Q&A
どのような設定を行ってるでしょうか
前提・実現したいこと
ラズパイを用いたサブネットを構築しています。
ネットワーク構成を示すと、以下のようになります。
WAN-----家庭用ルータ-----ラズパイ(DHCPサーバ・IPforwarding,NAT機能実装)-----複数のラズパイ
ラズパイ以降でサブネットを構成します。
末端の複数のラズパイからラズパイ・家庭用ルータを経由してインターネットに接続することを目的としています。
発生している問題
末端の複数のラズパイからインターネット接続が出来ない。 ・pingはラズパイ・家庭用ルータまでは通るが、8.8.8.8やgoogle.comには届かない ・tracerouteも同様ただ、8.8.8.8を宛先にすると、以下のような表示が出力 1 ラズパイホスト名(ラズパイのIP) 0.241 ms 0.217 ms 0.222 ms 2 ラズパイホスト名(ラズパイのIP) 1333.726 ms !H 1333.665 ms !H *
サブネットを構築するうえで実施したこと
サブネットのgatewayとなるラズパイに対する
・DHCPサーバの設定
・IPforwardingの設定(/etc/sysctl.conf で net.ipv4.ip_forward=1のコメント解除)
・NATの設定
(iptables -A FORWARD -i eth0 -o wlan0 -j ACCEPT)
(iptables -A FORWARD -i wlan0 -o eth0 -j ACCEPT)
コメント
上記内容で、足りない設定・操作・見るべきポイントなど教えて頂けますと嬉しいです
追記
各ラズパイはモデル4Bを使用
OSはRaspberry PI OS を使用しています
ラズパイ親
wlan0 192.168.X.Z
eth0 10.0.0.1
ラズパイ子 10.0.0.2, 10.0.0.3 ... といった構成にしています
ルータ、ラズパイ親子の各IPアドレスを提示するといいと思います。
ルータ親
192.168.X.X
ラズパイ親
10.0.0.1
ラズパイ子
10.0.0.2
10.0.0.3
...
といった構成にしております。
「ラズパイ親」の eth0 が 10.0.0.1、wlan0 が 192.168.X.Z でしょうか?
「NATの設定」は iptables の nat テーブル、POSTROUTING チェーンに設定すると思うのですが、設定済みなのですか?
ラズパイ親のipアドレスに関しては、上記の通りです。(追記いたします)
NATの設定に関しては少しあやふやな部分があります。NATに関係ありそうな部分でいえば、
・IPforwardingの設定(/etc/sysctl.conf で net.ipv4.ip_forward=1のコメント解除)
・NATの設定
(iptables -A FORWARD -i eth0 -o wlan0 -j ACCEPT)
(iptables -A FORWARD -i wlan0 -o eth0 -j ACCEPT)
の設定やコマンドを実行しましたが、それらで包含しきれていないという認識でよろしいでしょうか。
回答2件
0
SNAT または MASQUERADE 設定が必要です。
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o wlan0 -j SNAT --to 192.168.X.Z
投稿2021/05/08 08:15
総合スコア12146
SNATに関して、上記コマンドの実行を試みました。結果以下のようなunknown optionのエラーが出ました。
まだ自分でも調べ切れてはいませんが、このエラーの解消方法はご存じでしょうか。。
iptables v1.8.2 (nf_tables): unknown option "--to"
Try `iptables -h' or 'iptables --help' for more information.
iptables のバージョンによるのでしょう。
("nf_tables" とあるので、OS, kernel が iptables→nftables に切り替わったバージョンと思われます)
man iptables, man iptables-extensions で確認ください。たぶん、"--to-source"
--to-sourceで実行した際も以下のようなエラーとなりました(man iptables-extensionsにて、--to-sourceの記述もありましたが、動作しませんでした)。
iptables v1.8.2 (nf_tables): unknown option "--to-source"
Try `iptables -h' or 'iptables --help' for more information.
そこで、MASQUERADEの方を試してみました。結果は以下の通りです。
iptables v1.8.2 (nf_tables): Chain 'MASQUERADE' does not exist
Try `iptables -h' or 'iptables --help' for more information.
また、SNATの方でも、SNATより後の部分を削除してコマンドを実行されると以下のようなメッセージが出ました。
iptables v1.8.2 (nf_tables): Chain 'SNAT' does not exist
Try `iptables -h' or 'iptables --help' for more information.
man iptables-extensions内のtarget extensionsの項には、MASQUERADE・SNAT共に記述があるため原因がわかりません。nftablesの方で設定を試みる方が良いのでしょうか。
上記エラーは、コマンド冒頭にsudoを付けることで解消されました。お騒がせしてしまい申し訳ありません。
一方で、sudo でSNATの設定をしましたが、インターネットにはつながりません。
traceroute 8.8.8.8の結果は以下のように変化しました。
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
1 ラズパイホスト名 (ラズパイIP) 0.334 ms 0.345 ms 0.284 ms
2 * * *
3 * * *
4 * * *
5 * * *
6 * * *
7 * ラズパイホスト名 (ラズパイIP) 3086.000 ms !H *
また、pingは家庭用ルータに届いていません。
traceroute google.comとした場合は、以下のような出力となりました。
google.com: 名前解決に一時的に失敗しました
Cannot handle "host" cmdline arg `google.com' on position 1 (argc 1)
また、現状でのiptables -L の結果は以下の通りとなっています。
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
「ラズパイ親」でシェルを 2つ起動し、それぞれ "tcpdump -nn -i eth0 icmp", "tcpdump -nn -i wlan0 icmp" を起動して、「ラズパイ子」から "ping (ルータのIPアドレス)" したときのパケットを確認してみましょう。
eth0 側は source IP 10.0.0.2、wlan0 側は SNAT で変換されて source IP 192.168.X.Z になっていますか?
0
pingの結果とtracerouteの結果に違和感がありますね。
pingの場合は家庭用ルータまでは届くはずなのに、tracerouteの場合、家庭用ルータに届く前にエラーが出ています。
投稿2021/05/07 14:41
総合スコア4830
はい。違和感あります。例えば、
ルータを目的地としたtracerouteだと、以下のように結果が返ってくるのですが、
1 ラズパイホスト名(ラズパイIP) 0.267 ms 0.232 ms 0.216 ms
2 ルータIP(ルータIP) 6.764 ms 6.865 ms 7.680 ms
目的地を8.8.8.8とした途端
1 ラズパイホスト名(ラズパイのIP) 0.241 ms 0.217 ms 0.222 ms
2 ラズパイホスト名(ラズパイのIP) 1333.726 ms !H 1333.665 ms !H *
となって、エラーが出るため困惑しています。
ここでのラズパイは子の方ですか?ルート情報に8.8.8.8がない、の意味です。
ここでのラズパイは親の方になります。
子のラズパイでのterminalでtracerouteを実行した際にラズパイ親の情報を含む上記出力が表示されました。
>ルート情報に8.8.8.8がない
とは、どの端末においてのことを意味されていますでしょうか。
失礼。他の回答を見る限り、別の可能性が濃厚です。本件は状況が不自然ですので、無視してください。ちなみに、!Hは「宛先のサブネットにまでは到達したが、当該端末へ到達できない」」というエラーです。上はこのことから推測したものですが、どうやら別問題のようです。
あなたの回答
tips
プレビュー
