YAMAHAルータDNSリカーシブサーバー機能検証
RTX1100のDNSリカーシブサーバー機能ですがDNSSECが絡むとあまりよろしくない感じがするので検証してみようかと。検証といってもhttp://www.nic.cz/dnssectests/あたりからダウンロードしたDNSSEC Hardware Tester(Windows version)によるものなのでおもいっきり他力本願ではありますが。
まあ、枯れた機種かもしれませんけど、一応現役で売ってますし、ファームウェアも2010年12月30日現在最新のRev.8.03.90にして検証してみました。
RTX1100のプライベート側のIPアドレスは192.168.141.1、DNSサーバーのIPアドレスは実際のものを書くのも何なので192.0.2.81としておきます。192.0.2.81で動作しているフルリゾルバはFedora EPELのunbound 1.4.4です。この場合、要所だけ書くと、
みたいな設定を入れるかと思うんですが、この設定でWindowsクライアントなんぞで
DNS Servers欄にDNSリカーシブサーバー機能が動作しているRTX1100のIPアドレスと実際のDNSサーバーのIPアドレスが返ってきます。実際、この場合はそこそこ良好な結果(38/43 tests passedでfailedはC.1, C.2, D.1, D.2, Eのみ)を叩き出すのですが、なんとなく192.0.2.81に直接問い合わせた結果がよいだけで本来のDNSリカーシブサーバー機能は頑張ってないんじゃないのかと思えたので検証してみる次第。
そのようなわけで、DHCPがDNSサーバーとして192.168.141.1しか返さないように、以下の設定を加えます。
これで、
となります。これでテストしてみると、
6/43 tests passed(passしたのはB, G.1, G.2, G.3, G.4, G.5)のみ。結構悲惨な有様。
そもそもルータにDNSリカーシブサーバー機能が要るのかどうかは兎も角、RTX1100のDNSリカーシブサーバー機能は使えない感じ。何か設定が足らんのでしょうか。最新の機種だとそうでもないんですかね。
ちなみに、実際のルータの全設定は以下のような感じです。なるべく余計なものは書かないようにしたつもり。
まあ、枯れた機種かもしれませんけど、一応現役で売ってますし、ファームウェアも2010年12月30日現在最新のRev.8.03.90にして検証してみました。
RTX1100のプライベート側のIPアドレスは192.168.141.1、DNSサーバーのIPアドレスは実際のものを書くのも何なので192.0.2.81としておきます。192.0.2.81で動作しているフルリゾルバはFedora EPELのunbound 1.4.4です。この場合、要所だけ書くと、
…
ip lan1 address 192.168.141.1/24
…
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.141.192-192.168.141.224/24 expire 1:00
dns service recursive
dns server 192.0.2.81
…
みたいな設定を入れるかと思うんですが、この設定でWindowsクライアントなんぞで
ipconfig /all
なんぞを実行すると、以下のような感じで、IP Address. . . . . . . . . . . . : 192.168.141.192
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.141.1
DHCP Server . . . . . . . . . . . : 192.168.141.1
DNS Servers . . . . . . . . . . . : 192.168.141.1
192.0.2.81
Lease Obtained. . . . . . . . . . : 2010年12月30日 0:42:09
Lease Expires . . . . . . . . . . : 2010年12月30日 1:42:09
DNS Servers欄にDNSリカーシブサーバー機能が動作しているRTX1100のIPアドレスと実際のDNSサーバーのIPアドレスが返ってきます。実際、この場合はそこそこ良好な結果(38/43 tests passedでfailedはC.1, C.2, D.1, D.2, Eのみ)を叩き出すのですが、なんとなく192.0.2.81に直接問い合わせた結果がよいだけで本来のDNSリカーシブサーバー機能は頑張ってないんじゃないのかと思えたので検証してみる次第。
そのようなわけで、DHCPがDNSサーバーとして192.168.141.1しか返さないように、以下の設定を加えます。
dhcp scope option 1 dns=192.168.141.1
これで、
ipconfig /all
なんぞを実行すると、IP Address. . . . . . . . . . . . : 192.168.141.192
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.141.1
DHCP Server . . . . . . . . . . . : 192.168.141.1
DNS Servers . . . . . . . . . . . : 192.168.141.1
Lease Obtained. . . . . . . . . . : 2010年12月30日 0:52:36
Lease Expires . . . . . . . . . . : 2010年12月30日 1:52:36
となります。これでテストしてみると、
6/43 tests passed(passしたのはB, G.1, G.2, G.3, G.4, G.5)のみ。結構悲惨な有様。
そもそもルータにDNSリカーシブサーバー機能が要るのかどうかは兎も角、RTX1100のDNSリカーシブサーバー機能は使えない感じ。何か設定が足らんのでしょうか。最新の機種だとそうでもないんですかね。
ちなみに、実際のルータの全設定は以下のような感じです。なるべく余計なものは書かないようにしたつもり。
dhcp scope option
付
console character ascii ip route default gateway pp 1 ip filter source-route on ip filter directed-broadcast on ip icmp redirect send off ip lan1 address 192.168.141.1/24 pp select 1 pp always-on on pppoe use lan2 pp auth accept chap pp auth myname user_id password ppp lcp mru on 1438 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp mtu 1438 ip pp nat descriptor 1 pp enable 1 nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor address inner 1 auto rip use off telnetd service on telnetd host 192.168.141.1-192.168.141.254 dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.141.192-192.168.141.224/24 expire 1:00 dhcp scope option 1 dns=192.168.141.1 dns service recursive dns server 192.0.2.81 httpd service off httpd host none
dhcp scope option
無
console character ascii ip route default gateway pp 1 ip filter source-route on ip filter directed-broadcast on ip icmp redirect send off ip lan1 address 192.168.141.1/24 pp select 1 pp always-on on pppoe use lan2 pp auth accept chap pp auth myname user_id password ppp lcp mru on 1438 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp mtu 1438 ip pp nat descriptor 1 pp enable 1 nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor address inner 1 auto rip use off telnetd service on telnetd host 192.168.141.1-192.168.141.254 dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.141.192-192.168.141.224/24 expire 1:00 dns service recursive dns server 192.0.2.81 httpd service off httpd host none
ちなみに、
dhcp scope option 1 dns=192.0.2.81
とした場合は、39/43 tests passed(C.1, C.2, D.1, D.2がfailed)でした。
by *生保単独* (2010-12-30 05:10)