私は自治体の三層分離のネットワークやガバメントクラウドなど、閉域ネットワークを業務で扱うのですが、職場に検証環境がないため、自宅で中古のネットワーク機器を買ったり安いサーバーに Linux を入れたりして、好きに検証できる環境を運用しています。
ふと自宅のネットワーク構成図の話題を見かけたので、いい機会だと思って自宅の検証用のネットワーク環境を構成図に書いてみました。
自宅ネットワークの要件
なるべく費用をかけずに、AWS 側も含めて閉域ネットワークの検証環境を柔軟に用意できることが一番の目的です。
また、グローバル IPv4 アドレスは費用が高くて使えないため、これに依存せず、IPv6 アドレスを使って IPv4 アドレスの閉域ネットワークを実現できることも目的としています。
ご自宅のネットワーク構成図
ネットワーク構成図は以下のとおりです。アイコンは日経 BOOK PLUS 発行の ネットワーク図の描き方入門 の付録でダウンロードしたものを使い、描き方も本書を参考にしてみました。
構成は大きく分けて、自宅のオンプレミスと、実家のリモート拠点と、ガバメントクラウドに見立てた AWS 環境をそれぞれ閉域ネットワークで接続しています。
自宅ネットワークのお気に入りポイント
検証用ネットワークは家庭用ネットワークと分離
ネットワークのコアは RTX 1210 で、ここで WAN と家庭用ネットワークと検証用ネットワークをネットワークインターフェースで明確に分離しています。
検証用ネットワークは Fortigate で VLAN インターフェースを切って制御しており、Fortigate の下には Cisco のスイッチを VLAN トランク接続しているため、スイッチのポートで自由に VLAN を分割できるようにしています。
家庭用ネットワーク側も RTX 1210 で VLAN インターフェースを切っており、その下のスイッチや AP まで VLAN トランク接続しているので、家庭用側も用途に応じてネットワークを分けられるようになっています。
KVM で仮想マシンを好きに立てられる
検証用ネットワークのサーバーに Red Hat Enterprise Linux 9 (RHEL9) を開発者ライセンスでインストールし、KVM で仮想基盤を構築しています。
Kickstart のスクリプトを用意しているので、RHEL 系の Linux サーバーであれば半自動で仮想マシンがデプロイできるようにしています。
評価版であれば Windows Server の仮想マシンも立てられるので、Active Directory や WSUS などの検証も可能です。
また、RHEL9 のネットワークインターフェースにはスイッチから VLAN トランク接続しているので、仮想マシンのネットワークは VLAN の数だけ分けられるようになっています。
AWS の VPC のプライベートサブネットと常時閉域接続
AWS の VPC のパブリックサブネットにある EC2 インスタンスに strongSwan を立てて、自宅 RTX 1210 と常時 IPSec で接続しているので、同じ VPC 内のプライベートサブネットへ IPSec トンネルを通じて閉域接続できるようにしています。
必要に応じて VPC にインターフェース型 VPC エンドポイントを立てたり、検証用ネットワークのオンプレミスのフルリゾルバー DNS サーバーと Route 53 リゾルバーのエンドポイントと連携したり、Transit Gateway アタッチメント経由で別の VPC に接続したりできるようにしていますが、費用がとんでもないことになるので、普段は削除しており、使いたいときに CloudFormation でリソースを作成できるようにしています。
実家の拠点とはフレッツ網内の IPv6 アドレスで IPSec 接続
自宅から離れた実家のネットワークをメンテナンスするため、VPN で自宅と実家のネットワークを常時接続しています。
自宅も実家もフレッツ光ネクストの通信回線を利用しているため、フレッツ網内で折り返し通信可能な IPv6 アドレスを使えるため、これで自宅 RTX 1210 と実家のルーターを IPSec で接続しています。
IPv6 アドレスはフレッツ光ネクストの仕様で固定のアドレスではないため、OPEN IPv6 ダイナミック DNS for フレッツ・光ネクスト という無償のダイナミック DNS サービスを使い、DNS ホスト名で互いのルーターが IPSec を張りに行けるようにしています。
自宅側の全てのホストがグローバル IPv6 アドレスに対応
業務では全く使いませんが、全てのホストにグローバル IPv6 アドレスを付与できるようにしています。フレッツ光ネクストをひかり電話ありで契約しているので、IPv6 アドレスも /56 で使えるため(実際には /58 しか使えない)、IPv4 アドレスと同様に IPv6 アドレスも VLAN などでネットワークを分割しています。
自宅ネットワークでやっていないこと
ネットワーク監視
基本的に検証用ネットワークは普段電源を切っており、使う時だけ起動するようにしています。
ちなみに昔は 24 時間起動していたこともあり、その時は Zabbix で自宅ネットワークを監視していました。AWS 側で監視をする方法はいくらでもあるのですが、費用がかかるので出来ていない状況です。
ネットワーク認証
これも同じく 24 時間起動しているサーバーがないため、RADIUS サーバーを立てておらず、IEEE802.1x 認証などは出来ていません。
任意の場所からのリモート接続
出先から自宅ネットワークをどうしても使いたいという場面はあまりないし、監視もできていないので、不必要に外部へリモート接続用のインターフェースは空けていないです。
どうしても必要になれば、AWS 側に踏み台のインスタンスを立てて、Systems Manager Session Manager とか Instance Connect とかでプライベートサブネット側に入ればなんとかできるようにはしています。
今後の課題
ハードウェアが老朽化しており、新しいものへ買い替えたいのですが、昨今の価格高騰もあり非常に厳しいです。検証用ネットワーク側はファイアウォールでガチガチに外からの通信を止めているとはいえ、サポート切れの製品を使うのは危険なので、どうにかしたいと思っています。
自宅オンプレミス側のサーバーをやめて全部 AWS 側で運用できるなら、自宅側はシンプルに RTX 1210 だけでよいのですが……。
世間の逸般の誤家庭に比べるとだいぶ大人しい構成ですが、検証に必要な最低限のことができて便利です。今後も精進したいです。