/
カテゴリー

こんにちは、工学院大学 修士2年の吉町優です。

ICTSCとの関わりとして第4回と第5回に運営委員として参加しています。今回ICTSC8でコンテストインフラのコアルータの構築やOpenFlowを用いたNATの実装を行いました。

トラブルシューティングの技術系のコンテストなので提供インフラも大切ですが、何よりも問題の質を大切に今回は作問しました。

問題の解説に入りたいと思います。

問題文

ある企業Zのシステム管理を請け負っており、事業所Aにおいて社内用のWEBサーバーが見れないという連絡を受けた。
この事業所AのLANのPCから正しくWEBサーバーを閲覧できるようにしてください。
原因を究明し、対策をしてください。

公開情報

参加者手元ににあるSwitchに事業所AのLANを用意しています。(2960のポート1~12)
事業所AのLAN: 192.168.12.64/26
webserver IP 192.168.12.131 (sshアクセス情報あり)
user:admin
pass:0aRPE5yZ1q
事業所Aルータへのアクセス
IP:192.168.12.11 (sshアクセス情報あり)
IP:192.168.12.65 (sshアクセス情報あり)
user:vyos
pass:0aRPE5yZ1q

 

採点基準(得点をあげる箇所)

  • VyOSでパケットキャプチャしLANとLANが混ざってることに気づく(DHCP-Requestに対してDHCP-Replyが2回受信していることなどから推察),ルータが2台いることに気づく 50点
  • LANが混ざっている原因の特定(Softether利用)azure向けIP(130.158.x.x)とkeepaliveパケットより推察100
  • VyOSのフィルタリングによりSoftetherを無効化 100
  • 正しいDHCPを受信し、WEBサーバーが閲覧できるか 50

 

模範解答手法

  1. nmapで192.168.12.64/26をスキャンしネットワーク上のノードを確認する。
  2. route コマンドで経路情報から192.168.12.126がデフォルトゲートウェイだと知り、本来のGWでないと知る。(対外アクセスは可能)
  3. tcpdump にてDHCPをしたときにRequestに対してReplyが2個返ってくることからLANが混ざっていることを推察かつ、softetherドメインのパケットがキャプチャリングできるのでsoftetherが動作していることがわかる。
  4. 特定のIPアドレス(130.158.x.x)がVPNパケットであることを突き止め、VyOSでIPフィルタリング等をかけ、LANとLANの混ざりを解消
  5. DHCPでアドレスを再度取得し、本来のGWが指定されたDHCP-replayを受け取りWEBサーバーへアクセスし、完了。

 

ネットワークトポロジー図

file

 

講評

このProblem-MASに関してはG社の最後の問題として個人的にラスボスとして出題をしました。3つ目の問題なのでこの問題に到達できたチーム数は8チームです。
この内回答を提出し、点を獲得したチーム数は2チームでした。(さくらさんを含んでいます)

肝心の点数ですが、どのチームも基準点に達しておらず解けたチームはいませんでした。難易度が高かったのかなと感じています。
提出された回答の中で一部点を取得しているチームの回答でネットワーク上に二つのルータがあるということを特定できているチームがありました。
確かに症状としては同一LAN内にルータが二つあるように見えるのですが、これはVPNによってLANと遠隔地のLANが結合したためルータが二つあるように見えています。
「ルータをLANから取り外す」や「本来のルータでないルータのMACアドレスからの通信を遮断」という回答があり、一般的な事例に回答が誘導されています。このような症状が発生した場合はVPNでブリッジされているという可能性を視野に入れると本当の原因にたどり着くことができたでしょう。

余談

なぜこの問題を出題したかというと、自分の経験であり、VPNの構築を誤ったことでVPNを介して大学のLANと家のLANがL2ブリッジされてしまい、インターネット疎通が切れたりなどの障害が発生したことでした。(ノードPCの有線NICに家のLANをローカルブリッジした状態でこのNICに研究室の有線LANに接続しLANが混ざった)
Softetherを今回使用しましたが、ルータの設定に関係なくL2ブリッジをユーザーが勝手に行いLANがおかしくなるというケースがあります。
Softetherは非常に優秀なVPNアプリケーションであり、私のお気に入りのソフトの一つです。ネットが閲覧可能な環境ならVPN(サーバー、クライアント共に)できないことはありません。スループットも非常によく多機能であるため皆さんも是非使ってみてください。

最近のコメント