教えてください。
図が分かりにく申し訳ありません。
プロキシサーバがあるLANネットワークにはファイアーウォールへのネットワークと
パソコンへのネットワーク(VPNネットワークを挟んで)の2つがあります。
現在プロキシサーバのデフォルトゲートウェイは、
ファイアーウォールになっています。
ファイアーウォールにはPCのセグメントへのスタティックルートが書かれています。
プロキシサーバにはデフォルトゲートウェイがあれば、
ファイアーウォール経由でパソコンへ通信できますでしょうか?
それとも、プロキシサーバにはパソコンのネットワークセグメントへのルートを
書いた方がいいのでしょうか?
サーバ DMZ⇔ファイアーウォール⇔LANスイッチ⇔プロキシサーバ
⇔VPN router <------>VPN router パソコン
よろしくお願いします。
No.1ベストアンサー
- 回答日時:
どのようなVPN構成であるかで変わりますが、FireWallに「PC側のネットワークセグメント」の
スタティック経路を書いていることから、VPN間は、ネットワーク型の接続であると思います。
FireWallでの「PC側のネットワークセグメント」のスタティック経路のゲートウェイアドレスは
どこになっているでしょうか?
1.質問の構成図のとおりであれば、FireWall上のPC側のネットワークセグメント」のスタティック経路の
ゲートウェイアドレスはPROXYサーバのFireWall側が設定されていると思います。
サーバDMZ
|
FireWall
|
-----------
|
PROXYサーバ
|
---
|
VPNルータ(センター側)
|
:
|
VPNルータ(PC側)
|
---
|
PC
この場合、PROXYサーバは、デフォルトルートをFireWallに向けただけでは、PROXY
サーバは、「PC側のネットワークセグメント」もデフォルトルート側、すなわち、
FireWall方向にあると処理されてしまいます。
正しくは、VPNルータ(センター側)にあるのですから、
「PC側のネットワークセグメント」のスタティック経路として、VPNルータ(センター側)
を指定する必要があります。
2.質問の構成図はパケットの流れる順であり、実際の構成図は以下のとおりであれば、
FireWall上の「PC側のネットワークセグメント」のスタティック経路のゲートウェイアドレスは、
VPNルータ(センター側)が設定されていると思います。
サーバDMZ
|
FireWall
|
-----------
| |
|PROXYサーバ
|
VPNルータ(センター側)
|
:
|
VPNルータ(PC側)
|
---
|
PC
この場合(FirWall, VPNルータ、PROXYサーバの3つが同じセグメント)、PROXYサーバは、
デフォルトをFireWallに向けていても動く場合と動かない場合の両方が考えられます。
※ICMP redirect機能(本題ではないため説明はしません)が有効な環境であれば動くが、
通常、FireWallでは無効にすることが多い
そのため、PROXYサーバは、デフォルト経路をFireWallに向けるだけではなく、
「PC側のネットワークセグメント」のスタティック経路として、VPNルータ(センター側)
を指定してあげる必要が出てきます。
3.2に似ているが、 VPNルータ、PROXYサーバが別セグメントになっている場合
サーバDMZ
|
FireWall
| |
|PROXYサーバ
|
VPNルータ(センター側)
|
:
|
VPNルータ(PC側)
|
---
|
PC
この場合、PROXYサーバはFireWallにデフォルトルートを向けるだけで良いのですが、
FireWall自身のセキュリティ設定も当然影響します。
FireWallでパケットを遮断していたらどうしようもありません。
と、3以外では、いずれにせよ、「PC側のネットワークセグメント」のスタティック経路として、
PNルータ(センター側)を指定してあげることには違いはありません。
その上で、PROXYサーバ自身のデフォルトゲートウェイですが、到達したいネットワークが
限られているのであれば、デフォルトゲートウェイではなく、個別のネットワーク単位に
スタティックルートを設定した方が良い場合があります。
サーバDMZのセグメントにだけ到達できればよいのであれば、デフォルトルートは設定せず
「サーバDMZのセグメント」の経路をFireWallに向けるというものです。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
おすすめ情報
- ・漫画をレンタルでお得に読める!
- ・街中で見かけて「グッときた人」の思い出
- ・「一気に最後まで読んだ」本、教えて下さい!
- ・幼稚園時代「何組」でしたか?
- ・激凹みから立ち直る方法
- ・1つだけ過去を変えられるとしたら?
- ・【あるあるbot連動企画】あるあるbotに投稿したけど採用されなかったあるある募集
- ・【あるあるbot連動企画】フォロワー20万人のアカウントであなたのあるあるを披露してみませんか?
- ・映画のエンドロール観る派?観ない派?
- ・海外旅行から帰ってきたら、まず何を食べる?
- ・誕生日にもらった意外なもの
- ・天使と悪魔選手権
- ・ちょっと先の未来クイズ第2問
- ・【大喜利】【投稿~9/7】 ロボットの住む世界で流行ってる罰ゲームとは?
- ・推しミネラルウォーターはありますか?
- ・都道府県穴埋めゲーム
- ・この人頭いいなと思ったエピソード
- ・準・究極の選択
- ・ゆるやかでぃべーと タイムマシンを破壊すべきか。
- ・歩いた自慢大会
- ・許せない心理テスト
- ・字面がカッコいい英単語
- ・これ何て呼びますか Part2
- ・人生で一番思い出に残ってる靴
- ・ゆるやかでぃべーと すべての高校生はアルバイトをするべきだ。
- ・初めて自分の家と他人の家が違う、と意識した時
- ・単二電池
- ・チョコミントアイス
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
HyperVで仮想マシンがネットワ...
-
VPN環境でのARPテーブルの情報...
-
VMware のネットワーク設定につ...
-
pingで・・・
-
192.168.4.0/22のネットワーク...
-
ホスト番号
-
ディスプレイ上で起こる2重表...
-
目を左右別々に動かす
-
ゲーミングPCでの質問です ゲー...
-
PLC間の信号のやりとりについて...
-
HDMIとHDの違いはなんですか? ...
-
JEM1425とJEM1225の違いについて
-
プリント基板のパターンの修復方法
-
RS232C 通信でエラー(受信が正...
-
テレビから”キーン”と耳鳴りの...
-
TAとルーターの違いって?
-
Cpkのk(偏り)値をExcelで出す...
-
USBからの電源供給をコントロー...
-
VBA IE制御でのBISIC認証画面の...
-
買ったばかりの液タブの画面が...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
HyperVで仮想マシンがネットワ...
-
ワークグループとドメインの共存
-
VPN環境でのARPテーブルの情報...
-
ホストとサーバーの違いについて
-
DNSとWINSの違い
-
ルーター越えのIP機器のMAC...
-
IPアドレスの範囲が重複するネ...
-
別セグメントのsambaへのアクセス
-
VMware のネットワーク設定につ...
-
同じIPアドレスを持つ機器間の通信
-
ネットワーク上からファイルア...
-
以下の問題を教えてください ホ...
-
MACアドレスとIPアドレス
-
VPNについて
-
サブネット分割(Bクラス)
-
ネットワーク
-
SMBとNetBEUIの関係を学びたい
-
pingで・・・
-
CCNA 計算問題
-
ネットワーク サブネット 分...
おすすめ情報