2019年2月24日日曜日

実家ネットワークの再構築

目標

WAN 直結の DMZ(192.168.0.0/24)と、純プライベートな内部 LAN 領域(192.168.1.0/24)の二段構成とし、DMZ へのゲートウェイとなるルーター(OpenWrt 機)にネットワークセパレーターとしての役割を担せ、そこで集中的にセキュリティ管理する。

現状

従来の構成は、管理上の平易さから、LAN は全て 192.168.0.0/24 のみで、WAN へのゲートウェイとなるルータを介して WAN に直結するフラットな一段構成である。今後 WWW サーバーを運用するなど外部向けの公開を念頭に入れると流石にセキュリティ上の懸念もあるため、WWW サーバーを置く DMZ とセキュリティを特に意識しないで済む内部 LAN 領域とに分け、この二種の領域の境界にネットワークセパレーターとしての OpenWrt 機を DMZ へのゲートウェイルーターとして置くという構成にしたいと考えるようになった。こうしておけば、たとえ WWW サーバーが侵入されたとしても、これを踏み台としてネットワーク的に分離された内部 LAN 領域に侵入されるわけではないので、内部 LAN 領域の安全性は維持できる(DMZ から 内部 LAN へのルーティングは行なわず、内部 LAN から DMZ への IP マスカレードによる一方的なアクセスのみ可能とする)。

デメリット

唯一のデメリットとしては、素人向けの話として丸暗記的に嫌われる「二重ルーター状態」になることで、UPnP に頼ることができなくなる点である。内部 LAN とそのゲートウェイルーターの間では UPnP を活用してもいいのだが、その設定内容に対応したポートマッピングを手動で WAN へのゲートウェイルーターにも設定する必要がある。とはいえこれは当然、得ようとしているセキュリティ上のメリットと表裏一体となる作業なのであるから、デメリットと呼ぶべきものではないことなのかもしれない。

暫定措置

理想としてはこのゲートウェイルーターに、Wi-Fi ブリッジ、OpenVPN サーバー、DHCP サーバーの役割も担わせた OpenWrt 機を当てたい所だが、現状、この位置にあるのはブリッジ運用中の NEC の Aterm WG1200HP で OpenWrt 化は無理。一方の手持ちの OpenWrt 機は WZR-HP-AG300H で、Wi-Fi 規格も古くこの要の位置に設置するには非力である。将来的には、Wi-Fi の AC 規格に対応した Netgear の R7800 あたりを入手して OpenWrt 化したものを配置したいと思っているが、現状はこのまま WG1200HP で行くことにする。

  1. ゲートウェイルーターの WG1200HP に OpenVPN サーバーや DHCP サーバーの役割を担わせず、ブリッジ運用からルーター運用に切り替えて、DMZ(192.168.0.0/24)と内部 LAN 領域(192.168.1.0/24)を区切るゲートウェイルーターとする。もちろん、Wi-Fi ブリッジとしての役目は従来通り。
  2. OpenVPN サーバーと DHCP サーバーの役割は、後方(別フロア)の Wi-Fi ブリッジである OpenWrt 機(WZR-HP-AG300H)に担わせる。
  3. 暫定措置の唯一のデメリットは、OpenVPN サーバーが奥のブリッジになってしまうという点である(DHCP サーバーを奥のブリッジに割り当てることによるデメリットは特にない)。トラフィック的に、ゲートウェイルーターに繋がった機器へのアクセスにおいて VPN 経由の通信が折り返して重複する形となる。実際には VPN はたまにしか使わないので、それほど気にすることではないのだが。
  4. もう 1 台の OpenWrt 機(こちらも WZR-HP-AG300H)は WWW サーバーや CGI/Python、DB(や、可能であればメールサーバー)の機能をセットアップし、DMZ に置く。ルーターとしての機能や(有線・無線を問わず)ブリッジとしての機能は不要である(ある意味、OpenWrt で Wi-Fi が正常に機能する機種という意味で選んだ WZR-HP-AG300H である必然性すらない。安価に入手できて省電力でそこそこ処理能力がある OpenWrt 化できる端末であればよい)。

0 件のコメント:

コメントを投稿