_★
![[INET]](cat/inet.png)
自宅ネットワーク不具合
先般からFortiGateを試験運用してるが、その関係か自宅ネットワークが一部で不具合が出ている。
いずれも致命的ではないが気持ち悪い問題なので解消するための作業をした。
不具合としては以下の3点。
(1)グローバルIPからを付加したLinux計算機から同じグローバルセグメントのConoHaVPSのWEBが見えない。不思議なことにpingは通過する。
(2)タブレットから自宅NAT経由でConoHaVPSのWEBが見えない。
(3)FortigateのDMZ側に自宅内からのpingを含めて全部通信不能。
まず(1)について調査。
ConoHaVPSでtcpdumpとPFのログを確認。
すると、tcpdumpで見えていたパケットがPFで見えない。
PASSにもBLOCKにも出て来ない。
散々悩んでPFの設定を確認したらBLOCKしている設定でログを取っていない項目があった。
不正アクセスを防ぐwhitelistのsshguardの設定だ。
もしかしてと思い、sshguardのホワイトリストにグローバルIPを記述したら疎通した。
TCP以外はsshguardは効かないようになっていたんでpingとかtracerouteは疎通した訳だわ。
あと別件でPFの設定を見ていたら、よろしくない設定がいくつかあった。orz
次に(2)について。
ルータのログをタブレットから自宅NAT経由でNATで自宅グローバルIPにアクセスすると何故かアドレス変換されずにプライベートアドレスのままConoHaVPSに行ってしまう。
で、ConoHaVPSからの戻りパケットが自宅セキュリティゲートでブロックされてしまっていた。
通常であればグローバルIPから来ているのでセキュリティゲートに行かずインターネット
空間側に出て、またNATに戻って来てステートフルインスペクションで入って来るけど、そうなっていない。
原因は分ったんで色々と経路テーブルをいじってみたけど全然駄目。
これはペンディングすることにした。
最後に(3)について。
FortiGateのDMZ側のインターフェース宛にpingしても疎通が無い。
正確には直接接続されているセグメントからのpingは通る。
で、色々と調査した結果FortiGateはインターフェースに付加IPしたパケットに対しては内部でルーティング対象になっていないのではないかと推測した。
インターフェイスAに付加したIPパケットは同じインターフェースからしか出せないのはないか?。
内部でインターフェイスAからインターフェースBに行かないっぽい。
これが仕様だとすればお手上げだわ。
![[時間ねぇ〜]](./icons/busy_banner.png){kind=icon}
![[RSS]](./icons/rss.gif){kind=icon}