こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

締切り済みの質問

YAMAHAルーターでのDNSサーバの設定方法

お世話になります。
現在、YAMAHAのRTX810という自宅のルータの設定をしているのですが、
DNSサーバーの設定の件で困っています。

構成
自宅
  RT:192.168.1.1/24
  FW:192.168.1.254/24
事務所:
  RT:192.168.2.1/24

上記の構成で、両拠点RTX-810でインターネットVPNを使ってIPSECにて通信を行っています。
RTX-810からインターネットに接続をせずに、
FW装置(FortiGate60D)を使って、インターネットに接続させようと考えています。

しかしFW装置のメンテナンスや、通信障害で通信が出来ない、落ちた時の事を考えて、
最悪の場合、自宅のRTX-810からインターネットに接続できるようなにしたいと考えています。

そこで、考えているのが、

事務所側
RTX-810のデフォルトゲートウェイは、自宅のFW装置、
FW装置に問い合わせが出来なくなったら、直接インターネット回線に出る。

自宅側
RTX-810のデフォルトゲートウェイは、自宅のFW装置、
FW装置と通信が出来なくなったら、直接インターネット回線に出る。

という構成を考えました。

そこで下記のようなコマンドを書いたのですが、
事務所側:
ip route default gateway pp 1 filter 90 91 92 gateway 192.168.1.254 keepalive 1 gateway pp 1 weight 0
ip route 192.168.2.0/24 gateway tunnel 1
ip keepalive 1 icmp-echo 3 3 192.168.1.254
ip filter 90 pass * * udp * 500
ip filter 91 pass * * udp * 4500
ip filter 92 pass * * esp
dns server 192.168.1.254
dns server pp 1

自宅側
ip route default gateway pp 1 filter 90 91 92 gateway 192.168.1.254 keepalive 1 gateway pp 1 weight 0
ip route 192.168.1.0/24 gateway tunnel 1
ip keepalive 1 icmp-echo 3 3 192.168.1.254
ip filter 90 pass * * udp * 500
ip filter 91 pass * * udp * 4500
ip filter 92 pass * * esp
dns server 192.168.1.254
dns server pp 1

で合っているでしょうか?
YAMAHAの技術窓口では、ip routeにfilterとkeepaliveを併用するのはよくないと言われたので、
これ以外に何か良い方法はありますでしょうか?

前提として両拠点、
ip route default gateway pp 1
dns server pp 1
とした場合は、名前解決および直接インターネット接続が可能な状態です。

トラフィック、遅延うんぬんを無視して、FWを通した通信をしたいというのが今回の目的ですが、
FWが落ちた場合、物理的に通信が出来ない場合は、従来通りの通信を行う。
という構成にしたいという事です。

宜しくお願いします。

投稿日時 - 2016-01-29 11:54:14

QNo.9118855

困ってます

このQ&Aは役に立ちましたか?

1人が「このQ&Aが役に立った」と投票しています

回答(7)

ANo.7

ども。hirasaku です。

前回のルーティングじゃだめのようですね。
やっぱりVPNのプロトコルを通すFilterを使わなくては・・・
pp 1 をweight 0 にするとインターフェースは生きているけど、ルーティングは死んでしまうみたい。

で、改良版
自宅側
ip filter 1 pass * * udp * 500
ip filter 2 pass * * esp * *

ip route default gateway 192.168.1.254 keepalive 1 gateway pp 1 filter 1 2 gateway pp 1 weight 0
ip route 192.168.2.0/24 gateway tunnel 1

事務所側
ip filter 1 pass * * udp * 500
ip filter 2 pass * * esp * *

ip route default gateway tunnel 1 keepalive 1 gateway pp 1 filter 1 2 gateway pp 1 weight 0
ip route 192.168.1.0./24 gateway tunnel 1

でどうでしょう。
ちなみに、NATトラバーサル使ってないですよね?
使っているなら Filterで udp 4500 も通してください。
(YAMAHAでのサイト to サイトVPNは使わなくていいと思うけど)

では。

投稿日時 - 2016-02-02 14:20:39

ANo.6

ども。hirasaku です。

自宅側2回線ということで、わかりました。

インターネットVPN設定はできているということで、ルーティング設定を。

自宅側
Fortiでスタティックルートの追加:宛先が192.168.2.0/24 は YAMAHAの192.168.1.1へ
YAMAHAのルーティング:
ip route default gateway 192.168.1.254 keepalive 1 gateway pp 1 weight 0
ip route 192.168.2.0/24 gateway tunnel 1
ip keepalive 1 icmp-echo 3 3 ”自分のプロバイダのDNSのIPなど"

事務所側
ip route default gateway tunnel 1 keepalive 1 gateway pp 1 weight 0
ip route 192.168.1.0/24 gateway tunnel 1
ip keepalive 1 icmp-echo 3 3 ”自分のプロバイダのDNSのIPなど”
ルーティングでhideを使わないのは今回の生死確認はFortiだから。
icmp で 見張る先はグローバルIPのほうがいいと思う。
それは、Fortiが死んでなくても回線が死んでしまった場合の考慮。

ルーティングで使っている filter は今回の場合あまり意味ないので使わない。
どういった理由でかけたのか不明ですが・・・
使わない理由として
YAMAHAからみた優先するDefault Gateway は 自宅、事務所ともほかに任せるため、
Filterで縛らなくてもルーティングでインターネットはFortiで出るためと
Fortiが死んだら自分の回線で出て行かせるのにFilterが邪魔をするから。

で、DNSの話ですが。
クライアントのIPはDHCPか手動固定か?
DNSの役割をさせているのはFortiかYAMAHAか?
張ってあるConfigだとFortiになっているけど、FortiにDNSをクライアントに使わせる設定をしているのでしょうか?(Forti自身が名前解決のためのDNS設定ではないです)

まぁ、DHCPならYAMAHAでやらせてると思いますが、
クライアントのDNS設定をYAMAHAに向けているのであれば、
dns server pp 1 でいいのでは。
(pp select の中に ppp ipcp msext on と設定があれば)
明示的に指定したいなら
dns server ”プロバイダのプライマリ プロバイダのセカンダリ”
って設定すればいいと思いますよ。

もし、要件通り動かなければ、情報(なるべく現象を詳しく)と補足をください。
では。

投稿日時 - 2016-01-31 02:16:32

ANo.5

 回答No.1の補足ですが、自宅回線UTM経由構成の場合には、ポリシールーティング設定は、会社側RTX810のみの構成変更となりますからね。
 自宅LAN回線側は、同一LAN内にUTMがあるため、「ip route default gateway pp 1」のみになります。
 
 想定イメージですが、自宅UTMにてインターネット接続(DMZホスト若しくは静的ルーティング設定有り)→RTX810にてWAN固定IP+IPSEC-VPNトンネル構成の場合には、会社側RTX810ルーターのポリシールーティング設定と、DNSサーバのプライオリティ選択の設定にて、どのルートで自宅UTM経由・Web/Mail/他参照させるかの選択肢になります。

 残念ながら、Yamahaのポリシールーティング(フィルタ型ルーティング)では、自宅Web接続をRTX810に保有させた場合に、UTM経由させるプロセスは出来ないかと考えます。
 よって、自宅回線接続をUTMに機能させ、その配下のRTX810と会社RTX810間でのIPSEC-VPNトンネル構成であれば、自宅UTMへ出ていく形が可能かと思います。

投稿日時 - 2016-01-30 19:59:56

ANo.4

 先刻のフィルタ型ルーティングでの設定変更の際には、DNSサーバでのプライオリティ分割必要にるかと存じます。

dns server select 1 192.168.1.254 a www.server
dns server select 2 192.168.1.254 a mail-server.
dns server select 3 192.168.1.254 pop-server.
dns server select 4 192.168.1.254 mx .
dns server select 5 pp 1

投稿日時 - 2016-01-30 13:22:02

ANo.3

こんにちは。hirasaku です。

ちょっと突っ込み入れちゃいますが、DNSの設定って質問内容とは関係ないですよね?

で、正確に回答するには情報が足りないので、逆質問になってしまいますけど。
自宅は回線を2回線引き込んでいる。それとも1回線でプロバイダ分けをしているだけで、
FWとルータにWAN側に接続している。
どっちでしょう?

今の段階でいえることは、
自宅側はともかく、事務所側のルーティングでゲートウェイを対向の自宅FW 192.168.1.254にしてますが、これは間違い。
そもそもゲートウェイはルータの接続されているインターフェースのセグメントと同一でないといけない。もしくはインターフェースそのもの。

では補足お待ちしております。

投稿日時 - 2016-01-30 10:37:56

補足

お世話になります。
プロバイダは2本、回線も2本です。
で、810とFWに一個ずつ使っています。

事務所側のデフォゲをtunnel 1に変更します。

投稿日時 - 2016-01-30 20:06:36

ANo.2

 補足です。
 フィルタ型ルーティングにてトンネル先ゲートウェイを優先し、トンネルが切断時にうまくppインターフェイスから接続出来る構成になれば良いのですが。

投稿日時 - 2016-01-29 19:09:29

ANo.1

 お尋ねの件ですが、Keepaliveを利用する形では無く、下記構成がイメージになるかと存じます。
 
 自宅・会社
 ip route default gateway pp 1 filter 90 91 92 gateway tunnel 1 hide gateway pp1 weight 0

 ↑コマンドでは、いけませんか?

投稿日時 - 2016-01-29 19:07:11

あなたにオススメの質問