- ベストアンサー
光回線のルーター(PR-S300SE)にルーター化したCentOS6を接続する方法
- 光回線のルーター(PR-S300SE)にルーター化したCentOS6を接続する際の静的ルーティング設定方法
- 問題が発生している192.168.1.0/24ネットワーク内のクライアントPCがWAN側に出られない原因は何か
- PR-S300SEのLAN側静的ルーティング設定が何か不足している可能性がある
- shibushijuko
- お礼率91% (258/283)
- ネットワーク
- 回答数5
- ありがとう数26
- みんなの回答 (5)
- 専門家の回答
質問者が選んだベストアンサー
>(1)(2)の両方ともOKでした。CentOSのiptablesは無効にしています。 そうであれば、ちゃんとインターネット側に通信が出ていますね。 ルーティングの設定は出来ていることになります。 そのため問題点は、 >クライアントPC(192.168.1.10)のDNSはeth1(192.168.1.1)にしています。 ここでしょう。 この設定だとCentOSがBIND等をサービスしてDNSサーバになっている必要があります。 たぶんDNSサーバにはなっていないでしょう。 だからここのクライアントPCの優先DNSサーバを192.168.0.1にします。 これでいけると思うのですが。。。 >ちなみにifcfg-eth1にDNS及びGatewayは登録していません。 これは問題ありません。 >そもそもルーターの2重化はネットワーク構築上問題があるのでしょうか。 よくあることです。 きちんと設計されていればこれ自体が問題にはなりません。
その他の回答 (4)
- Lchan0211b
- ベストアンサー率61% (573/930)
前回 http://bekkoame.okwave.jp/qa8752388.html で回答したものです。 前回の構成と今回の構成は少し違うようですが、 似たようなことを別の場所でやっていると言うことですか? > 192.168.1.0/24のネットワークに属しているクライアントPCがWAN側に出られないことです。 これは、どのようなことを確認してWAN側に出られないと考えたのですか? サーバー側の問題という可能性はないのですか? No.3さんの回答のお礼で 「ping 8.8.8.8」がOKなら、それはWAN側の外のサーバーと正常に通信しているということに なります。(8.8.8.8は、Googleが提供しているパブリックDNSサーバーです) そもそも、今回の目的は透過プロキシを経由させたいということのようですが、 以下のURLの図にあるようなことをしたいのですよね? http://ossforum.jp/en/node/887 だとすると、クライアントPCが直接外に出ることができないように すべきだと思うのですが、なぜ外に出られるように頑張っているのか よくわかりませんでした。 ついでに > そもそもルーターの2重化はネットワーク構築上問題があるのでしょうか。 シンプルイズベストというだけです。2重化する必要もないのに2重化している のだったら、管理の手間を増やすだけだということです。目的があって2重化し、 それをちゃんとコントロールできているなら全然問題ないと思います。
お礼
ご回答いただき、ありがとうございます。 事務所の設定をいじって失敗すると業務に支障が出そうなので、自宅の環境で検証しております。 おっしゃるとおり、クライアントPCは実はWAN側に出ていたんですね。ただ、DNSの設定が間違っていたので、完全にWAN側に出られなかったんですね。 クライアントPCは業務上,WAN側に出る必要があります。業務に関係ないサイトを閲覧している人がいるため、透過型プロキシの設定をしてログを取る事が目的です。 本来CentOSにPPPoEの設定、ルーター化していればここまで苦労することはなかったと思います。今までADSLモデムとブロードバンドルーターを使っていたので、その構成を変えないで透過プロキシの設定ができないかと考えたわけです。 CentOSが直接WAN側とLAN側の仲介をするとなると、PPPoEの設定、iptablesの設定をする必要があります。 それを避けて楽をしようとしたのが、かえって苦労することになりました。 色々アドバイス、ありがとうございました。
- maesen
- ベストアンサー率81% (646/790)
ちょっと状況を整理したいのですが、 (1)クライアントPC(192.168.1.10)から ping 192.168.0.1 の結果 (2)クライアントPC(192.168.1.10)から ping 8.8.8.8 の結果 をチェックして頂きたいです。 (1)(2)両方ともにNGの場合 CentOS6のiptablesとipv4のフォワーディング設定に問題がある可能性があります。 ルータの静的ルートの設定に問題がある可能性があります。 (1)はOK、(2)はNGの場合 CentOS6のデフォルトゲートウェイを確認して下さい。 iptablesのFORWARDポリシーの項目の設定を見直して下さい。 (1)(2)ともにOKの場合 ルーティングは正常です。 DNSの設定が適切ならば通信に問題はないはずです。 ルーター(PR-S300SE) には静的ルートの設定が出来るようですのでアプローチの方法は問題ないはずです。 あと、一応別のアプローチとしてはCentOS6のiptablesの設定でeth1(LAN側)からeth0(ルータ側)に抜ける際にNAPTするという方法があります。 これならばルーター(PR-S300SE) の静的ルートは不要になります。 ただ、ルーター(PR-S300SE) から出るときもNAPTされるのでNAPTが2重になりあまりお勧めはしません。
お礼
詳しくご回答いただき、ありがとうございます。 (1)(2)の両方ともOKでした。CentOSのiptablesは無効にしています。ルーター(PR-S300SE) と繋がるeth0(192.168.0.10)のDNSは192.168.0.1です。 クライアントPC(192.168.1.10)のDNSはeth1(192.168.1.1)にしています。 ちなみにifcfg-eth1にDNS及びGatewayは登録していません。一応、eth1にGateway(192.168.0.1) DNS(192.168.0.1)を設定しても クライアントPC(192.168.1.10)からWAN側には出られませんでした。 今一歩、と言うところで手詰まり状態です。 もうひとつ考えていることはPR-S300SEをプリッジモードにしてCentOSにPPPOEの仕事をさせる設定です。 その上でCentOSをルーター化すれば透過プロキシは用意に実現できそうです。 そもそもルーターの2重化はネットワーク構築上問題があるのでしょうか。
- pc_net_sp
- ベストアンサー率46% (468/1003)
ローカルネットに串を立てたいそうですが、何処まで匿名化したいのですか?? ただの、ローカルネットキャッシュサーバにしたいだけなら、串を立てる意味はあります。 が、BBSやブログなどに完全匿名化したいなら、串を立てる場所はグローバルネットに立てないと意味ないです。 ローカルネットに串を立てて、相手に分からなくなるデータは、使用OS・ブラウザー情報とそのバージョンくらいです。 利用しているIPアドレスは、PR-S300SEがひろっているIPアドレスになりますので、IPアドレスからたどれば、どのプロバイダーの光回線かは、一目瞭然です。 また、契約プロバイダーによっては、接続元の県・市までは直ぐ分かります。 県や市まで分からなくてもプロバイダーの所在地のまでは、JaVaスクリプトなどで直ぐに分かります。 当方のHP http://www.geocities.jp/pc_net_sp/ この一番下に、接続元を表示する用にHPを書いてあります。 この情報は、プロバイダーの所在地かプロバイダーに接続している基地局の場所を表示します。 ちなみにこの情報元は、海外です。 そこから画像だけ引っ張ってきているだけです。 http://www.danasoft.com/ って事で、話が脱線しましたがIPアドレスも偽装したいなら、県外や国外に串サーバを立てるしかありません。 海外の串経由で、日本のHPを見ようとすると、速度が半分以下になります。 理由は、無駄なトラフィックが半端なく増えるからです。 串サーバーは、検索ソフトが多少出回ってますので、検索すれば見つかると思います。 「Proxy server search」・「Proxy server List」等で検索すれば、見つかると思います。 検索してみたら、国内に10件以上USに150件以上の串サーバがあるそうです。 ※※ 要注意 ※※ 検索結果のリンクサイトは、ウィルスの巣窟と思って下さい。 安易にアクセスすると、PCのデータがぶっ飛びます。
お礼
ご回答いただき、ありがとうございます。 串サーバーの目的は、ローカルクライアントPCの閲覧ログを取ることだけです。クライアントPCと同じネットワーク内に串サーバーを立てると、クライアントPCは串サーバー経由を回避できてしまいます。 串サーバー経由回避できないように、透過プロキシを実現しようとしております。ADSLモデムならCentOSにPPPOEの仕事、ルーター化によって容易に透過プロキシの実現ができそうです。 しかし光回線のPR-S300SEにはルーティング機能が備わっているので、CentOSもルーター化すると2重ルーターになってしまいます。 問題はCentOS側の2枚目のNICに割り当てたネットワークセグメントのパソコンがWAN側に出れないことです。 PR-S300SEの経路情報にCentOS側の別セグメントのネットワークを追加したところ、LAN側では別セグメント同士でもpingが通ります。 これは家庭向けブロードバンドルーターでは実現できないのかなと思っています。 もうひとつ考えているのは、PR-S300SEルーターのパケットフィルターリング機能です。CentOSはルーター化せず、プロキシサーバーだけにして、LAN側からのパケットを全て宛先としてプロキシサーバー経由にします。それ以外のパケットは破棄する設定にすれば、クライアントPCはプロキシの設定以外ではWAN側に出れなくなるのではと思っています。 もっと簡単な方法は、クライアントパソコンを標準ユーザーアカウントにすれば色々制限を加えることができるのですが、業務の関係で管理者権限を持つ必要があります。 パケットフィルタリングのもくろみは成功するかどうか、これから試してみます。
- PXU10652
- ベストアンサー率38% (777/1993)
「ルーター(PR-S300SE) 192.168.0.1 ルーター化したCentOS6 (eth0 192.168.0.2 , eth1 192.168.1.1) です。 問題は192.168.1.0/24のネットワークに属しているクライアントPCがWAN側に出られないことです。」 何のために、ルーター化したのか知りませんが、クライアントPCのデフォルトゲートウェイが192.168.1.1では、CentOSの192.168.1.2にはパケットが流れないので、何もルーティングされません。クライアントPCのデフォルトゲートウェイが192.168.1.2にしなければ、CentOSはPCのパケットを中継してくれませんよ。
お礼
ご回答いただき、ありがとうございます。 ルーター化の目的は192.168.1.0/24に属するクライアントPCが同サーバーの透過型プロキシ経由でWAN側に出ることが目的です。192.168.0.0/24の環境でプロキシ経由の設定をクライアントPCにしているのですが、プロキシ経由しなくてもWAN側に出られます。 強制的にプロキシ経由で接続させるため、透過型プロキシを検討しております。透過型プロキシ実現のために別セグメントのネットワーク192.168.1.0/24をつくり、そのセグメントのディフォルトゲートウェイ192.168.1.1を通してクライアントPCがWAN側に出るようにする必要があると思っています。 192.168.1.0/24のに属するクライアントPCがルーター(PR-S300SE) 192.168.0.1 に到達するために、CentOSに内蔵された2枚目のNIC(192.168.1.1と設定)経由しないといけないのではと思いました。そこでクライアントPCのディフォルトゲートウェイが192.168.1.1になっています。 「クライアントPCのデフォルトゲートウェイが192.168.1.2」 にするとは、どういうことでしょうか。単純に、eth1(192.168.1.1)を192.168.1.2に変更するということでしょうか。 よろしくお願いします。
お礼
ご回答いただき、ありがとうございます。 クライアントPCのDNSを192.168.0.1に設定、ゲートウェイは192.168.1.1のままでようやくWAN側に出られました。 ありがとうございました。m(_ _)m BINDの設定はおっしゃるとおりしておりません。これで透過プロキシ実現が可能になりそうです。 助かりました。ほんとうに、ありがとうございました。