- PR -

VPN構築について

1
投稿者投稿内容
ドラ吉
会議室デビュー日: 2005/06/20
投稿数: 6
投稿日時: 2007-08-25 16:45
VPN構築初心者です。

現在、ciscoのASA5505を使用して

A拠点 VPNゲートウェイ − ISPルータ−−−−−ISPルータ − VPNゲートウェイB拠点

でインターネットVPN IPsecを構築する準備に取り掛かっています。

今回FW設定については下記の理由から透過モードを採用する。
ファイアウォール装置に冗長性は必要としない
ファイアウォール装置でルーティングを必用としない

当社の設計ハンドブックを参照すると透過モードなのでNATも使用しない事になっております。
(IPSecにはプライベートIPアドレスを持つ端末同士がインターネットを越えて通信するときプライベートIPアドレスはインターネット超えが出来ない。そこで、インターネットだけはグローバルIPアドレスで流せるようにゲートウェイで元のIPパケットに新規IPヘッダを付加してカプセル化する通信を仮想化した仕組みのトンネルを使用するのでNATは必要ないと考える)

ASA5505マニュアルを読むと
透過モードでは
1.NATはアップストリームルータに任せる
2.ダイナミックルーティングプロトコル機能はない。
とあります。

一番懸念しているのはルーティングの事です

A拠点のVPNゲートウェイのアウトサイドI/FにてISPルータのIPアドレスをデフォルトGWとして設定する事でルーティングはISP側ルータで行われるとしてB拠点のVPNゲートウェイまでトラフィックが出来ると考えています。

まず、上記の考えで正しいでしょうか?

上記の考えで正しいなら2.ダイナミックルーティングプロトコル機能はない。という内容と矛盾する事になりますよね。。

もし、ISP側でダイナミックルーティングされる場合にアウトサイドI/F側でACL設定でOSPFやRIPなりのプロトコルを通す設定が必要になりますでしょうか?
(IKEの500番プロトコルを通す事は調べました)

あと、透過モードの概念がわかっていません。
検索しますと、TCPレイヤーではパケットに加工などされないためデータが丸見えになる事でよろしいでしょうか?
当社の設計ハンドブックでは内部ホストと内部ルータは直接外部ルータに接続されているように見える。ともあります。
結局透過モードとは何でしょうか。

なにぶん、初めてVPN(アクセスリスト、FW設定)構築するもので、下らない質問かと思いますが何卒宜しくお願い致します。

KYO
ベテラン
会議室デビュー日: 2005/09/08
投稿数: 52
投稿日時: 2007-08-26 00:10
こんばんわ。

何度か読み返してもよくわからないので、一部だけ。。
ASAでルーティングする必要はないと思います。
なので、ASAのACLにルーティングプロトコルを通す必要はないと思います。
ISPルータ配下でダイナミックルーティングをしているのなら別ですが。
ASAはIPsecのトンネル掘るのと、FWとして使うのですよね?

=====
あと、透過モードの概念がわかっていません。
検索しますと、TCPレイヤーではパケットに加工などされないためデータが丸見えになる事でよろしいでしょうか?
=====
こちらを参照してください。
データが丸見えになる事ではありません。

http://www.google.co.jp/search?hl=ja&q=%E9%80%8F%E9%81%8E%E3%83%A2%E3%83%BC%E3%83%89%E3%81%A8%E3%81%AF&lr=lang_ja


=====
当社の設計ハンドブックでは内部ホストと内部ルータは直接外部ルータに接続されているように見える。ともあります。
結局透過モードとは何でしょうか。
=====
御社の設計ハンドブックに書かれている内容で、透過モードの概念は
説明できていると思います。
検索すれば腐るほど情報がありますので、VPN構築初心者以前SEならば
検索してネットワークの勉強をされる事をされたほうがいいのではないでしょうか。


[ メッセージ編集済み 編集者: KYO 編集日時 2007-08-26 00:27 ]
ドラ吉
会議室デビュー日: 2005/06/20
投稿数: 6
投稿日時: 2007-08-26 01:22
KYOさま

ご回答ありがとうございます。

当方もルーティング、セキュリティ、FW関係などほとんど知識がありませんのでこのような質問になりました事すいません。
ネット検索、市販書などで格闘しているところです

透過モードの件ありがとうございます。

引用:
ASAはIPsecのトンネル掘るのと、FWとして使うのですよね?


はい、おっしゃる通りです。

ルーティングに関してはISP側のルータで行われると認識しています。
この場合、ASAのアウトサイドI/FでISPのIPアドレス、ネットマスク、デフォルトGWの値を設定すればいいのかと考えています。

上記の認識で誤りがありましたら、ご指摘頂けましたら幸いです。

1

スキルアップ/キャリアアップ(JOB@IT)