressiveモードを使わざるを得ないのです。よって固定IP==Mainモード、動的IP==Aggressiveモードというわけではありません。

Pre-Shared Key認証では、VPN装置毎にPre-Shared Keyを持つ必要があります。その時の装置とKeyの対応はIPで判断します。
MainモードはID情報(IPアドレス)を暗号化して交換します。その暗号化の為にはPre-Shared Keyが必要です。しかしPre-Shared Keyは相手のIPが判らないと特定できず、相手...続きを読む

QIP-VPNとインターネットVPNの違い

就職活動をしている大学生です。
セキュリティとネットワークに興味があり、そこから自分が何をやりたいのか突き詰めて行った結果VPNを提供している企業が浮かび上がって来ました、業界研究をしている際に疑問が出てきました。

IP-VPNとインターネットVPNの違いの違いがいまいちわかりません。

インターネットVPNはインターネット上を介したVPN、IPは事業者のネットワーク内のVPNって解釈でよいのですかね??

そうなるとプライベート回線を引くのとIP-VPNの違いは???

提供している事業者の違い、VPNに関すること、VPNの今後&求められるもの等、教えてください。

よろしくお願いします。

Aベストアンサー

こんちは。hirasakuです。

簡単に言うと
インターネットVPNはその名の通り、インターネット網を利用した拠点間をあたかもLANのように使うためのWAN構築です。
基本的にVPN接続するためのルータの設定(トンネリングや暗号化・認証など)はユーザーが設定し、運用管理もユーザーが行います。
インターネット網なので通信に対する保障がありませんので、VPNに通すデータを検討しなければならない場合もあります。
一番安価に構築できランニングコストが抑えられます。

IP-VPNは通信事業者の閉域IPネットワーク網を通信経路として用い、自社専用ネットワークであるかのようなWANを構築できるサービスのことです。
通信事業者側で用意している網は品質を保証してあり、ユーザー側はIP-VPN網に接続するだけで、セキュアな通信ができ、インターネットVPN同様LANのように使えます。

プライベート回線とは専用線やフレームリレー網などのことを言っているのですかね?
専用線は料金が距離に比例し、拠点間の距離が離れるほどコストが大きくなり、セルリレー/フレームリレーは、フルメッシュ型接続ですけど、柔軟なネットワーク構築が難しいという問題があります。専用線・フレームリレーなどは回線帯域の割にはコストが高いので、インターネットVPNやIP-VPNでコストを安くしてネットワークを構築するようになってきてます。

インターネットVPNやIP-VPNはプロトコルにIPを使わなくてはならないので、データはIPに乗せる必要があります。
そこで、広域イーサネットというサービスを各通信事業者が行っています。広域イーサネットはプロトコルをIP以外(IPXやSNAなど)を通すことができ、またイーサなので、WAN側に接続するのに極端な話、スイッチでつなげられますので、今までのようにルータの設定などいらなくなります。(VLAN構成にするならスイッチの設定が必要ですけけど)また、QoSなどデータの優先制御や帯域制御などもできますので、VoIPなどにも使えますね。
ということで、簡単に拠点間のLAN構築が可能になります。

提供しているサービスの違いは、どこも似たり寄ったりかなって思いますけど。
サービス提供エリアや、構築にあったオプションサービスなどで選べばいいのでは。

こんちは。hirasakuです。

簡単に言うと
インターネットVPNはその名の通り、インターネット網を利用した拠点間をあたかもLANのように使うためのWAN構築です。
基本的にVPN接続するためのルータの設定(トンネリングや暗号化・認証など)はユーザーが設定し、運用管理もユーザーが行います。
インターネット網なので通信に対する保障がありませんので、VPNに通すデータを検討しなければならない場合もあります。
一番安価に構築できランニングコストが抑えられます。

IP-VPNは通信事業者の閉域IPネットワ...続きを読む

QNTP の TCPポートは?

NTPは123/UDPでようは足りると思うのですが、
WELL KNOWN PORTとかいろいろな資料に「123/TCP」ポートが割当たってます。
ntpd,ntpdate等でNTPを使う場合、実際には123/TCPは使われているのでしょうか?

Aベストアンサー

RFC1305では「ntpには123/udpを割り当てる」となっていますが、RFC1700では「123 ntp」となっており、「123/udp」と明示されているわけではありません。
よって、「123/tcp ntp」が間違っている(または使えない)という明確な根拠にはなりません。

「現状では『123/tcp ntp』を実装するための定義が存在しない」程度に考えた方が良いと思います。

ただ、将来的にRFC2030のSNTPが(IPv6対応などの点で)主流になる可能性があるので、「123/tcp ntp」は定義されない可能性もあります。

QHTTP403エラーが表示されてしまう

あるホームページに接続するとDirectory Listing Deniedと言うエラー表示が出てしまうんですが、どう対処すればいいのか判らず困っています。
これってどういうエラーなんですか?
またこれを解消するにはどうすればいいんでしょうか?どなたか教えてください。

Aベストアンサー

これはホームページを公開しているWEbサーバが出している一種のメエラーッセージですので、閲覧者側がどうにかできるようなものではありません。

「403 Forbidden」は「アクセスが禁止されています」というエラーの意味で、おそらくHP作者がファイルアクセスのパーミッション設定を誤ったか何かその辺の問題でしょう。※私にも判りません。

まあ、ようするにHP作者側がなんらかの対策を講じない限りどうしようもない問題です。

予断ですが、ブラウザソフトでHPを閲覧すると、自分のPCの画面上にいろんな文字や画像が現れることからあたかもそれがPCの中にあるかのように思ってしまいますが、実はすべてインターネットでつながったWEBサーバ内の文字や画像を覗き見してるだけ...ということをご理解されたほうがいいです。つまり今回のような現象は大半はPC側ではなくそのファイルそのものがあるサーバ側の問題ということですね。
HPを見ていると403以外にも404とか501とか正常表示されなかった際にメッセージがでますが、すべてサーバが出しているものです。

Q「ご連絡いたします」は敬語として正しい?

連絡するのは、自分なのだから、「ご」を付けるのは
おかしいのではないか、と思うのですが。
「ご連絡いたします。」「ご報告します。」
ていうのは正しい敬語なのでしょうか?

Aベストアンサー

「お(ご)~する(いたす)」は、自分側の動作をへりくだる謙譲語です。
「ご連絡致します」も「ご報告致します」も、正しいです。

文法上は参考URLをご覧ください。

参考URL:http://www.nihongokyoshi.co.jp/manbou_data/a5524170.html

Qポートの80と443

こちらのサービス(https://secure.logmein.com/)を利用すると、インターネットを見られるサーバーのポートの80と443が空いていればルータやファイアウォールに特段の設定なく外部からサーバーを操作できるそうですが、逆にサーバーのポートの80や443を空けることには何か危険性があるのでしょうか。

Aベストアンサー

ポート80は一般的なHTTP、ポート443はHTTPSです。
この2つのポートがあいていなければインターネット接続(WEBブラウジング)は出来ません。
ですから、ほとんどのファイアウォールでこのポートは開いています。(インターネット接続を制限している社内LANでは当然閉じていますが)

ちなみに、よく使うポートとしてはFTPで20、21、SMTP(送信メール)で25、受信メールPOP3で110あたりです。セキュリティポリシー上、この辺は制限される事も多いですが、HTTP 80、HTTPS(暗号化用)443は通常閉じません。


危険性?
WEBプロトコルを使ってFTP的なファイル転送(WebDAV)やVPN等も出来るようになっています。当然そこにはある種の危険はつきものですが、WEBブラウジングに伴う危険と大きく変わりません。ウィルス等に感染していればこの2つのポートだけでも相当危険でしょうね。

参考まで。

QVPN接続後Pingが通らない。

現在以下の内容をローカルで繋いてリモートアクセスのVPNテストを行っています。

PC1→(LAN2)YAMAHARTX1200(LAN1)→PC2

PC1にYMS-VPN7をインストールしました。

VPNを接続する前にPC1からPC2へPingをすると応答はOKなのですが、

その後PC1からリモートアクセスでVPN接続すると、Pingが通らなくなります。

ファイアーウォールは特に設定していません。

原因が分かる方がいらっしゃいましたら教えていただけますでしょうか。

宜しくお願い致します。

Aベストアンサー

VPN通信を設定すると、別途ファイアーウォール設定にて、LAN内の1台及び全てに対して、ポート開放しないと、外部とは、個別VPN通信できません。
TTPT用、IPsec用ポートをそれぞれ開放しておく事で、以前どおり、通信可能になります。
YAMAHAで、サポート説明して頂けます。

Qレッドハットのバージョン確認方法

自分のサーバで使用しているREDHATのバージョン確認はどうすればいいのでしょうか?

more /etc/issue
とやっても英文しか出てきませんでした。

uname -all
でもカーネルのバージョンは出るのですが、REDHATのバージョンは出ませんでした。

Aベストアンサー

> more /etc/issue
> とやっても英文しか出てきませんでした。

その英文にはRedHatのバージョンは書いてなかったのですか?
書いていなかったとしたら、管理者により編集されている可能性
がありますね。

cat /etc/redhat-release

ではいかがでしょう?
やっぱり英文ですけど。

rpm -q redhat-release

でもいいかも


人気Q&Aランキング