pfSense2.0.1で作るPCルーターに関する設定メモ

以前に作成して快調だったPCルーターが突然ネットへ接続不可に
なっていた

原因は、HDD代わりに使用しているCFカードがダメになったらしく
モニターをつないで見るとなにやら、コンソール画面がエラーだらけ
パーミッションなんたらエラーが連発していて、再起動後も正常起動せず

ネットに繋げないのはメールが見れず困るし、自宅サーバーを友人にも
貸している手前、さっそく別のCFカードに再構築することにした

pfsense2.0.1 ログイン画面

現在のバージョンは2.0.1らしく
「pfSense-2.0.1-RELEASE-i386.iso.gz」をダウンロードして
ISOイメージをCDへ焼きこんでから、CFカードへインストール
インストールに手間はさほどかからず、サクサクと作業は進む

インストール後は、前回同様にコンソール画面から、LANポートの設定と
手っ取り早くDHCPの初期設定だけやって、後はWeb上で市販ルーター
同様に設定していく

手順的には、PPPoE接続設定とNATでとりあえずネットへの接続は
問題なしだが今回は別の箇所で少しはまった

以前に市販ルーターでも経験しているが、自宅内のサーバーへ
ドメイン名でアクセスが出来ない・・市販ルーターでは、ドメイン名で
アクセスするとルーターの設定画面が出てしまう例がわりと多いが

pfSense 2.0.1では「Potential DNS Rebind attack detected ・・・」
と言う「DNSの再バインド攻撃を検出」と言う警告と501エラーが出てしまう

私の環境では、サーバーには内向きにDNSを設置していてLAN内での
名前解決は問題なく運用してきた

ためしに、クライアントPCのネットワークプロパティからTCP/IPの
設定内で優先DNSにローカルサーバーのIPアドレスを入れると問題なく
ドメイン名でアクセスできるようになる

これでも良いと言えば良いのだが、なにかスッキリしないので
少し調べてみると、同様のケースで困っているような例がpfSenseの
フォーラム内にはいくつかある、バグじゃねーの?らしき文言もあるが
基本英語はよくわからないので、決定的な対応策は見つからない

更に突っ込んで調べてみると、hairpin NATに該当する機能がpfSenseでは
System -> Advanced -> Firewall/NAT -> Network Address Translation
と言う項目内の、「Disable NAT Reflection」のチェックをはずせと言う情報が
見つかった

が、結果は変わらず

pfsense2.0.1 NAT Reflection

後は、色々と設定メニューを物色しつつ試してみたのが
Services -> DNS forwarder 内の「Domain Overrides」
に該当するドメイン名を追加エントリする方法

これが正解でした

pfsense2.0.1 Domain Overrides

追加エントリする内容は、該当するローカルサーバー内のドメインと
内向きDNSのIPアドレス

複数ドメインがあれば順番に登録しておけば大丈夫です
ここでドメイン名とDNSを紐付けし、フィルタリングされる事はなくなり
ました

ドメインを登録する手間もありはしますが、なんとなくこちらの方が
スッキリした感じはしています

おそらくは、今後のバージョンアップでまた不要な設定になるかも
しれませんが、pfSense自体を旧バージョンへ戻すのも面倒なので
ひとまずはこのまま様子をみることにします

You may also like...

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です