- ベストアンサー
グローバルIPで自宅のルータに到達できる?
- 自宅LANから自宅アドレスを入力するとルーターの設定画面に到達できるが、テザリングでは到達できない。
- ルーティングテーブルで自宅アドレスが設定されているか、プロバイダの機器まで問い合わせに行っている可能性がある。
- テザリングの場合はIPアドレスを入力しても到達できないが、プロバイダが固定IPアドレスを契約していない場合は弾かれている可能性がある。
- error503
- お礼率52% (9/17)
- ルーター・ネットワーク機器
- 回答数7
- ありがとう数7
- みんなの回答 (7)
- 専門家の回答
質問者が選んだベストアンサー
>1.なぜ自宅LANから自宅アドレスを入力した際のみ辿りつけたのか. おそらくこのPR-S300HIは、ヘアピンNAT(NATループバックという記載もありますが同等です)が有効になっているのだと思われます。 一応、ググって見ましたらヘアピンNATが有効という書き込みがあったりしましたので。 一般的にはNAT環境にて、LAN内からルータのWAN側のグローバルIPアドレスに到達できないのですが、 ヘアピンNATが有効なルータでは、LAN内からルータのWAN側のグローバルIPアドレスにアクセスした場合、ルータのLAN側のIPアドレスに転送します。 単純なルーティングではなく、アドレス変換が入るということですね。 このため、結果的にルータのLAN側へアクセスになるため、設定画面にアクセスできるということです。 >2.なぜテザリングの場合はIPアドレスを入力しても辿りつけなかったのか >フィルタリングの条件を無効にしても辿りつけませんでした. これもルータの仕様だと思いますが、 一般的にセキュリティの関係上、フィルタリングに関係なく、WAN側から設定画面へのアクセスは拒否する仕様になっているルータが大半を占めると思います。 PR-S300HIもそういうことだと思います。 1.の場合はアクセス元がLAN内で、ルータ内でアドレス変換が掛かっているため設定画面にアクセスできるということでしょう。
その他の回答 (6)
- nnori7142
- ベストアンサー率60% (755/1249)
自宅LANから自宅アドレス(グローバルIP)を参照された場合には、パケットフィルタリングのin→outの制限にかからない設定になっているかと存じますので、内部的にNATループバック状態で、光電話ルーターの設定画面表示出来たと想定されます。 スマートフォンからのLTEネットワークから、自宅アドレスを参照し、光電話ルーターの設定画面を表示させるためには、光電話ルーターの静的IPマスカレード(ポートフォワーディング設定)にて、自身IP(光電話ルーターのプライベートIP)へTCP80番の転送設定が必要かと存じます。 勿論、パケットフィルタ設定においても、光電話ルーターのIP宛ての通信・TCP80番については、透過する設定が必要かと。 上記グローバルIP宛ての通信での光電話ルーターの設定ではなく、L2TP/IPSEC-VPNでのスマートフォンLTE-VPN接続と言った方法もあります。VPN接続の場合、スマートフォンにはVPNダイアル設定と、光電話ルーター(PPPOEブリッジ有効)+VPNルーターでのインターネット接続及びVPNトンネル設定が必要になります。
お礼
>光電話ルーターの静的IPマスカレード(ポートフォワーディング設定)にて、自身IP(光電話ルーターのプライベートIP)へTCP80番の転送設定が必要かと存じます。 実際そのような運用は危ないとは思いますが非常に興味が唆られる設定ですね. ネットワークを学習中の身としては試してみたい気が起きてしまいます. VPNについても一度試して見ようかと思います. 先にNATループバックについて回答して下さった方にベストアンサーを送ってしまいますが,とても為になる回答でした. ありがとうございました.
- OKWavex
- ベストアンサー率22% (1222/5383)
1.自宅LANのローカル回線=内側から届いたパケットのあて先がルータのグローバルアドレスだったから 2.グローバルアドレス宛ての外側から内側に向けては全て拒否しているから
- ques9900
- ベストアンサー率34% (47/136)
どこで弾いているのかを知りたいんですね。 PR-S300HIのファイアウォールで弾いていますよきっと。 PR-S300HIの設定画面には記述されていないと思いますが、 おそらくルータのiptablesを表示させればWAN側から80ポートへのアクセスは 破棄するように設定されていますよ。 設定画面でセキュリティを破るような設定はさせませんよ。 製品としておかしいですからね。
お礼
>設定画面でセキュリティを破るような設定はさせませんよ。 やはり一般消費者向け製品としてそういうものなのですかね. 業務用スイッチのように設定が全て現れるものだという思い込みがありました. PR-S300HIのルーティングテーブルやファイアウォールの設定を見てみたいものですが,製品として完成されている以上難しいですかね. 回答ありがとうございました.
- tamu1129
- ベストアンサー率58% (1301/2234)
本当にグローバルIPアドレスでPR-S300HIの設定ページが開けたのでしょうか? それが事実ならPR-S300HIは機器として致命傷的な不具合を持っています ルータがWAN側から配信されるIPアドレスで設定ページが開いてしまうなんて事は起こらないです これが出来たならば、外部から無関係の人間が接続に来て勝手にルータの設定変更が出来てしまう(ログインパスワードなんてかけている人間だって平分の8文字程度しかルータの設定にはかけていないはず) ルータはLAN側に設定されているIPアドレスで設定ページが開けるようにはなっていますが、WAN側に振られるIPアドレスで設定ページが開ける物はありません もう一度テストしてもらえますか? 本当にPR-S300HIがWAN側に振られるIPアドレスで設定ページが開けるなら大問題です
- naoki1986
- ベストアンサー率28% (28/98)
1.なぜ自宅LANから自宅アドレスを入力した際のみ辿りつけたのか. ルータにパケットが到達すると自身のルーティングテーブルを確認し自身が保有しているIPアドレスとして認識するのでLAN経由で接続できます。 2.なぜテザリングの場合はIPアドレスを入力しても辿りつけなかったのか テザリングの場合グローバルからのアクセスなので80番ポートを閉じているとルータで落とされますよね。 フィルタリングを解放すれば閲覧できませんか?
お礼
回答有り難うございます. グローバルIPアドレスを入力したとはいえ,ルータ自身(LAN内)で完結しているため設定画面に辿り着けるのですね. テザリングの場合なのですが,フィルタリングの条件を全て削除しルータ再起動後にアクセスを試みたところたどり着くことができませんでした(504 Gateway Timeout) 辿りつけないことでセキュリティ面では安心なのですが,一体何によって弾かれているのでしょうか・・・
- ques9900
- ベストアンサー率34% (47/136)
LAN側(内側)からのパケットだからじゃないでしょうか。 WAN側(外側)からの場合は拒否なのでしょうね。 LAN側からWAN側のIP宛のパケットが届いたけど。 内側からの自分宛てパケットだからフィルタリングされなかっただけかと。 もしWAN側から入ったパケットで設定画面に辿りつけたなら、とんでもなく危険です。 まぁそのようなルータはないとは思っていますけど。
お礼
>もしWAN側から入ったパケットで設定画面に辿りつけたなら、とんでもなく危険です。 >まぁそのようなルータはないとは思っていますけど。 私もそのように考えています. しかし,理由もわからず信頼するのは難しいため質問をした次第です. 一体どの部分(家庭ルーター?プロバイダ?)でWAN側からのアクセスを弾いているのでしょうか・・・ 回答有り難うございました.
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/images/related_qa/c205_2_thumbnail_img_sm.png)
お礼
>おそらくこのPR-S300HIは、ヘアピンNAT(NATループバックという記載もありますが同等です)が有効になっているのだと思われます。 なるほど!ルーティングではなくアドレス変換を行っているのですね そのような仕組みがあるとは全く知りませんでした. フィルタリングの件ですが,やはりルータ自体がそのような仕様になっていると納得しました 先にヘアピンNATと回答してくださったmaesenさんをベストアンサーに選ばせていただきます. 皆様ご回答ありがとうございました.