質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
ネットワーク

ネットワークとは、複数のコンピューター間を接続する技術です。インターネットが最も主流なネットワークの形態で、TCP/IP・HTTP・DNSなどの様々なプロトコルや、ルータやサーバーなどの様々な機器の上に成り立っています。

ネットワークスペシャリスト

ネットワークスペシャリスト試験 (NW)は、IPA 独立行政法人 情報処理推進機構の実施している国家資格です。

Q&A

解決済

4回答

5616閲覧

VPNでsshログインするためには

narururu

総合スコア170

ネットワーク

ネットワークとは、複数のコンピューター間を接続する技術です。インターネットが最も主流なネットワークの形態で、TCP/IP・HTTP・DNSなどの様々なプロトコルや、ルータやサーバーなどの様々な機器の上に成り立っています。

ネットワークスペシャリスト

ネットワークスペシャリスト試験 (NW)は、IPA 独立行政法人 情報処理推進機構の実施している国家資格です。

0グッド

1クリップ

投稿2019/04/22 14:05

###実現したいこと
PC-2からRouterとFirewallへsshログインできるようにしたい。

イメージ説明

###現状
・PC-2からFirewall2とRouter2へはログインできるが、RouterとFirewallにはsshログインできない。
・PC-1からPC-2へリモートデスクトップ接続はできる。
・VPNの設定はRouterとRouter2で実装しているが、フェーズ2が確立されていない。
・RouterはPPPoEでインターネットへ接続しているが、Router2はPPPoEではない。

###設定
◆PC-2
デフォゲをFirewall2に向けている。

◆Firewall2
・デフォゲをRouter2に向けている。
・ポリシーを以下の内容で設定している。
送信元:PC-2
宛先:Aセグメント、Bセグメント、RouterのグローバルIP
サービス:ALL

◆Router2
・インターネットへ抜けていく設定はPATを使用している。(送信元Dセグメントから宛先のAセグメントとBセグメントに対してはdenyの設定をいれてVPNへ通信を向けている)
・VPNのACLには送信元Dセグメントから宛先Aセグメント、Bセグメント、RouterのグローバルIPに対してそれぞれpermit設定を入れている。
・Router2にACLのin設定を入れている。今回対象の送信元Dセグメントから宛先Aセグメント、Bセグメント、RouterのグローバルIPに対してそれぞれpermit設定を入れている。
・スタティックルーティングの設定は以下で設定を入れている。
→ip route (Aセグメント) (RouterのグローバルIP)
→ip route (Bセグメント) (RouterのグローバルIP)
・Router2のインターネット側のACL_inでは以下の設定を入れている。
→permit esp (RouterのグローバルIP) (Router2のグローバルIP)
→permit udp (RouterのグローバルIP) (Router2のグローバルIP) eq isakmp

◆Router
・スタティックルートを以下で設定している。
→ip route 0.0.0.0 0.0.0.0 Dialer0
→ip route (Aセグメント) (FirewallのBセグメントIPアドレス)
・インターネット側のACL_inに以下の設定を入れている。
→permit esp (RouterのグローバルIP) (Router2のグローバルIP)
→permit udp (RouterのグローバルIP) (Router2のグローバルIP) eq isakmp
・PPPoEの設定を入れている。

◆Firewall
・デフォゲをRouterのBセグメントIPアドレスに設定を入れている。
・ポリシーを以下の内容で設定している。
送信元:PC-2
宛先:Aセグメント
サービス:ALL

###確認したステータス
・VPNのフェーズ1ではRouter同士のグローバルIPがshow crypt isakmp saで表示され「QM_IDLE」が表示されている。
・VPNのフェーズ2ではinbound,outboundでのステータスが非表示になっている。
・Router同士でVPNの暗号化方式は一致している。

いくら調査しても原因が不明のまま先に進めません????
上記の内容で何か分かる方いらっしゃいましたらアドバイスいただけますと助かります。
また、何かの手がかりになるかもしれませんので、質問などありましたら質問欄に記載していただけますと大変助かります。

以上、ご確認よろしくお願いいたします????

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

over

2019/04/24 03:07

ご質問やご回答内容を拝見した限りでは意味不明なのですが、VPN接続が確立していないにも関わらず「(VPN経由で)PC-1からPC-2へリモートデスクトップ接続はできる。」なのでしょうか?
narururu

2019/04/24 03:58

ご回答ありがとうございます☺overさん☺ RouterのVPNのフェーズ2のAセグメントからDセグメントではinbound、outboundが表示されているため、リモデのVPNは確立されております。 言葉足らずで申し訳ございませんでした。
guest

回答4

0

自己解決

原因が分かりました。
DセグからAセグへ通信を許可したい場合、
今までRouterのVPNのACLの設定では、送信元をDセグ、宛先をAセグでpermit設定を入れておりましたが、
必要な設定は
行きのパケットではRouter2は送信元をRouter2のグローバルIP、宛先をAセグメント
戻りパケットではRouterは送信元をRouterのグローバルIP、宛先をDセグメントにする必要がありました。(VPNを通るパケットは送信元、送信先IPアドレスはデータで覆われ、グローバルIPが付与されるためRouter側で受け取るときの送信元IPはグローバルIPになるため)
上記の設定で、接続が可能になることを確認できました。

投稿2019/04/24 04:11

narururu

総合スコア170

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

被疑対象の機器が多いので一つずつ順番に構成させると良いと思います

1.PC - Router - Router - PC でVPN接続のみ、ACLなしで接続できること
2.ACLを設定して接続できること
3.Firewallを設置(全許可)して接続できること
4.Firewallポリシーを設定して接続できること

それぞれの機器でどんな設定が必要かを理解して進めることをお勧めします

投稿2019/04/23 12:29

yukky1201

総合スコア2751

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

narururu

2019/04/23 14:26

ご回答ありがとうございます!yukky1201さん☺ 仰る通り、最小限の構成から1つずつ設定を確認しながら進めていきたいのですが、自由に設定変更できる環境ではないため、現時点の状態から原因を見つけ出さないといけない状況です。 実際にインターネットを介したラボ環境が作れればよいのですが、、 一旦、RouterのVTYのACLの設定に問題があることが分かりましたので、設定を許可してから ログイン確認してみます。
narururu

2019/04/24 02:53

RouterのVTYのACL設定を削除してログインを試しましたが、うまくいきませんでした。。。
guest

0

PC-2 → PC-1のリモデが可能なら、Aセグメント⇔Dセグメント間の「VPN接続(Phase2含めて)」、「ルーティング」、「各種ACL」等は問題無いように思えます。
よって、まずはBセグメントとDセグメント間の通信の問題を特定すべく、PC2⇒Router間の接続を確立するために、下記をご確認ください。

(ルータはCisco、FirewallはFortiGateの前提で記載します)
・Routerの暗号化対象ACL(VPNのACL)にCセグメント、Dセグメントが設定されていますか?
⇒VPN設定の確認

 ・PC2→RouterのBセグメントI/FにPingは通りますか?
⇒ルーティングの確認

 ・RouterのBセグメントI/Fにtelnet接続はできますか?
・RouterのBセグメントI/FのVTYのaccess-classは正しく設定されていますか?
⇒ACLの確認

投稿2019/04/23 08:36

taichi_0807

総合スコア252

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

narururu

2019/04/23 14:00

ご回答ありがとうございます!taichiさん☺ リモデが可能なのはPC-1→PC-2であり、PC-2→PC-1へはリモデはできません。 ・Routerの暗号化対象ACL(VPNのACL)にCセグメント、Dセグメントが設定されていますか? →設定しております。しかし、今回の要件はPC-2→Router,FirewallなのでRouterのVPNのACLにCセグ、Dセグの設定は無関係だと思っております。 ・PC2→RouterのBセグメントI/FにPingは通りますか? →通りません。 ・RouterのBセグメントI/Fにtelnet接続はできますか? →PC-2からはできません。PC-1からはできます。 ・RouterのBセグメントI/FのVTYのaccess-classは正しく設定されていますか? →ACL-classは使用しておりません。
narururu

2019/04/23 14:09

すいません。 今改めてコンフィグを確認しましたところ、 RouterのvtyにACL(Aセグメントのみを許可する)設定しておりました。 こちらの設定を変更すればPC-2→Routerへログインできるようになるかもしれません。 VTYのACLを設定した覚えがないので、先入観で見落としていました。 また、Fortigateにもこのような設定があるのであれば確認してみます。 アドバイスありがとうございます☺
narururu

2019/04/24 02:53

RouterのVTYのACL設定を削除してログインを試しましたが、うまくいきませんでした。。。
guest

0

VPNのフェーズ2が失敗しているということが分かっているのであれば、
VPNのフェーズ2の各要素について何を確認したのか記載ください。
暗号化形式だけが合致していてもVPNは張れません。
以下を確認ください。

ネットワークエンジニアとして

  • IPsecで使用するセキュリティプロトコル( AH or ESP )
  • IPsecで使用する暗号化方式( DES or 3DES or AES )
  • IPsecで使用する認証方式( HMAC-MD5 or HMAC-SHA1 )
  • IPsec SAのライフタイムとライフタイプ( 単位:秒など )
  • トンネルモード or トランスポートモード
  • DHグループ(フェーズ2では必須ではない。共通鍵の生成に際してよりセキュアに

  行うためにPFSと呼ばれる機能を使用する場合のみフェーズ1と同様に
ネゴシエーションによりDHグループを決定する必要がある。)

どれかがRouter同士で異なるため、フェーズ2に失敗していると思われます。見直してみてください。

投稿2019/04/22 14:54

ozwind918

総合スコア1140

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

narururu

2019/04/23 04:11

ご回答ありがとうございます!ozwind918さん☺ 説明足らずで申し訳ございません。 ご指摘いただいた項目はRouter同士で一致していることを確認しております。 ・IPsecで使用するセキュリティプロトコル→ESP ・IPsecで使用する暗号化方式→AES ・IPsecで使用する認証方式→HMAC ・IPsec SAのライフタイムとライフタイプ→43200 ・トンネルモード
ozwind918

2019/04/23 09:28

上記が合致しているのであれば、問題ないと思います。 show crypto ipsec saの出力結果はどうでしょうか。暗号化対象の通信を適当に流してから確認してみてください。 ※SSHが通信できない原因は他の回答者の方が指摘されている暗号化対象ACLの設定もれじゃないかなと思ってます。
narururu

2019/04/23 14:04

show crypt ipsec saで確認しましたが、対象ACLのinbound,outboundが表示されないため、フェーズ2が確立できていないと認識しております。(通信を発生させてから確認しております)
narururu

2019/04/23 14:10

RouterのVTYにAセグメントのみを許可する設定をいれておりましたので、設定を変更して確認してみます。
narururu

2019/04/24 02:53

RouterのVTYのACL設定を削除してログインを試しましたが、うまくいきませんでした。。。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問