Top過去ログ目次掲示板

作成日:2006年04月09日 作成:おやじ
掲示板で過去に質問された内容です。

No.5804 マルチセッションで、FTPだけ別セッションで


No.5804 投稿時間:2006年04月09日(Sun) 13:06 投稿者名:NAZ URL:
タイトル:マルチセッションで、FTPだけ別セッションで

はじめまして。先日、BRL-04FMXというルーターを購入し、複数PC
をマルチセッションで別ISPに接続というのを試みまして。こちら
のBA8000の設定例で勉強させていただき、ここまでは無事成功しま
した。感謝しております。

次に目指しているのは、同一PCで、FTPだけ別セッションへの接続
です。とりあえずActiveモードのボート20-21だけの動作でかまわ
ないので、以下の設定を行いました。
ポリシールーティングの設定
>プロト 送信先 同port 送信元IP 同port gate   ISP
>TCP/UDP * * 192.-.-.11 20-21 0.0.0.0 ISP-B
>TCP/UDP 192.-.-.11 20-21 * * 0.0.0.0 自動
>* * * 192.-.-.11 * 0.0.0.0 ISP-A
>* 192.-.-.11 * * * 0.0.0.0 自動
NAPTの静的マスカレード設定(ISP-B側)
>プロト RemoteIP 同port 外部IP 同port 内部IP 同port
>TCP/UDP * * ISP-B 20-21 192.-.-.11 20-21
と、このような設定でトライしたのですが。
外部からの接続で、ログインまでは成功したのですが。その後の
データ転送が発生しません。LISTコマンドを受けたところで止ま
ります。
ちなみに、ISP-Bの部分をすべてISP-Aに変更したところ、アクセ
スは可能ですので、まだ設定が足りないようなのですが。これ以
上ちょっと思い当たりません。
もしアドバイスをいただければ、幸いです。

あと。
http://www.aconus.com/~oyaji/router/2isp_routing.htm
こちらを拝見し、勉強させていただきました。
ここのポリシールーティングの設定で質問があるのですが。
ID7とID8で、LAN側からWAN側への通信でISP選択を自動に設定され
ていますが。私のところで試しに、自動ではなく、ID5とID6と同
じISPを指定したところ、WWWブラウジングも出来なくなりました。
自動に戻した解消されたのですが。ID5とID6の設定の返答通信で
あるのですから、ISPを明示的に指定しても問題ないように思う
のですが。
上記のFTPだけ分ける設定でも、このID7とID8に相当する設定は必
要かと思いますが。ここも自動に指定すべきなのでしょうか?。

ご返答いただければ幸いです。


No.5805 投稿時間:2006年04月09日(Sun) 15:02 投稿者名:おやじ URL:
タイトル:勘違いされてます。

> 次に目指しているのは、同一PCで、FTPだけ別セッションへの接続
> です。とりあえずActiveモードのボート20-21だけの動作でかまわ
> ないので、以下の設定を行いました。
> ポリシールーティングの設定
> >プロト  送信先     同port 送信元IP   同port gate   ISP
> >TCP/UDP *          *      192.-.-.11 20-21  0.0.0.0 ISP-B
> >TCP/UDP 192.-.-.11 20-21  *          *      0.0.0.0 自動
> >*       *          *      192.-.-.11 *      0.0.0.0 ISP-A
> >*       192.-.-.11 *      *          *      0.0.0.0 自動
> NAPTの静的マスカレード設定(ISP-B側)
> >プロト  RemoteIP 同port 外部IP 同port 内部IP     同port
> >TCP/UDP *        *      ISP-B  20-21  192.-.-.11 20-21
> と、このような設定でトライしたのですが。
> 外部からの接続で、ログインまでは成功したのですが。その後の
> データ転送が発生しません。LISTコマンドを受けたところで止ま
> ります。
> ちなみに、ISP-Bの部分をすべてISP-Aに変更したところ、アクセ
> スは可能ですので、まだ設定が足りないようなのですが。これ以
> 上ちょっと思い当たりません。
> もしアドバイスをいただければ、幸いです。
> 
> あと。
> http://www.aconus.com/~oyaji/router/2isp_routing.htm
> こちらを拝見し、勉強させていただきました。
> ここのポリシールーティングの設定で質問があるのですが。
> ID7とID8で、LAN側からWAN側への通信でISP選択を自動に設定され
> ていますが。私のところで試しに、自動ではなく、ID5とID6と同
> じISPを指定したところ、WWWブラウジングも出来なくなりました。
> 自動に戻した解消されたのですが。ID5とID6の設定の返答通信で
> あるのですから、ISPを明示的に指定しても問題ないように思う
> のですが。
> 上記のFTPだけ分ける設定でも、このID7とID8に相当する設定は必
> 要かと思いますが。ここも自動に指定すべきなのでしょうか?。

このページの一番下に書いた表と絵を描いてジックリ見てください。
ID7/8はISP-A/Bから家庭内向けの通信のためのものなので、方向が
全く逆のことを言ってますよね。ID5/6が家庭内から外に出て行く
ためのものです。

ポリールティングは愚直に動くので、行きと帰りと指定した条件範囲が
先頭から評価されることを意識して、ひとつひとつの通信の組み合わせと
方向を表に併せてシュミレートしないと失敗します。
つまり、一部だけ見ても駄目で、上に書かれたポリシールーティングの
設定は恐らく一部であり(サーバ以外がこれでは通信できないはず)、
LAN側条件が見えないのでコメントできません。
家庭内が192.168.0.0/24の単一ネットワークで、サーバが192.168.0.11
という条件なら、下記だけでできるはずです。後はサーバにポートフォワ
ーディングすれば、家庭内からのサーバアクセスを含め動作すると思います。
プライベートアドレスは隠しても意味ないですし、自分はあっているつもり
でも誤っていることもあるため、相手が良否を判断できないので聞くなら
隠さないことです。

ポリシールーティングの設定
ID プロト 送信先         同port 送信元IP       同port gate   ISP
1  *      192.168.0.0/24 *      192.168.0.0/24 *      0.0.0.0 自動
2  *      *              *      192.168.0.11   20-21  0.0.0.0 ISP-B
3  *      *              *      192.168.0.0/24 *      0.0.0.0 ISP-A
4  *      192.168.0.0/24 *      *              *      0.0.0.0 自動


No.5806 投稿時間:2006年04月09日(Sun) 16:11 投稿者名:NAZ URL:
タイトル:Re: 勘違いされてます。

すみません。質問文の書き方を間違ってました。ID7/8がWANからLAN
で、認識しております。
プライベートIPは、隠したのではなく、一行文字数節約でした。書き
込み欄が足りなかったもので。説明不足ですみませんでした。

こちらの環境ですが。PC二台(192.168.1.11、192.168.1.12)で、そ
れぞれがISP-A、ISP-Bに接続するという運用をしており。それぞれ
のPC-ISP組み合わせ内で簡潔したサーバー公開には成功しています。
このサーバーのポートを他方のISPにクロスさせようとすると動か
ないわけです。
ちなみに、以前使ってましたBUFFALOのBBR-4HGだと、プライマリに
設定したISPでしかサーバー公開が出来なかったので。それだけで
も、そうとう進歩なのですが。
FTPサーバーソフトは、WAR FTP1.67です。

再度、正確に設定を全部書き出しますと。
ポリシールーティングの設定
(RESでいただいた設定を参考に、先頭に2つ追加しました)
>ID プロト 送信先 同port 送信元IP 同port gate   ISP
>10 * 192.-.-.11 * 192.-.-.11 * 0.0.0.0 自動
>11 * 192.-.-.12 * 192.-.-.12 * 0.0.0.0 自動
>23 TCP/UDP * * 192.-.-.11 20-21 0.0.0.0 ISP-B
>24 TCP/UDP 192.-.-.11 20-21 * * 0.0.0.0 自動
>26 * * * 192.-.-.11 * 0.0.0.0 ISP-A
>27 * * * 192.-.-.12 * 0.0.0.0 ISP-B
>30 * 192.-.-.11 * * * 0.0.0.0 自動
>31 * 192.-.-.12 * * * 0.0.0.0 自動
NAPTの静的マスカレード設定(ISP-B側)
>プロト RemoteIP 同port 外部IP 同port 内部IP 同port
>TCP/UDP * * ISP-B 20-21 192.-.-.11 20-21
DNSルーティング
>送信元IP クエリタイプ クエリ インターフェイス DNSアドレス
>192.-.-.11 すべて * ISP-A 0.0.0.0
>192.-.-.12 すべて * ISP-B 0.0.0.0
ルーティングの設定は、以上です。

各PC-ISPの組み合わせ内でのサーバー公開に問題が無いことと、
LAN内通信やブラウジング等に問題が無いので。RESでいただいた
ポリシールーティング表の、
>2 * * * 192.168.0.11 20-21 0.0.0.0 ISP-B
に纏わる部分が肝だとは思うのですが。データ転送で止まるのが現
状です。
WAN側からのアクセステストは、友人に一任しているため(念のため、
Passive/Active両方でテストはしてもらっているのですが)。再度、
設定を確認して、検証をやり直してみます。


No.5807 投稿時間:2006年04月09日(Sun) 19:22 投稿者名:おやじ URL:
タイトル:サブネットの概念を入れれば、5行で済むはずです。

下記+NAPTの静的マスカレード設定で動くはず。
NAZ さんの設定では、11と12間でアクセスできないのでは?サブネットの概念を入れないと
設定が面倒になるのでは?

ID プロト 送信先         同port 送信元IP       同port gate   ISP
1  *      192.168.1.0/24 *      192.168.1.0/24 *      0.0.0.0 自動
2  *      *              *      192.168.1.11   20-21  0.0.0.0 ISP-B
3  *      *              *      192.168.1.11   *      0.0.0.0 ISP-A
4  *      *              *      192.168.1.0/24 *      0.0.0.0 ISP-B
5  *      192.168.1.0/24 *      *              *      0.0.0.0 自動


No.5808 投稿時間:2006年04月09日(Sun) 20:47 投稿者名:NAZ URL:
タイトル:Re: サブネットの概念を入れれば、5行で済むはずです。

RESありがとうございます。
テスト相手がすでに帰宅してしまっため、かつ、平日昼間は仕事で
稼働していますのかで。教えていただいた設定の実施は、明日夜
以降になってしまいますが。ためさせていただきます。
なにせ。一昨日入手して、NAPTとポリシールーティングの違いから
理解しつつ(説明書が説明不足という状態で、最初は大変悩みまし
た)、設定を積み重ねていましたので。冗長性はご勘弁を。

192.168.1.11と12の間の通信ですが。
>1 * 192.168.1.0/24 * 192.168.1.0/24 * 0.0.0.0 自動
の設定が無くても、Windowsの共有設定は問題なく通っています。
LANの、HUB機能の内側については、VLAN機能を使わない限り、ルー
ターの設定は無くても問題ないようですが。LAN側のデータが外に
発信される可能性排除ということで、入れさせていただきます。


No.5809 投稿時間:2006年04月09日(Sun) 21:24 投稿者名:おやじ URL:
タイトル:勘違いした説明をしてしまいました。

> RESありがとうございます。
> テスト相手がすでに帰宅してしまっため、かつ、平日昼間は仕事で
> 稼働していますのかで。教えていただいた設定の実施は、明日夜
> 以降になってしまいますが。ためさせていただきます。
> なにせ。一昨日入手して、NAPTとポリシールーティングの違いから
> 理解しつつ(説明書が説明不足という状態で、最初は大変悩みまし
> た)、設定を積み重ねていましたので。冗長性はご勘弁を。
>
> 192.168.1.11と12の間の通信ですが。
> >1 * 192.168.1.0/24 * 192.168.1.0/24 * 0.0.0.0 自動
> の設定が無くても、Windowsの共有設定は問題なく通っています。
> LANの、HUB機能の内側については、VLAN機能を使わない限り、ルー
> ターの設定は無くても問題ないようですが。LAN側のデータが外に
> 発信される可能性排除ということで、入れさせていただきます。

古い話なので、おやじが間違った説明をしてしまいました。
ID1がないとローカルの通信ではなく、内部からゲートウェイに向かった帰り
のパケットがID4でISP-Bに行ってしまうための対策です。具体的には、ルータに
ログインしたり、pingを打ったりした場合です。
そのため、おやじの書いた設定をする場合は、一番最初にID1というか
先頭にlocal<->localの設定を入れないと、ルータとの通信ができなく
なるので注意してください。初期化するしかなくなります。
最初、これで失敗しましたので・・・。


No.5810 投稿時間:2006年04月09日(Sun) 23:56 投稿者名:NAZ URL:
タイトル:Re: 勘違いした説明をしてしまいました。

補足、ありがとうございます。
ただ。ID1の設定は、最後に行ったのですが。それまでにルーターに
アクセスできなくなるということはなかったです。04FMXだけに何か
対策されているのか、設定画面である192.168.1.1はLANにぶら下がっ
ているだけでルーターのこちら側だからなのか…。
このルーターも、いろいろと勉強が必要なようです。

一つ気になったのですが。私がやろうとしている設定だと、PCが普
通に検出できるグローバルIPと、FTPが通信しようとするグローバル
IPが異なることになります。このグローバルIPの検出はポート80の
通信試し打ちで検出する…なんいアプリもあるようで。
http://nekosogi.sytes.net/wiki/index.php?FAQ#content_1_0
>起動時にnekosogi.sytes.net:80に接続される。
の項です。
FTPのプロトコルの中身まで知っているわけではないのですが、この
2つのグローバルIPがあるという状態は、問題にはならないのでしょ
うか?。FTP用ではない側のグローバルIPが、サーバー側IPとして
クライアントに送致されたために、データ転送が見失うるとかは無
いのでしょうか?。


No.5812 投稿時間:2006年04月10日(Mon) 20:40 投稿者名:おやじ URL:
タイトル:いろいろ思いつくままですが・・・。

> 補足、ありがとうございます。
> ただ。ID1の設定は、最後に行ったのですが。それまでにルーターに
> アクセスできなくなるということはなかったです。04FMXだけに何か
> 対策されているのか、設定画面である192.168.1.1はLANにぶら下がっ
> ているだけでルーターのこちら側だからなのか…。
> このルーターも、いろいろと勉強が必要なようです。

これは、おやじの提示した設定では関係あるのです。ID4が先に有効になるとルータから
クライアントに帰るパケットがこの条件にマッチするので、クライアントに戻らなくなる
からです。NAZさんの場合は、全てホストで書いているのでルータから帰るパケットに該当
するルールがないのでそのまま戻っているのです。
オペミスも考えられるので、先頭に下記を入れておくことを薦めます。これがあれば、
最悪でもルータにアクセスできなくなることはありませんから。

ID プロト 送信先         同port 送信元IP       同port gate   ISP
1  *      192.168.1.0/24 *      192.168.1.0/24 *      0.0.0.0 自動

振り返って、NAZさんが追加された下記は完全な盲腸(NAZさんがおっしゃったL2配下の
通信なのでルータは関係ない)ですので、上の設定じゃないと意味ありません。
上の設定は、自分とゲートウェイ間の通信という意味がメインの設定です。

> >ID プロト  送信先     同port 送信元IP   同port gate   ISP
> >10 *       192.-.-.11 *      192.-.-.11 *      0.0.0.0 自動
> >11 *       192.-.-.12 *      192.-.-.12 *      0.0.0.0 自動

> 一つ気になったのですが。私がやろうとしている設定だと、PCが普
> 通に検出できるグローバルIPと、FTPが通信しようとするグローバル
> IPが異なることになります。このグローバルIPの検出はポート80の
> 通信試し打ちで検出する…なんいアプリもあるようで。
> http://nekosogi.sytes.net/wiki/index.php?FAQ#content_1_0
> >起動時にnekosogi.sytes.net:80に接続される。
> の項です。
> FTPのプロトコルの中身まで知っているわけではないのですが、この
> 2つのグローバルIPがあるという状態は、問題にはならないのでしょ
> うか?。FTP用ではない側のグローバルIPが、サーバー側IPとして
> クライアントに送致されたために、データ転送が見失うるとかは無
> いのでしょうか?。

下記をよく読んでみてください。ActiveモードではWAN側のグローバルは関係ないことが
わかるはずです。他にもいろいろ書いてあるつもりですので、一度良く読んでみてください。

http://www.aconus.com/~oyaji/router/ftp.htm

後、静的マスカレードは21だけでいいです。上のFTPの仕組みを見れば20番は方向が違うので
静的マスカレードには関係ないことがわかるはずです。現に、おやじは設定してません。

NAPTの静的マスカレード設定(ISP-B側)
プロト  RemoteIP 同port 外部IP 同port 内部IP     同port
TCP/UDP *        *      ISP-B  21     192.-.-.11 21

NAZさんの設定を見たところ、FTPだけに関してはうまくいってもよさそうなのですが、今一理由がわかりません。マスカレードは関係ないと思いますが・・・。

いろいろ書いてますが、FTPのテストは他人に頼らなくてもいいようにおやじのところで
FTPテストを用意しています。それを使用すれば、自分で外部からのアクセス状況を確認できるのでやってみてください。
但し、アクセスしてくるアドレスがサーバのグローバルアドレスと同一、つまり自宅
サーバでないとテストできないようにしてあるので、NAZさんの場合は、192.168.1.12
の端末でテストしてください。ここで、ポート番号等のログが採れるので、そのあたりを見るとヒントがあるかもしれません。本当は、Etherealで生のパケットをキャプチャすれば、どこまでうまくいっているか一目両全なので、何とかしたいならググレばいくらでも情報があるので、いれてみてはどうですか?

因みに、現状のNAZさんの環境ではPASVはできないので、やっても無駄です。
おやじのコンテンツのWindows編にあるようにWarFTPDを1.82にあげて、それなりに設定してあげればできるはずですが・・。


No.5814 投稿時間:2006年04月10日(Mon) 22:46 投稿者名:NAZ URL:
タイトル:Re: いろいろ思いつくままですが・・・。

再度、ありがとうございます。
>ID プロト 送信先 同port 送信元IP 同port gate   ISP
>1 * 192.168.1.0/24 * 192.168.1.0/24 * 0.0.0.0 自動
この設定に置き換えておきました。他の設定は、まだいじる余地が
あるので。最終決定してからマスク値で簡略化しようと思います。

その後ですが。別件で忙しく、今日はテストが出来ませんでしたが。
結局ルーターだけ自宅に引き上げて、自宅でテストすることになり
ました。明日/明後日には、現在の設定での結果をご報告できると
思います。

ご紹介のPASV/PORTの解説ページ、読ませていただきました。グロー
バルIPがどこで使われるかも理解しました。
NAPTでポートを開いて、WANへの帰りだけポリシールーティングで
指定してやればOK…とは思ってたのですが。知らないところで何か
が…という不安は常にあります。

WARFTPのバージョンアップは検討したことがあるのですが。設定
に互換が無いために、棚上げになっていますが。時間が出来たら、
そちらも検討したいと思いますが。まずはPORTモードをなんとか。


No.5818 投稿時間:2006年04月11日(Tue) 22:27 投稿者名:NAZ URL:
タイトル:Re^2: いろいろ思いつくままですが・・・。

>おやじさん
先ほど、FTPだけ別ISPの接続に成功しました。これで、最初に想定
していた運用が出来ます。

最終的には、
ポリシールーティングの設定(gateway省略)
ID プロト 送信先 同port 送信元IP 同port ISP
10 * 192.-.-.0/24 * 192.-.-.0/24 * 自動
23 TCP/UDP * * 192.-.-.11 20-21 ISP-B
26 * * * 192.-.-.11 * ISP-A
27 * * * 192.-.-.12 * ISP-B
32 * 192.-.-.0/24 * * * 自動

NAPTの静的マスカレード設定(ISP-B側)
プロト RemoteIP 同port 外部IP 同port 内部IP 同port
TCP/UDP * * ISP-B 21 192.-.-.11 20-21

DNSルーティング
送信元IP クエリタイプ クエリ インターフェイス DNSアドレス
192.-.-.11 すべて * ISP-A 0.0.0.0
192.-.-.12 すべて * ISP-B 0.0.0.0

長文でお相手いただき、いろいろとありがとうございました。
今回は、自分の未熟さというか、動くからいいやで飛ばしていた勉
強が多かったことが身にしみました。とりあえず、最勉強の為に
貴HPを隅々まで一読させていただきます。


No.5830 投稿時間:2006年04月12日(Wed) 22:00 投稿者名:おやじ URL:
タイトル:原因はなんだったのでしょうか?

> >おやじさん
> 先ほど、FTPだけ別ISPの接続に成功しました。これで、最初に想定
> していた運用が出来ます。
>
> 最終的には、
> ポリシールーティングの設定(gateway省略)
> ID プロト 送信先 同port 送信元IP 同port ISP
> 10 * 192.-.-.0/24 * 192.-.-.0/24 * 自動
> 23 TCP/UDP * * 192.-.-.11 20-21 ISP-B
> 26 * * * 192.-.-.11 * ISP-A
> 27 * * * 192.-.-.12 * ISP-B
> 32 * 192.-.-.0/24 * * * 自動
>
> NAPTの静的マスカレード設定(ISP-B側)
> プロト RemoteIP 同port 外部IP 同port 内部IP 同port
> TCP/UDP * * ISP-B 21 192.-.-.11 20-21
>
> DNSルーティング
> 送信元IP クエリタイプ クエリ インターフェイス DNSアドレス
> 192.-.-.11 すべて * ISP-A 0.0.0.0
> 192.-.-.12 すべて * ISP-B 0.0.0.0
>
> 長文でお相手いただき、いろいろとありがとうございました。
> 今回は、自分の未熟さというか、動くからいいやで飛ばしていた勉
> 強が多かったことが身にしみました。とりあえず、最勉強の為に
> 貴HPを隅々まで一読させていただきます。

是非そうしてください。
ところで、原因は何だったのですか? 解決した理由がないと、このスレは後で誰かが見ても尻切れトンボで役にたちませんし、おやじもお手伝いしただけで、自分のスキルアップに何らつながらないので虚しくなります。
何度かここでもお願いしているのですが、スレを閉めてください。是非お願いします。
見たところ、最初から気になっていたNAPTの静的マスカレード設定で20番を止めたことぐらいしか決定的な違いはないと、おやじは認識しています。


No.5835 投稿時間:2006年04月14日(Fri) 00:23 投稿者名:NAZ URL:
タイトル:Re: 原因はなんだったのでしょうか?

確かに、これが原因というのがはっきりさせたいところですが。

最初に入れていた
>プロト 送信先 同port 送信元IP 同port gate   ISP
>TCP/UDP 192.-.-.11 20-21 * * 0.0.0.0 自動
の行が入っていることが、動いている今と一番違うところですが。こ
れが原因だったのかどうかは、わかりません。
最初の状態でもログインまでは出来ていたので、port20の扱いに問
題があったのだろうと考えると、port20についての記述の差は、ここ
だけです。
プロバイダ側に問題がなかったのかも調べてみます。


No.5837 投稿時間:2006年04月15日(Sat) 09:54 投稿者名:おやじ URL:
タイトル:恐らく20番向けを静的マスカレード設定したことが原因でしょう。

> 確かに、これが原因というのがはっきりさせたいところですが。
>
> 最初に入れていた
> >プロト 送信先 同port 送信元IP 同port gate   ISP
> >TCP/UDP 192.-.-.11 20-21 * * 0.0.0.0 自動
> の行が入っていることが、動いている今と一番違うところですが。こ
> れが原因だったのかどうかは、わかりません。
> 最初の状態でもログインまでは出来ていたので、port20の扱いに問
> 題があったのだろうと考えると、port20についての記述の差は、ここ
> だけです。
> プロバイダ側に問題がなかったのかも調べてみます。

プロバイダ側に問題は有り得ないと思います。
ルータの造りに依存する話なので想像ですが、Activeモードのデータコネクションは、サーバが20番ポートをソースアドレスとしてクライアントが要求してきたアドレスとポートに向かっていく通信なので、ルータから見れば家庭内のクライアントがWebアクセスしたのと何ら変わらない形態の通信なので、NAPTの静的マスカレード設定は一切不要です。
それなのに、20番ポート向けの通信をマスカレード設定したため、20番に向かうパケットに中途半端に関与して矛盾が発生した可能性が考えられます。
チョット考えると、20番にきたパケットを20番に中継するというだけなので関係ないようにも見えますが、これはあくまでインターネット側からセッションを張りに来たパケットの(TCP-SYN)の話なので、中から始まったセッションに対して悪さをしている可能性はあると思います。いずれにしても、方向が違う通信なので、マスカレードするのはおかしいので、これで動いたということと思います。
先頭に入っていた2行は、自分から自分であり完全な盲腸でしかないので、本件とは無関係な話と考えていいと思います。



掲示板▲頁先頭