- - PR -
IPsecでルータ自身が送出するパケットの扱い
1
投稿者 | 投稿内容 |
---|---|
|
投稿日時: 2007-04-04 17:25
初めて投稿します。
現在アライドのルータでIPsec VPNを構築していますが、ルータ自身が対向ネットワークに対して送出するパケットがどうもトンネルを経由しないようなのです(つまり外部インターフェースからローカルアドレス宛に送出される→no route to host)。 話を単純にするためにアライドの設定例をベースに説明しますと、 http://www.allied-telesis.co.jp/support/list/router/ar450s/docs/cfg-110.html ネットワーク間のVPN通信は問題なくできているのですが、上記例においてルータAと192.168.20.0/24、またはルータBと192.168.10.0/24の間の通信ができません。 具体的に何がしたいかというと、ルータAからのsyslogやsnmpを192.168.20.0/24内のサーバに飛ばしたいのです。 Ciscoの場合は access-list 110 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 access-list 110 permit ip 192.168.10.0 0.0.0.255 any access-list 120 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 route-map nonat permit 10 match ip address 110 crypto ipsec transform-set myset esp-3des esp-sha-hmac crypto map mymap 10 ipsec-isakmp set peer 12.34.56.78 set transform-set myset match address 120 interface FastEthernet0 ip address 4.4.4.1 255.255.255.248 ip nat outside duplex auto speed auto crypto map mymap ip nat inside source route-map nonat interface FastEthernet0 overload みたいな設定でルータ自身から対向ネットワーク宛のパケットもIPsecトンネルを通るはずだと思いましたが・・・ ご存知の方、お知恵を拝借できますでしょうか。よろしくお願い致します。 |
|
投稿日時: 2007-04-04 20:55
ちょっと、困った感じですね。
自己生成のパケットが、IPsec用のリストをすり抜けて、 インターネット接続用のインタフェースppp0-0から出てしまっているのかも。 内部的な機能別のバッファの処理順が微妙に異なるような感じです。 Aのルーターに旨いこと、ルーティングを書いてあげれば済みそうな感じですが。 かなり苦し紛れですが、 add ip route=192.168.20.0 int=ppp0-1 nexthop=192.168.20.1 もしくは、拠点Bの監視装置(192.168.20.100と仮定)をピンポイントで、 add ip route=192.168.20.100 mask=255.255.255.255 int=ppp0-1 nexthop=192.168.20.1 のようなルーティングを追加してもだめなら、素直にアライドに問い合わせてください。 int や nexthop の指定で、IPsecのポリシー名を使うことができるかもしれません。 最終手段としては、LAN側にSNMPのプローブを置くしかありませんね。 _________________ _福田太郎_ |
|
投稿日時: 2007-04-05 09:19
たらおさん、ありがとうございます。
ルートの追加は幾通りか試してみたんですが、どれもだめでした。 やはりアライドのサポートに聞いてみるのが一番早そうですね。 進展がありましたらご報告します。 |
|
投稿日時: 2007-04-05 18:29
意外に早く返答が来ました。
結論から言えばSET IP LOCALコマンド(http://www.allied-telesis.co.jp/support/list/router/ar740/docs/SET_IP_LOCAL.html)を使う。これだけでした。 上記の例でいえば、 ルータA SET IP LOCAL IP=192.168.10.1 ルータB SET IP LOCAL IP=192.168.20.1 でルータ自身が送出するパケットのソースアドレスを明示的に指定できるそうです。 [ メッセージ編集済み 編集者: naam 編集日時 2007-04-05 18:32 ] |
|
投稿日時: 2007-04-06 05:38
情報ありがとうございます。
なるほど、明示的な宣言が必要なのですね。 ここぞという一手が必要なのが、アライドらしいですね。 _________________ _福田太郎_ |
1