目次
はじめに
現在使用中のPCサーバ(FUJITSU PRIMERGY TX100 S3)はDMZに設置しているので,リモートメンテナンスの際は,インターネット経由かファイヤーウォール設定を見直してのアクセスが必要となり,設定が複雑面倒でインターネット側のポート開放もセキュリティー上好ましくないので避けたい。そもそもリモートではなく直接メンテすれば良いのだが,自宅サーバーということもあり,騒音面を考慮して居住空間でない場所にサーバーを設置しているのでサーバー設置場所での直接メンテナンスは厳しい現状がある。
サーバー背面にLANポートが2個用意されていて,通常使用であれば1個のみでよいのだが,残りの1個をメンテナンス用回線として使用するための設定についてメモする。
回線構成
イーサーネットアダプター確認
サーバーに搭載されているLANポート情報をコマンドプロンプトから「ipconfig /all」コマンドで確認する。
C:\Windows\System32>ipconfig /all
Windows IP 構成
⋮
省略
⋮
イーサネット アダプター ローカル エリア接続 2:
接続固有の DNS サフィックス . . . :
説明. . . . . . . . . . . . . . . : Intel(R) 82579LM Gigabit Network Connection
物理アドレス. . . . . . . . . . . : nn-nn-nn-nn-nn-nn
DHCP 有効 . . . . . . . . . . . . : いいえ
自動構成有効. . . . . . . . . . . : はい
リンクローカル IPv6 アドレス. . . . : nnnn::nnnn:nnnn:nnnn:nnnn%13(優先)
IPv4 アドレス . . . . . . . . . . : 192.168.0.242(優先)
サブネット マスク . . . . . . . . : 255.255.255.0
デフォルト ゲートウェイ . . . . . : 192.168.0.1
⋮
省略
⋮
イーサネット アダプター ローカル エリア接続:
接続固有の DNS サフィックス . . . :
説明. . . . . . . . . . . . . . . : Intel(R) 82574L Gigabit Network Connection
物理アドレス. . . . . . . . . . . : nn-nn-nn-nn-nn-nn
DHCP 有効 . . . . . . . . . . . . : いいえ
自動構成有効. . . . . . . . . . . : はい
IPv4 アドレス . . . . . . . . . . : 192.168.1.242(優先)
サブネット マスク . . . . . . . . : 255.255.255.0
デフォルト ゲートウェイ . . . . . :
以下省略イーサネット アダプターが2個確認できる。
上の「Intel(R) 82579LM Gigabit Network Connection」はLAN2用でDMZ経由のルーターから外部のインターネット接続用として設定。
下の「Intel(R) 82574L Gigabit Network Connection」はLAN1用で内部向けのメンテナンス用として設定した。
LAN2ネットワークアドレス:192.168.0.0/24 外部向け
LAN1ネットワークアドレス:192.168.1.0/24 内部向け
インターフェース番号確認
今回はルーターを介さないのでルーター側の設定変更はないが,サーバーでLANポート2個に対するパケットの振り分け設定(スタティックルーティング)が必要となる。
下記は「route print -4」コマンドによるルーティングテーブルの冒頭
このインターフェース一覧の左の番号(13と11)がスタティックルーティングを設定する際に必要となる。
C:\Windows\System32>route print -4
===========================================================================
インターフェイス一覧
13...nn nn nn nn nn nn ......Intel(R) 82579LM Gigabit Network Connection
11...nn nn nn nn nn nn ......Intel(R) 82574L Gigabit Network Connection
1...........................Software Loopback Interface 1
12...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
14...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
15...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================スタティックルーティングの設定
スタティックルーティングの設定はサーバーのコマンドプロンプトを起動して下記を入力する。ネットワーク設定GUIからはスタティックルーティング設定は出来ないが,LAN1,LAN2のIPアドレス等は入力しておく。ただしLAN1のデフォルトゲートウェイは入力しないで空白とする。
1.LAN1の内部向けをif 11(Intel(R) 82574L)に設定
(デフォルトゲートウェイ”0.0.0.0″を指定))
2.LAN2の外部向けをif 13(Intel(R) 82579LM)に設定
(デフォルトゲートウェイ”192.168.0.1″を指定)
route -p add 192.168.1.0 mask 255.255.255.0 0.0.0.0 if 11
route -p change 0.0.0.0 mask 0.0.0.0 192.168.0.1 if 13下記コマンド結果のGateway 欄に On-link (日本語OSでは「リンク上」)とあるのは、そのインターフェイスに直結していることを示している。直結していることを指定したい場合、ゲートウェイとして 0.0.0.0 を指定する。
#1は新規設定なのでaddオプションを指定して追加しているが,設定済であればaddをchangeに変更する。
#2は既に設定済の前提なのでchangeオプション指定で変更している。
設定確認
上記コマンドの結果を「route print -4」で確認
C:\Windows\System32>route print -4
===========================================================================
インターフェイス一覧
13...nn nn nn nn nn nn ......Intel(R) 82579LM Gigabit Network Connection
11...nn nn nn nn nn nn ......Intel(R) 82574L Gigabit Network Connection
1...........................Software Loopback Interface 1
12...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
14...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
15...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================
IPv4 ルート テーブル
===========================================================================
アクティブ ルート:
ネットワーク宛先 ネットマスク ゲートウェイ インターフェイ
ス メトリック
0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.242 11
127.0.0.0 255.0.0.0 リンク上 127.0.0.1 306
127.0.0.1 255.255.255.255 リンク上 127.0.0.1 306
127.255.255.255 255.255.255.255 リンク上 127.0.0.1 306
192.168.0.0 255.255.255.0 リンク上 192.168.0.242 266
192.168.0.242 255.255.255.255 リンク上 192.168.0.242 266
192.168.0.255 255.255.255.255 リンク上 192.168.0.242 266
192.168.1.0 255.255.255.0 リンク上 192.168.1.242 11
192.168.1.242 255.255.255.255 リンク上 192.168.1.242 266
192.168.1.255 255.255.255.255 リンク上 192.168.1.242 266
224.0.0.0 240.0.0.0 リンク上 127.0.0.1 306
224.0.0.0 240.0.0.0 リンク上 192.168.1.242 266
224.0.0.0 240.0.0.0 リンク上 192.168.0.242 266
255.255.255.255 255.255.255.255 リンク上 127.0.0.1 306
255.255.255.255 255.255.255.255 リンク上 192.168.1.242 266
255.255.255.255 255.255.255.255 リンク上 192.168.0.242 266
===========================================================================
固定ルート:
ネットワーク アドレス ネットマスク ゲートウェイ アドレス メトリック
0.0.0.0 0.0.0.0 192.168.0.1 1
192.168.1.0 255.255.255.0 リンク上 1
===========================================================================
C:\Windows\System32>#17はLAN2の外部向けでゲートウェイがルーターIPアドレス・インターフェースがNIC13で設定されている。メトリックは11となっている。
#24はLAN1の内部向けでリンク上としてNIC11で設定されている。
どのNICを使用しているかは,「ipconfig」コマンド結果と合わせてipアドレスで確認する。
【インターフェイス欄(ipアドレス) = IPv4 アドレス】
思い通りのスタティックルーティングが設定されており,ping等の開通試験も問題なし。
考察
再起動した際に,ゲートウェイがリンク上にならなくて自身のnicのipアドレスになることがまれに発生する。(上記24行目) -pオプション指定で再起動時もルーティングは継続のはずなのだが,どうも再起動時にコマンドの引継ぎ処理を毎回行っているようで,タイミングで発生するような感じ。当然この現象が発生すると,今回設定した内部側とのアクセスが出来なくなる。解決策として,スタートアップにbatファイルを登録して,再起動時にrouteコマンドを毎回入力することにした。コマンド入力のタイミングを遅らせるのと,入力結果を画面表示させるため,前後に5秒休止させる。
接続ルーターを変更したりするとネットワーク共有センターで「ネットワーク識別中」と表示されインターネットに接続されていない表示となる。が実際は接続されているようだ。DDNSの更新が失敗するので,下記のコマンドを実行することで解消される。どうも勝手にルーティングテーブルが書き換えられるようだ。たぶん接続先のMACアドレスが変化したら,ルーティングテーブルを書き換えているような気がする。
cd \windows\system32
timeout /nobreak 5
route -p change 192.168.1.0 mask 255.255.255.0 0.0.0.0 if 11
route -p change 0.0.0.0 mask 0.0.0.0 192.168.0.1 if 13
timeout /nobreak 5routeコマンド等のネットワーク系コマンドは,systemが勝手に判断して設定する場合がありコマンドで指定した値にならない場合がある。(-_-;)汗
その他DNS・WINSサーバ設定も必要
サーバーのLANポート2つを使用するこのような構成は,セキュリティー上好ましくないとの意見もあり,特に乗っ取られた際には最悪のパターンとなる。しかしサーバーを公開している以上は大なり小なりリスクを伴うので,そこは割り切りで考えたいと思う。
このサーバーにも海外からと思われる不審なアクセスが時々大量に記録される時があるが,その都度IPアドレスを確認して対応している。
今回のLAN設定は,DMZと通常のLANに分けただけなのだが,グレードの高いserevr機にはiRMCというものが備わっていて,serverの起動停止に関係なく別システムとして稼働してメンテナンス専用の機能を提供しているものもある。