そもそも関心があったにも関わらず読んでなかったわけです。読む必要性を感じたのは会社で貸し会議室をやっていてネット接続を有料で提供していますが、その中でお客がIPsecのアプライアンスソフトを導入されたPCを使って自社サーバーにパススルーで接続した場合に、ローカルで2台目の接続を試みた時に先に接続されている方が切断されるとの事でクレームが付きました。YAMAHAのRTX1000を使っていたのですが、お客に古いルーターっていわれてちょっとムカつくも仕様としてIPsecパススルーは1本しか通らないとの事でした。PPTPのパススルーが複数通るのでIPsecもそうかなっと勝手に解釈していました。ただこの段階では私は仕様の問題として複数のパススルーが無理なのか、機械(ルーター)の能力の問題なのかわかりませんでした。また別棟の貸し会議室でBフレッツ・ファミリーからレンタル用のネットワークを構築するのですが、近々それが可能な機械が出るのなら買い換える事も視野に置いて機器の選定が必要になります。
でもこういう肝心な事って誰に聞いても知らないんよね。少なくとも私の周りには居なかった。結局のところIPsecはローカルアドレスのヘッダも暗号化してしまうので一つのグローバルアドレスでは複数台のパススルーは不可能なんです。可能な場合は
- ルーターがDHCPでグローバルアドレスを配布する
- ルーターが複数のグローバルアドレスをもち静的NATをする
くらいでしょう。そもそも「ルーターがDHCPでグローバルアドレスを配布する」がパススルーなんか?という疑問さえあります。クライアントにローカルアドレスを配布する場合にプロバイダからルーターに配布されるグローバルアドレスが一つの場合は1台しかパススルーできません。ローカルアドレスをもし解析して発信したクライアントに返してやる事が可能ならば、それ自体がIPsecの暗号を解読している事になり中身のパケットも解読可能という事になります。でもそれって意味ないわけですからあり得ないわけです。1台なら暗黙の了解で返すので可能みたいです。そもそもIPv6で標準化され、IPsecの実装だけが先に急がれてNATやIPマスカレードの必要性がないIPv6の世界からIPv4の世界に強引に押し込んだことと、Win2000に標準装備されたために身近で使えるためこうなってしまったように感じます。
正直内容はかなり難しく理解するというほどには至っていませんが、IPsecのプロトコルやアルゴリズムを全て知らないと使えないわけではないので必要性を感じたり、ネットワーク管理者として必要なら読んでみた方がいいと思います。エンジンの仕組みを知らなくても車は運転できますし…。読んでいれば全体の概念やトラブルの際に何かしら糸口になってくると思います。私もRTX1000の設置の仕事があって、設置したけどIPsecが確立しなくてTelnetからコンフィグみて直した事もありますけど、それって普通どれくらいの料金取るんだろう? 設置とIPsecのトラブルシューティングって技術者をアサインした時は雲泥の差の費用になるともうけど…。
で、結果的にはこれを読んで現状の問題に対する答えは理解できたわけですが、ファイアウォールとネットワークセキュリティ入門―侵入検知とVPN:トムソンセキュリティシリーズ
自分でいうのも何ですが、不動産屋が客に聞かれたからってこんな本読まないよな。
Trackback URL