Q&A
ここでいう自分のグローバルIPとは、Aterm WF1200HP の WAN 側の IP アドレスのことですか?
#質問
ApacheでHTTPウェブサーバを立てています。
Let's encryptというソフトウェアを使ってSSL証明書を発行するために、ドメインの取得が必要です。自分の練習のためもあって、ルータのポートフォワーディングの設定やファイアウォールの設定などをしてサーバを外部に公開しました。ポートフォワーディングやファイアウォールはポート80番だけを通す設定にしました。
ドメインを取得する前に正しくサーバが公開されたかグローバルIPアドレスでサーバにpingを送信してみました。
bash
1ping 自分のグローバルIP
しかし、サーバから応答がまったく返ってきません。どれだけ待っても状況が変わりそうになかったので、Ctrl+Cでpingを終了したところ、100% packet lossという表示が出ていました。Browserlingを使って外部から試すと正常にアクセスできました。ファイアウォールの問題かと思い、一瞬ファイアウォールをオフにして再度pingしましたが、変わりませんでした。対策などありますでしょうか?よろしくお願いします。
#環境
Ubuntu 18.04、ルータはAterm WF1200HPです。ファイアウォールはGufwで設定しました。
回答3件
0
ベストアンサー
内側のLANから、ルーターの外側のIPアドレスにアクセスするためには、ルーターにそういう機能が備わってないと駄目です。プロバイダ支給の家庭用ルーターだと普通は駄目だと思います。
「ヘアピンNAT」で検索してみてください。
投稿2020/05/10 12:21
編集2020/05/10 14:06
総合スコア85901
ありがとうございます。Let's encryptで証明書発行のセットアップをするには、ドメインを取得してセットアップをする側からサーバにアクセスできる必要がありますが、「ヘアピンNAT」非対応のルータではLet's encryptのセットアップをすることはできますでしょうか?良い解決策があれば教えてください。
そんなのありましたっけ?どういう手順ですか?
すみません、セットアップする側とは以下のようにcertbotコマンドでSSL証明書を発行する側ということです。
certbot --apache certonly
どういうエラーになりますか?
Failed authorization procedure. ドメイン名(http-01): urn:ietf:params:acme:error:connection :: The server could not connect to the client to verify the domain :: Fetching http://ドメイン名/.well-known/acme-challenge/gUw7_finCyUFYqQkRlcHLwqd-5jQ9uSrWHTU16OP5nE: Timeout during connect (likely firewall problem)
IMPORTANT NOTES:
- The following errors were reported by the server:
Domain: ドメイン名
Type: connection
Detail: Fetching
http://ドメイン名/.well-known/acme-challenge/gUw7_finCyUFYqQkRlcHLwqd-5jQ9uSrWHTU16OP5nE:
Timeout during connect (likely firewall problem)
To fix these errors, please make sure that your domain name was
entered correctly and the DNS A/AAAA record(s) for that domain
contain(s) the right IP address. Additionally, please check that
your computer has a publicly routable IP address and that no
firewalls are preventing the server from communicating with the
client. If you're using the webroot plugin, you should also verify
that you are serving files from the webroot path you provided.
というタイムアウトエラーが発生します。Apacheはこのとき止めてあります。ポートフォワーディングやファイアウォールは80番のみ通す設定です。一瞬だけファイアウォールを止めてこのコマンドを実行しても同じエラーが発生します。
pingを実行すると
PING ドメイン名 (IPアドレス) 56(84) bytes of data.
と出てくるので、名前解決は成功しているようです。
> Apacheはこのとき止めてあります。
それが原因でしょう。
Let's encrypt側から、http://ドメイン名/.well-known/acme-challenge/~~ にアクセス出来ないというエラーなので。
ありがとうございます。Apacheを動作させて先ほどと同じ条件で再度試してみましたが、同じタイムアウトエラーが発生してしまいます...
例えば、(Wifiでなく)携帯回線経由のスマホから、そのURLにアクセス出来ますか?
Browserlingで外部の回線から動いたので携帯回線からも動くと思います。
このようにみるとやはり原因はルータがNATループバックが非対応なことっぽいです。
/etc/hostsにlocal.comで自分のPCのローカルIPアドレスにアクセスするように設定したあと、certbotでlocal.comを入力してセットアップしましたが、やはりDNSが正しくないというエラーでした。
> Browserlingで外部の回線から動いたので
それは今(certbot で上記エラーが出た直前か直後)ですか?同じURLで?
エラーが出た直後です。
http://ドメイン名/.well-known/acme-challenge/~~ に、
・Let's encrypt からはつながらず、
・Browserling からはつながる
という現象ですよね。
あと、あり得るとすると IPv4とIPv6の違い くらいですが、DNSでAAAAレコードは定義していますか?
IPv4のAレコードのみです。ngrokを使って試しにcertbotコマンドを実行してみると、エラーは発生せず、正常に生成が完了しました。ngrokはlocalhost:80とngrokのドメインを直接繋いでくれたので問題がなかったのだと思います。NATループバックに対応していないと証明書が作れないのが気持ち悪いですが、解決済みといたします。私の何かの勘違いでしたら、また追記します。
0
可能性1 ルータの機能やプロバイダ仕様で、内側から自身のグローバルIP宛のアクセスを認めない。
可能性2 ルータの機能で外側からのICMPを遮断している(HTTPは通過)。
可能性3 サーバのping応答設定がされていない。
が考えられます。pingはあくまでもネットワーク構築での試験ツールです。ネットワーク/サーバ設定まで完了し、HTTPやFTPによる動作確認後、外部からのICMP(pingのプロトコル)を遮断するという運用は珍しくありません。
投稿2020/05/10 13:56
総合スコア4830
0
Let's encrypt なら外部から接続できれば設定はできます。ローカルから通すためには先の回答者が申し上げているように悩ましい部分があるので、無理に実施する必要はないかと。
投稿2020/05/10 13:31
総合スコア232
実機で設定=不可能
ということですね。
すみません、ローカルサーバーでは設定したことがないので、私の認識に間違いがあるかもなのですが、Let's Encrypt の設定には、Let's Encrypt CA とサーバーが通信できる必要があり、サーバーが自身のグローバルIP で接続するという要件はなかったと認識しています。
https://letsencrypt.org/ja/how-it-works/
サーバーを既に外部へ公開しているのであれば問題ないという認識ですが…。
どうやら詳しく調べたところ、証明書が作るにはローカルからサーバーにアクセスできる環境が必要というわけではなく、Let's encryptのサーバからこちら側にアクセスできる環境が必要なようです。ありがとうございました。
あなたの回答
tips
プレビュー
