- PR -

Win2003Serverで2つのLANをつなぐには?

1
投稿者投稿内容
うっちい
会議室デビュー日: 2007/07/16
投稿数: 4
投稿日時: 2007-07-16 23:48
はじめまして。
本サイトを調べさせていただきましたが、解決できず質問させていただきます。

私のネットワーク構成で、SANからLAN・インターネットの接続ができません。
ネットワーク構成は以下のとおりです。
(※GW:デフォルトゲートウェイ)

InterNet
|
(DHCP)
[NTTルータ CTU100MH]
(192.168.0.1/24)
|
|←ネットワーク名称を[LAN]とします
+-------------------------+ 
(192.168.0.10/24) (192.168.0.xx/24)
(GW:192.168.0.1) (GW:192.168.0.10)
[Windows2003 Server] [PC1]
(192.168.1.10/24)
(GW:設定せず)
|
|←ネットワーク名称を[SAN]とします
+--------------------------+
(192.168.1.12/24) (192.168.1.yy/24)
(GW:192.168.1.10) (GW:192.168.1.10)
[ネットワークHD] [検証用PC]

Windows2003ServerはLANポートが2つあり、それぞれ別のサブネットに設定しています。
また、「ルーティングとリモートアクセス」をインストールしており、RIPを動作させています。このサービスを停止すると[PC1]でインターネットにアクセスできなくなります。
pingは[PC1]→[ネットワークHD]/[検証用PC]には通りますが、その逆[検証用PC]→[PC1]/[NTTルータ]には通りません。

yoshiさんの「ルーティングについて(Win2K)」とほぼ同じ構成(OSだけ違う)ですが、IPフォワーディングを有効にするレジストリも変更しており、八方塞がりな状態です。
[Windows2003 Server]のファイアウォール設定は何も行っていません。(どこで確認すればよいのでしょうか?)
目的はネットワークHDから監視メールを送信したいだけなのですが、Windowsの機能を生かしたいので、プロキシソフト等の導入は考えておりません。

皆さんのお知恵をお貸しください。よろしくお願いします。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2007-07-17 00:01
こんばんわ.
引用:

うっちいさんの書き込み (2007-07-16 23:48) より:

Windows2003ServerはLANポートが2つあり、それぞれ別のサブネットに設定しています。

まず,network を2つに分割する必要がありますか?
なぜ Windows Server 2003 を router にしているのでしょうか?
必要がないなら一つにすることをお奨めします.
引用:

また、「ルーティングとリモートアクセス」をインストールしており、RIPを動作させています。このサービスを停止すると[PC1]でインターネットにアクセスできなくなります。

rip はなぜ必要なのですか?
Windows Server 2003 以外に rip を喋っている機器があるのでしょうか?
普通に local router として構成すればよいだけでは?
引用:

pingは[PC1]→[ネットワークHD]/[検証用PC]には通りますが、その逆[検証用PC]→[PC1]/[NTTルータ]には通りません。

[NTTルータ]とやらで 192.168.1.0/24 への routing table は?
[検証用PC]->[PC1]で ICMP で通信ができず,逆は通信ができているなら,
通常は personal firewall が機能していると疑うのが普通だと思います.
この辺を
http://www.atmarkit.co.jp/fsecurity/hybooks/win_server_sec3/wss01-01.html
参考にして調べてみては?
うっちい
会議室デビュー日: 2007/07/16
投稿数: 4
投稿日時: 2007-07-17 00:55
引用:

kazさんの書き込み (2007-07-17 00:01) より:
こんばんわ.


早速の返事ありがとうございます。

引用:

まず,network を2つに分割する必要がありますか?
なぜ Windows Server 2003 を router にしているのでしょうか?
必要がないなら一つにすることをお奨めします.


単純にネットワークトラフィック分離のためと、私の自己満足のためです。(ぺこ)
Windows2003Serverをルータにしているのは、24時間運用しているのと、1GのLANポートを2つ持っているからです。

引用:

rip はなぜ必要なのですか?
Windows Server 2003 以外に rip を喋っている機器があるのでしょうか?
普通に local router として構成すればよいだけでは?


NTTルータにはLAN側に静的ルーティングを設定する項目がない為、RIPにてルーティング情報を渡している「つもり」です。
WindowsServer側で静的ルーティング設定をさんざん行った結果、目的を果たせなかった為でもあります。

引用:

[NTTルータ]とやらで 192.168.1.0/24 への routing table は?


重複しますが、NTTルータには設定項目がありません。

引用:

[検証用PC]->[PC1]で ICMP で通信ができず,逆は通信ができているなら,
通常は personal firewall が機能していると疑うのが普通だと思います.
この辺を
http://www.atmarkit.co.jp/fsecurity/hybooks/win_server_sec3/wss01-01.html
参考にして調べてみては?


ご指摘ありがとうございます。PC1のOSはWindowsXP Prof.ですがパーソナルファイアウォールが機能していました。SAN→LANへのpingは通りました。

しかし未だにNTTルータヘpingが通りません。
ルーターを交換すべきでしょうか?
たらお
大ベテラン
会議室デビュー日: 2006/12/25
投稿数: 206
お住まい・勤務地: 東京・永代通り
投稿日時: 2007-07-17 06:57
べき論で言うと、
1.LANセグメントからはインターネットアクセスが可能。
2.SANセグメントは、LANセグメントの一部と通信が可能。

という構成が理想です。つまり、
SANセグメントから直接インターネット接続すべきではありません。


というのは、置いといて、
CTUがRIPで経路情報を受け取っているかが、ポイントですね。
一般的なRIP経路情報の流れは、以下のようになるべきです。

(インターネット)
 |
 |
 CTU
 |↓(RIP:0.0.0.0/0,GW:192.168.0.1)--RIP:Listen&Speak
 |
 |(LAN)
 |
 |↑(RIP:192.168.1.0/24,GW:192.168.0.10)--RIP:Listen&Speak
Win2003Sv


本件の想定では、このようかと。

(インターネット)
 |
 |
 CTU
 |RIP:Listen
 |
 |(LAN)
 |
 |↑(RIP:192.168.1.0/24,GW:192.168.0.10)--RIP:Speak
 |GW:192.168.0.1(Static)
Win2003Sv

すなわち、
1.CTUは、LAN側からのRIPをListenする設定になっている。
2.Win2003Svは、RIP:192.168.1.0/24をSpeakしている。

また、Trusted Gatewayとか、認証などの設定があると面倒ですね。
セキュリティレベルを上げるなら導入すべきです。

_________________
_福田太郎_
うっちい
会議室デビュー日: 2007/07/16
投稿数: 4
投稿日時: 2007-07-17 12:30
お返事ありがとうございます

引用:

たらおさんの書き込み (2007-07-17 06:57) より:
べき論で言うと、
1.LANセグメントからはインターネットアクセスが可能。
2.SANセグメントは、LANセグメントの一部と通信が可能。

という構成が理想です。つまり、
SANセグメントから直接インターネット接続すべきではありません。


そうなのかもしれません。ただ単にSAN(ネットワークHD)からメールを送りたいだけなんですけどね。
もし、これが インターネット−DMZ−LAN の構成だったらLANからはインターネットに接続できないという困った状態になるのでしょう。

引用:

CTUがRIPで経路情報を受け取っているかが、ポイントですね。


CTU設定画面をあちこち探しましたが、静的ルーティング・RIP共に設定項目がありませんでした。
どうやらCTUはRIPをサポートしてないと考えるのがよさそうです。
ルーターを交換する以外では、やっぱりプロキシサーバー(BlackJumboDog)を使わないとだめなのでしょうか?

引用:

また、Trusted Gatewayとか、認証などの設定があると面倒ですね。
セキュリティレベルを上げるなら導入すべきです。


すみません。なんのことだかちんぷんかんぷんです。
たらお
大ベテラン
会議室デビュー日: 2006/12/25
投稿数: 206
お住まい・勤務地: 東京・永代通り
投稿日時: 2007-07-17 21:01
SANからメール送信するなら、MTAをLANセグメントに置くことになります。
BJDはSMTPのプロキシとしても動くようですから、BJDを導入するのが近道ですね。

構成もスッキリします。
最終的には、Win2003SvのルーティングをOFFにして、
Firewall機能を有効にして、必要なトラフィックのみ流せば完璧です。

(インターネット)
 |
 |
 CTU
 |GW:192.168.0.1
 |
 |(LAN)=DMZ
 |
 |↑
 |GW:192.168.0.1(Static)
Win2003Sv Proxy:BJD
 |
 |(SAN)=内部LAN


余談になりますが、Trusted GW&認証については、RIPの詳細設定です。
動的な経路情報は、DoS攻撃にも使えるので、特定のホストから経路情報を受信したり、
認証でなりすましからの経路情報を破棄します。
今回は、これについては考えなくても済みそうですね。


_________________
_福田太郎_
うっちい
会議室デビュー日: 2007/07/16
投稿数: 4
投稿日時: 2007-07-18 13:30
皆さん、お返事ありがとうございます。
結局、NTTルータはRIPを受け取っていないようで、SANセグメントからのインターネット接続は無理なようです。

最終的な構成は以下のとおりです。

1.Win2003Serverのレジストリを変更し、IPフォワーディングを有効にする。
 これはLANセグメントとSANセグメントを中継させるためです。LAN上のPCからネットワークHDを参照したいので。Windowsの「分散ファイルシステム」やシンボリックリンクは相手先HDがNTFSでないと動作しませんでした。
 
2.Win2003ServerにBJDを導入し、ネットワークHDからのメールを中継する。
 メール送信対象をネットワークHDに限定し、他のメールは中継させないようにしています。

現在、この構成で運用できています。何とかなって安心しました。

皆さん、どうもありがとうございました。


[ メッセージ編集済み 編集者: うっちい 編集日時 2007-07-18 13:41 ]
1

スキルアップ/キャリアアップ(JOB@IT)