ICTSC Tech Blog

問題解説:Pingは返ってくるのにwebが見れない

ICTSC9 ネットワーク関連 問題解説

問題文

仮想機密伝送路課の検証環境ラボ(以下、ラボという)のWANルータ(Router1)をリプレースすることになった。

リプレースの要件としては基本的にリプレース前のネットワーク機器から設定をコンバートするだけなのだが、
今回新たな要件として本番環境で動いているwebサーバにラボから接続出来るようにしてほしい言われた。

ただ本番環境とラボは同じセグメントを使用しており、そして擬似的にwebサーバをラボにあるように見せる様に複数回NATをして対処してくれと要望があった。
またラボのクライアントからwebに繋げるipアドレスはRouter1のNATで192.168.14.200のアドレスを利用してwebページを見れるようにしてくれとも言われている。

そのためラボにおいてある別のルータ(Router2)から本番環境のWANルータ(Router3)にプロバイダーサービスのl2vpnを利用してRouter2とRouter3を繋げ、
3段階NATをすることによってwebサーバを見れるようにNATの設定を仮想機密伝送路課の担当者が行った。

しかしNATの設定後、ラボのPCからWebサーバ(192.168.14.200)に対しての通信で以下の現象が発生した。
– ラボのPCからwebサーバ(192.168.14.200)に向かってpingを打つと返ってくる
– Webページを見ることが出来ない

担当者「192.168.14.200に対してpingが返ってくるんだからwebページが見れないのはサーバ屋の問題だ!」

諸君にはRouter2と、webサーバに接続してトラブルシュートをし原因を突き止めてwebページが見れるようにして欲しい。
今回動いているwebサーバは公開用のipアドレスとは別にマネージメントのipアドレスがあるのでそこからsshすることができる。

制約

  • 設定を変更できるのはwebサーバとRouter2(1841)のみである
  • Router2(1841)のデフォルトルートを変えてはいけない

スタート

webサーバ(natip 192.168.14.200)に対してpingは通るのにwebページが見れない。

ゴール

webサーバ(natip 192.168.14.200)にpingも通り、またapacheのテストページを見ることが出来る。

情報

  • webサーバマネージメントssh情報
  • 192.168.14.200はweb公開用なのでicmpとhttpしか許可をしていない
  • 手元のPCは2960-Bの4番ポートに接続してください。dhcpが振ってきます。
  • Router2のアクセス情報
  • Router1は ip nat outside source static 192.168.14.70 192.168.14.200の設定が入っている。
  • Router3は ip nat inside source static 192.168.14.70 192.168.30.130の設定が入っている
  • インターフェースのinside,outsideは図に書いています。
  • 問題文に プロバイダーサービスのl2vpnを利用して とありますが今回は直接結線をしています。
  • この問題にvrfは関係ありません

トラブルの概要

pingが通るのにwebが見れないということは一見サーバ側の問題かなと思うかもしれませんが、その割には手元機材の情報があったり、webサーバは特に問題が無いように見えます。
この問題実はpingを返しているのはWebサーバではなく、NATルータです。

解説

この問題ではサーバ側の不備は一切なくRouter2が原因です。
cisco機器で内部と外部を同セグに見せるようなNATをする場合にありがちな設定ミスです。
NATの設定に不備があるため、NATされたアドレスがルーティングテーブルに乗らずRouter2がNATのアドレスを持ってしまいRouter2がpingの応答をしてしまっています。
なのでNATのルーティングを正しく書けば解決します。

解答例

Router2

- ip route 192.168.14.130 255.255.255.255 FastEthernet0/1.1647
+ ip nat outside source static 192.168.14.130 192.168.14.70 add-route
+ ip route 192.168.14.130 255.255.255.255 192.168.14.131

採点基準

NATに問題があることの指摘、及び設定変更してwebが見れる→満点

講評

この問題が解放されたのが遅かった為解答したチームはありませんでした。
pingが届くのにwebが見れないと聞いたらみなさんはとりあえずサーバに問題があるのでは?と考え問題の無いサーバ側を調べていたかと思われます。
複雑にNATを使用した場合(例えば同セグに見せるようなNAT)ping返答しても設定ミスでルータが返してあることがたまにあるのでみなさん気を付けてください。