インターネットに繋がらない

他の、フォーラムに投稿しましたが、回答を得れず。gooに投稿させていただきます。
添付のネットワークに付き、ファイアーウォールのLAN側にルータをつけたく試みていますがインターネットに上手く繋がりません。

Windows XP（192.168.1.5）のパソコンから192.168.10.2にはpingが繋がるのですが、iptablesを入れた状態でも外した状態でも、192.168.10.1にpingが通らないのが原因と思うのですが、如何を直せは良いのかが分かりません。ご指南を宜しくお願いします。

尚、
１）ネットワークは全て静的アドレスで設定しています。
　　ファイアーウォール・WebサーバのOSはDebian のEtchです。
２）LAN側に置いているルータはコレガ（CG-WLBARAG）：
http://www.corega.co.jp/support/manual/pdf/wlbar …
68ページの「社内ランとして使用するには」で設定

LAN状態:　
MACアドレス： 　　　00-0A-89-B4-C2-xx
IPアドレス： 　　　192.186.1.1
サブネットマスク：　255.255.255.0
DHCP： 有効
DHCP開始アドレス： 192.168.1.11
DHCP終了アドレス： 192.168.1.254
WAN状態
MACアドレス： 00-0A-89-B4-C3-xx
WAN　１： 有効
IPアドレス： 192.168.10.2
サブネットマスク： 255.255.255.0
ゲートウエイ： 192.168.10.1
DHCPサーバー１： 202.224.32.1
DHCPサーバー２： 202.224.32.2

３）XPのパソコン：
C:￥Document＆Setting￥Owner＞ ipconfig
P Address　・・・・ ： 192.168.1.5
Subnet Mask　・・・ ： 255.255.255.0
Default Gateway　・ ： 192.168.1.1

４）ファイアーウォール：
Debian:~# route
Destination　　　Gateway　　　Genmask　　　　　Flags Iface
Fnbinim7.asahi-n　　*　　　　255.255.255.0　　UH　　　　　ppp0
192.168.1.0　192.168.10.2　　255.255.255.0　　UG　　　　　eth2
192.168.10.0　　　　*　　　　255.255.255.0　　U　　　　　eth2
Default　　　　　　*　　　　　0.0.0.0　　　　　U　　　　ppp0

Debian:~# cat /etc/resolv.conf
Nameserver 202.224.32.1
Nameserver 202.224.32.2

５）iptables：
#!/bin/sh
# === SECTION A
# ----------- FOR EVERYONE
INTNET="192.168.10.0/24"
INTIP="192.168.10.1"
INTIF="eth2"
EXTIF="ppp0"
# === SECTION B
# ----------- FOR THOSE WITH STATIC PUBLIC IP ADDRESSES
EXTIP="212.2.145.xxx "

# -------- No more variable setting beyond this point --------
の行の述以降は添付URLのファイアーウォールの記述に以下を追加してあるだでです。
# FORWARD:
iptables -A FORWARD -i $EXTIF -o $INTIF -d 192.168.10.5 -p tcp --dport 80 -j ACCEPT

# POSTROUTING:
iptables -t nat -A PREROUTING -i $EXTIF -d $EXTIP -p tcp --dport 80 -j DNAT --to 192.168.10.5

Webサーバの192.168.10.5は問題なく機能します。
宜しくお願い申し上げます。

http://www.aboutdebian.com/firewall.htm

No.1 ベストアンサー 回答者： noname#111181 回答日時： 2010/04/12 15:53

サブネットマスクが 255.255.255.0 ですから、192.168.1.5 と 192.168.10.2 は別々のサブネットにいます。

したがって接続はできません。
どちらかのサブネットに寄せてください。

この回答へのお礼

お礼のメールが送れまして申し訳ありません。
ご指摘の件、その通りかもしれませが、回答番号：No.2の返信補足欄でご報告しましたネットワークとは別に、NTTの上位ルータにI/Oデータのルータを繋ぎ、其処に3台のPCを繋いでいます。将来このセグメントをなくしファイアーウォールの下にこれ等の3台を置きたいと思っています。私の知識不足で貴兄様の指摘を間違って受け止めていましたらお詫びを申します。


インターネット
　　↓
（212.331.2.43xx）パブリック・アドレス
NTTルータ(192.168.2.0/24)　→I/ODataルータ（192.168.0.0/24）
　　↓
192.168.2.25
ファイアーウォール（OS Debian）
(192.168.10.1)
　　↓

お礼日時：2010/04/14 11:39

No.3 回答者： kusa_mochi 回答日時： 2010/04/14 16:32

>上位ルータ（NT T）のルーティングテーブル設定に「宛先ネットワークアドレスルーティング設定（ゲートウェイIPアドレス指定」欄があり、その、宛先ネットワークアドレスを

>192.168.1.0　/　マスク長を255.255.255.0　/　ゲートウェイIPアドレスを1092.168.10.2
としたのですが、何の変化もありませんでした。
　この文章を読んで、質問主殿はネットワークに関して基礎知識がない素人若しくは初心者レベルであることが分かった。
　(基礎知識があるとは、ネットワーク関連の資格を持っているとか、ネットワーク関連の資格を取る為に勉強していたことがあるという意味です)
　基礎が無いと、今後ネットワーク関連で構成変更やトラブルが出てきたら対処できずに往生する羽目になると思う。
　私は、

　　・セグメントを3つも持たず、1つに集約する
　　・セグメントを3つ持つようなネットワーク構成をどうしても望むなら、専門家(ITコンサルとか)に相談してネットワーク構成やルーターの設定をしてもらう
　　　　※社内の専門家でも社外の有料コンサルタントでもどちらでも良いのですが

　のどちらかを選んだ方が良いと思う。
　多段ルーターというのは、素人には鬼門というか敷居が高いのです。

　そもそも多段ルーターのネットワーク構成をする必要がある理由が、

　　・本社の人間のPCと協力会社の人間の使うPCをネットワーク的に切り離したい

　というのであれば、VLAN機能を使うという方法でもっとシンプルなネットワーク構成が出来る筈です。
　まあ上記とは違う理由かも知れませんが、「多段ルーターを使わなければいけない理由」をもう一度考慮し直し、別の方法で代替出来ないか考えてみることをお勧めします。

No.2 回答者： kusa_mochi 回答日時： 2010/04/12 20:55

状況的には2段ルーター状態という事でいいのかな？

　インターネット網---192.168.10.xのセグメント---Coregaのルーター---192.168.1.xのセグメント

という感じで。
pingをした際のパケットの中継の動作を頭の中でシミュレートしてもらえば分かるのですが、行き(往路)のパケットは届きますが、帰り(復路)のパケットは192.168.1.5のPCに届きません。

詳しく説明すると、

　パケットを受け取った192.168.10.1は192.168.1.5に対してパケットを送り返しますが、ネットワークアドレスが異なる為Default Gateway(インターネット網に繋がっているルーター)にパケットを投げます
　(これ自身がルーターならインターネット網に対してパケットを投げる)

本当は、2段ルーターのWAN側アドレスである192.168.10.2に対してパケットを投げないといけないのです。
ここまで書けば、分かったと思いますがルーティングテーブルに追加登録が必要なのです。

　192.168.1.xのセグメントへのGatewayは192.168.10.2ですよ

というルート情報が。
上記ルーティング情報を192.168.1.xと通信する(192.168.10.x内の)全PCに登録するか、(192.168.10.xの)Default Gatewayに登録するかどちらかを行って下さい。
それでpingの応答が返ってくるはずです。

#インターネットに繋がらないのも、同様な理由です
#インターネット網に繋がっている1段目のルーターが192.168.1.xのセグメントが何処にいるか分からない為に復路のパケットが行方不明になるのです
#こちらの問題は1段目のルーターに上記と同じルーティング情報を追加登録すれば解決します

この回答への補足

1)最初の設定：

インターネット
　　↓
　ルータ(192.168.2.0/24)
　　↓
（212.331.2.43xx）パブリック・アドレス
ファイアーウォール（OS Debian）
(192.168.10.1)
　　↓
スイッチ　→　（192.168.10.5）ウェブサーバ（OS Debian）
　 ↓
(192.168.10.2)
ルータ(コレガ)
(192.168.1.1)
↓
ウインドウズXP
(192.168.1.5)


２）今回の設定：

インターネット
　　↓
（212.331.2.43xx）パブリック・アドレス
ルータ(192.168.2.2から192.168.2.11がDHCP有効)
　　↓
192.168.2.25
ファイアーウォール（OS Debian）
(192.168.10.1)
　　↓
スイッチ　→　（192.168.10.5）ウェブサーバ（OS Debian）
　 ↓
(192.168.10.2)
ルータ(コレガ)
(192.168.1.1)
↓
ウインドウズXP
(192.168.1.5)

補足日時：2010/04/14 11:37

この回答へのお礼

お礼の返事が遅れまして申し訳ありません。
ご指摘の事項を試してみたのですが、私の能力では如何ともしがたく、今だ解決に至っていません。
最初は補足欄に記述した1番目の設定でpingが通るように試みましたが、ご指摘を考慮にいれて2番目の設定で試しています。
Iptablesを入れない状態で、ファイアーウォールのパソコンからであれば192.168.1.1を含みpingは全てのアドレスに通ります。ウェブサーバからですと、192.168.10.2までは届きます。
問題はウインドウズXPのパソコンからでPingは192.168.10.2までで192.168.10.1には如何しても繋がりません。
補足欄の2番目の設定にて操作としてコレガのルータにあるスタティクルーティングを

ネットワーク・アドレスサブネットマスクゲートウエイインターフェース
192.168.2.0255.255.255.0192.168.10.1WAN
192.168.10.0255.255.255.0192.168.1.1LAN Ethernet
とする。

ファイアーウォールは
Debian:~# route add –net 192.168.1.0 netmask 255.255.255.0 gw 192.168.10.2

上位ルータ（NT T）のルーティングテーブル設定に「宛先ネットワークアドレスルーティング設定（ゲートウェイIPアドレス指定」欄があり、その、宛先ネットワークアドレスを
192.168.1.0　/　マスク長を255.255.255.0　/　ゲートウェイIPアドレスを1092.168.10.2としたのですが、何の変化もありませんでした。
ちなみにNTTルータには
送信元アドレスルーティング設定
ドメイン名ルーティング設定
宛先ネットワークアドレスルーティング設定(接続指定)
の設定欄があります。

＞ルーティング情報を192.168.1.xと通信する(192.168.10.x内の)全PCに登録するか、(192.168.10.xの)Default Gatewayに登録するかどちらかを行って下さい

Debianには
/etd/hosts
にホスト名を付け足すことが出来るようですが、ここに全てのPCを登録すれば解決するのか、分かれば再度ご教授頂ければ幸いです。

お礼日時：2010/04/14 11:39