PR

カテゴリ

プロフィール

最新記事

注目の商品

Facebookページ

レビューマジック

こだわりモノを中心としたレビューブログ。商品評価、感想など

SRT100で安全に自宅サーバーを公開する(ネットワーク設計編)

2010.07.10/Sat/23:44:59

IMG_5063.jpg現在居住のマンションにはケーブルテレビ系の光アクセスのISP(インターネット・サービス・プロバイダー)が入っているのですが、そのサービスに特徴があり、デフォルトでは各PCにグローバルIPアドレスが振られます。

その特性を利用して YAMAHA の高性能ファイヤーウォール・ルーター SRT100 で安全に自宅サーバーを公開する計画を立てました。

今回はその第一回目、ネットワーク設計編です。

【マンションLANについて】

私が入居するマンションは、入居者全員にインターネットサービスが付いていて(利用料は負担)、各部屋に LAN ケーブルを差し込む口が用意されています。ところが、そのサービス提供仕様が面白くて、「接続した各PCに1つずつ、グローバルIPアドレスが付与される」という、ある意味すごく贅沢な仕様です。

home_network01a.png
(入居当初のネットワーク仕様)

贅沢ではありますが、各PCにグローバルIPアドレスが付与されるということは、インターネット側からピンポイントでそのPCアクセスできるということを意味します。この形態は各PCのセキュリティを非常に厳格にする必要があり、セキュリティ上はあまり望ましくありません。

そのため、私は間に1台ルーターをかまし、外部からのアクセスを遮断しています。

home_network02.png
(現在の家庭内LAN構成)

こうすると、各PCにはインターネットからは直接アクセスできない「プライベートIPアドレス」が付与され、内部からのインターネットアクセスが自由にできつつ、外部からそのPCにはアクセスできないような構成にすることができます。

利用しているルーターは Buffalo の BBR-4HG です。5,000円程度で買える安価なルーターの割には速度と機能が素晴らしく、愛用しています。すでに発売されてから数年たっていて、最新のファームウェアでは安定性もかなり向上しています。


BUFFALO 有線BBルータ ハイエンドセキュリティモデル [BBR-4HG]BUFFALO 有線BBルータ ハイエンドセキュリティモデル [BBR-4HG]
(2003/12/20)
バッファロー

商品詳細を見る


【自宅サーバー構築計画】

仕事柄、調査研究のために自宅に試験的なウェブサーバーを立てて見ようと考えています。現在家庭で一般利用しているインターネットアクセスのグローバルIPアドレスでサーバーを公開するのは危険が高いので、グローバルIPアドレスをもう一つ取得したいところです。

その際、現在利用中のインターネットサービス仕様はかなり魅力的です。ウェブサーバーを立てるには、そのサーバーに割り当てるグローバルIPアドレスが必ず必要ですが、現在利用中のサービスではグローバルIPアドレスが使い放題となるからです。(注:本当は「固定」グローバルIPアドレスが欲しいところですが、ここでは固定ではありません。したがって、業務で利用するような一般的なウェブサーバーは立てられません。)

別のグローバルIPアドレスを取得するには、ブロードバンドルーター(BBR-4HG)の前のポジションでPCを設置するか、ルーターを立てる必要があります。しかし、PCにグローバルIPアドレスを割り当て、直接インターネットにそのPCを公開するのは非常に危険です。したがって、ルーターを間に入れてセキュリティを確保します。

ちょうど、YAMAHA の SRT100 というファイヤーウォールルーターが利用可能だったので、その活用を考えました。

IMG_5063.jpg
(YAMAHA Firewall Router SRT100)

この機種は家庭用としては贅沢すぎるほど立派なルーターで、業務用としても十分通用する性能を持っています。安定性に関してもピカイチで、今まで YAMAHA のネットワーク製品を利用してきた中で、それらが不安定になったり、故障したりした経験は一度もありません。極度に高い信頼性と安定性が要求される業務用ネットワーク機器を選択する場合でも YAMAHA の製品を指名するファンも多いと聞きます。

【素直に配線すると...】

公開用のサーバーは宅内ハブの接地されている配線盤には置けません。現状は、BBR-4HG と宅内ハブが接地されているこの位のスペースしかない場所です。

IMG_5066.jpg
(現在のネットワーク配線盤)

したがって、サーバーは「部屋A」に設置します。したがって、配線盤から部屋Aに通常の家庭内LAN以外の通信を通す必要があります。

素直に考えると、下記の図のように配線盤から部屋AにLANケーブルを追加で通す必要が生じます。

home_network03a.png
(2本のLANケーブルが必要な構成)

残念ながら、宅内ルーターから各部屋へは1本のLAN配線しか存在しません。工事業者を呼んで依頼すればやってくれるでしょうが、数万円の出費となってしまいます。ここはひとつ頭で解決したいところです。

LANの通信規格で、最大100Mbps の 100Base-T までは、LAN ケーブルの中の8本の信号線のうち、4本しか利用していませんでした。したがって、残りの4本を別のLANケーブルのように取り扱うようにLANコネクター(RJ-45)の端子接続を工夫して、2本分のLANケーブルの配線を1本にまとめてしまうという技が使えました。しかし、現在の最新仕様のギガビット通信(1000Base-T)では、LANケーブル内の8本の信号線をすべて利用しますので、ギガビットLANを意識するとこの手法は使えません。

したがって、次の手立てを考えます。

【2セグメント混在通信】

実はLANケーブルがたとえ1本でも、その中にLANセグメントが異なる複数の通信が混在しても支障はありません。読み取り側のLANカードが、自分の読み取りたいセグメントの通信だけを取得し、その他は無視するからです。この特性を利用し、宅内ハブから部屋Aに、2種類のLANセグメントを送り届ける方針で解決を図ります。その案が次の図です。

home_network04.png
(2セグメント混在LANによる解決策)

【ハブを節約しよう】

ここでもうひとひねりしてみます。上の図では2つのグローバルIPを対応するそれぞれに渡す「上流ハブ」が必要ですが、これを何とかできないでしょうか。1つのLANケーブルを2つに分けるだけなので、4ポートのハブを余分に用意するのは何となくもったいないです。

そこで、SRT100 を通常とは「反対に」利用することを検討して見ます。次の図は SRT100 の背面の写真です。

IMG_5064.jpg
(SRT100の背面端子)

LAN端子の部分を拡大して見てみます。

IMG_5065.jpg
(LAN端子部分の拡大写真)

LAN1 の端子部分は、このようにハブが搭載されています。このハブを「上流LAN」として利用できないでしょうか。通常のブロードバンドルーターは、インターネット側に1ポートのLAN端子、PC接続側に複数ポートのLAN端子が搭載されています。この SRT100 も、LAN2端子がインターネット側、LAN1端子がPC側と想定されています。

しかし、YAMAHA のルーターはインターネット接続用だけでなく、2つのLANセグメントを接続するローカルルーターとしても定評があり、LAN1とLAN2の扱いは設定次第で融通が利くはずだと考えました。

したがって、SRT100 のLAN1端子とLAN2端子を逆転利用することにより、LAN1側のハブ機能を上流ハブとして利用する構成を考えました(下図)。

home_network05.png
(今回目標とするネットワーク構成図

【次はルーター設定】

ネットワーク設計が済んだところで、次は、ルーター設定、サーバー設定、動作確認、セキュリティ・チェックとタスクが続きます。

次回は SRT100 のルーター設定と疎通確認について紹介したいと思います。

【関連記事】
SRT100で安全に自宅サーバーを公開する(ネットワーク設計編)
SRT100で安全に自宅サーバーを公開する(ルーター設定編)
SRT100で安全に自宅サーバーを公開する(サーバー構築編)
web サーバーで SSH サービスを公開する場合
phpMyAdmin に対する攻撃について


安全性、安定性、信頼性に絶大な信頼を置くことができる YAMAHA SRT100

ヤマハ ファイアウォールルーター SRT100 SRT100ヤマハ ファイアウォールルーター SRT100 SRT100
()
ヤマハ

商品詳細を見る


-----
最後までご覧いただきまして、どうもありがとうございました。

関連記事
tb: 0 |  cm: 2
go page top

 

この記事に対するコメント

ハブの節約

2セグメント混在通信のところで、ハブの節約が出てきましたが、ヤマハのSRT100ではなく、バッファローのBBR-HG4にもスイッチングハブは内蔵されていますが、BBR-HG4のスイッチングハブを利用した逆転利用はできないでしょうか?
URL | 雨男 #mQop/nM.
2015/09/07 17:20 * 編集 *

Re: ハブの節約

雨男さま

コメントありがとうございました。

BBR-HG4 の利用向きを逆転させて、スイッチングハブを持つ多端子側を WAN として利用するということができるかについてですが、今回の目的に即した場合、残念ながら難しいと思われます。BBR-HG4 の制御は YAMAHA のようにコマンドではなく、WEB 画面による方式で、WAN 側は WAN 端子であることを前提に設定が構築されています。たとえば、IPマスカレードを使う場合、方向としては LAN 側から WAN 側への通信など、端子の用途と方向性が設定上、固定化されています。

その点、YAMAHA のこのクラスのルーターは LAN1, LAN2 とも、ルーター内ではどちらも同等の扱いになっていて、コマンドライン上で、LAN1, LAN2 を交換すれば、そのように動作する仕組みとなっています。

したがって、このような使い方は YAMAHA や Cisco のように、コマンドレベルの設定が可能な、準業務向けのルーターでないと、活用が難しいと思います。
URL | 館長 #-
2015/09/08 08:59 * 編集 *
go page top

 

コメントの投稿















管理者にだけ表示を許可する

go page top

 

トラックバック

承認制としています。無関係なものは承認されない場合があります。
トラックバックURL
→http://ace.reviewmagic.jp/tb.php/258-fb51f759
この記事にトラックバックする(FC2ブログユーザー)
go page top