ルーターを用いて家庭内LANを整備しよう!

作成2004年05月16日
更新2005年12月29日


 山田村でもようやくブロードバンド回線が整備されました。(祝!)
今までは、ISDNダイアルアップルーターで64kbpsを複数台で共有していましたが、今後は5Mbpsを共有です。
 
基本料金は3,000円で1IPアドレスです。
ルーターを使用しない場合は、基本料金3,000円+追加パソコン1,600円×台数となり、非常に不経済です。
複数台のパソコンを使用する方はルーターを使用すると、回線を共有することが出来ます。
1台だけの場合でもセキュリティ確保のために導入する事があります。
我が家では、ISDN時代から使用しているYAMAHA RTA55iをそのまま使用します。
 
==> 2005/12/12にルータを「RTA55i」から「RT57i」へ更新しました。
    更新した理由は、55iが壊れたわけでもなく、ただ何となくです。
    また、更新のついでに旧山田村から支給された「Apple PowerMacintosh」を撤去しました。
    55iはルータ機能は使わず、TAとハブとして運用しています。
 
ネットワーク図
我が家のネットワーク配線図
 
ルーター外観(クリックで拡大)
 
使用機器
メディアコンバータ
メディアコンバータ  メディアコンバータとは、光ファーバー(写真では左の黄色いケーブル)の光信号を電気信号に変換する装置です。ADSLの場合は代わりにADSLモデムが取り付けられます。山田村でのブロードバンド環境がこのメディアコンバータ設置により到来です(祝)
ルーター YAMAHA RT57i
RT57i(クリックで拡大) ルーターを利用することによりインターネットからの情報を各パソコンに分配したり、各パソコンからの要求をインターネットに送ったりし、1台契約で複数台を接続することが可能です。ルーターを用いることでインターネット側と家庭内のネットワークを分離することができ、家庭内のファイル共有や情報が外部に漏れなくなります。
また、ファイヤーウォール機能により、不正アクセスを防止することも可能です。最近流行のウイルスにも効果的だったりします。
変な設定で使用すると全く無意味な装置になってしまいます(笑)
 
下のRTA55iの後続機種でスループットの向上など基本性能が向上しています。
ルーター YAMAHA RTA55i
RTA55i 上記のRT57iを導入したため、こちらのRT55iはTAとして使用することにしました。
アナログポートには、LPガスの検針器と地上デジタルチューナを接続しています。LAN側は単なるハブとして動いています。
ハブ
ハブ ハブにはリピーターハブとスイッチングハブがあり、現在は殆どがスイッチングハブです。スイッチングハブは、装置内で接続されている機器を把握し必要な信号が必要な装置に行くようにポート(接続口)に信号を送ります。
ルータの設定
 
基本的な設定は以下の通りです。また、画面は異なりますが、RT57iでも同じ設定が可能です。
 
WANポートのIPアドレス:自動で設定する
DNSサーバアドレス:接続時に自動取得する
 
これですぐに接続可能です。
しかし、これだけでは、セキュリティ上よくありません。続いてファイヤーウォールの設定を行います。
 
基本設定
 
 
ファイヤーウォール機能は「セキュリティレベル5:中強」を設定します。
このままでもセキュリティはある程度確保できます。
Windowsの脆弱性を狙ってポートにアクセスするウイルスや不正アクセスは入ってこなくなります。
 
標準状態ではパケットを破棄したときにログに記録されるようになっていますが、ログに膨大に記録されるので、
今は「記録しない」を用いています。
画像の80,81番はサーバを公開するための設定です。
98番は明記していないフィルタ以外はログに記録せずに破棄するようにするための設定です。
 
ファイヤーウォール設定  
syslogの設定  
syslog機能を有効にするために、syslogホストのアドレスを入力します。
また、ホストに送る情報のレベルを選択します。DEBUGを送ると膨大になるので、送らない方がよいでしょう。
当然ですが、ホスト側も受け入れる体制が必要です。サーバの設定のページに書いてあります。
 
pingを無視しよう
WAN側からpingを受けることがあります。
pingとは、指定した機器の応答を確認するコマンドで、 
>ping -I 1 XXX.XXX.XXX.XXX
PING XXX.XXX.XXX.XXX: 56 data bytes
64 bytes from XXX.XXX.XXX.XXX: icmp_seq=0. time=0. ms
64 bytes from XXX.XXX.XXX.XXX: icmp_seq=1. time=0. ms
.....
64 bytes from XXX.XXX.XXX.XXX: icmp_seq=22. time=0. ms
64 bytes from XXX.XXX.XXX.XXX: icmp_seq=23. time=0. ms
----XXX.XXX.XXX.XXX PING Statistics----
24 packets transmitted, 19 packets received, 20% packet loss
round-trip (ms)  min/avg/max = 0/0/1
こんな感じで、指定した機器との通信状態を把握します。
が!通常は使用しません。悪意を持って(ウイルス等で)使用されることがあるので、
pingには応答しないように設定しましょう。
 
  ip stealth lan2
 
「コマンド設定画面」かtelnetで入力します。
 
netvolante dns対策
「ネットボランチDNS」とは、YAMAHAのルーターに付属しているDNSサービスで、ルーターの設定で手軽にDNSを取得できるサービスです。
このホームページのhttp://raijo.aa0.netvolante.jp/もこのサービスを利用しています。
しかし、このサービスを受けてホームページを開設すると、内部LANからの自分のホームページが閲覧出来なくなってしまいます。
正確には、dnsの正引き(URL->IPadress)の内容が矛盾するために起きるのです。
dnsイメージ図
このようなアドレス構成
ルーター外部アドレス:987.654.321.123
ルーター内部アドレス:012.345.678.001
WWWサーバ:012.345.678.002
パソコン1:012.345.678.003
の場合、
ネットボランチDNSには、ルーター外部アドレスの[987.654.321.123]が登録されます。
この状態で、インターネット(外部)側よりアクセスがあると、dnsの正引きでアドレス[987.654.321.123]が引け、
ルーターは外部からのアクセスをWWWサーバに転送(静的IPマスカレード)するので、WWWサーバのページを閲覧することが出来ます。
内部のパソコン[012.345.678.003]からの場合、dnsの正引きでアドレス[987.654.321.123]が引けますが、
ルータは内部からのアクセスと言うことで、「簡単設定ページ」(ルーターの設定ページ)が表示され、本来表示するべきWWWサーバ[012.345.678.002]のページを表示する事が出来ません。
静的IPマスカレード機能が上手く動作しないのです。(内部からのアクセスなので当然ですが、、、)
 
この現象を回避するために、ルーターのDNS機能を活用します。
要はdnsの正引きでWWWサーバのアドレス[012.345.678.002]が引けるようにします。
 
  ip host [netvolante-dns host name] 012.345.678.002
 
[netvolante-dns host name]には自分が登録したネットボランチDNSアドレスを入力します。
このコマンドをtelnetで入力することで、内部LANからのDNSの正引きで内部アドレスが[012.345.678.002]が引けるようになります。
このコマンドを入力してもインターネット(外部)側には影響はないので、外部からは今まで通りにアクセスすることが可能です。
 
 
とりあえず、これで快適な?ネット環境ができあがります。
telnetで設定
 
 通常は「簡単設定」というブラウザ形式で行いますが、上記コマンド等はコマンドラインからの設定になります。
Windowsに見慣れていると大変かもしれませんが、使うと結構便利です。使ってみましょう!
 
DOS窓やターミナルソフトを用いてtelnet接続します。
telnet setup.netvolante.jp
パスワードを入力し、ログインします。
 
SunOS等のEUCターミナルの場合は、
console character euc
と入力し、文字コードを[EUC]に設定します。
入力前入力後
> console character ?
    `^[)I.F console character R[h
               R[h = 'ascii', 'sjis' or 'euc'
@    @F R\[|[goR[hI
ftHglF sjis

> console character ?
    入力形式: console character 文字コード
               文字コード = 'ascii', 'sjis' or 'euc'
      説明: コンソールポートの出力文字コードを選択します
デフォルト値: sjis
こんな感じです。使用しているターミナルの文字コードを確認しましょう。
 
「コマンドリファレンス」を見ながら作業して下さい。

ホームページトップへ