QRコード
YAMAHAルータDNSリカーシブサーバー機能検証
RTX1100のDNSリカーシブサーバー機能ですがDNSSECが絡むとあまりよろしくない感じがするので検証してみようかと。検証といってもhttp://www.nic.cz/dnssectests/あたりからダウンロードしたDNSSEC Hardware Tester(Windows version)によるものなのでおもいっきり他力本願ではありますが。
まあ、枯れた機種かもしれませんけど、一応現役で売ってますし、ファームウェアも2010年12月30日現在最新のRev.8.03.90にして検証してみました。
RTX1100のプライベート側のIPアドレスは192.168.141.1、DNSサーバーのIPアドレスは実際のものを書くのも何なので192.0.2.81としておきます。192.0.2.81で動作しているフルリゾルバはFedora EPELのunbound 1.4.4です。この場合、要所だけ書くと、
みたいな設定を入れるかと思うんですが、この設定でWindowsクライアントなんぞで
DNS Servers欄にDNSリカーシブサーバー機能が動作しているRTX1100のIPアドレスと実際のDNSサーバーのIPアドレスが返ってきます。実際、この場合はそこそこ良好な結果(38/43 tests passedでfailedはC.1, C.2, D.1, D.2, Eのみ)を叩き出すのですが、なんとなく192.0.2.81に直接問い合わせた結果がよいだけで本来のDNSリカーシブサーバー機能は頑張ってないんじゃないのかと思えたので検証してみる次第。
そのようなわけで、DHCPがDNSサーバーとして192.168.141.1しか返さないように、以下の設定を加えます。
これで、
となります。これでテストしてみると、
6/43 tests passed(passしたのはB, G.1, G.2, G.3, G.4, G.5)のみ。結構悲惨な有様。
そもそもルータにDNSリカーシブサーバー機能が要るのかどうかは兎も角、RTX1100のDNSリカーシブサーバー機能は使えない感じ。何か設定が足らんのでしょうか。最新の機種だとそうでもないんですかね。
ちなみに、実際のルータの全設定は以下のような感じです。なるべく余計なものは書かないようにしたつもり。
まあ、枯れた機種かもしれませんけど、一応現役で売ってますし、ファームウェアも2010年12月30日現在最新のRev.8.03.90にして検証してみました。
RTX1100のプライベート側のIPアドレスは192.168.141.1、DNSサーバーのIPアドレスは実際のものを書くのも何なので192.0.2.81としておきます。192.0.2.81で動作しているフルリゾルバはFedora EPELのunbound 1.4.4です。この場合、要所だけ書くと、
…
ip lan1 address 192.168.141.1/24
…
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.141.192-192.168.141.224/24 expire 1:00
dns service recursive
dns server 192.0.2.81
…
みたいな設定を入れるかと思うんですが、この設定でWindowsクライアントなんぞで
ipconfig /allなんぞを実行すると、以下のような感じで、IP Address. . . . . . . . . . . . : 192.168.141.192
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.141.1
DHCP Server . . . . . . . . . . . : 192.168.141.1
DNS Servers . . . . . . . . . . . : 192.168.141.1
192.0.2.81
Lease Obtained. . . . . . . . . . : 2010年12月30日 0:42:09
Lease Expires . . . . . . . . . . : 2010年12月30日 1:42:09DNS Servers欄にDNSリカーシブサーバー機能が動作しているRTX1100のIPアドレスと実際のDNSサーバーのIPアドレスが返ってきます。実際、この場合はそこそこ良好な結果(38/43 tests passedでfailedはC.1, C.2, D.1, D.2, Eのみ)を叩き出すのですが、なんとなく192.0.2.81に直接問い合わせた結果がよいだけで本来のDNSリカーシブサーバー機能は頑張ってないんじゃないのかと思えたので検証してみる次第。
そのようなわけで、DHCPがDNSサーバーとして192.168.141.1しか返さないように、以下の設定を加えます。
dhcp scope option 1 dns=192.168.141.1
これで、
ipconfig /allなんぞを実行すると、IP Address. . . . . . . . . . . . : 192.168.141.192
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.141.1
DHCP Server . . . . . . . . . . . : 192.168.141.1
DNS Servers . . . . . . . . . . . : 192.168.141.1
Lease Obtained. . . . . . . . . . : 2010年12月30日 0:52:36
Lease Expires . . . . . . . . . . : 2010年12月30日 1:52:36
となります。これでテストしてみると、
6/43 tests passed(passしたのはB, G.1, G.2, G.3, G.4, G.5)のみ。結構悲惨な有様。
そもそもルータにDNSリカーシブサーバー機能が要るのかどうかは兎も角、RTX1100のDNSリカーシブサーバー機能は使えない感じ。何か設定が足らんのでしょうか。最新の機種だとそうでもないんですかね。
ちなみに、実際のルータの全設定は以下のような感じです。なるべく余計なものは書かないようにしたつもり。
dhcp scope option付
dhcp scope option無
ちなみに、
dhcp scope option 1 dns=192.0.2.81
とした場合は、39/43 tests passed(C.1, C.2, D.1, D.2がfailed)でした。
by *生保単独* (2010-12-30 05:10)