No.21604 投稿時間:2007年05月19日(Sat) 03:44 投稿者名:初構築 URL:
はじめまして。
この度、グローバルIP1プランからIP8プランへの変更に伴い、
各種作業を任されてしまった者です。困ったことに、
ネットワーク管理者としての知識・経験はほぼありません。
++++++++
■環境
・クライアント WindowsXP 9台
・サーバー FedoraCore6 5台
※Bフレッツファミリータイプ&ODNのIP8プラン
※ルーターはCTUのみ
※足りない情報が御座いましたら御指摘下さい。
+++++++++
これまでは各サーバーをリバースプロキシで運用していたのですが、
今後は、それぞれのサーバーにグローバルIPを与えたいという目的で、
先日プラン変更を致しました。現在はIP1とIP8両方契約している状態です。
ところが、設定方法をNTTのカスタマーサポートセンターへ問い合わせたところ、
「CTUのunnumbered機能設定を使用して接続するのは可能ですが、
それらを各サーバーへ振り分ける方法はサポート外です。
また、複数固定IPプランではCTUのDHCP機能は使用できません。
つまり別途、プロバイダと契約が必要です。」
と、残念な回答が返ってきました。
希望としては、外部からは各サーバーへグローバルIPでアクセスでき、
内部からは今までどおりLAN内のホストとして簡単に利用できる、
という環境を構築したかったのですが、それを実現するにあたり、
どの様な構成・設定にすればよいのか、良い方法が調べきれませんでした。
そこで皆様に伺いたいのは、そもそも上記を実現するためには、
+++++++++
【1】既存のIP1プランとIP8プランとを併用していかなければならないのか?
【2】また、ルーターを用意せずに現在の機器だけ(サーバー構築など含む)で実現可能なのか?
【3】お勧めの構成例とはどの様なものか?
+++++++++
といった疑問へアドバイスを頂けないでしょうか?
何卒、宜しく御教授の程、宜しく御願い致します。
No.21605 投稿時間:2007年05月19日(Sat) 06:00 投稿者名:ふぁらだ URL:
何通りかの方法があります。
まずIPアドレスですが、使えるのが 10.0.0.0~10.0.0.7 だとした場合
5個のサーバーには当然10.0.0.2~10.0.0.6 を使います。
クライアントは
(A)10.0.0.1 を使う
(B)10.0.0.2 を使う
(C)別プロバイダーから非固定で1個契約してそれを使う
の3パターンが出来ます。
どれが良いのかはお好きなように。
(A)の場合
使うルーターが限られています。
RTX1100かBLR-04FMXにその機能がありますが、04FMXではやめた方が良い
1100は試さなかったのでやるのならヤマハに事前に相談してください
CTUはpppoeパススルーにして、自前ルーターで処理します。
この方法のみ10.0.0.1 でもう1台サーバー設置が可能(NAPTになりますけど)
(B)の場合
CTUはunnumberedにして
10.0.0.2のサーバーにネットカード2枚さしでルーター設定を行う。
または2段ルーターにして10.0.0.2がwanであるNAPTを設定する。
(C)の場合
2台ルーターを用意するのが簡単。CTUはpppoeパススルーにします。
RTX1100なら1台でも行けそうな気もします。
No.21606 投稿時間:2007年05月19日(Sat) 12:09 投稿者名:初構築 URL:
>ふぁらだ様
お世話になります。
大変有用な情報、丁寧なご回答、有難うございます。
さて、ご回答頂いた内容を拝見させて頂きまして、
私の理解では「まずはルーターが必須である。」
という認識で間違いないでしょうか?
その上で、興味を持ったのが下記です。
> (A)の場合
> 使うルーターが限られています。
> RTX1100かBLR-04FMXにその機能がありますが、04FMXではやめた方が良い
> 1100は試さなかったのでやるのならヤマハに事前に相談してください
> CTUはpppoeパススルーにして、自前ルーターで処理します。
> この方法のみ10.0.0.1 でもう1台サーバー設置が可能(NAPTになりますけど)
以前の私の知識では、ルーターに割り当てる「10.0.0.1」も
結局使用出来ないIPだと思っておりました。
これが、Windowsクライアント機に使用できるのであれば、
当初理想としていた構成を実現できそうです。
ただ、RTX1100は高価なルーターですね。
多機能なだけに当然かもしれませんが・・・。
予算について上と少し掛け合ってみます。
そこで、宜しければ(B)の場合についてもう少しお話を伺いたいのですが、
> (B)の場合
> CTUはunnumberedにして
> 10.0.0.2のサーバーにネットカード2枚さしでルーター設定を行う。
こちら、10.0.0.2のサーバーには具体的にはどの様な事をさせるのでしょうか?
ゲートウェイサーバーとしてルーターの機能を持たせるという事で宜しかったでしょうか?
当方、その分野のサーバーを構築した経験がありませんので、
必要な作業内容について少しアドバイスを頂きたいのですが、
DHCPサーバー又はVPNサーバーを構築するという事なのでしょうか?
その場合、NATによるサーバーへのIP変換とクライアントへのDHCP機能の併用が可能であれば、
極端な話、ルーターを購入せずにサーバーのうち一台にルーター機能を持たせ、
ゲートウェイサーバーとして運用するという事も可能なのでしょうか?
> または2段ルーターにして10.0.0.2がwanであるNAPTを設定する。
また、こちらの場合はシンプルで比較的解り易いのですが、
クライアント機から各サーバーへのアクセスは同一LAN内の様に行えるのでしょうか?
質問ばかりで大変恐縮なのですが、何卒、宜しく御願い致します。
No.21607 投稿時間:2007年05月19日(Sat) 18:25 投稿者名:ふぁらだ URL:
(A)
> ただ、RTX1100は高価なルーターですね。
> 多機能なだけに当然かもしれませんが・・・。
> 予算について上と少し掛け合ってみます。
ISP料金が1ヶ月15000円ほどですから8万程度のルーターはそれほどでは無いと思いますが。
> そこで、宜しければ(B)の場合についてもう少しお話を伺いたいのですが、
>
> > (B)の場合
> > CTUはunnumberedにして
> > 10.0.0.2のサーバーにネットカード2枚さしでルーター設定を行う。
>
> こちら、10.0.0.2のサーバーには具体的にはどの様な事をさせるのでしょうか?
> ゲートウェイサーバーとしてルーターの機能を持たせるという事で宜しかったでしょうか?
> 当方、その分野のサーバーを構築した経験がありませんので、
> 必要な作業内容について少しアドバイスを頂きたいのですが、
> DHCPサーバー又はVPNサーバーを構築するという事なのでしょうか?
> その場合、NATによるサーバーへのIP変換とクライアントへのDHCP機能の併用が可能であれば、
> 極端な話、ルーターを購入せずにサーバーのうち一台にルーター機能を持たせ、
> ゲートウェイサーバーとして運用するという事も可能なのでしょうか?
おおむねその通りです。
DHCPはdhcpdでルーター設定はiptablesです。VPNは不要。
unnumberedならiptablesはどの道使いますから避けては通れません。
設定例がネット上に一杯ありますしそれほど難しい設定ではありません。
> > または2段ルーターにして10.0.0.2がwanであるNAPTを設定する。
> また、こちらの場合はシンプルで比較的解り易いのですが、
> クライアント機から各サーバーへのアクセスは同一LAN内の様に行えるのでしょうか?
NATですから同一LANにはならないですね。各サーバーにLAN用のボードを付けるなどしないと
ちょっと無理かな。
(C)は考えないのかな。ISP料金が2000円位余計にかかるから無駄と言えば無駄ですが
別プロバイダー回線があるとFWチェックとかODNが止まった時の対応が楽になります。
忘れていましたがもう1つの方法があります(D)
OPT-100e等にある複数固定IPアドレス変換(NAT+IPマスカレード)機能で
10.0.0.2~10.0.0.6 を 192.168.1.202~192.168.1.206 へNAPTするもの。
No.21609 投稿時間:2007年05月19日(Sat) 23:35 投稿者名:初構築 URL:
ふぁらだ様
お世話になっております。
ご返信有難うございます。
> ISP料金が1ヶ月15000円ほどですから8万程度のルーターはそれほどでは無いと思いますが。
相場が良く解っていない事と、予算の決定権が無く念のためという事でした。
> おおむねその通りです。
> DHCPはdhcpdでルーター設定はiptablesです。VPNは不要。
> unnumberedならiptablesはどの道使いますから避けては通れません。
> 設定例がネット上に一杯ありますしそれほど難しい設定ではありません。
こちら、iptablesにて特定サービスで使用するポートを開放するという
設定は行った経験があるのですが、今回のことで、ゲートウェイサーバーについて調べている際、
「パケットレベルでのフィルタリングは初心者には荷が重い。」
という記述をいくつか見ましたので不安になっておりました。
> NATですから同一LANにはならないですね。各サーバーにLAN用のボードを付けるなどしないと
> ちょっと無理かな。
やはりそうなのですか。
気になっている理由としましては、現在ファイルサーバーとして「samba」を利用しています。
また、内向きのネームサーバーを構築し、メールサーバーもLAN内に構築しようと考えていますが、
それらの構築に問題が無いだろうかと不安になった為です。
> (C)は考えないのかな。ISP料金が2000円位余計にかかるから無駄と言えば無駄ですが
> 別プロバイダー回線があるとFWチェックとかODNが止まった時の対応が楽になります。
こちら、現状の私の知識を考えた際には現実的な案ではありますが、
今回は、私自身のスキルアップも目的の一つに入れた開発環境の構築という事ですので、
できれば(a)(b)の様な構成をとりたいと考えています。
また、もし上記の構成でクライアントはグローバルIP無しの環境で接続、
サーバーはグローバルIP8の環境で接続した際、「samba」等は利用できるのでしょうか?
> 忘れていましたがもう1つの方法があります(D)
> OPT-100e等にある複数固定IPアドレス変換(NAT+IPマスカレード)機能で
> 10.0.0.2~10.0.0.6 を 192.168.1.202~192.168.1.206 へNAPTするもの。
これはいいですね。ルーターも安価ですし。
すいません。少し混乱しているので確認ですが、
上記を利用すればクライアントにはDHCPで「192.168.1.※」を与え、
サーバーには「192.168.1.202~206」を固定で与える事が出来るという認識で宜しかったでしょうか?
以上、お忙しいかとは存じますが、何卒、宜しく御願い致します。
No.21608 投稿時間:2007年05月19日(Sat) 18:42 投稿者名:わらび URL:
ISPはODNではなく、OCNですか?
きになったのですが、
> これまでは各サーバーをリバースプロキシで運用していたのですが、
> 今後は、それぞれのサーバーにグローバルIPを与えたいという目的
ここ詳細をもう少し詳しく教えて頂けないでしょうか?
> 希望としては、外部からは各サーバーへグローバルIPでアクセスでき、
> 内部からは今までどおりLAN内のホストとして簡単に利用できる、
内部からは今までどおりということは、
プライベートでアクセスできないとダメってことですかね?
No.21610 投稿時間:2007年05月20日(Sun) 00:23 投稿者名:初構築 URL:
わらび様
御返信、有難う御座います。
> ISPはODNではなく、OCNですか?
ソフトバンクテレコム「ULTINA Internet」
ブロードバンドアクセス フレッツ・プラン(ファミリープランIP8)でした。
> きになったのですが、
>
> > これまでは各サーバーをリバースプロキシで運用していたのですが、
> > 今後は、それぞれのサーバーにグローバルIPを与えたいという目的
> ここ詳細をもう少し詳しく教えて頂けないでしょうか?
こちら、全てのサービスを運用できる環境を構築していた訳では無いのですが、
例えば外部からhttpのアクセス時、以前は、メインのサーバーは1台でしたので、
CTUの静的アドレス変換機能でポートを「8080」に変換しメインのサーバーへ転送、
メインサーバー上の「8080」で起動しているDeleGateからサブドメインによって、
各サーバーへポートを「80」に変換してプライベートIPで転送させていました。
今回、開発環境を拡大するにあたり、メインのサーバーだけでなく、
各サーバーでもメールやDNSなど、各種サービスを運用しようという事になりまして、
それならばと、グローバルIPを与ようと考えたというのが経緯で御座います。
> > 希望としては、外部からは各サーバーへグローバルIPでアクセスでき、
> > 内部からは今までどおりLAN内のホストとして簡単に利用できる、
>
> 内部からは今までどおりということは、
> プライベートでアクセスできないとダメってことですかね?
LAN内のユーザーは技術者ばかりでは無く、また既に業務中という事もあり、
可能な限りクライアント側の設定変更を減らしたいと考えていたからです。
私自身が「プライベートでアクセス」という事が理解できていないのかもしれません。
その為、現在利用しているbindやsamba等の内向きのサーバーの設定変更が、
「192.168.1.※」と「192.168.2.※」に分かれた場合でも問題なく行えるか、
自信が持てなかったという事もあります。
私自信が混乱してきましたので、改めて希望をまとめますと、下記の様になります。
■外部からはグローバルIPで五台のサーバーへアクセスできる事
■内部のクライアント(Windows)が同一のワークグループに属せる事
■内部のクライアント(Windows)からsambaサーバーが利用できる事
■内部に設置したメールサーバを内部のクライアント(Windows)が利用できる事
■内向きネームサーバーを利用して内部からもドメインでアクセスできる事
上記の要件を満たす為にはどの様な構成が望ましいのでしょうか?
また、どの様な設定が必要になってくるのでしょうか?
大変御忙しいかと存じますが、御指導の程、宜しく御願い致します。
No.21611 投稿時間:2007年05月20日(Sun) 11:45 投稿者名:わらび URL:
お勧めな構成は、サーバはプライベートアドレスを持ち、
複数IPをNAT&NAPTをできるルータを追加する
構成だと思います。
お勧めはNetscreenです、ちょっと高いけど。
おなじスレッド内のふぁらださんで説明している
案Dかなと思います。
もしくは、サーバにグローバルを持たせ、
クライアント用にルータを用意し、宛先NATをしてあげるとか。
話がずれてしまうかもしれないけど、
公開用サーバでFedora使うってのはあまりお勧めできないですね。
bindやsambaは内部にしまったほうがいいと思いますし。
No.21616 投稿時間:2007年05月20日(Sun) 23:49 投稿者名:初構築 URL:
わらび様
お世話になっております。
> お勧めな構成は、サーバはプライベートアドレスを持ち、
> 複数IPをNAT&NAPTをできるルータを追加する
> 構成だと思います。
> お勧めはNetscreenです、ちょっと高いけど。
>
> おなじスレッド内のふぁらださんで説明している
> 案Dかなと思います。
御提案、有難う御座いました。
こちらの構成にしようかと考えています。
現在、お勧め頂いた「Netscreen」の製品を調査中です。
>
> 話がずれてしまうかもしれないけど、
> 公開用サーバでFedora使うってのはあまりお勧めできないですね。
> bindやsambaは内部にしまったほうがいいと思いますし。
貴重な御意見、有難う御座います。
開発環境の為、特に深く考えずにFedoraを導入しましたので、
今後、もう少しディストリビューションの違いを勉強する事に致します。
また、構成の詳細などで御意見を頂く機会があるかも知れませんが、
その際は、何卒、御指導の程、宜しく御願い致します。