HOME»ネットワークスペシャリスト掲示板»平成28年 午後Ⅰ 問2 設問2(3)について
投稿する
回答の方、ありがとうございます。
1週間前には質問への回答を確認したのですが、忙しく内容を見ることができておりませんでした。申し訳ありません。
とても分かりやすく、ネットワーク関係に関わっていない私にも理解することができました。
またVPNの内部の動き?といいますか。これについてより具体的にイメージすることができるようになりました。
最後に[確認]としてタブレット端末が(E)セグメント内のサーバとの通信の流れを記載しております。もしお時間があれば確認していただけると幸いです。
[今回の回答で私がもっとも理解できたこと]
私にとってはこれが一番目から鱗のような回答でした。
言われればその通りだなと感じてしまうのですが、通信先のサブネット毎にどのネットワークインターフェースを使用するか、これを考えることが全くありませんでした。
具体例まで挙げてくださってありがとうございます。
[確認]
[a)Outer IPヘッダ][VPNプロトコル固有のヘッダ][b)Inter IPパケット]
ここについての確認になります。
Outer IPヘッダはモバイルルータが付与するという認識であっておりますか?
私の考えでは以下のようになります。
(タブレット端末が(E)セグメント内のDNSサーバへアクセスするというシチュエーション)
1.タブレット端末がDNSサーバへパケットを送信
このとき宛先はDNSサーバであり、送信元はネットワークアドレスから判断をして、VPNサーバから割り当てられたプライベートIPアドレスを使う。
2.モバイルルータがVPNサーバへパケットを転送する。
このとき送信元と宛先IPアドレスを見て、Outer IPヘッダを付与する。
送信元はモバイルルータのグローバルIPアドレスで、宛先はVPNサ―バとなる。
3.VPNサーバが外部IPヘッダを取り除いてDNSサーバへ転送(ARPは省略)
VPNルータが送信元と宛先IPアドレスを見て外部ヘッダを取り除く(何を根拠に外部IPヘッダと判断しているのかは正直よく理解しておりません。)、
そしてDNSサーバへパケットを転送。
確認ありがとうございます。
実際にやり取りをしているのは、PCとVPNサーバのため、構築経験がなくても、考えれば当然のことだと思いました。
確認まで、して頂きありがとうございます。
しっかりと理解することができました。
[0061] 平成28年 午後Ⅰ 問2 設問2(3)について
グーフィーさん(No.1)
平成28年 午後Ⅰ 問2 設問2(3)についての質問になります
分からないことが二つあります。
1、タブレット端末にはモバイルWi-FiルータからのDHCPによるプライベートIPアドレスの割り当てと、VPNサーバからのプライベートIPアドレス、二つのプライベートIPアドレスが割り当てられているように見えます。
モバイルルータからのIPアドレスはVPNサーバと接続するまでに用いて、
VPNサーバとのPsecによる通信のためには、VPNサーバから割り当てられてたプライベートIPアドレスを用いて通信を行うという事でしょうか?
(IPsecの仕組みを理解していないために生じている疑問だと考えております。)
2,「このプライベートIPアドレスは他のネットワークと重複しない様に設計する」とありますが、なぜそうしなければならないのか、理解できません。
答えを見る限り
(E)セグメントのネットワークアドレスと、重複してはいけないという解釈をしていますが、なぜそうしなければならないのかわかりません。
VPNサーバと通信するために、モバイルルーターからネットワークアドレスとプライベートIPアドレスを受け取っているだけなら(E)セグメントのネットワークアドレスと重なっても問題がないと考えております。VPNサーバはグローバルIPアドレスであるためです。
(E)セグメントと通信する際はVPNサーバから割り当てられたプライベートIPアドレスを使えばよいだけだと考えております。
いろいろ基礎知識が抜け落ちて、支離滅裂なことを言っているかもしれません。
よろしくお願いいたします。
分からないことが二つあります。
1、タブレット端末にはモバイルWi-FiルータからのDHCPによるプライベートIPアドレスの割り当てと、VPNサーバからのプライベートIPアドレス、二つのプライベートIPアドレスが割り当てられているように見えます。
モバイルルータからのIPアドレスはVPNサーバと接続するまでに用いて、
VPNサーバとのPsecによる通信のためには、VPNサーバから割り当てられてたプライベートIPアドレスを用いて通信を行うという事でしょうか?
(IPsecの仕組みを理解していないために生じている疑問だと考えております。)
2,「このプライベートIPアドレスは他のネットワークと重複しない様に設計する」とありますが、なぜそうしなければならないのか、理解できません。
答えを見る限り
(E)セグメントのネットワークアドレスと、重複してはいけないという解釈をしていますが、なぜそうしなければならないのかわかりません。
VPNサーバと通信するために、モバイルルーターからネットワークアドレスとプライベートIPアドレスを受け取っているだけなら(E)セグメントのネットワークアドレスと重なっても問題がないと考えております。VPNサーバはグローバルIPアドレスであるためです。
(E)セグメントと通信する際はVPNサーバから割り当てられたプライベートIPアドレスを使えばよいだけだと考えております。
いろいろ基礎知識が抜け落ちて、支離滅裂なことを言っているかもしれません。
よろしくお願いいたします。
2018.09.30 10:05
TOYさん(No.2)
1.について
概ね合っています。
VPN接続をするためにはタブレット端末内のVPN接続ソフト(最近のOSなら、L2TPoIPSecなりPPTPあたりはOSで標準サポートしていると思います)が、モバイルルータを経由してVPNサーバーに接続する必要があります。タブレット端末からはモバイルルータがdefault gatewayに見えているので、default gatewayとVPNサーバー宛のパケットをやりとりするのにモバイルルータから割り当てられたPrivate IP(IP1とします)を使います。
こうしてVPNサーバーとの間にトンネルが出来ますので、トンネルを通すパケットはVPNサーバから割り当てられたPrivate IP(IP2とします)を使います。
2.について
IP1とIP2は異なるサブネットである必要があります。例えばモバイルルータのサブネットは192.168.1.0/24とVPNのサブネットは192.168.100.0/24という形。
VPNで接続されるとタブレット端末の中には論理的に2つのネットワークインターフェイスが作られます。もともとWi-Fi接続に使っていたインターフェイスをwlan0,VPN用インターフェイスはvpn_tun0と仮に名付けると、
wlan0に192.168.1.100,vpn_tun0に192.168.100.10みたいにタブレット端末は2つのIPアドレスを持ちます。タブレット端末が外部と通信する際、通信先のサブネット毎にどのネットワークインターフェイスを使うか?という表(ルーティングテーブル)を持っています。
以下の様な感じです。(本当はnext hop=gateway or routerアドレスとかの情報もテーブルのエントリ内に持っています)
〜ルーティングテーブル〜
宛先サブネット,インターフェイス名
default,wlan0
192.168.1.0/24,wlan0
192.168.100.0/24,vpn_tun0
このテーブルを見て、パケットの宛先が192.168.1.0/24に含まれればwlan0経由でパケット送信、192.169.100.0/24に含まれればvpn_tun0経由でパケット送信、それ以外(default)はwlan0経由になります。もし、Wi-FiとVPNのネットワークアドレスが同じだと、ルーティングテーブルに一致するエントリが複数存在してしまい、どちらのネットワークインターフェイスを使ってパケットを送信すべきか判らなくなります。
VPN通信のInner IPとOuter IPを混同しています。
グローバルIPはVPNトンネルを構成する外側のパケットの送受信に使います。VPNトンネルの中を通すパケットはVPNサーバーに割り当てられたPrivate IPで通信します。
VPN通信に使うパケットは以下の様な構造になっていて、パケット内に最低2つのIPヘッダがあるはずで、Outer IPの宛先はVPNサーバーのグローバルIPですが、Inter IPの宛先は(E)のセグメント内の各サーバーのIP(E社データセンター内のPrivate IP)になります。
[a)Outer IPヘッダ][VPNプロトコル固有のヘッダ][b)Inter IPパケット]
>モバイルルータからのIPアドレスはVPNサーバと接続するまでに用いて、
>VPNサーバとのPsecによる通信のためには、VPNサーバから割り当てられてたプライベートI>Pアドレスを用いて通信を行うという事でしょうか?
概ね合っています。
VPN接続をするためにはタブレット端末内のVPN接続ソフト(最近のOSなら、L2TPoIPSecなりPPTPあたりはOSで標準サポートしていると思います)が、モバイルルータを経由してVPNサーバーに接続する必要があります。タブレット端末からはモバイルルータがdefault gatewayに見えているので、default gatewayとVPNサーバー宛のパケットをやりとりするのにモバイルルータから割り当てられたPrivate IP(IP1とします)を使います。
こうしてVPNサーバーとの間にトンネルが出来ますので、トンネルを通すパケットはVPNサーバから割り当てられたPrivate IP(IP2とします)を使います。
2.について
IP1とIP2は異なるサブネットである必要があります。例えばモバイルルータのサブネットは192.168.1.0/24とVPNのサブネットは192.168.100.0/24という形。
VPNで接続されるとタブレット端末の中には論理的に2つのネットワークインターフェイスが作られます。もともとWi-Fi接続に使っていたインターフェイスをwlan0,VPN用インターフェイスはvpn_tun0と仮に名付けると、
wlan0に192.168.1.100,vpn_tun0に192.168.100.10みたいにタブレット端末は2つのIPアドレスを持ちます。タブレット端末が外部と通信する際、通信先のサブネット毎にどのネットワークインターフェイスを使うか?という表(ルーティングテーブル)を持っています。
以下の様な感じです。(本当はnext hop=gateway or routerアドレスとかの情報もテーブルのエントリ内に持っています)
〜ルーティングテーブル〜
宛先サブネット,インターフェイス名
default,wlan0
192.168.1.0/24,wlan0
192.168.100.0/24,vpn_tun0
このテーブルを見て、パケットの宛先が192.168.1.0/24に含まれればwlan0経由でパケット送信、192.169.100.0/24に含まれればvpn_tun0経由でパケット送信、それ以外(default)はwlan0経由になります。もし、Wi-FiとVPNのネットワークアドレスが同じだと、ルーティングテーブルに一致するエントリが複数存在してしまい、どちらのネットワークインターフェイスを使ってパケットを送信すべきか判らなくなります。
>VPNサーバと通信するために、モバイルルーターからネットワークアドレスとプライベートI>Pアドレスを受け取っているだけなら(E)セグメントのネットワークアドレスと重なっても問題1がないと考えております。VPNサーバはグローバルIPアドレスであるためです。
VPN通信のInner IPとOuter IPを混同しています。
グローバルIPはVPNトンネルを構成する外側のパケットの送受信に使います。VPNトンネルの中を通すパケットはVPNサーバーに割り当てられたPrivate IPで通信します。
VPN通信に使うパケットは以下の様な構造になっていて、パケット内に最低2つのIPヘッダがあるはずで、Outer IPの宛先はVPNサーバーのグローバルIPですが、Inter IPの宛先は(E)のセグメント内の各サーバーのIP(E社データセンター内のPrivate IP)になります。
[a)Outer IPヘッダ][VPNプロトコル固有のヘッダ][b)Inter IPパケット]
2018.10.03 23:03
グーフィーさん(No.3)
>TOYさん
回答の方、ありがとうございます。
1週間前には質問への回答を確認したのですが、忙しく内容を見ることができておりませんでした。申し訳ありません。
とても分かりやすく、ネットワーク関係に関わっていない私にも理解することができました。
またVPNの内部の動き?といいますか。これについてより具体的にイメージすることができるようになりました。
最後に[確認]としてタブレット端末が(E)セグメント内のサーバとの通信の流れを記載しております。もしお時間があれば確認していただけると幸いです。
[今回の回答で私がもっとも理解できたこと]
>タブレット端末が外部と通信する際、通信先のサブネット毎にどのネットワークインターフェイ>スを使うか?という表(ルーティングテーブル)を持っています。
私にとってはこれが一番目から鱗のような回答でした。
言われればその通りだなと感じてしまうのですが、通信先のサブネット毎にどのネットワークインターフェースを使用するか、これを考えることが全くありませんでした。
具体例まで挙げてくださってありがとうございます。
[確認]
[a)Outer IPヘッダ][VPNプロトコル固有のヘッダ][b)Inter IPパケット]
ここについての確認になります。
Outer IPヘッダはモバイルルータが付与するという認識であっておりますか?
私の考えでは以下のようになります。
(タブレット端末が(E)セグメント内のDNSサーバへアクセスするというシチュエーション)
1.タブレット端末がDNSサーバへパケットを送信
このとき宛先はDNSサーバであり、送信元はネットワークアドレスから判断をして、VPNサーバから割り当てられたプライベートIPアドレスを使う。
2.モバイルルータがVPNサーバへパケットを転送する。
このとき送信元と宛先IPアドレスを見て、Outer IPヘッダを付与する。
送信元はモバイルルータのグローバルIPアドレスで、宛先はVPNサ―バとなる。
3.VPNサーバが外部IPヘッダを取り除いてDNSサーバへ転送(ARPは省略)
VPNルータが送信元と宛先IPアドレスを見て外部ヘッダを取り除く(何を根拠に外部IPヘッダと判断しているのかは正直よく理解しておりません。)、
そしてDNSサーバへパケットを転送。
2018.10.13 15:50
TOYさん(No.4)
(E)セグメント宛にIPパケットを送る場合、Outer IPヘッダもタブレット端末が付けます。
ただし、このOuter IPヘッダ(とりあえずIPヘッダ1とします)は
IPヘッダ1:
SrcIP=タブレット端末のPrivate IP1(僕の前回の回答の例では192.168.1.100)
DstIP=VPNサーバーのグローバルIP
という構成。
このパケットをタブレット端末はDefault Gatewayであるモバイルルータにまず送信します。
モバイルルータはこれを受け取り、Outer IPヘッダを以下の様に書き換えます(IPヘッダ2)
IPヘッダ2:
SrcIP=モバイルルータのグローバルIP)
DstIP=VPNサーバーのグローバルIP
この書き換えられたIPパケットがVPNサーバー宛に送信されます。
モバイルルータは内蔵されたNAT機能でプライベート-グローバル(パブリック)IP変換をするだけです。OuterIPはタブレット端末を出た瞬間から付いています。
ただし、このOuter IPヘッダ(とりあえずIPヘッダ1とします)は
IPヘッダ1:
SrcIP=タブレット端末のPrivate IP1(僕の前回の回答の例では192.168.1.100)
DstIP=VPNサーバーのグローバルIP
という構成。
このパケットをタブレット端末はDefault Gatewayであるモバイルルータにまず送信します。
モバイルルータはこれを受け取り、Outer IPヘッダを以下の様に書き換えます(IPヘッダ2)
IPヘッダ2:
SrcIP=モバイルルータのグローバルIP)
DstIP=VPNサーバーのグローバルIP
この書き換えられたIPパケットがVPNサーバー宛に送信されます。
モバイルルータは内蔵されたNAT機能でプライベート-グローバル(パブリック)IP変換をするだけです。OuterIPはタブレット端末を出た瞬間から付いています。
2018.10.16 23:25
グーフィーさん(No.5)
>TOYさん
確認ありがとうございます。
>モバイルルータは内蔵されたNAT機能でプライベート-グローバル(パブリック)IP変換をするだけです。OuterIPはタブレット端末を出た瞬間から付いています。
実際にやり取りをしているのは、PCとVPNサーバのため、構築経験がなくても、考えれば当然のことだと思いました。
確認まで、して頂きありがとうございます。
しっかりと理解することができました。
2018.10.19 21:26