２段階のIPマスカレードは可能？

　企業内の１部署のネットワーク管理者をやっています。
　部署内のPCは20台、会社全体で120台ほどです。

　これまで、各部署にグローバルアドレスが１つ割り当てられており、それをブロードバンドルータに割り当ててIPマスカレードで部署内のクライアントPCにDHCPで割り振っていました。（割り当てアドレスは192.168.0.[1-25]）

　ところが、会社全体のグローバルアドレス数を見直し、会社の入口のゲートウェイサーバでIPマスカレードをおこなう形にしたため、部署の入口ルータをはずし、クライアントPCに直接プライベートアドレスがDHCPで割り当てられるようになりました。（192.168.100.[1-150]）

　ところが、他部署とネットワークを分けたい事情が発生し、部署の入口にブロードバンドルータを戻し、WAN側を192.168.100.151として、LAN側をこれまでの192.168.0.[1-25]としたたところ、インターネットへの通信できません。
　部署の入口のルータ、会社の入口のサーバへはPINGが届き、Webブラウザでのルータ設定画面にも入ることが出来ます。ですが、社外ホームページの閲覧ができません。

　2段階のIPマスカレードがいけないのでしょうか。また何か他の方法で解決できるのしょうか。

　よろしくお願いします。

No.1 ベストアンサー 回答者： nota55 回答日時： 2004/06/25 18:47

IPマスカレード云々というよりゲートウェイの設定ミス

のような気がします。

インターネット
（プロバイダ）
｜
ルータA(LAN：192.168.100.?/WAN:グローバル)
｜
ルータB(LAN：192.168.0.?/WAN:192.168.100.151)
｜
PC（192.168.0.[1-25]）

PCのゲートウェイ→ルータBのLAN側IP
ルータBのゲートウェイ→ルータAのLAN側IP
ルータAのゲートウェイ→プロバイダ指定のゲートウェイ
となっていれば問題なく通信できると思うのですが・・・

可能であれば切り分けの為に，ルータBの代わりにPCを設置
（ゲートウェイはルータAのLAN側IP）して，通信可能か
どうかを確認されてはいかがでしょうか。

この回答へのお礼

ゲートウェイの設定ミスのような気がしてきました。

が、環境が変わってしまったので、確認できません。

ありがとうございます。

お礼日時：2004/07/06 19:07

No.4 回答者： ninja_ex250 回答日時： 2004/06/30 06:27

2段階マスカレードをしてもHTTPでは問題にならないでしょう。

192.168.0.0/24のネットワークからtelnet 210.150.25.37するとどうなりますか？(これはwww.goo.ne.jpのIPです）192.168.100.0/24のネットワークでtcpdumpかetherealを走らせて
host 192.168.100.151 and host 入り口ゲートウェイLAN側IPなんてやってみるとどこで通信が転んでいるのかがわかりますよ。あ、もちろんハブでやってくださいね。スイッチでは見られませんから。

ところで、グローバルIPが飛び交うLANというのは個人的には嫌だなぁと思います。事情が許せば入り口ののゲートウェイでマスカレードした直後にファイヤーウォールを作って、プロキシーを走らせ、グローバルIPが飛び交うことのないようにしたいです。またファイヤーウォールの次に本物のルータを入れて、そこでネットワークのセグメントを分けて、ACLを設定するといいでしょう。

No.3 回答者： Lucky357 回答日時： 2004/06/26 08:58

部署の入口のブロードバンドルータのWAN側設定をDHCPクライアント（CATV・YAHOOBBなど）にして、部署内（LAN側）を192.168.0.[1-25]で、クライアント側へDHCPによる自動割り当てにしてみてください。

また、ゲートウエイやDNSはWAN側設定もLAN側設定も、すべてルーターに任せ、ブロードバンドルータのWAN側設定やPC側には設定しないようにしてみてください。
これで繋がると思いますが？

※過去に自分でつないで成功しています。

この回答へのお礼

ありがとうございます。

固定IP、DHCPクライアント両方やりました。

おそらく、他の方から指摘がある、ゲートウェイの設定の問題だったと思うのですが、とりあえずまた環境が変わってしまったので。

とりいそぎお礼です。

お礼日時：2004/07/06 19:03

No.2 回答者： nota55 回答日時： 2004/06/25 19:00

>部署の入口のルータ、会社の入口のサーバへはPINGが届き

いけね。ここを見落としてました。

てことはゲートウェイのLAN側までは通信できるのですね。

さらに切り分けとして，
・ゲートウェイサーバから社内PCへのPingは返るか？
・ゲートウェイサーバはWebを閲覧できるか？
を確認してみて下さい。


※蛇足の補足ですが，#1のルータAがゲートウェイサーバ
　にあたる訳ですね。

この回答へのお礼

ありがとうございます。

また環境が変わってしまったので、すぐには確認や問題の切り分け出来ないのですが、早速の返答ありがとうございました。

とりいそぎお礼です。

お礼日時：2004/07/06 19:01