YAMAHA業務向けルーター運用構築スレッドPart11
PPPoE固定IP1個、RTX1100を使っています。
ポートフォワーディングしたイントラ内部の公開サーバーをプライベートネットワーク端末
からWAN側のIPアドレスでアクセスさせる方法はないでしょうか?
ヘアピンNATっていんですかね。
これが近いかなと思ったのですが、ポートの指定が出来ないので少し違うのかなと。
80だけとかは無理なのでしょうか?
http://www.rtpro.yamaha.co.jp/RT/FAQ/NAT/cannot-access-global-address.html
ポートフォワーディングしたイントラ内部の公開サーバーをプライベートネットワーク端末
からWAN側のIPアドレスでアクセスさせる方法はないでしょうか?
ヘアピンNATっていんですかね。
これが近いかなと思ったのですが、ポートの指定が出来ないので少し違うのかなと。
80だけとかは無理なのでしょうか?
http://www.rtpro.yamaha.co.jp/RT/FAQ/NAT/cannot-access-global-address.html
|
|
|
835 :[email protected]:2012/12/10(月) 01:47:29.57 ID:???
>>834
RTXなら標準でヘアピンNATになってるから設定いらないよ
RTXなら標準でヘアピンNATになってるから設定いらないよ
>>835
あれ?そうなんですか。じゃ設定ミスの可能性大ですね・・・
ip filter 1 pass * * tcp * www
nat descriptor type 1 masquerade
nat descriptor address outer 1 1.2.3.4
nat descriptor address inner 1 192.168.0.1-192.168.0.254
nat descriptor masquerade static 1 1 192.168.0.131 tcp www
httpd service on
httpd listen 8080
となっています。
外部からは http://1.2.3.4/ がOKですが内部からがアクセス出来ない状態です。
って1100じゃなくて1200でした。
あれ?そうなんですか。じゃ設定ミスの可能性大ですね・・・
ip filter 1 pass * * tcp * www
nat descriptor type 1 masquerade
nat descriptor address outer 1 1.2.3.4
nat descriptor address inner 1 192.168.0.1-192.168.0.254
nat descriptor masquerade static 1 1 192.168.0.131 tcp www
httpd service on
httpd listen 8080
となっています。
外部からは http://1.2.3.4/ がOKですが内部からがアクセス出来ない状態です。
って1100じゃなくて1200でした。
>>834-836
ヤマハルーターの場合、PPPoE接続ではヘアピンの挙動になるけど
IPoEではならないよ。
また、ヤマハルーターのヘアピンの挙動は、PPPoE接続先の
対向ルーターまでパケットが出ていって、そこで折り返して来るから、
通信速度はWAN側回線の上下遅い方に影響されるし
ISPによる送信量制限のカウントにも含まれるよ。
ヤマハルーターの場合、PPPoE接続ではヘアピンの挙動になるけど
IPoEではならないよ。
また、ヤマハルーターのヘアピンの挙動は、PPPoE接続先の
対向ルーターまでパケットが出ていって、そこで折り返して来るから、
通信速度はWAN側回線の上下遅い方に影響されるし
ISPによる送信量制限のカウントにも含まれるよ。
>>836
固定IPアドレスの設定はアドレス1個の場合しないこと
例えば nat descriptor address outer 1 1.2.3.4
は nat descriptor address outer 1 ipcp
にする。
フィルターでひっかかるかのうせいもあるから一度フィルター抜いてテスト
固定IPアドレスの設定はアドレス1個の場合しないこと
例えば nat descriptor address outer 1 1.2.3.4
は nat descriptor address outer 1 ipcp
にする。
フィルターでひっかかるかのうせいもあるから一度フィルター抜いてテスト
>>839
実験してみればわかるよ。
http://mimizun.com/log/2ch/hard/1130080820/269
http://toro.2ch.net/test/read.cgi/hard/1050389700/266-275
NATの実装に関する文献
http://wiki.nothing.sh/301.html#ze3c5f07
実験してみればわかるよ。
http://mimizun.com/log/2ch/hard/1130080820/269
http://toro.2ch.net/test/read.cgi/hard/1050389700/266-275
NATの実装に関する文献
http://wiki.nothing.sh/301.html#ze3c5f07
841 :[email protected]:2012/12/10(月) 21:11:15.19 ID:???
>>837
勉強しなおそうか
勉強しなおそうか
>>837-838
あぅ・・・IP16個だった・・・何度もすいません。
filterも全クリでやってみたんですが、ipcp指定するしかないのかな・・・
普通先頭のアドレスもらえると思うんですが、途中のやつ使ってまして。
あぅ・・・IP16個だった・・・何度もすいません。
filterも全クリでやってみたんですが、ipcp指定するしかないのかな・・・
普通先頭のアドレスもらえると思うんですが、途中のやつ使ってまして。
>>841
間違ってる部分を教えて。
間違ってる部分を教えて。
844 :[email protected]:2012/12/10(月) 21:23:11.11 ID:???
>>843
RFCにも書かれているように、NAT自体が転送しないとヘアピンNATとは言わないよ。
If two hosts (called X1 and X2) are behind the same NAT and
exchanging traffic, the NAT may allocate an address on the outside of
the NAT for X2, called X2’:x2’. If X1 sends traffic to X2’:x2’, it
goes to the NAT, which must relay the traffic from X1 to X2. This is
referred to as hairpinning and is illustrated below.
RFCにも書かれているように、NAT自体が転送しないとヘアピンNATとは言わないよ。
If two hosts (called X1 and X2) are behind the same NAT and
exchanging traffic, the NAT may allocate an address on the outside of
the NAT for X2, called X2’:x2’. If X1 sends traffic to X2’:x2’, it
goes to the NAT, which must relay the traffic from X1 to X2. This is
referred to as hairpinning and is illustrated below.
>>844
了解、ありがとう。
ヤマハルーターの挙動はRFC 4787の「Hairpinning」ではないものの、
条件が揃うと結果として「プライベートネットワーク端末から、同一LAN内
にある静的NAT、または静的IPマスカレードで割り当てられたグローバル
アドレスを指定したアクセス」が間接的に実現されてしまうんだよね。
これを簡潔に、どう表現したら良いのか難しい。。。
了解、ありがとう。
ヤマハルーターの挙動はRFC 4787の「Hairpinning」ではないものの、
条件が揃うと結果として「プライベートネットワーク端末から、同一LAN内
にある静的NAT、または静的IPマスカレードで割り当てられたグローバル
アドレスを指定したアクセス」が間接的に実現されてしまうんだよね。
これを簡潔に、どう表現したら良いのか難しい。。。
837です。
845で言っている『ヤマハルータの挙動』が何を示しているかは分からないけど
「静的IPマスカレードで割り当てられたグローバルアドレスを指定したアクセス」が
ヘアピンNATそのものだよ。
837の件は、例えばLAN1がローカル、LAN2がWAN、LAN3がDMZとする。
WANからDMZのNATを設定して、LAN2上位が無い状態で適当にリンクアップだけさせる。
これでもLAN1のホストからLAN2にアクセスすれば、DMZにいける。
「静的IPマスカレードで割り当てられたグローバルアドレスを指定したアクセス」が
ヘアピンNATそのものだよ。
837の件は、例えばLAN1がローカル、LAN2がWAN、LAN3がDMZとする。
WANからDMZのNATを設定して、LAN2上位が無い状態で適当にリンクアップだけさせる。
これでもLAN1のホストからLAN2にアクセスすれば、DMZにいける。
848 :[email protected]:2012/12/11(火) 00:21:22.83 ID:???
>>847
『ヤマハルータの挙動』とは、>>837で書いた『PPPoE接続先の
対向ルーターまでパケットが出ていって、そこで折り返して来る』
という現象のこと。>>840はそれを裏付ける検証結果。
『この機能を使って同一LAN内のWebサーバにアクセスした場合は、
アクセス元ホストとしてルータのWAN側グローバルIPアドレスと同じ
IPアドレスがWebサーバのログに記録された。』
『tracert 自分のDDNSホスト名orグローバルIPアドレス
1 自分のルータのLAN側プライベートIPアドレス
2 ISP側ルータのグローバルIPアドレス
3 自分のルータのWAN側グローバルIPアドレス
Trace complete.
こんな感じになる。』
『RT57iの場合、LAN内のサーバからストリーミング受信をしている時は
ADSLモデムのランプが点滅しているし、
ADSLリンクやISPとのPPPoEを切断するとストリーミングが切断される。』
…当時は今よりも知識が少なかったし、今でも詳しいことは分からない。
『ヤマハルータの挙動』とは、>>837で書いた『PPPoE接続先の
対向ルーターまでパケットが出ていって、そこで折り返して来る』
という現象のこと。>>840はそれを裏付ける検証結果。
『この機能を使って同一LAN内のWebサーバにアクセスした場合は、
アクセス元ホストとしてルータのWAN側グローバルIPアドレスと同じ
IPアドレスがWebサーバのログに記録された。』
『tracert 自分のDDNSホスト名orグローバルIPアドレス
1 自分のルータのLAN側プライベートIPアドレス
2 ISP側ルータのグローバルIPアドレス
3 自分のルータのWAN側グローバルIPアドレス
Trace complete.
こんな感じになる。』
『RT57iの場合、LAN内のサーバからストリーミング受信をしている時は
ADSLモデムのランプが点滅しているし、
ADSLリンクやISPとのPPPoEを切断するとストリーミングが切断される。』
…当時は今よりも知識が少なかったし、今でも詳しいことは分からない。
850 :[email protected]:2012/12/11(火) 03:50:09.44 ID:mJM6NRLx
まだまだrtコマンドを勉強中なのですが実務ではまってしまいお助けください。
下記のような構成なのですが
[拠点A]-RTX810-ipsec/vpn-RTX810-[拠点B]-UTM-Internet
拠点AのPCの通信をUTMを経由させたいのですが、うまくいきません。拠点BのRTX810
のPPで通信してしまっているようです、natの設定などをUTMのIPに向けたりしてみたのですが
変化がありません。そもそもこのような構成は不可能なのかとも思えてきたりもするのですが
なにぶん技術がついてきておりませんのでよろしくお願いします。
下記のような構成なのですが
[拠点A]-RTX810-ipsec/vpn-RTX810-[拠点B]-UTM-Internet
拠点AのPCの通信をUTMを経由させたいのですが、うまくいきません。拠点BのRTX810
のPPで通信してしまっているようです、natの設定などをUTMのIPに向けたりしてみたのですが
変化がありません。そもそもこのような構成は不可能なのかとも思えてきたりもするのですが
なにぶん技術がついてきておりませんのでよろしくお願いします。
852 :[email protected]:2012/12/11(火) 07:04:52.97 ID:???
>>849
>『この機能を使って同一LAN内のWebサーバにアクセスした場合は、
>アクセス元ホストとしてルータのWAN側グローバルIPアドレスと同じ
>IPアドレスがWebサーバのログに記録された。』
NATが内部的にやってる動作なので、正解。
WAN側IPを使ってるだけなので、外に出てるとは限らない。
>『tracert 自分のDDNSホスト名orグローバルIPアドレス
>1 自分のルータのLAN側プライベートIPアドレス
>2 ISP側ルータのグローバルIPアドレス
>3 自分のルータのWAN側グローバルIPアドレス
>Trace complete.
>こんな感じになる。』
ICMPは当然NATされないので、その経路で正解。
ヘアピンNATとは別の話。
>『RT57iの場合、LAN内のサーバからストリーミング受信をしている時は
>ADSLモデムのランプが点滅しているし、
>ADSLリンクやISPとのPPPoEを切断するとストリーミングが切断される。』
モデム側のランプが点滅してる理由はわからないけど、WAN側をリンクダウンまたは切断すると、
WAN側IPを持たなくなるので、切断されるのも正解。
847の動作を確認すれば、たぶん理解出来るはず。
>『この機能を使って同一LAN内のWebサーバにアクセスした場合は、
>アクセス元ホストとしてルータのWAN側グローバルIPアドレスと同じ
>IPアドレスがWebサーバのログに記録された。』
NATが内部的にやってる動作なので、正解。
WAN側IPを使ってるだけなので、外に出てるとは限らない。
>『tracert 自分のDDNSホスト名orグローバルIPアドレス
>1 自分のルータのLAN側プライベートIPアドレス
>2 ISP側ルータのグローバルIPアドレス
>3 自分のルータのWAN側グローバルIPアドレス
>Trace complete.
>こんな感じになる。』
ICMPは当然NATされないので、その経路で正解。
ヘアピンNATとは別の話。
>『RT57iの場合、LAN内のサーバからストリーミング受信をしている時は
>ADSLモデムのランプが点滅しているし、
>ADSLリンクやISPとのPPPoEを切断するとストリーミングが切断される。』
モデム側のランプが点滅してる理由はわからないけど、WAN側をリンクダウンまたは切断すると、
WAN側IPを持たなくなるので、切断されるのも正解。
847の動作を確認すれば、たぶん理解出来るはず。