始めまして。やまねこです。
先日インターネットプロバイダ(ISP)を変更し,念願の固定グローバルIPアドレスを手に入れました。
ついでにドメイン取得もしたら様々なサービスをインターネットに公開できるようになったので,固定グローバルIP入手前の状態と比較して何が変わったのか,備忘録がてらまとめてみました。
固定グローバルIP導入前
DDNSの管理が面倒
2019年ごろにネットワークに興味を持ち,2020年2月に手元に余ってたRaspberry piでOpenVPNサーバーを立ててみました。
そのころはISPにソフトバンク光を使っていたので,固定グローバルIPアドレスは入手できずDDNSを使用して名前解決できるようにしていました。
その後,L2TP/IPsec VPNサーバーを立てたりSoftEther VPNサーバーを立てたりして,その度にDDNSでサブドメインを追加し,サーバーにIP通知用スクリプトを導入し...と気づいたら4つくらいDDNSのサブドメインが出来上がっていました。
私が使っていたDDNSはMyDNSだったので,IP通知が30日間なかった場合はサブドメインが失効します。サーバーメンテやトラブルシューティングに時間がかかりIP通知用スクリプトが30日動作せず,IP非通知を知らせるメールがMyDNSから届き,ドメインが失効し...などDDNSの管理が煩雑になり,サーバーを容易に追加できなくなっていきました。
DS-liteとの闘い
前述のソフトバンク光ではIPv6のオプション(高速ハイブリッド)をつけていました。高速ハイブリッドではONUの配下にBBユニットという謎の装置ホームゲートウェイ的なものを設置しなければいけません。このBBユニットが色々イケてないのですが,嬉しいことにこの装置を設置するとグローバルIPアドレスが実質固定されます。
さらに,高速ハイブリッドではIPv6とIPv4が純粋なデュアルスタックで接続されます。つまり,ポート開放が可能です。当時,ネットワークについて学び始めたばかりだったのでポート開放はできて当然と思っていました。
しかし,ソフトバンク光の契約も4年が経ち「そろそろ別のISPも検討してみようか」と思い,1年間利用料無料で有名な楽天ひかりに切り替えました。これ選択が様々な問題を引き起こします。
楽天ひかりに切り替えが完了した後,VPNサーバーに接続できなくなる問題が発生しました。「どうせNAPT周りのトラブルだろう」と思いポート変換のルールを確認しましたが特に問題ありません。不思議に思い,楽天ひかりで同様の問題が発生していないかググってみたら...
"楽天ひかりではDS-Liteを使用しているため,ポート開放はできません"
やってしまいました。これではISPをまた変えない限りVPNを使えません。DS-Lite環境下でどうにかサーバー公開できないか調べてみたらとある記事を見つけました。
他の記事も見ましたが
ルーター1でDS-Lite接続 + ルーター2でPPPoE接続
というのが解決策だということが分かりました。早速手元に余ってた個人向けルーターでこの環境を構築し事なきを得ましたが,ルーターが2つ,さらにセグメントが分かれているため管理が煩雑になってしまいました。
YAMAHAルーターの導入
1つのルーターで2つのセグメントを管理したいのですが,そんなことができる個人向けルーターはもちろん存在せず,インターネット回線が実質2つあることになるので,WANポートが2つあるルーターが必要になります。「これはついに業務用ルーターの出番か...」と思い,秋葉原の某所でRTXシリーズを購入しました。
その頃ちょうど業務でCiscoルーターを触り始めたので,コマンドの違いはあれどセットアップは問題なく終わりました。
楽天ひかり 無料期間終了のお知らせ
気づいたら楽天ひかりの無料期間の終了が迫っていました。これまでDDNSとDS-Liteに振り回されてたので,今度ISPを変えるなら固定グローバルIPアドレスと願わくば非DS-Lite環境が提供されているISPがいい...と思いISPを調べてみたところ,
- 朝日ネット
- インターリンク
に絞られました。インターリンクの契約では回線そのものはフレッツで契約することになり,契約回りの手続きが煩雑になりそうだったので朝日ネットを契約してみました。
朝日ネットは厳密に言うとDS-Liteを提供しているのですが,先のDS-Lite + PPPoEで何とかなりそうだったのでこちらに切り替えました。
固定グローバルIP+ドメイン取得後
DDNSの管理からの解放
もうサーバーを追加するたびにDDNSのサブドメインアカウント作成し,スクリプトを導入する必要がなくなりました。サーバーを追加したいときはCNAMEやAレコード,AAAAレコードを追加すればいいだけです。
Cloudflareのサービスを利用できるようになった
これが今のところ一番大きいです。
ネームサーバーをCloudflareにすることで,WebサーバーのIPアドレスを公開することなくインターネットにWebサーバーを公開できるようになりました。しかも自動更新してくれるサーバー証明書も無料でついてきます。Let's Encryptのようにスクリプトを回す必要がないのは助かります。
さらに,Cloudflare Zero Trustで安全に自宅のSSHサーバーにブラウザで接続できるようになりました。これまでSSHサーバーを公開したいと思いつつ,セキュリティ上の観点からできずにいました。さらに,ブラウザからコマンドを入力したかったのでCloudflare Zero Trustは自分にぴったりでした。
調べてみたところ,Cloudflare Zero TrustはRDPやVNCにも対応しているようです。今までVPN接続してRDPしてたので,構築してみたいと思います。
他にもできることは増えたと思うので,いろいろ探して試してみたいと思います。
長文になりましたが,お読みいただきありがとうございました。