ネットワーク問題 その5

ネットワークに関する問題を出題します。
前回に引き続きVPNに絡んだ問題です。
拠点間で安全な通信を行うためにIPsecを利用したインターネットVPNの設定を行うことになりました。

パラメータは以下のように設定することとなっています。
・対向の拠点のLAN側ネットワーク
172.16.1.0/24
・こちらの拠点のLAN側ネットワーク
192.168.1.0/24
・フェーズ1に関する情報

・フェーズ2に関する情報

Ciscoルータを使用し設定を行いましたが、拠点間の通信ができませんでした。両拠点とも同じ種類のルータを使用しています。
以下はrunning-configからの抜粋となります。
//
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key b12352vvde address 対向の拠点のグローバルIP
crypto isakmp keepalive 30 periodic
!
!
crypto ipsec transform-set BRANCH_SEC esp-3des esp-sha-hmac
!
crypto map branch_map 1 ipsec-isakmp
set peer 対向の拠点のグローバルIP
set transform-set BRANCH_SEC
match address sec-list
!
interface Dialer1
//pppoe関連の設定は省略
crypto map branch_map
!
ip access-list extended nat-list
permit ip 192.168.1.0 0.0.0.255 any
!
ip access-list extended sec-list
permit ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255

ip nat inside source list nat-list interface Dialer1 overload
//

設定を行ったもののインターネット上のwebサイトは閲覧できますが、対向の拠点内に対しての通信ができません。
解決策は以下のどれになりますか？

１．NATの設定が邪魔になるので以下のコマンドを実行する。
ip nat inside source list nat-list interface Dialer1 overload

２．暗号化MAPの設定で使用するACLのエントリを以下のものに変更する。
permit ip 172.16.1.0 0.0.0.255 192.168.1.0 0.0.0.255

３．NATの設定で使用するACLのエントリを以下のものに変更する。
ip access-list extended nat-list
deny ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255
permit ip 192.168.1.0 0.0.0.255 any

正解 3

IPsecではIKEのフェーズ1、フェーズ2の各種パラメータを設定する必要があります。
「crypto isakmp policy 1」の部分でフェーズ1のパラメータを設定しています。
設定項目は設定どおりとなっています。ハッシュアルゴリズムやライフタイムはデフォルト値となっているため
running-config内に記載されていません。
「crypto ipsec transform-set BRANCH_SEC esp-3des esp-sha-hmac」の部分でフェーズ2のパラメータを
設定しています。
パラメータの指定には問題がありません。
また暗号化対象を指定するACLでも拠点LAN側ネットワークから相手拠点のLAN側ネットワークへの通信が指定
されており問題ありません。
ただCiscoルータでは暗号化ACLとNATの変換ではNATの変換の方が先に行われるようになっています。
拠点宛のパケットはNATの変換が先に行われてしまうため、送信元はグローバルIPアドレスになった状態で
暗号化ACLのチェックが行われてしまいます。
結果として暗号化対象と見なされなくなります。
そこで対向の拠点宛の通信はNATの変換から外す必要があります。
よって3が正解となります。