GW を利用して家のネットワークを再構築した。
再構築前
- VDSL modem
- WG1800HP (PPPoE client, Wi-Fi AP, router)
- (機器いくつか)
- Netgear GS108
- Thinkpad X60 (OpenVPN client, DHCP, DNS)
- (機器いくつか)
- WG1800HP (PPPoE client, Wi-Fi AP, router)
クライアントが利用するサブネットとサーバー類が利用かつ VPN 越しにアクセスできるサブネットが同居していて、クライアント類はルーティングの都合上 VPN 接続先に出ていくときは NAPT されるみたいな構成になってた。同居してるのが一番気持ちわるかった…。あとは WG1800HP の IPv6 パススルーを有効化して上流からの ICMPv6 RA などを通してるんだけど、外部からの接続拒否がなかったりしてちょっと不安だな〜という状態にもなっていた。
それと IPv6 のために FiberAccess/NF 契約しつつ固定 IPv4 のために Livedoor プロバイダを契約してたので、クライアントとサーバーで出ていく IP も変えたりとかそういう遊びもしたいなあとか。
これをなんとかした。
再構築後
- VDSL modem
- IX2015 (PPPoE client, router)
- GS108Tv2
- Thinkpad X60 (OpenVPN client, router, zabbix-proxy, DHCP, DNS)
- (vlan 300)
- WG1800HP (Wi-Fi AP, switch)
- (機器いくつか)
- WG1800HP (Wi-Fi AP, switch)
- (vlan 100)
- GS108
- (サーバー類いくつか)
- GS108
- GS108Tv2
- IX2015 (PPPoE client, router)
IX2015 はちょっと前に買って転がっていたの、GS108Tv2 は wishlist で送られてきたのを…。ギガビットルータが良いけど結局上流は 100Mbps だし。家庭内のルーティングはまあ 500Mbps くらいになってしまうけど Thinkpad X60 にやらせている。インターネットへのパケットは X60 を通るけど、インターネットからのパケットは直接 IX2015 から流れていく。IX2015 は家庭内のセグメントのルーティングはさせないである。 (細かいアクセス制御を iptables でさせてるので設定の分散を防ぐため)
あと Livedoor プロバイダがサービス終了するらしいので So-net 固定 IP プランに入れ替えた。契約したはいいものの下りが遅くて困る…
IX2015 の設定はこんな感じ。 https://gist.github.com/sorah/c8f335169742472585f4 v6 は PPPoE とか通さなくて流れてくるので適当に VLAN な if に bridge しつつ bridge ipv6 filter で VLAN によっては外部接続拒否してる。
監視
IX2015 と GS108Tv2 は SNMP で監視できるので監視している (zabbix)。SNMP 難しいからようわからんなあと思いつつ network interfaces の監視とメトリック収集は有効にした。
その他
- いろんな VLAN に顔を出している X60 は IPv6 autoconf 自分との衝突を検知して dadfailed になってしまうのがつらいので固定割り当てにした
- これどうしようもないですか、というか netifrc で autoconf を無効化できればいいんだけど…。
- 802.11q 解釈できる Wi-Fi AP が欲しい
- これの他にもう一個 802.11q 解釈できるスイッチが眠っているけど、イベントとかでちょっと使う気がするので今回は組込まなかった。
- ケーブリング上手になりたい…
- OS X で 802.11q 使うのは Network.prefpane の Manage virtual interfaces から
- 無効化は同じメニューの Make service inactive でできるので IP アドレスの設定とか保持したまま無効化したいときとかはそれで。
- X11 要らなくなった Wireshark (OS X) 最高です