« DiceからIOBBのDDNSの更新を行ってみる | トップページ | UltraVNCでリモートPC側の特定ソフトウェアを選択すると遠隔操作出来なくなる件 »

2020年2月17日 (月)

自宅ネットワークのマルチホーミング用ルータを更新する

マルチホーミングで自宅ネットワークを構築しているが、ブラウザゲームでそこそこ支障が出る場合がある為にルータをRTX1100からRTX810へ更新した。

まあブラウザゲームとは艦これのことだが、これが以前のイベント時に海外からの大規模DoS攻撃を受けた際に行われた対策で複数IPアドレスを用いたコネクション要求に対してコネクションを切断する仕様となってしまい、マルチホーミング構成では艦これ起動時や操作中に接続に失敗したり異常に時間が掛かる様になってしまった。
それでも通常時はまだましなのだがイベントが始まるとファイアウォール設定が厳しくなるみたいで艦これサーバに接続が出来なくなる割合がかなり高くなる為に暫定的にマルチホーミングを行っているRTX1100を迂回してPCが直接WAN側ルータと通信するルートを作成したりRTX1100に艦これサーバのIPを直接指定して片側WANルータにルーティングを固定する設定を入れたりして対応していた。

ただ迂回ルートはマルチホーミングの意味を無くすので常用したくないのと、艦これサーバのIPアドレス指定による設定は接続先サーバIPが動的に変わっている様で接続が安定しない場合がある為にIPアドレス指定ではなくURL指定でルーティングを行う様に変更することを考えていた。
それで色々調べてみると現在使用しているRTX1100ではアクセス先URLによるルーティングをサポートしていない事が判明した。

YAMAHAルータでURL指定でルーティングを行うにはFQDNフィルタ機能を使用するのだが、RTX1100ではこのフィルタはファイアウォールには使用はできるがルーティングには使用できない。
FQDNフィルタ機能によるルーティングをサポートしているのはYAMAHAのHP上の情報では
vRX Rev.19.00.01以降
RTX830 Rev.15.02.03以降
NVR510 Rev.15.01.13以降
NVR700W Rev.15.00.10以降
RTX1210 Rev.14.01.26以降
RTX5000 Rev.14.00.26以降
RTX3500 Rev.14.00.26以降
FWX120 Rev.11.03.25以降
RTX810 Rev.11.01.28以降
となっている。
一応更新用ルータ候補としてRTX1200を考えていたが上記情報より使用できないことが分かった。

ところで機種選択で私は一つ誤解していた事があったのだが、マルチホーミングを行うにはルータにWANポートが二つ以上必要だと思っていた。
その為候補としてRTX1200を考えていたのだが、実はマルチホーミングを行うにあたってWANポートは一つでも問題なかった。
ゲートウェイルータが複数あればWANポートは1つでもマルチホーミングは実現可能である。
ただ、現状それぞれのゲートウェイルータのサブネットが異なる為にルータのWANポートを複数使用して接続していた。
しかし1つのWANポートにプライマリとセカンダリの2種類の異なるサブネットのIPを設定しWANポートの先にHUBを接続してゲートウェイルータを2台接続するか同一サブネット設定にした2台のゲートウェイルータを接続してやればマルチホーミングは機能する。
202002161002
そのことに機種選定中に気が付いたので、価格的にはRTX1200と同程度で入手可能でFQDNフィルタによるルーティングをサポートしているRTX810を購入することにした。
RTX1100はWAN2ポート、LAN1ポート(4ポートスイッチングHUB)に対してRTX810はWAN1ポートLAN1ポート(4ポートスイッチングHUB)の構成である。

但しRTX810を導入するにあたり接続構成は上記で説明した方法ではなく、RTX810のWANポートをLAN側として使用し、LAN1の4ポートスイッチHUBをVLANで分割しそれぞれを独立したWANポートとして使用することとした。
この接続方法で動作可能なことはあらかじめRTX1100で検証した。
202002161001
RTX810購入後に入れ替え作業を実施、まずFQDNフィルタでルーティングする前提としてDNSリカーシブル設定を有効にしPCの参照先DNSをRTX810に変更する必要があった。
これはRTX810がDNSとして動作し、PCがアクセスしようとしているURLとそのIPの対応テーブルを作成する必要がある為だ。
これよりフィルタに該当するURLへの通信が発生した際に対応するIPを知ることができる。

dns service recursive

次にRTX810が参照する上位DNSサーバを指定する。
これはRTX810は問い合わせに対する回答に必要な情報を持っていないのでDNSのプロキシとして動作し、別のDNSサーバに問い合わせする必要があるからだ。

dns server 8.8.8.8 8.8.4.4

で肝心のFQDNフィルタでルーティングする方法を調べたが、マルチホーミング環境での良い設定は見つからなかった。
最初に見た情報ではデフォルトゲートウェイの設定に直接フィルタを設定する方法であった。

・フィルタ100に合致するパケットを192.168.100.254へ転送する。(それ以外は192.168.200.254へ転送される)
ip route default gateway 192.168.100.254 filter 100 hide gateway 192.168.200.254 hide

以下関連する設定:
・LAN1の4ポートスイッチングハブを4つのVLANに分割
 VLAN1とVLAN2にそれぞれIPアドレスを設定

vlan port mapping lan1.1 vlan1
vlan port mapping lan1.2 vlan2
vlan port mapping lan1.3 vlan3
vlan port mapping lan1.4 vlan4
lan type lan1 port-based-option=divide-network
ip vlan1 address 192.168.100.253/24
ip vlan2 address 192.168.200.253/24

・dmm.com関連サーバ宛て通信を指定するフィルタ100を設定(192.168.0.100はPCのIPアドレス)
ip filter 100 pass 192.168.0.100 *.dmm.com * *

しかしこの方法だとフィルタに設定したパケット以外は該当ゲートウェイルータにパケットが転送されない為マルチホーミングが事実上機能しなくなったので没に。
そこでLAN側に使用しているWANポート(設定ではLAN2)にフォワードフィルタを適用する設定を行った。

・LAN2にフォワードフィルタ10を設定
ip lan2 address 192.168.0.254/24
ip lan2 forward filter 10

・フィルタ100に合致するパケットを192.168.100.254(ルータ①)に転送するフォワードフィルタ10を設定
ip forward filter 10 1 gateway 192.168.100.254 filter 100

この設定によりPCからインターネットへ向けて発信されたパケットをLAN2で受信するとフィルタ処理が実行され、フィルタに合致したパケットはルータ①に転送され、それ以外のパケットはマルチホーミングの処理がなされる。

設定後MRTGでRTX810からVLAN単位でのトラフィックが取得できたので、マルチホーミングが正常に働いているかトラフィックを収集した。
202002161003
グラフからは両方のWANポートにトラフィックが発生しており、マルチホーミングが機能していることを確認できた。
それと今回の作業の発端となった艦これについても現状接続失敗は発生しておらず正常に稼働しているように見える。
一応PCからのパケットはRTX810でNATマスカレード処理する設定となっている為、NATディスクリプタ情報からセッション状態が確認出来るので、セッションが2つのルータに分散されていることとDMMのサーバへの接続トラフィックがルータ①へ転送されていることは確認できた。
取り合えず長期間安定稼働するか様子を見て問題が再発した場合はその時に設定を見直す予定。

今回ルータに設定した内容を以下に記載
RTX810# show config
# RTX810 Rev.11.01.33 (Fri Apr 20 08:44:58 2018)
# MAC Address : 00:00:00:00:00:00, 00:00:00:00:00:00
# Memory 128Mbytes, 2LAN
# main: RTX810 ver=00 serial=XXXXXXXXX MAC-Address=00:00:00:00:00:00 MAC-Address=00:00:00:00:00:00
# Reporting Date: Feb 16 22:03:24 2020
login password *
administrator password *
console prompt RTX810
ip route default gateway 192.168.100.254 hide gateway 192.168.200.254 hide
vlan port mapping lan1.1 vlan1
vlan port mapping lan1.2 vlan2
vlan port mapping lan1.3 vlan3
vlan port mapping lan1.4 vlan4
lan type lan1 port-based-option=divide-network
ip vlan1 address 192.168.100.253/24
ip vlan1 nat descriptor 1
ip vlan2 address 192.168.200.253/24
ip vlan2 nat descriptor 2
ip lan2 address 192.168.0.254/24
ip lan2 forward filter 10
ip filter 100 pass 192.168.0.100 *.dmm.com * *
ip forward filter 10 1 gateway 192.168.100.254 filter 100
nat descriptor type 1 masquerade
nat descriptor address outer 1 192.168.100.200
nat descriptor type 2 masquerade
nat descriptor address outer 2 192.168.200.200
telnetd host lan
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.0.10-192.168.0.30/24
dhcp scope option 1 dns=8.8.8.8,8.8.4.4
dns service recursive
dns server 8.8.8.8 8.8.4.4
dns cache use on
dns private address spoof on
dns notice order dhcp server
snmp host any
snmp community read-only public
snmp trap host 192.168.0.100
snmp trap community public
alarm usbhost off
alarm sd off
alarm entire off
RTX810#

|

« DiceからIOBBのDDNSの更新を行ってみる | トップページ | UltraVNCでリモートPC側の特定ソフトウェアを選択すると遠隔操作出来なくなる件 »

パソコン・インターネット」カテゴリの記事

日記・コラム・つぶやき」カテゴリの記事

自宅サーバ関連」カテゴリの記事

パソコン周辺機器」カテゴリの記事

ハードウェア」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)




« DiceからIOBBのDDNSの更新を行ってみる | トップページ | UltraVNCでリモートPC側の特定ソフトウェアを選択すると遠隔操作出来なくなる件 »