こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

解決済みの質問

グローバルIPで自宅のルータに到達できる?

現在自宅の最も外側にPR-S300HIを置いています.
インターネットのIPアドレス確認サイトで割り当てられているグローバルIPアドレス(以下自宅アドレス)を確認後,自宅アドレスをブラウザに入力するとPR-S300HIの設定画面に到達出来てしまいました.
パソコンを自宅LANから切断後,スマートフォンのテザリングによってネットワークに接続し,自宅アドレスを入力した場合は設定画面に到達できませんでした.
尚,プロバイダはBiglobeで固定IPアドレスサービスは契約しておらず.
テストした際のPR-S300HIのIPv4パケットフィルタリングは外側から内側に向けては全て拒否にしていました.

そこで生まれた疑問が以下のものです.
1.なぜ自宅LANから自宅アドレスを入力した際のみ辿りつけたのか.
PR-S300HIのルーティングテーブルで,自宅アドレスが入力されていたときは自分に送るようになっているのか?
もしくはプロバイダの機器まで問い合わせに行ったのか?(その場合はなぜフィルタリングで弾かれなかったのか.

2.なぜテザリングの場合はIPアドレスを入力しても辿りつけなかったのか
フィルタリングの条件を無効にしても辿りつけませんでした.
グローバルIPアドレスが割り当てられているとはいえ,固定IPアドレスを契約していないためプロバイダで弾いているのか?
それともBiglobeはNAPTを噛ませているのか?(自宅アドレスは211.~のため考えにくい?

これらの疑問に対して答えをお持ちの方よろしくお願いします.

投稿日時 - 2015-11-11 20:52:09

QNo.9078848

困ってます

質問者が選んだベストアンサー

>1.なぜ自宅LANから自宅アドレスを入力した際のみ辿りつけたのか.

おそらくこのPR-S300HIは、ヘアピンNAT(NATループバックという記載もありますが同等です)が有効になっているのだと思われます。

一応、ググって見ましたらヘアピンNATが有効という書き込みがあったりしましたので。

一般的にはNAT環境にて、LAN内からルータのWAN側のグローバルIPアドレスに到達できないのですが、
ヘアピンNATが有効なルータでは、LAN内からルータのWAN側のグローバルIPアドレスにアクセスした場合、ルータのLAN側のIPアドレスに転送します。

単純なルーティングではなく、アドレス変換が入るということですね。

このため、結果的にルータのLAN側へアクセスになるため、設定画面にアクセスできるということです。

>2.なぜテザリングの場合はIPアドレスを入力しても辿りつけなかったのか
>フィルタリングの条件を無効にしても辿りつけませんでした.

これもルータの仕様だと思いますが、
一般的にセキュリティの関係上、フィルタリングに関係なく、WAN側から設定画面へのアクセスは拒否する仕様になっているルータが大半を占めると思います。
PR-S300HIもそういうことだと思います。

1.の場合はアクセス元がLAN内で、ルータ内でアドレス変換が掛かっているため設定画面にアクセスできるということでしょう。

投稿日時 - 2015-11-12 09:56:36

お礼

>おそらくこのPR-S300HIは、ヘアピンNAT(NATループバックという記載もありますが同等です)が有効になっているのだと思われます。
なるほど!ルーティングではなくアドレス変換を行っているのですね
そのような仕組みがあるとは全く知りませんでした.

フィルタリングの件ですが,やはりルータ自体がそのような仕様になっていると納得しました

先にヘアピンNATと回答してくださったmaesenさんをベストアンサーに選ばせていただきます.
皆様ご回答ありがとうございました.

投稿日時 - 2015-11-12 21:02:41

ANo.5

このQ&Aは役に立ちましたか?

0人が「このQ&Aが役に立った」と投票しています

回答(7)

ANo.7

 自宅LANから自宅アドレス(グローバルIP)を参照された場合には、パケットフィルタリングのin→outの制限にかからない設定になっているかと存じますので、内部的にNATループバック状態で、光電話ルーターの設定画面表示出来たと想定されます。

 スマートフォンからのLTEネットワークから、自宅アドレスを参照し、光電話ルーターの設定画面を表示させるためには、光電話ルーターの静的IPマスカレード(ポートフォワーディング設定)にて、自身IP(光電話ルーターのプライベートIP)へTCP80番の転送設定が必要かと存じます。
 勿論、パケットフィルタ設定においても、光電話ルーターのIP宛ての通信・TCP80番については、透過する設定が必要かと。

 上記グローバルIP宛ての通信での光電話ルーターの設定ではなく、L2TP/IPSEC-VPNでのスマートフォンLTE-VPN接続と言った方法もあります。VPN接続の場合、スマートフォンにはVPNダイアル設定と、光電話ルーター(PPPOEブリッジ有効)+VPNルーターでのインターネット接続及びVPNトンネル設定が必要になります。

投稿日時 - 2015-11-12 14:46:36

お礼

>光電話ルーターの静的IPマスカレード(ポートフォワーディング設定)にて、自身IP(光電話ルーターのプライベートIP)へTCP80番の転送設定が必要かと存じます。
実際そのような運用は危ないとは思いますが非常に興味が唆られる設定ですね.
ネットワークを学習中の身としては試してみたい気が起きてしまいます.
VPNについても一度試して見ようかと思います.

先にNATループバックについて回答して下さった方にベストアンサーを送ってしまいますが,とても為になる回答でした.
ありがとうございました.

投稿日時 - 2015-11-12 21:06:35

ANo.6

1.自宅LANのローカル回線=内側から届いたパケットのあて先がルータのグローバルアドレスだったから

2.グローバルアドレス宛ての外側から内側に向けては全て拒否しているから

投稿日時 - 2015-11-12 10:11:45

ANo.4

どこで弾いているのかを知りたいんですね。
PR-S300HIのファイアウォールで弾いていますよきっと。

PR-S300HIの設定画面には記述されていないと思いますが、
おそらくルータのiptablesを表示させればWAN側から80ポートへのアクセスは
破棄するように設定されていますよ。

設定画面でセキュリティを破るような設定はさせませんよ。
製品としておかしいですからね。

投稿日時 - 2015-11-11 22:54:03

お礼

>設定画面でセキュリティを破るような設定はさせませんよ。
やはり一般消費者向け製品としてそういうものなのですかね.
業務用スイッチのように設定が全て現れるものだという思い込みがありました.

PR-S300HIのルーティングテーブルやファイアウォールの設定を見てみたいものですが,製品として完成されている以上難しいですかね.

回答ありがとうございました.

投稿日時 - 2015-11-12 08:23:49

ANo.3

本当にグローバルIPアドレスでPR-S300HIの設定ページが開けたのでしょうか?

それが事実ならPR-S300HIは機器として致命傷的な不具合を持っています

ルータがWAN側から配信されるIPアドレスで設定ページが開いてしまうなんて事は起こらないです
これが出来たならば、外部から無関係の人間が接続に来て勝手にルータの設定変更が出来てしまう(ログインパスワードなんてかけている人間だって平分の8文字程度しかルータの設定にはかけていないはず)

ルータはLAN側に設定されているIPアドレスで設定ページが開けるようにはなっていますが、WAN側に振られるIPアドレスで設定ページが開ける物はありません

もう一度テストしてもらえますか?
本当にPR-S300HIがWAN側に振られるIPアドレスで設定ページが開けるなら大問題です

投稿日時 - 2015-11-11 22:42:16

ANo.2

1.なぜ自宅LANから自宅アドレスを入力した際のみ辿りつけたのか.

ルータにパケットが到達すると自身のルーティングテーブルを確認し自身が保有しているIPアドレスとして認識するのでLAN経由で接続できます。

2.なぜテザリングの場合はIPアドレスを入力しても辿りつけなかったのか

テザリングの場合グローバルからのアクセスなので80番ポートを閉じているとルータで落とされますよね。
フィルタリングを解放すれば閲覧できませんか?

投稿日時 - 2015-11-11 21:15:59

お礼

回答有り難うございます.
グローバルIPアドレスを入力したとはいえ,ルータ自身(LAN内)で完結しているため設定画面に辿り着けるのですね.

テザリングの場合なのですが,フィルタリングの条件を全て削除しルータ再起動後にアクセスを試みたところたどり着くことができませんでした(504 Gateway Timeout)

辿りつけないことでセキュリティ面では安心なのですが,一体何によって弾かれているのでしょうか・・・

投稿日時 - 2015-11-11 21:39:52

ANo.1

LAN側(内側)からのパケットだからじゃないでしょうか。
WAN側(外側)からの場合は拒否なのでしょうね。

LAN側からWAN側のIP宛のパケットが届いたけど。
内側からの自分宛てパケットだからフィルタリングされなかっただけかと。

もしWAN側から入ったパケットで設定画面に辿りつけたなら、とんでもなく危険です。
まぁそのようなルータはないとは思っていますけど。

投稿日時 - 2015-11-11 21:07:22

お礼

>もしWAN側から入ったパケットで設定画面に辿りつけたなら、とんでもなく危険です。
>まぁそのようなルータはないとは思っていますけど。
私もそのように考えています.
しかし,理由もわからず信頼するのは難しいため質問をした次第です.

一体どの部分(家庭ルーター?プロバイダ?)でWAN側からのアクセスを弾いているのでしょうか・・・

回答有り難うございました.

投稿日時 - 2015-11-11 21:33:56

あなたにオススメの質問