ICTSC Tech Blog

DM-VPNをつなげてください

ICTSC2019 問題解説

問題回答ありがとうございました。 あまり聞きなれないVPNだったと思いますが、いかがでしたでしょうか。

問題文  

Router-CとRouter-DをスポークとしてハブルーターであるRouter-AとDM-VPNで接続してください。
ただし、Router-AとRouter-Bの既存の設定を上書きする変更もしくは削除しないでください。
また、Router-Dの配下にはネットワークが追加される可能性があるのでRouter-DはOSPFで経路を広報してください。
全てのサーバーがVPNを通して通信ができるようにそれぞれのルーターに追加した設定を回答に記入しそれぞれの設定を説明してください。
さらに、DM-VPNの構成要素であるIPSecでは通常、NAPTを使用する場合VPNを構築することはできません。 DM-VPNでNAT越しにVPNが構築できる方法・理由を報告してください。

初期状態  

  • Router-DがRouter-AとDM-VPNで接続していない
  • Router-CがRouter-AとDM-VPNで接続していない

終了状態  

  • Router-DがRouter-AとDM-VPNで接続している
  • Router-CがRouter-AとDM-VPNで接続している
  • Router-DとRouter-AがVPNを通してOSPFで経路交換をしている
  • 全てのServer同士がVPNを通して通信できる
  • Router-AとRouter-Bの既存の設定を上書きする変更もしくは削除していない

解説  

Router-AとRouter-Dに広報する経路が抜けいてるために追記します。 また、Router-DではOSPFで経路情報を広告していますが、DMVPNを使用している環境ではトンネルインターフェース に「ip ospf network broadcast」を入れないと全てのノードへ広告することができず、一部機器で経路情報が正常に同期できないという問題が発生してしまいます。
また、DMVPN環境ではハブルータが常にDRになるように「ip ospf priority 0」を入れる必要があります。
この二つの設定を行うことで正常にOSPFにて経路情報の交換ができるようになります。

Router-D・Router-Cでは、VPNの設定が入っていなかったり間違ったパラメータが設定されているため修正する必要がありました。

Router-CでのVPN内のルーティングに関しては特に指定していませんでしたがServer,同士で通信する必要があるため、OSPFを使用した解答例のconfigは以下の通りです。

Route-A
interface Tunnel1
 tunnel protection ipsec profile VPN
router ospf 1
network 192.168.1.0 0.0.0.31 area 0
network 192.168.1.32 0.0.0.31 area 0

Router-C
crypto isakmp policy 1
 encr aes 256
 hash sha512
 authentication pre-share
 group 2
 lifetime 21600
crypto isakmp key hoge address 0.0.0.0 0.0.0.0
crypto isakmp keepalive 30
!
crypto ipsec transform-set IPSEC esp-aes esp-sha512-hmac
 mode transport
!
crypto ipsec profile VPN
 set transform-set IPSEC
!
interface Tunnel1
 no ip address
 ip address 192.168.1.2 255.255.255.224
 ip nhrp map 192.168.1.1 192.168.1.65
 ip nhrp map multicast 192.168.1.65
 ip nhrp network-id 1
 ip nhrp nhs 192.168.1.1
 ip ospf network broadcast
 ip ospf priority 0
 ip ospf mtu-ignore
 tunnel source 192.168.1.98
 tunnel protection ipsec profile VPN
!
no ip route 192.168.1.0 255.255.255.0 192.168.1.97
!
ip route 192.168.1.64 255.255.255.224 192.168.1.97
!
router ospf 1
 network 192.168.1.0 0.0.0.31 area 0
 network 192.168.1.129 0.0.0.31 area 0


Router-D
interface Tunnel1
 tunnel protection ipsec profile VPN
 ip ospf network broadcast
 ip ospf priority 0
 ip ospf mtu-ignore
 tunnel source 192.168.1.67

!
router ospf 1
 network 192.168.1.0 0.0.0.31 area 0
 network 192.168.1.160 0.0.0.31 area 0

また、NAT越しのDM-VPNについて、 IPsecをNAT越しに行うためにはNATトラバーサルが必要である。 NATトラバーサルはIKEを利用することで自動的に適応されます。 また、NHRPはIPsecトランスポートモードを使用したときにNAT パブリック アドレスを学習・使用できる。

採点基準  

  • Router-B,Router-Aで既存の設定が変更・削除されず、Router-D、Router-CがDM-VPNをRouter-Aとつなぐことができている:60%
  • Router-DとRouter-AでOSPFの経路交換ができており、全てのServer同士がVPNを経由して通信しあえる:  30%
  • NATを挟んだ状態でNATトラバーサルはIKEによって行われ、NHRPがNAT パブリック アドレスの学習・使用はIPsecトランスポートモードの時に動作することを理解している。:   10%