古河電工FITELnet F220 で NAT とポートフォワーディング
前回の記事で ProxyDNS を有効にしたとき、DHCPv4クライアントには適用されるが、FITELnet F220 自身にはこの設定が適用されないので、別途、Nameserver を設定する必要がある、と書いた。
その後、マニュアルの、dns-server enable の項目に、
自装置からの問い合わせに関しては、ip name-server に127.0.0.1 を設定した場合に、ProxyDNS対象になり proxydns 設定に従います。
より
と記述があることがわかった。
!
ip name-server 127.0.0.1
!
dns-server ip enable
dns-server ipv6 enable
!
proxydns domain 5 any * any static 8.8.8.8 1.1.1.1
proxydns address 5 any static 8.8.8.8 1.1.1.1
!のように設定することで、ProxyDNS を提供しつつ、自身も同じ設定を使うことができる。
独特の用語
古河電工FITELnet はアクセスルータの中では定番とは言い難い。ライバル機と比べて、性能の割に価格は安いし、Cisco に似たコマンド体系で使いやすそうなのなぜ売れないのか考えてみた。
YAMAHA RTシリーズの場合は、圧倒的にユーザが多いので、設定例なども多くノウハウが共有されやすいという面があるかもしれない。
FITELnet F220 を触っていて思ったのが、ドキュメント類は充実しているものの、独特の用語の使い回しが多い上に、その用語についての説明がなく、ドキュメントを読み解くのが困難というのがある。
例えば、NAPT は一般的には省略して NAT と呼ばれることもあるが、NAT(純NAT) と呼んだ場合はポート変換を行わない、NAPT と呼んだ場合はポート変換も行う、という認識がある。
YAMAHA の場合、NAT と NAPT を区別するため、NAT と言えば純NAT を示し、NAPT のことを NAT Masquerade と呼んでいる。
FITELnet の場合も、NAT のことは NAT と呼ぶが、NAPT のことを NAT+ と呼ぶようだ。これについて、ドキュメントで説明されていないので、コマンドリファレンスの挙動から推察する必要がある。
いわゆるヘアピンNAT 機能も搭載しているが、その説明が一切なく、ip nat outside source staticコマンドとして実装されている。ヘアピンNAT は実装している機種が少ないのでこれは本機のセールスポイントになると思うのだが、そのあたりについては一切触れられていない。というか、コマンドリファレンスを読んでも、このコマンドが意味しているのがヘアピンNAT であるということに、はじめは気づかなかった。
また、ネットワークアドレスの表現方法についても使いづらさを感じる。例えば、172.30.128.0/24 の表現の仕方は、他にも 172.30.128.0/255.255.255.0 などがある。どちらも一般的に使われているネットマスクを用いた表現で、特に前者は文字列が短くて可読性が高いのでよく使われる。
FITELnet ではネットマスクが使えず、wildcard という表現方法で指定する。上記のネットワークアドレスを示す表現方法は、172.30.128.0 0.0.0.255 となる。要は、ネットマスクをビット反転させたものだが、あまり一般的な表記ではないのでわかりづらい。これは Cisco のコマンド体系に合わせた結果だと思うが、独自拡張でも良いのでネットマスクを使った表現にも対応してほしい。ちなみに、show ip route コマンドの結果などは、ネットマスク表現で返される。あまり統一性がない。
引数が複数になるときのコマンドの打ち方も分かりづらい。
NAT Masquerade の設定
PPPoE の設定の中で、特に説明はしなかったものの、NAT Masquarade の設定も入れてある。
!
ip nat pool 3 192.168.3.254 192.168.3.254
ip nat list 3 172.30.128.0 0.0.0.255
!
interface GigaEthernet 3/1
vlan-id 1
bridge-group 4003
channel-group 3
exit
!
interface Port-channel 3
ip address 192.168.3.254 255.255.255.0
ip nat inside source list 3 pool 3
ipv6 enable
ipv6 address dhcp port-channel 2 ::3:0:0:0:1/64
link-state always-up
exit
!前回の設定では、nat pool を使わず、PPPoE に紐づけた Tunnelインタフェースに割り当てれたアドレスを使う、interface を使った。
明示的にアドレスを指定する場合は、ip nat poolコマンドで外部側で使う(変換後)のアドレス、ip nat listコマンドで内部側の対象のアドレスを指定して、該当するインタフェースの設定の中で、それぞれ NATリスト番号、pool番号を指定する。
動作としては、アドレスに余裕があるうちは純NAT として動作していくが、アドレスを使い尽くすと、NAPT として動くようになる。ある意味、親切な設計と言えるものの、例えば動作テストを行うときにテストの範囲だと(純NAT領域なので)問題なく動作するのに、クライアントが重複してくると(ポートがかぶるため、NAPT に移行する)接続できない、といったトラブルが出ることが懸念される。
対策として、アドレスの在庫に関わらず必ず NAPT として動作させる、overload オプションがある。
ポートフォワーディング
家庭用ブロードバンドルータで言うところのポート開放、YAMAHA RTシリーズで言うところの静的IPマスカレードエントリについては、ip nat inside destination staticコマンドで指定する。
!
access-list 21000 permit udp any range 10000 20000 any
access-list 205060 permit udp any range 5060 5061 any
access-list 209000 permit tcp any range 9000 9000 any
!
interface Tunnel 5
description YBB
ip access-group 100 in 1
ip access-group 205060 in 205060
ip access-group 209000 in 209000
ip access-group 210000 in 210000
ip access-group 111 in 1000000
ip access-group 121 out
ip nat inside source list 1 interface
ip nat inside destination static 0.0.0.0 5060 5061 172.30.128.151 5060 proto 17
ip nat inside destination static 0.0.0.0 9000 9000 172.30.128.111 9000 proto 6
ip nat inside destination static 0.0.0.0 10000 20000 172.30.128.151 10000 proto 17
tunnel mode pppoe profile PPPoE/YBB
pppoe interface gigaethernet 2/1
ddns-client address ip action http-client 5 delay 5
exit
!この設定例の場合、UDP/5060~5061ポートに来たパケットを、LAN側の 172.30.128.151 UDP/5060~5061ポートに転送する。UDP/10000~20000ポートに来たパケットを、LAN側の 172.30.128.151 UDP/10000~20000ポートに転送する。proto 17 は UDP の意味。
TCP/9000ポートに来たパケットを、LAN側 172.30.128.111 TCP/9000ポートに転送する。proto 6 は TCP の意味。
ソースIPアドレスに指定した、0.0.0.0 は any の意味。
また、これに対応した accesss-list も追加する。
YAMAHA RTシリーズの ip filterコマンド、nat descriptor masquerade staticコマンドに相当。
富士通Si-R と兄弟機なのか?
YAMAHA RTシリーズ、NEC UNIVERGE IXシリーズと並んで、アクセスルータの定番、富士通Si-Rシリーズの仕様を見ていたときにふと気づいたが、富士通Si-Rシリーズの筐体は古河電工FITELnetシリーズと同じものだ。
古河電工FITELnet F220 151,250円(税込み)
古河電工FITELnet F221 199,650円(税込み)
2019年10月1日販売開始
富士通Si-R G210 164,230円(税込み)
2019年12月26日販売開始
富士通Si-R G211 214,830円(税込み)
2020年1月31日販売開始
古河電工FITELnet F70 95,480円(税込み)
古河電工FITELnet F71 126,280円(税込み)
2020年11月発売
富士通Si-R G120 110,000円(税込み)
2021年1月4日販売開始
富士通Si-R G121 147,950円(税込み)
2021年1月4日販売開始
古河電工FITELnet F2500 約120万円
2018年10月販売開始
富士通Si-R GX500 1,644,500円(税込み)
2017年11月30日販売開始
筐体が同じだけなのか、中の SoC など、ハードウェアも同じなのかはわからないが、たぶん同じだろう。
FITELnet F220 の基板を見ても、古河電工、もしくは富士通と分かるような型式などは書かれていない。
FITELnet のサイトには、FITELnetシリーズは、国内開発・製造の純国産品。と書かれているが、基板自体は MADE IN CHINA と書かれている。自社開発とまでは書いていない。これは販売は古河電工が行っているものの、設計・開発・製造は子会社の古河ネットワークソリューションが行っているためと思われる。
FITELnet ではキャリアグレードのマルチサービスルータとして、FITELnet FX2、FX1、FX201 などを展開しているが、富士通の場合はこのクラスだと Cisco Systems の製品の取り扱いになる。