二重ルータにしました

PC
ブログ

概要

我が家のインターネット構成をルーター2つつなげて、二重ルーターにしました。

理由

このブログでも書いていますが、現在ハニーポット(T-Pot)を運用しています。ハニーポットは、世界中からの攻撃(アクセス)を受ける(=我が家の中にまで攻撃が来ることになる)ので、ハニーポットには来ていい攻撃も、その他の通常使用のインターネット用パソコンやスマホにまで影響を与えられてはたまりません。そのため、「格安サーバー(クラウド)」を借りて運用するか。「家庭用インターネット回線を2つ契約するか」「二重ルーター」にするかで迷いました。

格安サーバーを借りることについて

我が家はそれほど裕福ではありません。たとえ、月々1,000円程度のサーバーを借りたとて、年間1万円以上それを何年も運用するとなると、何十万と払うことになります。それは、ちょっと家計がきついです。またサーバーを借りても、そこでハニーポット(T-Pot)を運用してよいかどうかの確認も必要になりますし、万が一同じサーバーを借りている他の人に悪影響があったとしたら、目も当てられないと思い、やめました。ただ、この方法で運用されている方は大勢いらっしゃいますし、運用してもよいかどうかの確認もした後に契約をしている方もいるので、他の人に迷惑をかけることもそうはないのでしょう。そうなると、私は値段の上での断念です。

家庭用インターネット回線を2つ借りることについて

これができると、他人に迷惑をかけることなく、かつ完全に我が家内で、ネット環境を分けることができるので完璧です。しかし、値段は一番高い。それでやめました。

二重ルーターについて

以上2つの方法は、書いたとおりの理由で断念しました。二重ルーターなら、ルーターを2つ買うという初期投資以外はネット回線がいるだけで、ランニングコストが抑えられます。ということで、私はこちらにしました。そして、よく二重ルーターは不具合を招くと書かれていますが、私は現在3か月ほどこの状態で運用していても、まったく支障がありません。ただ、我が家にはDSなどゲーム機がなく、特殊なネット環境が必要な環境でないことが幸いなだけかもしれません。

二重ルーターの構成

というわけで、二重ルーターにしているわけですが、我が家ではどのような構成にしているか。また、どのような設定にしているかをメモがてら記していきたいと思います。構成は以下の通りです。

構成概要

ルーター1:Buffalo WSR-1166DHPL2

まずは、ルーターがひとつの時でもする、インターネット回線につなげる設定です。
これは、プロバイダから送られてきた設定方法に従って設定をしてください。
ルータ1の内側の「LAN」設定です。ここでは、構成図の青点線内のDHCPクライアントにどこまでIPアドレスを振るかを設定しています。上記の設定は「192.168.1.2~192.168.2.65(※1)」になるように設定されています。ここでの注意事項は「T-Pot」と「ルーター2」のIPアドレスが、この(※1)のIPアドレスに含まれないようにすることです。
ここでは「T-Pot」のIPアドレスが「192.168.11.100」
「ルーター2」のIPアドレスが「192.168.1.200」なので大丈夫です。
ここでは、ルーター1から来た攻撃(アクセス)が、「T-Pot」にすべて届くように設定しています。「T-Pot」のIPアドレスが「192.168.1.100」なので、上記のように設定すると、インターネットからルーター1へ来たアクセスは、すべて「T-Pot」に届くようになります(※2)。
ただし、本当にすべてのアクセスが届きますので、何にも防御するものがない状態になると考えても結構です。サイバー攻撃さん先客万来状態と考えてもらってもいいと思います。この「DMZのアドレス」を設定しなければ、比較的安全なネットワークであると考えてもよいと思います。もちろん他の設定にもよりますが・・・。

ルーター2:Buffalo WSR-5400AX6S

ルーター2以下の割り当てるIPアドレスを「192.168.2.2~192.168.2.65」にしています。
さてここが一番重要です。ルーター2のインターネット側の設定になります。ただ実際は、ルーター1によって作られたネットワーク空間(192.168.1.〇)が、ルーター2にとってのインターネット側ということになります。
まず、「IPアドレス取得方法」を「手動設定」で「IPアドレス」と「サブネットマスク」を設定します。ここでのIPアドレスが、ルーター1側のネットワーク空間(192.168.1.〇)における、ルーター2のIPアドレスの設定ということになります。ここでは「192.168.1.200」としています。サブネットマスクは「255.255.255.0」でいいです。
次に「拡張設定」の「デフォルトゲートウェイ」と「DNSサーバーアドレス」です。これはルーター1を指定します。ですのでこの場合は両方とも「192.168.1.1」です。

これで完成です。

(※2)ここまでくると、じゃあ(※2)で、インターネットからのルータ1へのアクセスはすべてT-Potに届くということは、このルータ2内のネットワークから、インターネットを閲覧できないのかという疑問があるかと思います。通常家庭用ルーターは、ステートフルパケットインスペクションという機能があり、自分のところから出て行ったパケットの返答が返ってきたときは、元の場所へパケットを通すという機能があります。ですので、「構成概要のPC(192.168.2.○)」からインターネット検索をした場合は、その戻りパケットはPCまで戻ってくることになります。

コメント