Q&A
拠点間接続について伺います。
それぞれの拠点の入り口には F/W があって、x.x.x.x, y.y.y.y, z.z.z.z というグローバル IP が割り当てられる予定です。F/W の後ろ側はプライベートアドレスで構成されます。
VS1, VS2 は Linux で、LibReSwan により IPSec トンネルを張ろうとしています。IPSec の対向は、それぞれ拠点Bの R1, R2 ルータ群です。通常は拠点A側もルータで構成したいところですが、ルータが置けないのでこのような構成になっています。この構成で、C1, C2 のクライアントと C3 クライアント間で、IPSec のパフォーマンス測定等を行います。
【質問1】
IPSec のことを調べていると、ほとんどの場合は L2TP/IPSec という組み合わせになっているようですが、今回のような構成の場合は L2TP(xl2tpd) は不要という理解でよろしいでしょうか?
【質問2】
ローカル環境(仮想環境上で F/W なしの直結)ではある程度動くようになってきているのですが、上記のような環境の場合、実環境では IPSec の RIGHT(対向側 IP アドレス)は対向側のグローバル IP になると思います。このため、拠点A側にもう1個グローバル IP が必要という理解でよろしいでしょうか?
(参考)テスト環境の構成(IP アドレスは図とは異なります)。
root@vs1:~# cat /etc/ipsec.d/ipsec.conf conn conn-s auto=ondemand type=tunnel authby=secret keyexchange=ike ike=AES256-SHA2;DH19 pfs=no rekey=no keyingtries=1 dpddelay=5 dpdtimeout=10 dpdaction=clear # left=172.16.1.11 leftsubnets={ 172.16.3.0/24 } right=172.16.1.21 rightsubnets={ 172.16.4.0/24 }
回答1件
0
ベストアンサー
【質問1】今回のような構成の場合は L2TP(xl2tpd) は不要という理解でよろしいでしょうか?
はい。拠点間の IPSec (トンネルモード) でいいと思います。
ユーザー認証が必要だったり、(確か) IP 以外のプロトコルで通信する場合に L2TP が必要です。
【質問2】拠点A側にもう1個グローバル IP が必要という理解でよろしいでしょうか?
leftsubnets と rightsubnets でルーティング(トンネル経由)します。
rightsubnets がプライベートIPアドレスでも、グローバルIPアドレスでも、特に変わらない(拠点A側にグローバルIP は不要)はずですが、right (拠点B の F/W のグローバルIPアドレス) が rightsubnets に含まれていると、うまくルーティングできないかもしれません。
投稿2020/06/26 08:37
総合スコア12173
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2020/06/26 08:44