このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

ルータとDNSの設定について

発言者:中條昌彦
( Date Thursday, August 28, 1997 18:21:26 )


いつも参考にさせて頂いております。
DNSとルータの関係について、質問させていただきます。

社内のMACでホームページやE-mailを使っていわゆるイントラネットを
組んでいましたが、最近OCNエコノミーで専用線を引き、ルータにIPMATE1000R
を使い社内のLANをインターネットにつなぎましたが、一部うまくいきません。

まず、社内のネットワークですが、1台のMACにDNS(QuickDNS),Mailサーバ
(AIMS)、Webサーバ(WebStar)を走らせています。イーサネットで、クライアン
トが20台程つながっています。
社内のMACには、すでに使用していたローカルアドレス(192.1.1.1-192.1.1.***)
をそのまま使用し3つのサーバがのったMACには、192.1.1.100をあてています。
ルータには、192.1.1.101をあてました。

ルータの設定は、LAN側には、グローバルIPを使用させず、NAT機能を使用。サーバ
のローカルアドレス192.1.1.100にグローバルIP 210.***.***.*** を対応させる
NAT statick を使っています。

DNSの設定は、ローカルアドレスで使っていたものをそのまま使用しています。

この状況で、次の様な結果になっています。
 1 社内のクライアントから外部のホームページは閲覧可能、もちろん社内
   のホームページも閲覧可能
 2 社内外でのメールのやりとりは、OK
 3 外部から社内のホームページは見れない。ただし、 http://210.***.***.***/
    とグローバルIPを指定すると閲覧できる。
   
外にお見せするようなページではないのですが、どこかの設定がまずくて  ”3”
 のようなことになっているのだと思います。

たぶん、DNSとルータの設定の問題だと思うですが、どうしたらいいかわかりません。
宜しく、お願いいたします。

ざんげ さんからのコメント
( Friday, August 29, 1997 10:10:21 )

> 3 外部から社内のホームページは見れない。ただし、 http://210.***.***.***/
>    とグローバルIPを指定すると閲覧できる。

各プロバイダーのキャッシュの入れ替えができてないとそうゆうことが起こるそうです。
時間がたてばそのうち繋がるそうです。
プロバイダーの設定によっては、なかなか変わってくれないところもあるようです。

あと、WebサーバーのIPアドレスを変更されたでしょうか?
一番最初に設定した時のIPアドレスが各プロバイダーでキャッシュされているので、
WebサーバーのIPを変えると繋がらないプロバイダーが出てきます。

うちも同じ現象があったので某NTTさんに聞きましたら、そうゆーことだそうです。

中條昌彦 さんからのコメント
( Friday, August 29, 1997 11:30:16 )

ざんげさん コメントありがとうございます。

いままで、外にはつなげてなかったのでグローバルIPアドレスを
取得したのは、はじめてです。
OCNからの設定の確認の返事もまだきていませんので、
様子をみてみます。

それにしても、素人がやったルータとDNSの設定で、自信がありません。
サーバ側にローカルIPをもたせたままで、本当にいいんでしょうか?

ざんげ さんからのコメント
( Tuesday, September 02, 1997 10:03:01 )

ローカルIDを使用したことがないのでわかりませんが、
(ぼくは、技術的なことはほとんどわからない)
外部からグローバルIP(http://210.***.***.***/)で接続できるということは、
ルーターの設定が間違っている可能性は低いので、
DNS設定でIPアドレスとドメイン名の対応がうまくいってないような気がします。
WebサーバーとDNSサーバーはローカルIPを使用せず、
グローバルIPを設定してはいかがでしょうか?
それで、うまくいった暁には、別のwebサーバーでローカルIPをテストしてみたら
原因が分かると思います。

大西恒樹 さんからのコメント
( Tuesday, September 02, 1997 21:26:57 )

すみません、今更書き込むのも気が引けますが、どなたからも反応がないよう
なので。

>ルータの設定は、LAN側には、グローバルIPを使用させず、NAT機能を使用。サーバ
>のローカルアドレス192.1.1.100にグローバルIP 210.***.***.*** を対応させる
>NAT statick を使っています。

>DNSの設定は、ローカルアドレスで使っていたものをそのまま使用しています。

これはつまり、プライマリDNSサーバのデータベースファイルに、ホスト名に
対してプライベートアドレスを設定しているということですよね?

#つまり、ホスト名から到達可能なIPアドレスを引くためのファイルが世界中
 探しても存在しない、ということになってはいませんでしょうか?

中條昌彦 さんからのコメント
( Wednesday, September 03, 1997 20:15:58 )

大西さんコメントありがとうございます。

やはり、DNSの設定はグローバルで書かないとダメなわけですね。

ざんげ@質問 さんからのコメント
( Thursday, September 04, 1997 10:27:43 )

大西さん質問です。
外部からグローバルIP(http://210.***.***.***/)で接続できるというもとは、
世界中からIPアドレスを認識しているはずですから
DNSでドメイン名との対応の設定のミスなのではないでしょうか?
これが可能なのであれば、うちもローカルIPでせっていしたいなぁと思いまして(((^^;

大西恒樹 さんからのコメント
( Thursday, September 04, 1997 17:02:47 )

外部からIPアドレスで接続できるということは、正しくルーティングができて
いるということです。それから、恐らくドメインの使用ネットワーク、プライ
マリ、セカンダリの登録も完了しているでしょう。では何が問題かというと、
プライマリにホストの情報がローカルIPのみで書かれているということです。

プライマリはそのゾーンに対する権限を持っていて、セカンダリはゾーン転送
によってその情報を定期的に読み込んで常に新しく保ちます。ですから、プラ
イマリにwww.nakajo.co.jp IN A 192.168.1.100とだけ書かれていれば、それが
そのままセカンダリに読み込まれます。(192.1.1.100と書かれていましたが、
192.168.1.100の間違いですよね?)したがってネットワークの外から、www.
nakajo.co.jpにアクセスしようとしても、受け取るアドレスはプライベート
アドレスということになるんではないでしょうか?

可能性としてはホストにグローバルとプライベート両方のアドレスをファイルに
書いておけば、最寄りのアドレスを返してくれる、というのがあった気がしますが、
(BINDではね)QuickDNSでそれができるかどうか私にはわかりません。

ざんげ さんからのコメント
( Thursday, September 04, 1997 21:14:12 )

大西さんありがとうございました。

中條昌彦 さんからのコメント
( Saturday, September 06, 1997 18:32:29 )

さんげさん、大西さん、大変貴重なコメントをいただきありがとうございました。

おかげさまで、ようやく、ルータとDNSの設定が無事終了いたしましたので報告します。

*********
ルータ
1 LAN側に契約アドレスを使用  (サーバのみにグローバルIPを使用)
2 NAT機能は使用しない
3 NATStatick 使用しない。
4 DHCP使用する (クライアントが20台程いますので)

DNS
OCNのサンプルを参考に作成

********
上記の設定で、一応正常に機能しています。

ただ、若干の問題は
1 メールの確認の度に、DHCPサーバ(ルータ)に問い合わせをしているためか、
作業中のクライアントのMACの反応が時々悪くなる。

2 クライアントのマックOSをすべて、7.6に上げたが、一台インストールできない
ものがでてきた。(キャッシュに関する所の不良らしい。現在、修理中)

3 AIMSの起動時に Returned name が返ってこない。ただし、一応正常に機能
している。

>>>>>>>>>>

といったことはありますが、現在の所、回線の具合もすこぶる順調で快適にインターネット/
イントラネットが出来るようになりました。

大西恒樹 さんからのコメント
( Sunday, September 07, 1997 08:58:12 )

せっかく快適になったところ悪いんですが、試しにアドレスを全てローカルに
戻してNATを使用、サーバにはNAT Staticで設定した状態で(全く元に戻した
状態)QuickDNSのnakajo.co.jpのデータファイルの
host.nakajo.co.jp IN A 192.168.1.100の下に
host.nakajo.co.jp IN A 202.***.***.***という行を加えてみていただけます
でしょうか?(CNAMEで複数のホストを設定していたら大本のホスト)
1.の症状が改善する「かも」知れません。

#面倒でしたら忘れてください。


中條昌彦 さんからのコメント
( Monday, September 08, 1997 08:41:57 )

今度の休みの時にやってみます。

西村俊一 さんからのコメント
( Thursday, September 11, 1997 13:19:51 )

中条さんと同様の環境でOCNとIPMATE 1000Rを導入したのですが、
NATやDHCPなどの設定で行詰っていました。
サポートセンターに問い合わせても一向に埒が明ない毎日が続いていたため、
というわけで、たまたまここの情報を見つけた時には非常に感激しました。
ただ、私のところでは中条さんの初期設定と同様の設定をしていたのにもかかわらず、
症状が重く、内部および外部からまったくDNS等のサーバを認識することができなく
なってしまいました。というわけで、現状では、割り当てられたグローバルアドレス
のみを使用して運用している次第です。

書き込みを参考に、再チャレンジしてみたいと思います。
ところで、知識不足で申し訳ないのですが、大西さんの言われている
QuickDNSで書き加える情報の「host」というのはDNSの事をさしているのですよね。

中條昌彦 さんからのコメント
( Thursday, September 11, 1997 20:35:36 )

西村俊一 さんへ

グローバルアドレスを割り当てた分で、うまくいっているのであれば、
ルータのDHCPを『使用する』にセットして、グローバルアドレスを割り振れない
分については、TCP/IPで『DHCPサーバを使用する』と設定すればうまくと思い
ますがどうでしょうか?

ところで、わたしの方は、
『1 メールの確認の度に、DHCPサーバ(ルータ)に問い合わせをしているためか、
作業中のクライアントのMACの反応が時々悪くなる。』
の症状が、悪化しています。
ひどい場合は、ネットスケープがそのまま止まっていまいます。そこで大西恒樹 さん
のアドバイスに従ってなんとかローカルIPでいけるようにしたいと思いますが、
逆引き(***.***.***.***.in-addr.)の方にもグローバルのNSレコードやPTRレコードは
必要ないでしょうか?
試しに、現状の逆引き(グローバル)にローカルのNSレコード・PTRレコードを追加
しましたら,NSレコードのパラメタ1のdns.***.co..jpは入力できず0.0.0.0に
なってしまします。

中條昌彦 さんからのコメント
( Thursday, September 11, 1997 20:52:33 )

ひとつ説明するのを忘れてました。
『1』の症状が悪くなったので常時使用しているクライアントには
グローバルアドレスを割り当てたました。
使用していないグローバルアドレスは3つになりで、これを7ー8台
のDHCP設定のMACで使っていることになっているのだと思います。
この7ー8台のMACを使っている人から、とまった!遅い!とクレーム
がついて困っております。

西村俊一 さんからのコメント
( Friday, September 12, 1997 00:25:05 )

中條さん、素早いコメントありがとうございます。

ご意見参考にさせていただきます。
常時アクセスされているサーバーなので、作業に際してはなるべく短時間で
作業が終わるよう、事前の準備(知識)をしておかねばと思っている次第です。
しかしながら、私の環境も中條さんのところと全く同じソフトを使い、一台のMac上に立
ち上げているため、中條さんの直前のコメントでもおっしゃられているような症状が発生
してしまう可能性が大なわけですよね。困った。
グローバルアドレスでの接続が簡単に行ってしまったため、その後の拡張機能を利用した
作業も軽く考えてしまったのが大間違いでした。
今週末にでも作業を行う予定ですので、それまでに実行方法のパターンをいくつか用意して
望みたいと思います。
もちろん中條さんの方法は真っ先に試させていただくつもりです。

大西恒樹 さんからのコメント
( Friday, September 12, 1997 02:36:37 )

すみません、中條さん。考えてみれば、ルーターにグローバルアドレス、
その他全てにプライベートアドレスを振って、サーバーを1対1のNAT Static、
残りのクライアントにも1対複数または複数対複数のNAT変換という状態でし
たら、何もDNSの設定で
>host.nakajo.co.jp IN A 192.168.1.100の下に
>host.nakajo.co.jp IN A 202.***.***.***
なんてことしなくても、下の行だけ(グローバルIPの方)あれば良いかも
知れません。

中條昌彦 さんからのコメント
( Friday, September 12, 1997 11:17:24 )

今朝、次のように設定をかえましたら、今のところうまくいっております。

ルータ
1 LAN側に契約IPを使用しない
2 NAT使用する
3 NATstatick 使用する 
4 サブネットマスクは 255.255.255.240

DNS
1 グローバルで記述してものをそのままに

IPアドレス
ルータのところでLAN側に契約IPを使用しないとしていますので、
ローカルを使用するわけですが、全然別にするとDNSの設定がまたおかしく
なりますので、グローバルと同じアドレスをローカルにします。
サーバに関しては、グローバルと同じものをローカルにします。
NATstatick 使用し、サーバのグローバルとローカルを対応させます。
また、ルータのアドレスもグローバルとローカル同じものをつかいます。
クライアントのアドレスも、ローカルになりますが、OCNからあたえら
れたグローバルを順番に振っていきます。台数が20台はほどありますので、
当然足らなくなるのですが、気にせずそのまま振っていきます。あくまでローカル
ですから問題ないはずですよね。
このとき、クライアントのサブネットマスクは 255.255.255.0 にします。

この設定で、とりあえず順調に動いてます。DHCPも使わないでいいので
一時的に反応がわるくなるといったこともなくなりました。OCN側のチェックを
まだ受けていませんので、OKとは言い切れませんが、いけるような気がします。



大西恒樹¥ さんからのコメント
( Friday, September 12, 1997 18:29:08 )

すみません、中條さん、「グローバルとローカル同じものを使う」、「グロ
ーバルと同じアドレスをローカルにする」とはどういうことなのでしょう?

中條昌彦 さんからのコメント
( Friday, September 12, 1997 21:37:21 )

大西恒樹さんへ 

例えば、OCNから割り当てられたグローバルが200.100.100.50 から16個
として、LAN側にローカルを使用するとき普通は192.162.1.1とかにするのが
普通だと思うのですが、これを 200.100.100.1  からあくまでローカルのアドレス
として、わりあてます。サーバには200.100.100.52を当てます。
話は、ややこしいのですが、これが、本当にローカルだけで外につながって
いないとすれば、問題ないですよね。この状態でOCNのいってるDNSの
設定をします。イントラネットができあがります。
次にルータをつないで、インターネットにつなぐんですが、ルータの設定で、
LAN側は、ローカルを使えと指示します。
そして、NAT statick で サーバのローカル 200.100.100.52がグローバル
200.100.100.52に対応すると指示します。ルータ自身もグローバルが
200.100.100.51でローカルが200.100.100.51と指示します。

そうすると、DNSの設定をOCN側からみた場合、グローバルの意味で、
正しいものになっています。もしローカルを192.***.***.***としていると
そのDNSは最初のご指摘のように、OCNからみると理解できないもの
になってしまします。

説明がへたで、申し訳ないですが御理解いただけたでしょうか?



西村俊一 さんからのコメント
( Friday, September 12, 1997 23:25:13 )

中條さんへ

なるほと、192〜からはじめるプライベートアドレスでは色々と問題が出ることが
わかっているので、あえて200〜のアドレスを振るわけですか。
これでうまく行っているのだとすれば、コロンブスの卵的発想ですね。
でも、不思議なのはプライベートアドレスに192〜からのアドレスと振った場合と
基本的に同じことをやっているにもかかわらずこちらだけがうまく行くというのが
不思議です。それにしても実行してみる価値大ですね。
実験結果は改めて報告します。

大西恒樹 さんからのコメント
( Friday, September 12, 1997 23:51:34 )

>これが、本当にローカルだけで外につながって
>いないとすれば、問題ないですよね。

やはりそれはまずいでしょう。ご存じのように、プライベートアドレスと
して使用できるアドレスブロックはRFC1918によって決められています。
ネットワーク管理者としては最低限守るべきルールではないでしょうか?

>もしローカルを192.***.***.***としていると
>そのDNSは最初のご指摘のように、OCNからみると理解できないもの
>になってしまします

これはローカルに192.***.***.***を使ったから外から見えなかったのでは
なく、プライマリーのデータベースファイルにグローバルで記述されていな
かったからではないでしょうか?今の状態で全ての端末に正規のプライベート
アドレスを付け替え、NAT変換テーブルもローカルの部分を正規のプライベート
アドレスに書き換えればOKだと思うんですが駄目なんですか?


西村俊一 さんからのコメント
( Saturday, September 13, 1997 00:46:17 )

大西さんへ

自分の経験からも、192からのアドレスを振った場合、たぶんダメだと思います。
これがうまく行っていれば、私もここで質問していません。
でも、もう一度トライはしてみます。

ざんげ さんからのコメント
( Saturday, September 13, 1997 13:36:23 )

ふむふむ、、、、、、、にゃるほど。参考になります。

中條昌彦 さんからのコメント
( Saturday, September 13, 1997 19:05:49 )

大西恒樹さんへ
いつも貴重なコメントをいただきありがとうございます。
わたしも、どうも”うさんくさい”気がしておりましたが、
RFC1918というルールがあったとは知りませんでした。

さて、御指示に従いDNSの設定をそのまま(グローバル)にして
LAN側に正規のローカルアドレス(192.***.***.***)をふりなおしてみました。
ルータは、LAN側にローカルを使うと指示し、NATを有効、NAT statick
でサーバのローカルとグローバル、ルータのローカルとグローバルを対応させました。

さっそくネットスケープを立ち上げると自分とこのwww.******.co.jpにつながりませんでした。
しかし、外部のホームページは見れます。次にメールを受信しようとすると
これも、受け取れません。これは、あかんと思ったのですが、ためしにwww.
のかわりに192.***といれますとすっとつながります。メールの方も送受信サーバ
を mail.***** を192.***  としますと送受信できました。外部への送信もOKです。
次に外からwww.******.co.jpとうちますと、これはOK。メールを***@mail.****.cp.jp
におくるとこれもちゃんと着きました。

結局、社内のLANにおいては、DNSは無効になっていて、ローカルIPを
直接打つ必要がありますが、外部とのやりとりはちゃんとDNSが働いている様です。

社内のメールは頻繁にチェックさせているので、DNSを通らない分はやくなって
都合がいいと思います。
これでもどこかおかしい気がしますが、これから全マックの設定を換えていきます。

ちょっと気ががりなのは、AIMSが立ち上がる時に、
DNS error -23012
No name:  [192.***.***.***]
Server name is mail.*****.co.jp
と表示されることです。

ところで、ローカルを192.1.1.1から振ったのですけどこれはいいのでしょうか?

大西恒樹 さんからのコメント
( Saturday, September 13, 1997 23:56:14 )

>ところで、ローカルを192.1.1.1から振ったのですけどこれはいいのでしょうか?

プライベートアドレスとして予約されているアドレスブロックは以下の通りです。
10.0.0.0  〜 10.255.255.255
172.16.0.0 〜 172.31.255.255
192.168.0.0 〜 192.168.255.255

>結局、社内のLANにおいては、DNSは無効になっていて、ローカルIPを
>直接打つ必要がありますが、外部とのやりとりはちゃんとDNSが働いている様
>です。

これはDNSの記述がグローバルのみであるために、ホスト名に対してグローバル
アドレスが当然返されますよね、するとルーターの認識ではそのホストはプライ
ベートアドレスを振られているのでどこにルーティングして良いかわからない
状態だと思います。それを防ぐために

>host.nakajo.co.jp IN A 192.168.1.100の下に
>host.nakajo.co.jp IN A 202.***.***.***という行を加えてみていただけます
>でしょうか?

と言ったわけなんですが。でもそれよりもサーバー、ルーターに対しては素直に
グローバルアドレスを振ってしまうのが一番かと...。(掲示板だと言いたい
ことがうまく伝わらず、ずいぶん回りくどい言い方になりましたが、最初から
こう言えば良かったのかも)ただこの時NAT変換テーブルの書き方、機能がルーター
によって違うかもしれませんので気をつけたほうが良いかもしれません。

>社内のメールは頻繁にチェックさせているので、DNSを通らない分はやくなって
>都合がいいと思います。これでもどこかおかしい気がしますが、これから全マック
>の設定を換えていきます。

これは正規のプライベートアドレスに直しさえすれば、すこしもおかしくないと
思います。DNSに問い合わせるのは、IPアドレスを知るためですから、始めから
わかっているのならわざわざ問い合わせなくても良いでしょう。

>メールを***@mail.****.cp.jpにおくるとこれもちゃんと着きました。

MXレコードは?

西村俊一 さんからのコメント
( Sunday, September 14, 1997 03:14:07 )

大西さんへ

結果として、ルータ側のアドレス変換スタティックを使い、DNSの内容は
当初から設定しているグローバルアドレスを元にしたものだけでよいこと
になるのでしょうか?

大西恒樹 さんからのコメント
( Sunday, September 14, 1997 13:20:14 )

中條さんのやられていることは、LAN側にプライベートアドレスを振り、
サーバーに対して1対1のNAT変換、その他の端末に対して1対複数の
Auto NATで変換、DNSの記述をグローバルアドレスにし、LAN内からサーバー
にアクセスする時は実際にサーバーに振られているプライベートアドレス
でアクセスする、ということだと思います。これはこれで全くOKだと
思います。(最初からまわりくどい言い方をせずにDNSをグローバルで
書き換えれば済むと言えば良かったようです。私が悪うございました。)

で西村さんの問いに対しては、「はい」、ということになるでしょうか?


中條昌彦 さんからのコメント
( Sunday, September 14, 1997 16:14:40 )

大西恒樹さんへ
何度もコメントをいただきありがとうございました。
さきほど、正規のローカルアドレスに振り直して一段落したとこです。
いろいろとトライアンドエラーを重ねましたが、大西さんやザンゲさんの
おかげでここまでたどり着くことができました。
MXの件は、もう一度チェックしてみます。

西村俊一 さんからのコメント
( Monday, September 15, 1997 06:24:08 )

中條さん、ことがうまく運んでよかったですね。
私のところでは皆さんのコメントを参考に設定を繰り返したあげく、
中條さんが書いたコメント( Saturday, September 13, 1997 19:05:49 )
の内容とまったく同じ症状になってしまいました。
ご意見を伺いついででお恥ずかしいのですが、中條さんはその後どのように
設定をおこなわれたのでしょうか?
差し支えなければ具体的にお教えいただけると助かります。
よろしくお願いします。

ざんげ さんからのコメント
( Monday, September 15, 1997 14:20:30 )

中条様
ルーター(IPMATE1000R)の設定内容とDNSのPrimary Dataの内容を
記述していただければ助かります。お願いします。
中条さんのおかげで何人の方が無駄な努力から救われるか、
はかりしれませんです((((^^;

※努力したくないとは言いませんが、
 昨日間違って設定したらしくてうちのサーバーが認識されませんでした。
 (はじゅかしい、、、、、、)

ざんげ さんからのコメント
( Tuesday, September 16, 1997 11:12:53 )

ルーター(IPMATE1000R)の設定を間違えたらTelnetで入れなくなってしまった。
NTTからルーターに入ってもらって再設定してもらったらようやくうちから入れるようになった。

OCNでルーター設定がわからない場合は聞いてくださいとのこと。
フリーダイヤル 0120-047-862 です。