ルーターの静的ルーティングを使用して VPN 動的 IP をバイパスしますか?

Question 1

TL-WR841 は、TP-Link が提供する UI を備えた Linux コンピューターです。

VPNを使用する場合、2つのネットワークインターフェース（1つはVPN用、もう1つはISPのWAN用）が存在します。Linuxには、宛先IPアドレスに応じてどのインターフェースを使用するかを決定するルーティングルールがあります（いわゆる「静的ルーティング」）。Linuxには、ポリシールーティング送信元アドレスに基づいてルーティングできます。

したがって、ルーターを設定して、すべてのデバイスに常に DHCP (「静的 DHCP」と呼ばれることもあります) 経由で同じ IP アドレスを割り当てるようにすると、IP アドレスを使用してデバイスを識別し、それに応じてルーティングすることができます。

ここで問題となるのは、これをどのように設定するかです。TP-Link がデバイスによるルーティングはできないと言っている場合、ポリシールーティング用の UI がない可能性があります。「静的ルート」用の UI がある場合は、もちろん宛先によるルーティングが可能です。

代替案としては、ルーターを別のファームウェア、例えばOpenWRTで再フラッシュする方法があります。TL-WR841Nはバージョンによって非常に異なるハードウェアに基づいているため、少し注意が必要です。一部のタイプ（主に古いハードウェア）では動作しますが、他のタイプでは動作しません。しない。

デバイスに完全にアクセスできるようになると、送信元アドレスによるポリシールーティングなど、必要なものをすべて設定できます。ただし、これを行うには、Linux コマンドラインに慣れている必要があります。

DD-WRT (OpenWRT ベース、同じハードウェア制限) など、よりユーザーフレンドリーな UI を備えた他のファームウェアバリアントもあります。ここDD-WRT のポリシールーティングに関する wiki ページです。私の理解が正しければ、UI のサポートはありますが、VPN 用のスクリプトが必要になる可能性があります (ただし、DD-WRT では実行していないため、私の解釈が間違っている可能性があります)。

ルーターを元の TP-Link ファームウェアに再フラッシュ (最初にフラッシュする前にダウンロードまたは保存) して、実験することができます。

編集

静的ルーティングの場合: TP-Link の UI がどのようになっているかはわかりませんが、一般的には、宛先 IP アドレスのコレクション、たとえば Amazon Prime Video に関連するすべての IP アドレス (複数のサーバーが関与し、複数の IP アドレスを使用して負荷分散が行われる場合があります) が必要です。これらは単一のアドレスである可能性があり、その場合は /32 または 255.255.255.255 のネットマスクが必要です。または、完全な IP 範囲 (たとえば Amazon パブリック IP 範囲) である可能性があり、その場合はそれらを異なるネットマスクでグループ化できます。

ゲートウェイ (ネクストホップ) は、ルーティングする接続 (WAN または VPN) のゲートウェイになります。インターフェイスを調べると、ゲートウェイがわかります。接続がセットアップされると、WAN と VPN の両方のゲートウェイが変更される可能性があるため、これを静的に割り当てるのは難しい場合があります。

Answer

TL-WR841 は、TP-Link が提供する UI を備えた Linux コンピューターです。

VPNを使用する場合、2つのネットワークインターフェース（1つはVPN用、もう1つはISPのWAN用）が存在します。Linuxには、宛先IPアドレスに応じてどのインターフェースを使用するかを決定するルーティングルールがあります（いわゆる「静的ルーティング」）。Linuxには、ポリシールーティング送信元アドレスに基づいてルーティングできます。

したがって、ルーターを設定して、すべてのデバイスに常に DHCP (「静的 DHCP」と呼ばれることもあります) 経由で同じ IP アドレスを割り当てるようにすると、IP アドレスを使用してデバイスを識別し、それに応じてルーティングすることができます。

ここで問題となるのは、これをどのように設定するかです。TP-Link がデバイスによるルーティングはできないと言っている場合、ポリシールーティング用の UI がない可能性があります。「静的ルート」用の UI がある場合は、もちろん宛先によるルーティングが可能です。

代替案としては、ルーターを別のファームウェア、例えばOpenWRTで再フラッシュする方法があります。TL-WR841Nはバージョンによって非常に異なるハードウェアに基づいているため、少し注意が必要です。一部のタイプ（主に古いハードウェア）では動作しますが、他のタイプでは動作しません。しない。

デバイスに完全にアクセスできるようになると、送信元アドレスによるポリシールーティングなど、必要なものをすべて設定できます。ただし、これを行うには、Linux コマンドラインに慣れている必要があります。

DD-WRT (OpenWRT ベース、同じハードウェア制限) など、よりユーザーフレンドリーな UI を備えた他のファームウェアバリアントもあります。ここDD-WRT のポリシールーティングに関する wiki ページです。私の理解が正しければ、UI のサポートはありますが、VPN 用のスクリプトが必要になる可能性があります (ただし、DD-WRT では実行していないため、私の解釈が間違っている可能性があります)。

ルーターを元の TP-Link ファームウェアに再フラッシュ (最初にフラッシュする前にダウンロードまたは保存) して、実験することができます。

編集

静的ルーティングの場合: TP-Link の UI がどのようになっているかはわかりませんが、一般的には、宛先 IP アドレスのコレクション、たとえば Amazon Prime Video に関連するすべての IP アドレス (複数のサーバーが関与し、複数の IP アドレスを使用して負荷分散が行われる場合があります) が必要です。これらは単一のアドレスである可能性があり、その場合は /32 または 255.255.255.255 のネットマスクが必要です。または、完全な IP 範囲 (たとえば Amazon パブリック IP 範囲) である可能性があり、その場合はそれらを異なるネットマスクでグループ化できます。

ゲートウェイ (ネクストホップ) は、ルーティングする接続 (WAN または VPN) のゲートウェイになります。インターフェイスを調べると、ゲートウェイがわかります。接続がセットアップされると、WAN と VPN の両方のゲートウェイが変更される可能性があるため、これを静的に割り当てるのは難しい場合があります。

Question 2

次の記事には、標準ファームウェアを使用して目的を達成するための詳細な手順が記載されています。
PS3 または PS4 を DMZ に配置する方法。

以下に要約します。

コンソールに静的IPアドレスを付与する設定 > ネットワーク設定このアドレスは、のようなローカルネットワークの範囲内である必要があります192.168.0.Xが、DHCP アドレス範囲内ではないことを確認してください。
ルーターに管理者としてログオンし、というオプションを検索しますDMZ。DMZ の IP アドレスとして、先ほどコンソールに指定した IP アドレスを入力します。
コンソールのネットワーク設定で、インターネット接続テスト
成功した場合、NAT タイプは「2」と表示されます。

これにより、コンソールがインターネットに直接接続され、実質的に VPN をバイパスします。これが成功するかどうかは、ルーターが同時に指定された VPN と DMZ をどのように処理するかによっても異なります。

詳細については、上記の記事を参照してください。

Answer

次の記事には、標準ファームウェアを使用して目的を達成するための詳細な手順が記載されています。
PS3 または PS4 を DMZ に配置する方法。

以下に要約します。

コンソールに静的IPアドレスを付与する設定 > ネットワーク設定このアドレスは、のようなローカルネットワークの範囲内である必要があります192.168.0.Xが、DHCP アドレス範囲内ではないことを確認してください。
ルーターに管理者としてログオンし、というオプションを検索しますDMZ。DMZ の IP アドレスとして、先ほどコンソールに指定した IP アドレスを入力します。
コンソールのネットワーク設定で、インターネット接続テスト
成功した場合、NAT タイプは「2」と表示されます。

これにより、コンソールがインターネットに直接接続され、実質的に VPN をバイパスします。これが成功するかどうかは、ルーターが同時に指定された VPN と DMZ をどのように処理するかによっても異なります。

詳細については、上記の記事を参照してください。

Question 3

これは順序付けられていない回答のセットです:

私が抱えている問題は、静的ルーティングが許可されていることです。それを適切に設定する方法がわかりません (たとえば、宛先 IP とサブネットマスク、ゲートウェイは何ですか?)。

ルート内では、宛先IP + マスク（またはIP /プレフィックス長）は、到達したい特定のアドレスまたは範囲を定義します。ゲートウェイは、どうやってつまり、パケットを渡す「次のホップ」に到達します。

ルーターのどこかにすべてを表示するページがありますアクティブルート (静的および動的)。その中に、0.0.0.0/0 (マスク 0.0.0.0) のルートがあります。これは、どのアドレスにも一致するため、「デフォルト」ルートとも呼ばれます。これは、ルータが通常インターネットアクセスに使用するルートであり、そのゲートウェイ/ネクストホップは、ISP に属するルータアドレスになります。

VPN接続を開始するとルートが追加されます。VPNがインターネットアクセスを目的としている場合は、2番0.0.0.0/0 ルートですが、今回は VPN サーバーのアドレスがゲートウェイとして使用されます (またはアドレスはなく、インターフェース名のみ)。

同じパケットが複数のルートに一致する場合、プレフィックスが最も長いルート (またはネットマスク内の「1」ビットが最も多いルート) の優先度が最も高くなります。 (たとえば、マスク = 255.255.255.0 ルートは、マスク = 0.0.0.0 ルートよりも優先されます。) 同じ宛先 + マスクを持つ複数のルートがある場合、優先度は「メトリック」パラメータを使用して設定されます。

したがって、VPN がアクティブな間は、0.0.0.0/0 の 2 つの「デフォルト」ルートがありますが、VPN ルートの方が優先度が高く (メトリックが低い)、すべてのインターネットアクセスが VPN を経由することになります。特定の宛先に対してこれを上書きするには、その宛先を持つ新しいルートを追加し、ISP のメインのデフォルトルートからゲートウェイパラメータをコピーします。

具体的には、ゲーム機以外のすべてのデバイスを VPN 経由で接続するようにルーターに指示したかったのですが、これは不可能だと言われました。

通常の IPv4 ルーティングでは確かに不可能です。

（Linuxではだろう通常の IPv6 ルーティングでは可能です。IPv6 ルートは宛先だけでなく送信元でも一致できるためです。残念ながら、これは IPv4 では実装されておらず、いずれにしても TP-Link の設定画面には表示されません。

しかし、@dirktが言及した「ポリシールーティング」機能を使えば可能です。ポリシールーティングは追加のステップを挿入します。前に通常のルーティング - 複数の独立したルーティングテーブルを作成し、どのテーブルをいつ使用するかというルールを定義できます。

例えば、あなたはできたゲームコンソールからのパケットはテーブル 1 (通常の ISP のデフォルトルートを含む) を使用し、他のデバイスからのパケットはテーブル 2 (VPN のデフォルトルートを含む) を使用するように定義します。

Amazon は IP 範囲のリストを公開していますが、その数は 1000 を超えています。静的ルーティングが本当に答えである場合、公開されているすべての IP に対してケースを追加する必要がありますか?

標準ルーティングでは、すべての宛先をリストする必要があります。

ポリシールーティングでは、デバイスが送信元アドレスや使用中のプロトコル/ポートなどの他のパラメータに基づいてルーティングを決定できるため、状況が変わります。

Answer