ルートの追加について

教えてください。
図が分かりにく申し訳ありません。
プロキシサーバがあるLANネットワークにはファイアーウォールへのネットワークと
パソコンへのネットワーク（VPNネットワークを挟んで）の２つがあります。
現在プロキシサーバのデフォルトゲートウェイは、
ファイアーウォールになっています。
ファイアーウォールにはPCのセグメントへのスタティックルートが書かれています。
プロキシサーバにはデフォルトゲートウェイがあれば、
ファイアーウォール経由でパソコンへ通信できますでしょうか？
それとも、プロキシサーバにはパソコンのネットワークセグメントへのルートを
書いた方がいいのでしょうか？

サーバ DMZ⇔ファイアーウォール⇔LANスイッチ⇔プロキシサーバ　
　　　　　　　　　　 　　　　　　　　　 　　　　　　　　　⇔VPN router <------>VPN router　パソコン

よろしくお願いします。
　

No.1 ベストアンサー 回答者： nby1215tkd 回答日時： 2014/01/08 13:04

どのようなVPN構成であるかで変わりますが、FireWallに「PC側のネットワークセグメント」の

スタティック経路を書いていることから、VPN間は、ネットワーク型の接続であると思います。


FireWallでの「PC側のネットワークセグメント」のスタティック経路のゲートウェイアドレスは
どこになっているでしょうか？

１．質問の構成図のとおりであれば、FireWall上のPC側のネットワークセグメント」のスタティック経路の
　ゲートウェイアドレスはPROXYサーバのFireWall側が設定されていると思います。


サーバDMZ
｜
FireWall
｜
-----------
｜
PROXYサーバ
｜
---
｜
VPNルータ（センター側）
｜
：
｜
VPNルータ（ＰＣ側）
｜
---
｜
PC

この場合、PROXYサーバは、デフォルトルートをFireWallに向けただけでは、PROXY
サーバは、「PC側のネットワークセグメント」もデフォルトルート側、すなわち、
FireWall方向にあると処理されてしまいます。
正しくは、VPNルータ（センター側）にあるのですから、
「PC側のネットワークセグメント」のスタティック経路として、VPNルータ（センター側）
を指定する必要があります。


２．質問の構成図はパケットの流れる順であり、実際の構成図は以下のとおりであれば、
　FireWall上の「PC側のネットワークセグメント」のスタティック経路のゲートウェイアドレスは、
　　VPNルータ（センター側）が設定されていると思います。



サーバDMZ
｜
FireWall
｜
-----------
｜　｜
｜PROXYサーバ
｜
VPNルータ（センター側）
｜
：
｜
VPNルータ（ＰＣ側）
｜
---
｜
PC


この場合（FirWall, VPNルータ、PROXYサーバの３つが同じセグメント）、PROXYサーバは、
デフォルトをFireWallに向けていても動く場合と動かない場合の両方が考えられます。



※ICMP redirect機能（本題ではないため説明はしません）が有効な環境であれば動くが、
　通常、FireWallでは無効にすることが多い


そのため、PROXYサーバは、デフォルト経路をFireWallに向けるだけではなく、
「PC側のネットワークセグメント」のスタティック経路として、VPNルータ（センター側）
を指定してあげる必要が出てきます。


３．２に似ているが、 VPNルータ、PROXYサーバが別セグメントになっている場合

サーバDMZ
｜
FireWall
｜　｜
｜PROXYサーバ
｜
VPNルータ（センター側）
｜
：
｜
VPNルータ（ＰＣ側）
｜
---
｜
PC

この場合、PROXＹサーバはFireWallにデフォルトルートを向けるだけで良いのですが、
FireWall自身のセキュリティ設定も当然影響します。
FireWallでパケットを遮断していたらどうしようもありません。


と、３以外では、いずれにせよ、「PC側のネットワークセグメント」のスタティック経路として、
PNルータ（センター側）を指定してあげることには違いはありません。

その上で、PROXYサーバ自身のデフォルトゲートウェイですが、到達したいネットワークが
限られているのであれば、デフォルトゲートウェイではなく、個別のネットワーク単位に
スタティックルートを設定した方が良い場合があります。

サーバDMZのセグメントにだけ到達できればよいのであれば、デフォルトルートは設定せず
「サーバDMZのセグメント」の経路をFireWallに向けるというものです。