令和4年午後Ⅱ問1
okitieさん
(No.1)
令和4年午後Ⅱ問1でつまづいています。
SSL-VPN装置がポートフォワード方式でありながら、セッション確立後にクライアントにIPアドレスが払い出されています。
ポートフォワードなのにそれはあり得ないので、絶対に見落とししていると思い、何度も問題を見返していまいましたが、結局何も明記されていませんでした。
受験者を無駄に翻弄する作問者の姿勢には納得いきませんが、出題された以上、解答に取り組まなかればなりません。
ひとりひとりやり方があるだろうと思いますが、こんな無駄な確認をしたくありませんが、見落としの可能性も拭えません。
だとすれば、深く考えるなと言うことでしょうか。
割り切りが大切なのかもしれませんが、ここの理解をどう折り合いをつけて解かれましたか?
SSL-VPN装置がポートフォワード方式でありながら、セッション確立後にクライアントにIPアドレスが払い出されています。
ポートフォワードなのにそれはあり得ないので、絶対に見落とししていると思い、何度も問題を見返していまいましたが、結局何も明記されていませんでした。
受験者を無駄に翻弄する作問者の姿勢には納得いきませんが、出題された以上、解答に取り組まなかればなりません。
ひとりひとりやり方があるだろうと思いますが、こんな無駄な確認をしたくありませんが、見落としの可能性も拭えません。
だとすれば、深く考えるなと言うことでしょうか。
割り切りが大切なのかもしれませんが、ここの理解をどう折り合いをつけて解かれましたか?
2025.03.10 07:43
dededeさん
(No.2)
この投稿は投稿者により削除されました。(2025.03.11 21:55)
2025.03.11 21:55
ぷらっくさん
(No.3)
こんにちは。
僕もこの問題には少し違和感を持っていました。
僕が学習によく利用させていただいている「ネットワークエンジニアとして」さんのページでは、L2フォワード方式にのみ「仮想NICを作成しクライアントへのIP払い出しをする」と記載されていました。(SSL-VPNはRFCで標準化されていないようなので一次情報は見つけられませんでした...)
僕の考えとしては、ポートフォワード方式は特定ポートへの通信を中継するだけなら送信元IPをクライアントに払い出す必要がないのでは、と思っています。しかし同時に、標準化されていないのであれば「実装により異なる」と言われればそこまでですが...
僕もこの問題には少し違和感を持っていました。
僕が学習によく利用させていただいている「ネットワークエンジニアとして」さんのページでは、L2フォワード方式にのみ「仮想NICを作成しクライアントへのIP払い出しをする」と記載されていました。(SSL-VPNはRFCで標準化されていないようなので一次情報は見つけられませんでした...)
僕の考えとしては、ポートフォワード方式は特定ポートへの通信を中継するだけなら送信元IPをクライアントに払い出す必要がないのでは、と思っています。しかし同時に、標準化されていないのであれば「実装により異なる」と言われればそこまでですが...
2025.03.11 11:27
dededeさん
(No.4)
こんにちは
調べてみると皆さんの言う通りIPアドレスを払い出す必要性はないようで、的外れなことを書き込んでいたようです
混乱防止のために投稿を削除しておきます。勉強になりました。
調べてみると皆さんの言う通りIPアドレスを払い出す必要性はないようで、的外れなことを書き込んでいたようです
混乱防止のために投稿を削除しておきます。勉強になりました。
2025.03.11 22:00
okitieさん
(No.5)
ご返信いただきありがとうございます。
今回の問題では、クライアントにIPアドレスが払い出される展開に「そんなわけがない」という思いを捨て切れず、あるはずもない説明を探し回り、もはや問題を解くどころではない状態に陥っていました。
dededeさん
自分の見識が狭い、受験する身として心に刺さります。知らずのうちに自分だけの机上学習が全てになってしまったのだと思います。試験以外にも当てはまりそうで改めたいと思います。
ぶらっくさん
通信規格が標準化されているものかどうか、言及されていたとしても、気にかけることもなかったなと思います。この試験を受ける多くの方が、想定の広さ、洞察の深さをお待ちなんだなと感じました。
今のやり方では太刀打ちできそうにありません。より本質な理解が足りてないですが、やれることから地道に取り組んでいきたいと思います。
今回の問題では、クライアントにIPアドレスが払い出される展開に「そんなわけがない」という思いを捨て切れず、あるはずもない説明を探し回り、もはや問題を解くどころではない状態に陥っていました。
dededeさん
自分の見識が狭い、受験する身として心に刺さります。知らずのうちに自分だけの机上学習が全てになってしまったのだと思います。試験以外にも当てはまりそうで改めたいと思います。
ぶらっくさん
通信規格が標準化されているものかどうか、言及されていたとしても、気にかけることもなかったなと思います。この試験を受ける多くの方が、想定の広さ、洞察の深さをお待ちなんだなと感じました。
今のやり方では太刀打ちできそうにありません。より本質な理解が足りてないですが、やれることから地道に取り組んでいきたいと思います。
2025.03.11 22:02
boyonboyonさん
(No.6)
通信の流れとして、個人PC→仮想PC→個人PC がひとつながりの通信になると思います。
途中で気になるポイントだけ書いてみると
SSL-VPNクライアント→SSL-VPN装置→FW→L3SW→仮想PC→L3SW→FW→SSL-VPN装置→SSL-VPNクライアント
になります。この経路で、送信元と宛先のIPアドレスを考えて見ます。
①IPアドレスプールからクライアントにIPアドレスを割り当てる場合→poolIPと書きます。
SSL-VPNクライアント
↓ src:poolIP dst:VIP(トンネル)
SSL-VPN装置 DNATでdstを仮想PCのIPアドレスに変換→vpcIPと書きます。
↓ src:poolIP dst:vpcIP
FW、L3SW プールされたIPなので、行きも帰りも通れるように設定しておく。
↓ src:poolIP dst:vpcIP
仮想PC リクエストされた処理を実行、レスポンスを作成して送信
↓ src:vpcIP dst:poolIP
FW、L3SW 通過
↓ src:vpcIP dst:poolIP
SSL-VPN装置
srcをVIPに変えるかな?
↓ src:VIP dst:poolIP(トンネル)
SSL-VPNクライアント
になりそうです。これですと、poolIPは、行き帰りで書き換えが発生しません。
②IPアドレスプールからクライアントにIPアドレスを割り当てない場合→src:unkIPとします。
SSL-VPNクライアント
↓ src:unkIP dst:VIP(トンネル)
SSL-VPN装置 DNATでdstを仮想PCのIPアドレスに変換→vpcIPと書きます。
src:unkIPでは、仮想PCまで行ってSSL-VPN装置に戻ってこられないと思うので、
戻ってこられるようなIPアドレスに書き換えなければならないと思う。→okIP
***okIPは、SSL-VPN装置に割り当てます。VIPが、okIPとして使えるかは分かりません
↓ src:okIP dst:vpcIP
FW、L3SW ok
↓ src:okIP dst:vpcIP
仮想PC リクエストされた処理を実行、レスポンスを作成して送信
↓ src:vpcIP dst:okIP
FW、L3SW 通過
↓ src:vpcIP dst:okIP
SSL-VPN装置
dstをunkIPに変えて、
srcをVIPに変えるかな?
↓ src:VIP dst:unkIP(トンネル)
SSL-VPNクライアント
になりそうです。こちらでもサーバセグメントに行って戻ってこられるIPアドレスが必要になるので、最初からクライアントにIPアドレスを割り当てた方がスムースかと思います。
途中で気になるポイントだけ書いてみると
SSL-VPNクライアント→SSL-VPN装置→FW→L3SW→仮想PC→L3SW→FW→SSL-VPN装置→SSL-VPNクライアント
になります。この経路で、送信元と宛先のIPアドレスを考えて見ます。
①IPアドレスプールからクライアントにIPアドレスを割り当てる場合→poolIPと書きます。
SSL-VPNクライアント
↓ src:poolIP dst:VIP(トンネル)
SSL-VPN装置 DNATでdstを仮想PCのIPアドレスに変換→vpcIPと書きます。
↓ src:poolIP dst:vpcIP
FW、L3SW プールされたIPなので、行きも帰りも通れるように設定しておく。
↓ src:poolIP dst:vpcIP
仮想PC リクエストされた処理を実行、レスポンスを作成して送信
↓ src:vpcIP dst:poolIP
FW、L3SW 通過
↓ src:vpcIP dst:poolIP
SSL-VPN装置
srcをVIPに変えるかな?
↓ src:VIP dst:poolIP(トンネル)
SSL-VPNクライアント
になりそうです。これですと、poolIPは、行き帰りで書き換えが発生しません。
②IPアドレスプールからクライアントにIPアドレスを割り当てない場合→src:unkIPとします。
SSL-VPNクライアント
↓ src:unkIP dst:VIP(トンネル)
SSL-VPN装置 DNATでdstを仮想PCのIPアドレスに変換→vpcIPと書きます。
src:unkIPでは、仮想PCまで行ってSSL-VPN装置に戻ってこられないと思うので、
戻ってこられるようなIPアドレスに書き換えなければならないと思う。→okIP
***okIPは、SSL-VPN装置に割り当てます。VIPが、okIPとして使えるかは分かりません
↓ src:okIP dst:vpcIP
FW、L3SW ok
↓ src:okIP dst:vpcIP
仮想PC リクエストされた処理を実行、レスポンスを作成して送信
↓ src:vpcIP dst:okIP
FW、L3SW 通過
↓ src:vpcIP dst:okIP
SSL-VPN装置
dstをunkIPに変えて、
srcをVIPに変えるかな?
↓ src:VIP dst:unkIP(トンネル)
SSL-VPNクライアント
になりそうです。こちらでもサーバセグメントに行って戻ってこられるIPアドレスが必要になるので、最初からクライアントにIPアドレスを割り当てた方がスムースかと思います。
2025.03.11 22:04
okitieさん
(No.7)
書き込みいただいておりながら、しばらく返信できていませんでした。
パケットの流れを順をアウトプットしながら追って考えるようにしました。自分の理解不足だったことを痛感しています。
SSL-VPNクライアントにIPアドレスを払い出す部分は問題文を理解すれば納得できました。
又、ディスティネーションNATの行き、戻りの辺りで送信元も変換が必要になったり、トンネル出入口でのパケットヘッダの理解に自信が持てず今なお苦しんでいます。
この問題に取り組んでもう二週間以上経ちます。試験対策として考えるとすごく効率悪いことをどこまで自覚できているのかわかりません。似た問題に遭遇した時に備え、わからないことはその場で潰して行きたいとは思いますが、そううまく行かないものですね。
パケットの流れを順をアウトプットしながら追って考えるようにしました。自分の理解不足だったことを痛感しています。
SSL-VPNクライアントにIPアドレスを払い出す部分は問題文を理解すれば納得できました。
又、ディスティネーションNATの行き、戻りの辺りで送信元も変換が必要になったり、トンネル出入口でのパケットヘッダの理解に自信が持てず今なお苦しんでいます。
この問題に取り組んでもう二週間以上経ちます。試験対策として考えるとすごく効率悪いことをどこまで自覚できているのかわかりません。似た問題に遭遇した時に備え、わからないことはその場で潰して行きたいとは思いますが、そううまく行かないものですね。
2025.03.20 21:29
返信投稿用フォーム
スパム防止のためにスレッド作成日から40日経過したスレッドへの投稿はできません。