16-3. LinkProof 参考の設定例 (1) LinkProof 設定のポリシ−と様子 * LinkProof 設定のポリシ− 既存のネットワ−クをできるだけいじらないようにしたい。ネットワ−クの構成、DNS、 各ホストの設定など。特にDNSの1、2次サ−バのIPアドレスは変えないこととする。 [ 既存プロバイダ P1 ] DA128 の 128 Kbps 割当IPアドレス 192.168.2.64/26、有効アドレス 192.168.2.65〜126。 ネットワ−クアドレス 192.168.2.64 ブロ−ドキャスアドレス 192.168.2.127 ネットマスク 192.168.2.192, ffffffc0 ル−タIPアドレス 192.168.2.126 プロバイダより指定。 ※DNSサ−バは自前で立てて管理しているとする。 [ 新規プロバイダ P2 ] フレッツ・ADSL 割当IPアドレス 192.168.3.24/29、有効アドレス 192.168.3.25〜30。 ネットワ−クアドレス 192.168.3.24 ブロ−ドキャスアドレス 192.168.3.31 ネットマスク 192.168.3.248, fffffff8 ル−タIPアドレス 192.168.3.25 プロバイダより指定。 ※プロバイダによって正引きと逆引きレコ−ドは定義されているとする。 プロバイダでのDNS2次 □ ns1.provider.jp | / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\インタ−ネット \_______________/ | | 192.168.2.66 と .67 は仮想IPアドレス。 -------- Yamaha FIRE ホストが Proxy ARP で代理応答する。 |Router| RT100i -------- ■ WWW ◆ MAIL |.126 |.66 |.67 -------*--------*----------------------------- 192.168.2.64/26 | | DNS1次 .65|hme0 WWW メ−ルリレ− ------- □ WWW ◇ MAIL FireWall |FIRE |.1 |.2 |.3 | |-------------------------- 192.168.10.0 ------- .1| -----------*----------------------------- 192.168.20.0 * FIRE ホストの設定 Solaris 2.6 での例 デフォルト経路 192.168.2.126。 /etc/rc2.d/S99NAT hme0 インタ−フェ−スでの代理応答 ------------------------------------------------------- |/usr/sbin/arp -s 192.168.2.66 X:X:XX:XX:XX:XX pub << WWW 用。 |/usr/sbin/route add host 192.168.2.66 192.168.10.2 1 | |/usr/sbin/arp -s 192.168.2.67 X:X:XX:XX:XX:XX pub << MAIL 用。 |/usr/sbin/route add host 192.168.2.67 192.168.10.3 1 ※X:X:XX:XX:XX:XX は FIRE ホストの hme0 のMACアドレス。 * WWW ホストの設定 Solaris 2.6 での例 /usr/local/etc/named.conf DNSの in.named を BIND 8.2.3 で稼働。 ----------------------------------- |options { | directory "/usr/local/etc"; |}; |zone "." { | type hint; | file "/usr/local/etc/named.ca"; |}; |zone "yyy.co.jp" { | type master; | file "/usr/local/etc/named.hosts"; |}; |zone "2.168.192.in-addr.arpa" { | type master; | file "/usr/local/etc/named.rev"; |}; |zone "0.0.127.in-addr.arpa" { | type master; | file "/usrlocal/etc/named.local"; |}; /usr/local/etc/named.hosts ----------------------------------------------------- |$TTL 86400 |@ IN SOA ns.yyy.co.jp. satou.yyy.co.jp. ( | 2004073102 3600 300 3600000 3600 ) ; | IN NS ns.yyy.co.jp. | IN NS ns1.provider.jp. | IN MX 10 mail.yyy.co.jp. |ns IN A 192.168.2.66 |deru IN A 192.168.2.65 | |www IN A 192.168.2.66 |mail IN A 192.168.2.67 /usr/local/etc/named.rev ----------------------------------------------------- |$TTL 86400 |@ IN SOA ns.yyy.co.jp. satou.yyy.co.jp. ( | 2004073102 3600 300 3600000 3600 ) ; | IN NS ns.yyy.co.jp. |66 IN PTR ns.yyy.co.jp. | |65 IN PTR deru.yyy.co.jp. |67 IN PTR mail.yyy.co.jp. |;66 IN PTR www.yyy.co.jp. << ns.yyy.co.jp. とIPアドレスが重複す るので記入してはいけない。 * LinkProof 設置後の図 --- 以下 LinkProof 設置後の様子 --- □ DNS2次 | / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ Router1 は前からあった Router のこと。 \________________/ 設定は何も変えてない。プロバイダから | DA128 | ADSL のレンタルとかなっていると、ル−タの | | 設定はあらかじめされている。 --------- --------- Backup |Router1| |Router2| Regular --------- --------- ‖.126 |.25 192.168.2.64 ‖ | 192.168.3.24 ネットワ−ク ネットワ−ク ‖ | ‖.125 |.26 ↑.27 で外へ -------------------- | (1) (2) | 192.168.3.28 192.168.3.29 <- Static NAT | | ■ ◆ | (3) | WWW MAIL -------------------- ■ ◆ ‖.125 192.168.2.66 192.168.2.67 <- 仮想IPアドレス 192.168.2.64 ‖ ネットワ−ク ‖NAT .65‖hme0 DNS1次 メ−ルリレ− ------- □ WWW ◇ MAIL FireWall |FIRE |.1 |.2 |.3 | |------------------------------- 192.168.10.0 ------- hme2 DMZ .1|hme1 -----------*---------------------------------- 192.168.20.0 | | 内部ネットワ−ク △ △ 内部ネットワ−クのホストから外部へは、ポ−ト1経由では FireWall で NAT 変換され て 192.168.2.65 からの発信になる。LinkProof では NAT 変換せずにそのまま通す。 内部ネットワ−クのホストから外部へは、ポ−ト2経由では FireWall で NAT 変換され て、かつ LinkProof でも NAT 変換されて 192.168.3.27 からの発信になる。 ポ−ト2経由で外からアクセスしにきたWWWサ−バは 192.168.3.28、メ−ルサ−バは 192.168.3.29 である。サ−バが増えればIPアドレスも等しく要る。 ポ−ト1経由で外からアクセスしにきたWWWサ−バは 192.168.2.66、メ−ルサ−バは 192.168.2.67 である。LinkProof では何もIPアドレスの変換はしない。 * 必要となるパブリックIPアドレス 192.168.2.126 ポ−ト1に接続するWANル−タ。 192.168.2.125 ポ−ト1そのもののIPアドレス。192.168.2.64 ネットはVLAN。 192.168.2.65 内から外へ出て行く際のIPアドレス。FireWall の NAT 変換。 192.168.2.66 DMZ においたWWWサ−バの仮想IPアドレス。 192.168.2.67 DMZ においたメ−ルサ−バの仮想IPアドレス。 192.168.3.25 ポ−ト2に接続するWANル−タ。 192.168.3.26 ポ−ト2そのもののIPアドレス。 192.168.3.27 内から外へポ−ト2経由で出て行く際のIPアドレス。Dynamic NAT。 192.168.3.28 外からポ−ト2経由のWWWサ−バへのアクセス。Static NAT。 192.168.3.29 外からポ−ト2経由のメ−ルサ−バへのアクセス。Static NAT。 注1) 192.168.3.27 を 192.168.3.26 と同じすることはできない。わざわざ出て行くパケ ット用にパブリックIPアドレスを使わないようにしたかったが、 それはできない ということ。設定ではねられる。 注2) Static NAT の設定がIPアドレスとポ−ト番号で指定できれば、次のようにパブリ ックIPアドレスを節約できるかも知れない。 "Basic NAT" がポ−トを一方だけ指 定できるがダメである。ともかく、1つのサ−バのホストに1個必要である。 | Local Server | Router IP | Static NAT | Redundancy Mode ---|-----------------|--------------|-----------------|---------------- 1 | 192.168.2.66:80 | 192.168.3.25 | 192.168.3.28:80 | Regular 2 | 192.168.2.67:25 | 192.168.3.25 | 192.168.3.28:25 | Regular 注3) 必要となるDNSの逆引きレコ−ドは、外部と交渉を持つ 192.168.2.65〜67、それ に 192.168.3.27〜29 である。前者は自前のDNSで設定している。 後者はプロバ イダが設定している。LinkProof内部で扱うDNSのレコ−ドはAレコ−ドだけだが、 逆引きレコ−ドを扱わないことによる問題は、ここでは特にないはずである。 * ホストの設定 ・FIRE ホストのデフォルト経路を 192.168.2.125 に変更する。 ・WWW ホストのDNS制御ファイルを次のように変更する。 /usr/local/etc/named.hosts ----------------------------------------------------- |$TTL 86400 |@ IN SOA ns.yyy.co.jp. satou.yyy.co.jp. ( | 2004073103 3600 300 3600000 3600 ) ; | IN NS ns.yyy.co.jp. | IN NS ns1.provider.jp. | IN MX 10 mail.yyy.co.jp. | |ns IN A 192.168.2.66 |deru IN A 192.168.2.65 | |www IN NS link1 |www IN NS link2 |mail IN NS link1 |mail IN NS link2 | |link1 IN A 192.168.2.125 |link2 IN A 192.168.3.26 * LinkProof の設定 以下のところ以外、"5.テストその2" に準ずる。 Step 9. Static Range NAT Table | From Local | To Local | Router IP | From Static | To Static | Redundancy | Server | Server | | NAT | NAT | Mode ---|--------------|--------------|--------------|--------------|--------------|----------- 1 | 192.168.2.66 | 192.168.2.67 | 192.168.3.25 | 192.168.3.28 | 192.168.3.29 | Regular Step 11. Dynamic Range NAT Table | From Local IP | To Local IP | Router IP | Dynamic NAT IP | NAT Redundancy Mode ---|---------------|--------------|--------------|----------------|-------------------- 1 | 192.168.2.65 | 192.168.2.65 | 192.168.3.25 | 192.168.3.27 | Regular Step 12. No NAT Table | From Local | To Local | Port Number | Router Address | Server Address | Server Address | | ---|----------------|----------------|-------------|--------------- 1 | 192.168.2.66 | 192.168.2.67 | All | 192.168.2.126 Step 15. DNS Name To IP | Host URL | Local IP Address ---|----------------|----------------- 1 | www.yyy.co.jp | 192.168.2.66 2 | mail.yyy.co.jp | 192.168.2.67 * その他設定 ・LinkProof から RIP 情報は出さない、デフォルトは出ないようになっている。 経路情報は全部、静的経路で制御すれば済むことである。 LinkProof では RIP 情報を 受ける、出すを別々に指定できる。受ける必要もない。 [Router]->[RIP]->[Operating Parameters] の Administrative Status が "Disabled" になっているか確認のこと。 ・LinkProof を設定できるホストを制限すること。デフォルトはどれでもOK。 LinkProof の特定のポ−トに、直接パソコンをつなげないと設定できないようにするの はどうか。内部ネットワ−クの特定のホストだけ許すというのもあるが、ファイアウォ −ルで NAT 変換するとそういうことはできない。 ・ICMP のブロ−ドキャストは 255.255.255.255 にする、デフォルトはマルチキャスト。 [Router]->[IP Routers]->[Interface Parameters]でエントリを選びアイコンの[Edit] をクリックすると画面がでる。その画面の下の方にある [ICMP Parameters]をクリック し、"Address for Router Advertisements" が 224.0.0.1 になっているのを変更する。 (2) LinkProof で起きた問題など * FireWall-1 でのトラブル FireWall が FireWall-1 で起きた問題がある。 テスト時には検証できなかったことであ る。 内部ネットワ−クのホストから www.yyy.co.jp、mail.yyy.co.jp にアクセスしよう とするとできない。 内部ネットのパソコンなりから www.yyy.co.jp にアクセスするには、 先ずDNS1かDNS2を見て www.yyy.co.jp のIPアドレスを検索する。 DNSサ− バは link1.yyy.co.jp か link2.yyy.co.jp のIPアドレスをたどって、LinkProof に問 い合わせを送る。すると "Regular" になっている Router2 側にマッピングしたIPアド レスを www.yyy.co.jp としてクライアントに返答する。 つまり 192.168.3.28 を返すの である。これが癖者になる。内部ネットのホストから、この 192.168.3.28 へは ping も 通らないのである。LinkProof に入った 192.168.3.28 へのパケットは、直ちに変換され て 192.168.2.66 になるようである。 実際のWWWホストは DMZ 上にあり、192.168.10.2 である。それを FireWall-1 が仮想 IPアドレスとNAT変換でもって、192.168.2.66 にしている。 それを更に LinkProof が 192.168.2.66 を 192.168.3.28 にマッピングする。このような複雑なことがアクセス できない原因になっている。どうやら新しいファ−ムウェアでは、対処できるメニュ−が 追加されているようである。多分、このバ−ジョンのままでは、どのような設定をしても 対処できないだろう。いろいろ試してみた。FireWall-1 側でも Anti Spoofing のあたり をだいぶいじってみた。結果 PING プロトコルは通っても HTTP プロトコルはダメだった。 仕方ないので、内部のホストがDNSに問い合わせる前に、キャッシュサ−バで通るIP アドレスにしてしまうようにした。 % telnet 192.168.20.x これは NetCache でのURL書き換えル cache> show config.http.* −ルで対処したところである。内部ネッ config.http.ttl.patterns = \\ トワ−クのホスト全部で、キャッシュサ ^http:// 0 20% 4320 −バを利用するようにしていれば、これ \\ で何とか問題は回避できる。 config.http.ttl.enable = on config.http.rewrite_uri.prefix = \\ しかし LinkProofも FireWall-1 もイス http://www.yyy.co.jp http://192.168.2.66 ラエル製ではないか。このような相性問 http://mail.yyy.co.jp http://192.168.2.67 題があるのはいかがなものか。 \\ * 解決 FireWall-1 でのトラブル 2005年12月のこと、年末になるとなぜかDNSの辺りを検討しているのだが、実際 のネットワ−クでの FireWall-1 のル−ルを見ていたら解決の糸口が見えてきた。下記の FireWall-1 の設定で、この LinkProof のドキュメント用に名前やIPアドレスは変えて いるが、"DMZ-Net" Group Properties に V-MAIL と V-WWW が入っている。 V-MAIL の方 には内部ネットから $ ping 192.168.3.29、192.168.2.67 へは通らない。 V-WWW の方に は内部ネットから $ ping 192.168.3.28、192.168.2.66 が通るし、 アドレス変換テ−ブ ルの表示も V-MAIL より V-WWWの方が多い。あらためてやってみたらそんなことになった。 V-WWW の設定は以前、このトラブルの対処にいろいろやってみた名残りである。その時は もう頭がごちゃごちゃしてしまって何がなんだか分からなくなって、変化を見落としてい た。要は V-WWW オブジェクトにも Static NAT を定義すればよかった訳である。 内部ネットにある Apollo からやってみた。INDY でも同様の結果。 /etc/resolv.conf $ nslookup このホストから www.yyy.co.jj ------------------------ > www.yyy.co.jj のIPアドレスを獲得しようと |nameserver 192.168.2.66 Server: ns0.yyy.co.jj すると 192.168.3.24 ネットワ Address: 192.168.2.66 −クの方のIPアドレスが出る。 $ nmconfig -h hostent_bind これは LinkProofの "Next Hop これはApolloでのオマジナイ Name: www.yyy.co.jj Routers" が 192.168.3.24側が Address: 192.168.3.28 Regular になっているためか?。 $ /etc/ping 192.168.3.28 V-WWW の NAT Static の定義を PING 192.168.3.28: 56 data bytes なしにしたら、これら両方とも 64 bytes from 192.168.2.66: icmp_seq=0. time=17.ms アクセスできなくなった。 $ /etc/ping www.yyy.co.jj 内部では www.yyy.co.jjのIP PING www.yyy.co.jj: 56 data bytes アドレスを調べて192.168.3.28 64 bytes from 192.168.2.66: icmp_seq=0. time=5.ms で、先ずアクセスしている。 ※パソコンのDOS窓で ping する場合。Windows 98 でも Windows 2000 でも同じ現象だっ た。ping www.yyy.co.jj、ping 192.168.3.28 でも 192.168.3.28 からのリプライのみ が出てくる。しかし内部では上の Apollo のようなIPアドレスになっている。どうも おかしいと思って Sniffer Basic でパケットを見たら分かった。 -------------------------------------------------------------------------------- 実際のネットワ−クで内部ネットのホストから、ホスト WWWにはアクセスできて、ホスト MAIL にはアクセスできなかった、その際の FireWall-1 Ver.4.1の状態。本ドキュメント に合わせて記述した。"4-1. 本格IT時代ヘの対応 (2)基本ネットワ−クの変更" を参照。 -------------------------------------------------------------------------------- [fire0] オブジェクトの設定 ------------------------------------------ [fire1] オブジェクトは 192.168.20.1, | Workstation Properties | ●External, ●Host, NAT なし。 |----------------------------------------| | General | Interfaces SNMP NAT VPN ..| [fire2] オブジェクトは 192.168.10.1, | -------------------------------| ●External, ●Host, NAT なし。 | Name: fire0 | | IP Address: 192.168.2.65 | [fire012] オブジェクトは hme0,1,2 イ | Location Type | ンタ−フェ−スをオブジェクトとして作 | ●Internal ○External ○Host ●Gateway | った [fire0],[fire1],[fire2]をグル− | 〆VPN-1 & FireWall-1 Version:[4.1] | プにしたもの。フィルタリングのル−ル | 〆Management Station | の最後の方で [fire012] を使用。 ------------------------------------------ ------------------------------------------------------------------------- | | Interfaces | | |--------- --------------------------------------------------| | Name Address Network Mask Valid Address Spoof Tracking | |-----------------------------------------------------------------------| | hme0 192.168.2.65 255.255.255.192 Any None | | hme1 192.168.20.1 255.255.255.0 Any None | | hme2 192.168.10.1 255.255.255.0 DMZ-Net Alert | ------------------------------------------------------------------------- {Check Point Policy Editor} の [Manage]->[Network Objects]で、次のオブジェクトを チェック。"WWW"はGeneral 192.168.10.2 ●External ●Host、NAT Static 192.168.2.66。 "MAIL" も同様。"V-WWW" が定義されていて、"DMZ-Net" Group Properties に入っていた。 "V-MAIL"も入っていた。"V-WWW"オブジェクトの定義はGeneral 192.168.2.66 ●External ●Host、NAT Static 192.168.3.28。"V-MAIL" の方は NAT はなしになっていた。 ------------------------------------ | Check Point Policy Editor 以上の設定状態で、このよ |---------------------------------------------------- うな表示が出ていた。 | Address Translation - Standard |------------------------------------------------------------------------------- |No| Original Packet | Trnaslated Packet | | | Source Destination service | Source Destination service | |--|----------------------------------|---------------------------------------|- |1 | MAIL Any Any | MAIL(Valid Address) Original Any | |2 | Any MAIL(Valid Address) Any | Original MAIL Any | |3 | V-WWW Any Any | V-WWW(Valid Address) Original Any | |4 | Any V-WWW(Valid Address) Any | Original V-WWW Any | |5 | WWW Any Any | WWW(Valid Address) Original Any | |6 | Any WWW(Valid Address) Any | Original WWW Any | * その後気付いたこと何か変? `26/04 / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ 内部のホストからWANル−タに向けて \________________/ ping それに traceroute をかけてみた。 | ADSL | ADSL --------- --------- Backup |Router1| |Router2| Regular --------- --------- (4)‖.126 .25|(5) 192.168.2.64 ‖ | 192.168.3.24 net net ‖.125 .26| ↑.27 で外へ -------------------- | (1) (2) | | (3) | LinkProof Branch -------------------- .125‖ ‖192.168.2.64 net .65‖NAT ------- | |.1 |FIRE |----------------------- 192.168.10.0 ------- △内部ホスト .1|(0) | -----------*-------------------------- 192.168.20.0 [ traceroute の経路が変? ] 右側ル−タへは # traceroute 192.168.3.25、 (0) -> (3) -> (5)。 左側ル−タへは # traceroute 192.168.2.126、(0) -> (4)。 右側ル−タへはいったん LinkProof の (1) のインタ−フェ−スを通って、(2) から (5) へ行くかと思った。パケットの経路は(0)->(3)->(5) ではなく、何故か見えないところが あって (0)->(3)->(1)->(2)->(5) じゃないのかと疑ったのである。確かに (2) は出て来 ないので。いや、勘違いだった。LinkProof のインタ−フェ−スは、ここでの設定状態で は (3) と (1) は同じIPアドレスである。これでいいのだ。 [ LinkProof の遅延が大きい? ] Router2 に内部ホストから ping を打つと # ping 192.168.3.25、40〜50 ms の遅延があ る。これはこれで問題ないらしい。インタ−ネットへはこの遅延時間は加算されない。ど うなっているのか知らんが。内部ホストから Router1 への ping では数ms の遅延である。 # ping 192.168.2.126。 上記の右ル−タへ行くのに LinkProof の左インタ−フェ−スを 経由することにより、無用な遅延が発生しているのでないかと疑った。了解です。 (3) LinkProof 参考設定例その2 * インタ−ネットの他に専用ネットワ−クがある □ 取り引き先の何らかのサ−バ / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ 専用ネット | \____________/ ---------------- 192.168.5.0 | | | | -------- -------- |Router| |Router| -------- ■ ◆ -------- |.126 |.66 |.67 |.124 -------*--------*-------------------------*----------- 192.168.2.64/26 | .65|hme0 ------- □ ◇ FireWall |FIRE |.1 |.2 |.3 | |---------------------------------- 192.168.10.0 ------- .1| -----------*------------------------------------- 192.168.20.0 * LinkProof の設置プラン1 / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ \________________/ | | --------- --------- |Router1| |Router2| --------- --------- ‖.126 |.25 192.168.2.64 ‖ | 192.168.3.24 net net ‖.125 |.26 -------------------- 192.168.5.0 | (1) (2) | ----------- 専用ネット | | | | (3) | | -------------------- --------- ‖.125 |Router3| 192.168.2.64 ‖ --------- net ‖ ------ 192.168.2.64 net ‖.124 ====|ハブ|=================================== ------ ‖ .65‖NAT ------- □ WWW ◇ MAIL FireWall |FIRE |.1 |.2 |.3 | |------------------------------- 192.168.10.0 ------- .1| -----------*---------------------------------- 192.168.20.0 ・FIRE ホストのデフォルト経路は 192.168.2.125。 ・FIRE ホストに、専用ネットワ−クへの静的経路を加える。 /etc/rc2.d/S72inetsvc --------------------------------------------------- |/usr/sbin/route add net 192.168.5 192.168.2.124 1 * LinkProof の設置プラン2 / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ \________________/ | | --------- --------- |Router1| |Router2| 192.168.5.0 --------- --------- ----------- 専用ネット ‖.126 |.25 | 192.168.2.64 ‖ | | .1 net ‖.125 |.26 --------- -------------------- |Router3| | (1) (2) | --------- | | 192.168.2.64 net ‖.124 | (3) (4) |================================== -------------------- ‖.125 ‖ .65‖NAT ------- □ WWW ◇ MAIL FireWall |FIRE |.1 |.2 |.3 | |------------------------------- 192.168.10.0 ------- .1| -----------*---------------------------------- 192.168.20.0 これまででポ−ト1と3をVLANにした。これにポ−ト4をVLANに加える。具体的 には [Device]->[VLAN] の Interface Number 100001 にポ−トの F-4 を加える。FIREホ ストでの専用ネットワ−クへの静的経路は、プラン1と同じく設定する。これでハブを介 さなくても済むようにできる。何となく直感的に理解しにくい設定ではあるが。 一応この場合の動作確認をしてみた。 FIRE ホストを手元の Windows 98 パソコンにして、 DOS画面に入り > route add 192.168.5.1 192.168.2.124 とホスト指定の静的経路を設定 してみた。Router3 は Cobalt Qube3 で 192.168.5.1側のイ−サネット・インタ−フェ− スは定義しただけでケ−ブルもつないでない。 これでパソコンから > ping 192.168.5.1 としたらリプライが返ってきた。> telnet 192.168.5.1 としたら接続した、 この場合で もパケットはポ−ト1とポ−ト2には流れて行ってないことを確認した。 * LinkProof を外すには / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ 回線Aを先に引き、グロ−バル \________________/ IPアドレスを取得したという。 回線A| |回線B --------- --------- Backup |Router1| |Router2| Regular | --------- --------- | .1 192.168.2.64 ‖.126 | --------- net ‖ | |Router3| ‖ --------- --‖--------------- 192.168.2.64 net ‖.124 ハブ | □ □ □=|================================== --------‖--------- ‖ .65‖NAT ------- □ WWW ◇ MAIL FireWall-1 |FIRE |.1 |.2 |.3 | |------------------------------- 192.168.10.0 ------- .1| -----------*---------------------------------- 192.168.20.0 DNSの設定で WWW と MAILのIPアドレスを、回線Aのグロ−バルIPアドレスにする。 Fire ホストで、デフォルト経路を #route delete net 0.0.0.0 192.168.2.125 1 とやり 消して、#route add net 0.0.0.0 192.168.2.126 1 にする。ここまで LinkProof は付け たままでよい。多分これで LinkProof はあるのだけど、LinkProofの中をパケットはスル −するだけでないのか。回線B、Router2 側を LinkProof で Regular にしていても、関 係なくなるはずである。要確認のこと。ともかく Fire ホストでデフォルト経路を変更す れば、LinkProof を外して、ハブに付け替えてよい。これで LinkProofをずっと、または 一時的に外すことができるので、その間にファ−ムウェアのバ−ジョンアップができる。 実は IE で NetCache をプロキシにかましていると、Google や Windows Updateのサイト が一発で出て来ない。内部のネットワ−クのパソコンからそれらサイトまで、FireWall-1 あり、DefensePro あり、NetCache あり、LinkProof にWANル−タなど幾つも装置があ る。その中で NetCache も怪しいが LinkProofも何か悪さしているのでないか。NetCache でなくて Apache のプロキシ経由だと問題はない。そんな疑念があって、一度 LinkProof を外してみることにした。何か一発で出るようになったような雰囲気がする。これまでは 数度、リロ−ドしないと画面がでて来なかった。自分以外では、まるで出て来ないと言っ ている者もいるし。かなり不評を買っていたのだ。`26/06 (4) LinkProof で片肺飛行する * LinkProof 設置の図 このドメインに割り当てられた公式なパブリックIPアドレスは 192.168.2.64 ネットで ある。DNSの1次とWWWホストのIPアドレスは、本来 192.168.2.66 だった。メ− ルのMXレコ−ドは 192.168.2.67 だった。インタ−ネットの回線は DA128 の 128 Kbps 専用線の方である。後から ADSL 回線を追加したということであった。 これで DA128 の 方も ADSL にしようでないか。速度もアップできるし、回線料金もぐっと安くすることが できる。DA128 から ADSL に変更するためには Router1 の電源を切って DA128 を全く使 わないようにしておいて、その間に DA128 を ADSL に変更する作業を行なう。LinkProof でもって、内外のアクセスを全て ADSL 側に誘導にするのである。ちょっとこんな芸当は 普通できない。LinkProof の究極の使い方と言える。パブリックIPアドレスが関係する DA128 側をいじろうとすれば、普通はインタ−ネットの接続性が一時的に失われることに なる。作業は良くて1日、下手すれば1週間位ネットが停止するかも知れない。 □ WWW DNS □ DNS △ PC |192.168.9.1 2次 | | ------------ □ P1 ------------- henomohe.co.jp どこかのユ−ザさん | | | / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ \________________/ P1(プロバイダ1) P1 | DA128 P2 | ADSL P2(プロバイダ2) --------- --------- Backup |Router1| |Router2| Regular --------- --------- ‖.126 |.25 192.168.2.64 ‖ | 192.168.3.24 net net ‖.125 |.26 ↑.27 で外へ -------------------- | (1) (2) | 192.168.3.28 192.168.3.29 <- Static NAT | | ■ ◆ | (3) | WWW MAIL -------------------- ■ ◆ ‖.125 192.168.2.66 192.168.2.67 <- 仮想IPアドレス 192.168.2.64 net ‖ .65‖NAT DNS1次 メ−ルリレ− ------- □ WWW ◇ MAIL FireWall |FIRE |.1 |.2 |.3 | |------------------------------- 192.168.10.0 ------- DMZ .1| -----------*---------------------------------- 192.168.20.0 * テストその1 − ダメだった /usr/local/etc/named.hosts WWW ホストのDNS制御ファイル ----------------------------------------------------- |$TTL 300 << 86400 から一時的に変更。 |@ IN SOA ns.yyy.co.jp. satou.yyy.co.jp. ( | 2004073104 << 2004073103。 | 300 << 3600。 | 100 << 300。 | 36000 | 3600 ) | IN NS ns.yyy.co.jp. | IN NS ns1.provider.jp. | IN MX 10 mail.yyy.co.jp. | |ns IN A 192.168.2.66 |deru IN A 192.168.2.65 | |;www IN NS link1 << この2つをコメントにした。link1.yyy.co.jp |;mail IN NS link1 << を返さないようにする。 | |www IN NS link2 |mail IN NS link2 | |link1 IN A 192.168.2.125 |link2 IN A 192.168.3.26 # /usr/local/sbin/ndc reload Reload initiated [DNS Configuration]->[Responce] ----------------------------------------- | Responce Configuration |---------------------------------------- | DNS Configuration | | DNS Responce TTL [ 300 ] << これも5分程度にした。 | Two Records IN DNS Reply [ Enabled ] | URL to IP search Mode [ Both ] これで Router1 の電源を切っても大丈夫かと思いきや、外から WWW と MAIL のホスト名 解決ができなくなってしまう。ダイアルアップ接続でDNSのIPアドレスをDNS2次 サ−バのにしてやってみた。DNS2次が1次に見に行って、内容をコピ−した瞬間から どうもおかしくなった。www.yyy.co.jp と mail.yyy.co.jp のIPアドレスが分からなく なっているようだった。ダイアルアップ接続でDNSを1次に設定すれば、だいじょうぶ だったが。ともかく、すぐにDNS1次の記述を元に戻して5分待つのだがアクセスでき るようにならない。20分から30分ぐらいして、2次の方が元に戻った。アクセスでき ないところがあると、それを覚えておくのが BIND 8 のDNSサ−バに入った。これは相 手、つまり2次サ−バのDNSの設定による。ひょっとして、それが影響したのか。どう もよく分からない。link2 の接続性はある訳だから、上記のDNSの設定で行けると思っ たのだが。[DNS Configuration]->[Responce] の設定も、ここでは関係しないようだった。 * テストその2 − できた /usr/local/etc/named.hosts WWW ホストのDNS制御ファイル ----------------------------------------------------- |$TTL 300 << 検索に来たDNSがキャッシュする時間。 |@ IN SOA ns.yyy.co.jp. satou.yyy.co.jp. ( | 2004073104 << シリアル番号。 | 300 << DNS2次サ−バがコピ−しに来る時間。 | 100 << DNS2次サ−バのリトライの時間。 | 36000 << DNS2次サ−バがデ−タを失う時間。 | 3600 ) | IN NS ns.yyy.co.jp. | IN NS ns1.provider.jp. | IN MX 10 mail.yyy.co.jp. | |ns IN A 192.168.2.66 << これも 192.168.3.28 にするか。 |deru IN A 192.168.2.65 << これはこのままでもいいだろう。 | |;www IN NS link1 |;mail IN NS link1 |;www IN NS link2 |;mail IN NS link2 |;link1 IN A 192.168.2.125 |;link2 IN A 192.168.3.26 | |www IN A 192.168.3.28 << この2つ、もう直接 Router2 側のIPア |mail IN A 192.168.3.29 << ドレスにしてしまう。 検索に来たDNSがエントリを覚えておく時間、$TTL 300。ぐっと長くして1週間ぐらい にしてもいいだろう。LinkProof が壊れない限り、別に問題ない。DNS2次サ−バがコ ピ−しに来る時間、デ−タを失う時間も同様長くする。その間に、DA128 から ADSL への 変更作業をするのである。あるいは "ns IN A 192.168.2.66" を"ns IN A 192.168.3.28" に一時的にしてしまえば、Router2 側経由でDNS2次サ−バが1次サ−バにアクセスで きるようになるはずである。しかし ns のIPアドレスを変えるのは、慎重の上にも慎重 を期して作業されたい。間違ったIPアドレスを記述したら、えらいことになる。この変 更はできれば時間間隔の調整だけで、対応した方が無難である。上記設定なら、コピ−時 間間隔の 300 により、DNS2次サ−バにも設定が反映されるのを待って、 即ち5分以 上待ってから Router1 の電源を切ること。そういう緻密な作業が必要である。 * プロバイダ1の DA128 回線を ADSL に変更する作業の確認 DA128 回線のケ−ブルをル−タ Route1 から外す。この状態で全ての通信をプロバイダ2 の ADSL 回線を通らせる。 その間に DA128 に割り振っていた 192.168.2.64 アドレスを ADSL に付け替える、これはプロバイダ1が作業する。その後 Router1 を ADSL 用ル−タ に置き換え、ADSL ケ−ブルをこのル−タに接続する。 これでプロバイダ1の ADSL がイ ンタ−ネットに接続できたか確認したい。今の状態は DA128 側はバックアップ、ADSL 側 をレギュラにしているので、全ての通信はプロバイダ2の Router2 経由である。 そこで 特定のIPアドレスだけ Router1 を通るように LinkProof を設定する。そうしておいて 内部ネットワ−クのマシンからその特定IPアドレスに traceroute をかけてみる。これ で Router1 を通る、つまりプロバイダ1で ADSL が開通したことが確認できる。 プロバ イダ1側はバックアップのままで通ることをテストで確認した。 ※外部の特定のサイト 192.168.9.1 は Router1 側を通るように設定する。 [LinkProof]->[NHR Advanced Configuration]->[Grouping]->[Destination Grouping] -------------------------------------------------- | Destination Grouping Table Insert | |------------------------------------------------| | Destination IP Address [ 192.168.9.0 ] | 9.0 ネットワ−クのホスト全て。 | Destination Subnet Mask [ 255.255.255.0 ] | | Next Hop Router Ip Address [ 192.168.2.126 ▽] | または 192.168.3.25 選択。 | Operational Mode [ regular ▽] | または backup 選択。 -------------------------------------------------- 注意.Destination IP Address [ 192.168.9.1 ], Subnet Mask [ 255.255.255.0 ] とし て [Set]アイコンを押すとエラ−で登録できない。Subnet Mask [ 255.255.255.255 ] と すること。[Grouping] メニュ−は Destination 他、Source と Application がある。 * DNS情報を変更する作業の手順 << 現在のDNSの状態がこれだとする > /usr/local/etc/named.hosts ---------------------------------------------- |$TTL 86400 << 1日。 |@ IN SOA ns.yyy.co.jp. satou.yyy.co.jp. ( | 2004042402 | 3600 << 1時間。 | 300 3600000 3600 ) ; ・LinkProof 設置、数日から1週間前ぐらいに変更する。named.rev なども。 /usr/local/etc/named.hosts ---------------------------------------------- |$TTL 3600 << TTL 1時間に変更。 |@ IN SOA ns.yyy.co.jp. satou.yyy.co.jp. ( | 2004042403 | 3600 << Refresh 1時間。 | 300 3600000 3600 ) ; ・当日。これでDNS2次サ−バに1時間後、ユ−ザは1時間後に有効になる。 /usr/local/etc/named.hosts ---------------------------------------------- |$TTL 3600 |@ IN SOA ns.yyy.co.jp. satou.yyy.co.jp. ( | 2004042404 | 3600 | 300 3600000 3600 ) ; | 以下 LinkProof 設置による設定内容。 (5) LinkProof は使っていけるか * 追加ラインはバックアップにするか `26/06, `27/03 / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ DNS の1次も TCPにやってもらう。DNS \_______________/ は普段はいじることはないはず。 |8.1:TCP :IIJ |9.1 DNS-1 □ : : □ IIJ の Mail Gateway Service(MGS) MX 9.1 :1.0 :2.0 メ−ル転送先 1.5 : : TCP側仮想 --:-----------:-- IIJ側仮想 TCPの回線ダウンした場合、メ−ル転送 1.5◆ | □ LinkProof □ | ◇2.5 先を 2.5 にするのは、MGS で設定変更 ------------------- Mail-Store してもらうしかない。 書面で一杯記入 |.9 しての手続きでは間に合わない。 転送 ------------------------ 1.0 先の変更はできないと考えた方がいい。 |.2 Cache ------- 192.168.2.0 Server |hostG|---------- □ ------- □ Mail-Store, POP3, Usermin | |.2 |.1 ---------------------------------- 192.168.1.0 MGS でのメ−ル転送先は 1.5 でいい。2.5 にすることはできない。TCPの回線ダウンした 場合、回線の復旧を待つのみ。WWWサ−バも外に出したとすると、DMZ にある場合のよ うに IIJ 側IPアドレスに誘導するということはない。LinkProofは内から外へのアクセ スを負荷分散するのに使うのみとする。LinkProof どうもおかしい。メ−ルがある所に一 箇所まともに送れない、懇意にしているSI業者さんも大学で同じ問題が起こっていると いっていた。相手メ−ルサ−バは Postfix、自分とこのケ−スでは Post.Office、これが 関係しているの?。もう一つ問題がある、NetCache を経由すると何故か Windows Update や Google にアクセスしにくい。ファ−ムウェアをアップすれば直るのか。一応購入した ところから新しいファ−ムウェアを送ってもらったが。メ−ルの対策、MGS を使えばメ− ルは相手には MGS からになるから、LinkProofに関係なくメ−ルは行くのでないか。いず れにせよ問題が起きないことが分かるまでは、LinkProof はかますことはできない。 ADSL1本でも、特に外のホ−ムペ−ジへのアクセスが遅いという感じではない。そんな訳 で LinkProof は取り外すことにした。2006/01に回線のトラブルが起きて、あたふたして。 周囲の目が LinkProof に注がれ、ついに 2006/06 外した。両方とも ADSL なので、同じ 局に収容される。局の装置が故障したら ADSL は両方共だめになる。バックアップという 意味での設置は説得力にやや欠けるのである。TCP の回線がダメになった場合、局の装置 がダメになった場合ではない。その時のバックアップということにする。いざという時は LinkProof をかまして、hostG のマシンのデフォルトル−トのみを手動で変更すれば IIJ 側回線を通るようになる。自社ホ−ムペ−ジとメ−ルのMXレコ−ドもDNSで変更しな いといけないが、大した手間ではないだろう。でも誰でも出来るという代物でもない。こ うした装置をかます場合のつらいところである。 ※LinkProof の名誉のために記述しておく。Google などの問題を調べていて、 どうも臭 いのは LinkProof でも NetCache でもなく、そもそもMicrosoft の Windows OSの問題 らしいことが分かった。このことは "7-6. キャッシュサ−バを利用する, (5)キャッシュ サ−バの運用,今使っている NetCache はまだ使えるか `26/06" に書いた。 NetCache に 限らずプロキシを通していると Windows パソコンでは、Windows Update がおかしい場合 があるとのこと。実際にテストしてみて NetCache だけ通してもおかしくはならなかった。 LinkProof だけ通してもおかしくならなかった。両方通すと複合的におかしくなる。どう もそういうことらしいことが分かった。 NetCache を別なプロキシ・サ−バを購入して置 き変えるか。LinkProof のファ−ムウェアをアップさせるだけで良くなれば、しめたもの だが。確かファ−ムウェアはアップしてもだめだったはず。`27/03 * 追加ラインは特定アクセス用にするか `27/03 ネットワ−クカメラのパケットだけ、プロバイダ IIJ 側を通すようにする。 上の追加ラインはバックアップにするかの話で、LinkProof は取り外して、後から引いた IIJ 側の回線は遊ばせている。ファ−ムウェアをアップして問題が解決されれば、IIJ 側 回線はネットワ−クカメラのパケットと TCP側回線のバックアップとして使うようにした い。もしカメラAを IIJ 回線の引き込み口近くに設置できるのであれば、Router2に直接 カメラを付けるという手もある。この場合 LinkProof は取り外したままになるが。 まあ 無理して LinkProof をかます必要はない。IIJ回線が離れているのであればカメラ専用に ADSL 回線を引いてもいいだろう。ADSL は安いので、ちょっとしたことでどんどん引かれ る。取り引き先のVPN用とかよくある話だ、よい子でも1本引かれている。最近では食 堂のオ−トレジで精算用でも管理用に業者が引いていた。下図は ybase7.txt "4-7. イン トラネット構築最終章, (2)2005年からの基本ネットワ−ク" からのである。 / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ \______________________________/ TCP: 日本 IIJ: |海外 : :カメラの | : :パケット 192.168.4.1| ●カメラB Router1□ Router2□↑.27 で外へ -------- |192.168.4.2 ‖.1 .25| |ル−タ|------ 202.241.128.0‖ |192.168.50.24/29 -------- ■PC-B A-Gateクラ Regular‖.9 .26|Backup |.1 |.2 イアント -------------------- 50.29 50.28 --------------- 192.168.60.0 Branch | (1) (2) | ◇ ◇ hostA" ル−タは簡易ファイアウォ−ル | (3) | 仮想IP と簡易DMZ機能もあるとする。 -------------------- ◇ ◇ hostA' ‖.9 .4 .3 ======================================= 202.241.128.0 ‖ A-Gate ‖.2 □ □hostA 192.168.50.24/29は24〜31の8 FireWall ------- 192.168.2.0 |.3 |.1 個の範囲で、有効25〜30の6個。 |hostG|--------------------------- ------- hostB□ ○カメラA □PC-A |.2 |.1 |.9 |.8 ----------------------------------------------------------- 192.168.1.0 ネットワ−クカメラの設置テストの結果、海外側から日本側に設置したカメラの映像が遅 かった。これは日本からは上がり方向のパケットになる。 テストの模様は ssl_vpn2.txt "16-5.A-Gate SSL-VPN と次候補, (2)A-Gate とネットワ−クカメラ"。テストした時は日 中で、日本側から海外側へのカメラ映像はそんなに遅くなかった。それゆえ、カメラを使 う時間帯を考えれば、そこそこ使えるのでないか。多分アメリカとだったら時差が13時 間とか14時間とかあるので、カメラを使って顔を合わすとすれば、日本では朝8時前後 がいいだろう。アメリカは夕方6時ぐらいである。日本側ではまだその時間帯は、社内ネ ットワ−クもインタ−ネットへのアクセスも少ない。アジアとやる時はちょっと困る。時 差があまりないのである。例えば上海とは1時間しかない。 * ネットワ−クカメラを設置する `27/02 [ PC-A からカメラBの映像を見る場合 ] 日本から海外へのアクセス 上記の "(4)LinkProofの片肺飛行, プロバイダ1の DA128回線をADSLに変更する作業の確 認" 参考のこと。TCP 側がレギュラでIIJ 側がバックアップ。先ず全ての通信を TCP側の Router1 経由とする。そして特定のIPアドレスだけを IIJ 側の Router2 を通るように LinkProof を設定する。カメラの有る外部の特定のサイト 192.168.4.0 は Router2 側を 通るように設定する。 [LinkProof]->[NHR Advanced Configuration]->[Grouping]->[Destination Grouping] -------------------------------------------------- | Destination Grouping Table Insert | |------------------------------------------------| | Destination IP Address [ 192.168.4.0 ] | このネットワ−クのホスト全て。 | Destination Subnet Mask [ 255.255.255.0 ] | | Next Hop Router Ip Address [ 192.168.50.25 ▽] | | Operational Mode [ regular ▽] | -------------------------------------------------- [ PC-B からカメラAの映像を見る場合 ] 海外から日本へのアクセス 外部からカメラAを直接見ることはできない。SSL-VPN 装置の A-Gate を経由してでない とだめである。カメラAは A-Gate の制御下にある。ということはカメラAを外からアク セスするのに、単純には IIJ側ラインを通すことはできない。パソコン PC-B でのA-Gate へのアクセスを、IIJ 側を通すようにしなければならない。そのためには仮想IPの仮想 IPをとる。A-Gateの 実IPアドレス 192.168.2.3 は、 FireWall-1 で 202.241.128.4 に仮想IPアドレスに既に設定されている。それを LinkProof で更に 192.168.50.29 へ と仮想IPアドレスにするのである。この設定は hostAで既に行なわれていることである。 DNSのレコ−ドの設定をいじる。いや、今のところDNSには A-Gate のエントリは記 述してない。A-Gate を利用する各パソコンの hosts ファイルに、IPアドレスを記述し ている。もうすでに50台以上のパソコンにそのような設定がされている。変更するのは ちょっとばかり大変である。とりあえず外からカメラAを見たい人は、hosts の記述を自 分で変えてねということにしよう。この際いっそ A-Gate のレコ−ドをDNSに記載する のはどうか。パソコンは hostsとDNSのどちらを先に見るのか、要確認。でもセキュリ ティ的にレコ−ド記載はあまり、よろしくないような気がやっぱりするのだが。 C:\WINNT\system32\drivers\etc\hosts Windows 2000 の場合での記述。IE のバ ------------------------------------ −ジョンは 6.0.x 代。 ag60.nix.co.jj |127.0.0.1 localhost は先に定義しておいたもの。消していい。 |192.168.50.29 iijag.nix.co.jj iijag.nix.co.jj が今回定義したもので、 |202.241.128.4 ag60.nix.co.jj こちらでアクセスすればいい。 * こういうことも可能です `27/03 / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ \____________________________________/ TCP: | IIJ: |2.1 : □TCP DNS : □IIJ DNS : : Router1■ Router2■↑.27 で外へ |.1 |.25 | 仮想IP 192.168.50.24/29| | ◇ ◆ |.26 | |.4 |.3 ----------------- LinkProof --------------------------- 202.241.128.0 | (2) (1) | Branchはこ | A-Gate | (3) | れまでの設 |.2 □ ■hostA ----------------- 定のまま FireWall ------- |.3 |.1 .9| |hostG|--------------- 192.168.2.0 |202.241.128.0 ------- □hostB PC△.2 |.2 |.1 DNS は 2.1 にすること --------------------------- 192.168.1.0 Gateway 202.241.128.9 わざわざこういう構成もテストしてみた。これで何がしたいか、できるか。内部ネットワ −クのパソコンで NetCache を経由して LinkProof も通ると、Google やWindows Update の挙動がおかしいという問題があった。そこで LinkProof だけ通る場合は、 一体どうな るのか調べてみたかった。そもそも NetCache が問題なのか LinkProofの問題だったのか、 はっきりさせたいという訳である。Googleでは次の画面を出すのに出て来ないことがしば しばだった。2、3回やると出て来るという変な話。結果 Google はおかしくなかった。 Windows Update も問題なかった。 Windows 2000 で [コントロ−ルパネル]->[自動更新] どこもチェックは入れてないのだが。画面の "更新は Windows Update Web サイトからイ ンスト−ルできます"、ここをクリックすると1分ぐらい何やらやっていた。 数十個更新 プログラムというのが出てきた。選択してインスト−ルするしないはこの次である。以前 は、何やらやったままそれべくそうろうになってしまったのである。やはり NetCache が おかしいのだ。とりあえず LinkProof のファ−ムウェアはアップしておくことにする。 ※テストはやることやったら直ちにパソコン PC は外すこと。 PC は無防備な状態で置か れることになる。一人でインタ−ネットの回線を使う訳だからスカスカ速いけど危ない。