光回線 USEN GATE02 の YAMAHA RT57i での運用

皆様、お知恵を拝借いただければ幸いです。

（株）USENのGATE02という企業向け光回線をYAMAHA RT57iで運用しようと作業をしていますが、外部から全くアクセスが出来ずに困っています。独自ドメインによる運用のため外部からのアクセスが必要です。

概略図

（USENネットワーク網）-- Internet
　　　|
　　　|
[ゲートウェイ]
　　　|
　　LAN2
　　　|
　　[RT57i]
　　　|
　　LAN1
　　　|
　　|------|
　　|　　　|
　POP　　www etc.


見ての通り、USEN のネットワーク網とは LAN間接続となり、ゲートウェイのアドレスは同一ネットワークのアドレスなので、割り当てられたグローバルIPアドレスをネットマスクで２つの異なるネットワークに分離し、外向き（LAN2）側をあらためてゲートウェイアドレスへルーティングをかけることで、内部から外部ネットワークへのアクセスが可能になりました。

しかし、この場合パケットを全てパスにして内向き（LAN1）のネットワークに外部からpingを打ってみたのですが、外からのicmpパケットは内向きのLAN1側インターフェイスまで到達し、replyを返しているものの、ping を打ったコンピュータには反応が返らないのです。外部から外向き、内向きそれぞれのアドレスにTelnet接続を試みても、出来ません。　おかしな事にSys-logを見てもTelnet接続をした記録がないのです。　つまりこれは、LAN2のインターフェイスに到達した時点でパケットの行き場がなくなったか、破棄されてしまったように思えてなりません。
ちなみに、パケット長の制約かと思い、MTUのサイズを何種類かに小さくしてみたのですが、全く改善しませんでした。

そもそも PP接続が主用途かと思われるRT57iでLAN間接続を行なうこと自体に無理があるように感じ始めているのですが、どなたか原因または解決方法をご存知の方がいらっしゃいましたら、ご教示いただけないでしょうか。

No.3 ベストアンサー 回答者： Toshi0230 回答日時： 2005/04/05 01:35

私もGate02で、同じような構成で一回はまりかけました。

RT57iでネットワークを分割しても、USENのゲートウェイではそれを認識していないために発生する現象です。
# MTUの問題ではなく、純粋にルーティングの問題です。
# USENのゲートウェイが持っているであろうrouting tableと、RT57iのrouting tableを比較すれば原因がわかると思います。

回避策としては、以下の２つしかないでしょう。

・Static NATで、内部LANのノードのIPをグローバルIPと1対1で割り当てる。（この場合、内部LANのノードのIPは、プライベートIPでかまいません）

・Proxy ARP機能を使って、ネットワーク分割した内部ノード当てのパケットを、RT57iが拾って中継してやるようにする。

前者は私がとった手法です。
後者は、理屈上うまくいくとは思いますが、試してません。
なお、RT57iでStatic NATやProxy ARPが実現可能かどうかは確認していないのであしからず（＾＾；

でわ。

この回答への補足

ご回答ありがとうございます。

私も MTU ではなく、ルーティングの問題だと思います。

実はいま、既存の回線から Broad-GATE02 へ切り替える作業中でして、静的 NAT によるプライベートアドレスからの変換を私も考えたのですが、既に各ノードはグローバルアドレスで運用していたので、極力その形態を維持したかったという実情もあります。

いま、LAN1 と LAN2 とにグローバルアドレスを分割してしまったので、現状で NAT を使うとグローバルアドレスが足りなくなってしまうので、躊躇している次第です。
しかし、問題の切り分けと言う意味からすると、一度プライベートアドレスからの NAT を試してみる価値はありますね！　ありがとうございます。

補足日時：2005/04/05 14:45

この回答へのお礼

アドバイスありがとうございました。

あれから試行錯誤しましたが、結局のところ Proxy ARP を使う事で、とりあえず解決しました。

お礼日時：2005/04/08 11:26

No.4 回答者： kuma-ku 回答日時： 2005/04/05 13:52

＞・NAT 設定

＞全てグローバルアドレスによる設定なので、現在は使っていません。

グローバルアドレスでもNAT している場合がありますので、
NAT の設定が無効になっているか確認してください。

また、以下のルーティング設定が入っているかの確認をお願いします。

付与されたグローバルが[100.100.100.0-15/28]の場合、
[100.100.100.0-7/29][100.100.100.8-15/29]に分割されます。

この中で使用可能なアドレスは、減少します。
×100.100.100.0/29：ネットワークアドレスのため
○100.100.100.1/29
○100.100.100.2/29
○100.100.100.3/29
○100.100.100.4/29
○100.100.100.5/29
○100.100.100.6/29
×100.100.100.7/29：NWブロードキャストアドレスのため

×100.100.100.8/29：ネットワークアドレスのため
○100.100.100.9/29
○100.100.100.10/29
○100.100.100.11/29
○100.100.100.12/29
○100.100.100.13/29
○100.100.100.14/29
×100.100.100.15/29：NWブロードキャストアドレスのため

よって、構成図は以下のようになります。


　　　｜WAN：USENから割り当て
[ゲートウェイ]
　　　｜LAN：100.100.100.1/29
　　　｜
　　　｜LAN2[100.100.100.0/29]
　　　｜
　　　｜WAN：100.100.100.2/29
　　　[RT57i]
　　　｜LAN：100.100.100.9/29
　　　｜
　　　｜LAN1[100.100.100.8/29]
　　　｜
　　　｜100.100.100.10-14/29
　　　[Server]

□ルーティングの設定
[ゲートウェイ]
　　0.0.0.0/0 Next-hop:Usen側
　　100.100.100.8/29 Next-hop：100.100.100.2

[RT57i]
　　0.0.0.0/0 Next-hop:100.100.100.1


この設定が入っていれば、通信は可能なはずです。

この回答への補足

ご回答ありがとうございます。

> グローバルアドレスでもNAT している場合がありますので、
> NAT の設定が無効になっているか確認してください。

了解致しました。　もう一度確認してみます。

一つ書き忘れた事がありました。
ゲートウェイとルーターの LAN2 側インターフェイスの間に、USEN のメディアコンバータが介在しており、これが光ケーブルの通信を Ethernet へ変換しています。

ルーティングの設定及び、ネットワーク構成は、ご説明いただいた通りで間違いありません。
これに、LAN2 側の 100.100.100.1/29 がゲートウェイアドレスとして USEN 側から指定されています。ゲートウェイはメディアコンバータの向こう側つまり、USEN のネットワーク網への入り口であるため、当方からの設定や操作は不可となっています。でも、外から LAN2 側インターフェイスへ Ping を打つと reply するので、ゲートウェイの問題ではないと考えています。

いずれにしても、皆様のご指摘から問題の原因が NAT の設定が絡んでいる疑いが濃くなってきたように思います。
今一度落ち着いて、皆様からのアドバイスやヒントを元に、再度トライしてみます。

補足日時：2005/04/05 15:01

No.2 回答者： kuma-ku 回答日時： 2005/04/05 00:23

こんばんは

恐らく設定の漏れがあると思われます。
ゲートウェイとRT57i での以下の情報をもう少しください。

・アドレス設定
・ルーティング設定
・NAT 設定

もし宜しければ、今回契約されたUSEN でのサービス名を教えてください。

参考までに、今回の構成は以下のページの中に、
更にローカルルータがあるような構成でしょうか？

参考URL：http://www.allied-telesis.co.jp/support/list/rou …

この回答への補足

ご回答ありがとうございます。
私も、何らかの漏れがあるとは思うんですが．．．。(^^;

契約したサービスは、「GATE02 光ビジネスアクセスIP16」 というものです。
PPPoE ではありません。また、WAN側は unnumbered ではなくネットワーク接続型となります。
各設定は、No.1 の方のご回答に対する補足にも記述しましたが、

・アドレス指定
LAN2 と LAN1 はそれぞれ、グローバルアドレスです。USEN より 16個の割り当てをもらい、それを利用しています。　ゲートウェイアドレスは、そのうち特定の１個が指定されています。各ノードにはグローバルアドレスを付与して運用します。

・ゲートウェイアドレスの存在ゆえに、LAN間接続のようになってしまっています。
このため、各ノードはルーターの LAN1側インターフェイスのアドレスへ、LAN2側インターフェイスは指定されたゲートウェイへルーティングしています。

・NAT 設定
全てグローバルアドレスによる設定なので、現在は使っていません。

この状態で、LAN1側のノードからは、外部へのアクセスが問題なく出来ています。
なので、その逆も可能なはずなんですが．．．。
恐れ入りますが、よろしくお願い申し上げます。

補足日時：2005/04/05 11:57

No.1 回答者： mii-japan 回答日時： 2005/04/04 22:17

LAN2とLAN1はプライベートアドレスの異なるサブネットになっていますか

そして
ゲートウェイはIPマスカレードを動作させていますか
（LAN2側はプライベートアドレスになっていますか）

＞ゲートウェイのアドレスは同一ネットワークのアドレスなので、割り当てられたグローバルIPアドレスをネットマスクで２つの異なるネットワークに分離し

ここに問題がありそうです

この構成ならば、ゲートウェイを撤去し、RT57iで（IPマスカレードで）接続するのが本来だと思います

ルーティングとアドレス変換の両者を勘案して、接続・設定を再検討してください

この回答への補足

ご回答ありがとうございます。

質問欄の文字数制限のため、十分な説明が出来なくてすみません。
LAN2 と LAN1 はそれぞれ、グローバルアドレスです。USEN より 16個の割り当てをもらい、それを利用しています。　ゲートウェイアドレスは、そのうち特定の１個を指定されています。

本来は２つに分けずに運用するためのものですが、USEN よりゲートウェイアドレスが決め打ちされているので、サブネットで分割しないと LAN2 と LAN1 が同一ネットワークになってしまいます。そこで試行錯誤した結果、ネットワークを分けてみた次第です。
従って、仮想的に LAN1 は内向き、LAN2 は外向きと記述しましたが、実際は両方ともグローバルアドレスによる分割です。

IP マスカレードは今のところ行なっていません。それは、LAN1 と LAN2 のインターフェイスに対し IN 方向のパケットを pass させることで、LAN2 に接続されたグローバルアドレスを持つノードへ外部からアクセスできるのでは、と考えたからです。

ただ、ご指摘通り、現状でもう少し頑張ってみた後、IP マスカレードも設定してみようと考えているところです。

ありがとうございます。

補足日時：2005/04/05 10:50