問題解説: 伝統の国 第三のトラブル
伝統の国 第3のトラブルの問題解説を以下に示します。
問題文
NAT-PTの問題を解決した後、再びドワーフが話しかけてきた。
ドワーフ「2つもトラブルを解決してくれるとは驚いた。俺とあんたたちはもう家族も同然だよな? だから最後にあと1つだけいいか?」
エイト「え~まだあるの?」
ドワーフ「実は新しく喫茶店の支店作っていてなぁ~。そことIPsecで魔法陣をつなぎたいんだが、うまくつながらないんだ。なんとかしてくれよ~俺たち家族だろう?」
エイト「もう~調子がいいんだから。何度もごめんね。これだけ手伝ってあげてくれない?」
トポロジー図
採点基準
- IKEPhase1の成功が確認することができる。
- IKEPhase2の成功が確認することができる。
- 参加者手元PC及びルータからpingコマンドが通ることを確認することができる
解説
今回、1841と1941双方のルータには、通常のIPsec(NAPT前のアドレスによる記述)が設定されていました。
そのため、真ん中のルータにより、NAPT変換されることによって正しく通信が行えない状況でした。
今回はTEDによる解決方法による解答方法を記述します。(別解は後述)
1841に設定されたIPsecの記述を全て消した後
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
crypto isakmp keepalive 30 periodic
crypto ipsec transform-set T-IPSEC esp-3des esp-md5-hmac
これによりTEDによるIKEPhase1が成功します。
次に
crypto map M-IPSEC 1 ipsec-isakmp
set peer 192.168.140.2
set transform-set T-IPSEC
match address 101
interface Gi0/0
crypto map M-IPSEC
以上の記述でIKEPhase2が成功します。
そして、対向からのpingですが、帰りのパケットに対するルート情報が記述されていないため
ip route 192.168.130.0 255.255.255.0
を追記します。
別解としては、NAPT変換されていることが根本的な問題ですから、IPsecのアドレスをNAPT後のアドレスにすれば解決することができます。
まとめ
いかがでしたか?
この問題は基準点以上の正答チームは7チーム(前問のtypo)中1チームでした。
真ん中のルータを触れなくした理由は単純に真ん中のNAPTルータの設定を消すことを阻止するためでした。
debugコマンド、手元環境の論理図を書くこと等を用いると解答しやすかったのではないかと思います。