masahirorの気まま記録簿

個人的な出来事や意見、生活などの記録を思うままにブログに記録

回線切り替え工事とファイアウォールリプレース

会社で引いているインターネット接続の専用線(1.5M)を10Mに増速する工事を行った。

回線の問題

元々前々任者から引き継いだ回線で、契約状況も分からなければ、どういうサービスかも不明。そもそも営業担当者も分からず、これまでは増速できるのかさえ不明な状態だった。もちろん自分の知識不足が大きいのだが。回線の請求書だけ届いて処理だけする日々。
この回線は会社の公開Webサイトなどで利用しており、社内のインターネット接続はBフレッツを別に契約してそちらから出ているので、会社情報を載せているWebサイトぐらいであれば、ずーっと気にはなっていたが1.5Mでもそこまで問題なかった。しかし、最近いろんな外部公開のWebサービスなどをはじめており、さすがに1.5Mでは厳しい状態に。
そんな訳で、いよいよ増速を検討することに。どうしていいか分からない状態だったので、とりあえず回線のサポート窓口にメールをしてみたところ、営業担当から連絡が来て、すぐに切り替えプランを持ってきてくれた。速度アップで月額料金は約半分に。しかも、手持ちの機材で対応可能なことも判明。
インフラ担当になって4年、ずーっと悩み続けてた正体不明な回線が、あれよあれよで切り替えれることが分かり、長年悩んでたのが何だったのかと思えるぐらい、拍子抜けした。

工事

そんな訳で、この提案を経営層に承認してもらい、無事契約。そして、今日21時から切り替え工事を行った。終了予定は24時。
切り替え工事といっても、当然光ケーブルや回線事業者側の切り替え作業を業者がやる訳で、自分は新しい回線用にルータを設定したり、動作確認をしたり。新回線に割り当てられるIPアドレスが旧回線と同じで、ルータはこれまで旧回線で使用していたものを使い回すため、業者が新回線への切り替えを収容側で行うのにあわせて、ルータの設定変更・付けかを行うという作業。
事前に入念にルータの変更内容や接続構成を検討してた甲斐あって、切り替え自体はスムーズに完了。1時間予定してたが、半分以下で完了させることができた。この時点で21時半。

ファイアウォールの問題

本題はここから。この回線にはファイアウォールが2台繋がっている。数年前にリプレースのため新しくファイアウォールを購入したが、前任者がリプレース完了しないまま異動してしまった。そのあと引き継いだのだが、元々使用していたファイアウォールはLinuxの「ipchains」で行われており、当時Linuxの知識があまり深くない自分は、設定内容をみてもどういう設定がされてるのか分からない状態。新しく購入したファイアウォールはCiscoのASAというアプライアンスのため、GUI管理で非常に分かりやすく、こちらはすぐに使い方を習得できた。変更もしやすい。
リプレースできずにいたら、公開サイトを増やす話が出てきた。今後も増やす可能性が高かったため、これまでDMZが存在しなかった社内にDMZを設置することにした。これを新しいファイアウォールで実現することにしたが、既存のファイアウォールの設定まで移行することができず、公開サイトの設置期限も近かったため、既存のファイアウォールと同じ接続構成で新しいファイアウォールを設置した。こうすることで、既存の通信に問題を起こさず、DMZも配置できた。

ただ、2台もファイアウォールがあると管理が大変。古いファイアウォールは10年以上経過しているため、壊れたら怖い。なので、設置後ipchainsを勉強し、なんとか設定内容を理解できるようになった。ただ、すでに新ファイアウォールが稼働してしまっているため、【旧F/Wの停止→新F/Wへの設定移行→動作確認】を考えると、大幅な停止を伴い公開サイトに影響を与えるため、実現できずにいた。

リプレース作業

そこに、今回の回線切り替えで公に停止が認められる機会が訪れたので、今回一気にリプレースしてみることに。回線切り替えによる停止は24時までとアナウンスしていたので、回線切り替え作業が終了した21時半から取りかかった。
停止前、新F/WにはNATを除く通信許可・禁止設定を行っておいたので、主な作業は旧F/Wを停止し、旧F/Wに設定していたNATを新F/Wに設定し直すこと。そして、L3やメールサーバ等のルーティングを新F/WのinsideのIPアドレスに変更する。
これ自体はすんなりいったのだが、他にも色々問題が・・・

外向けメールサーバと内向けメールサーバ間のメール配信がうまくいかない

そもそも、ファイアウォールの外側と同じ階層に置いている、グローバルIPアドレスを持つサーバや機器に、内側(イントラ側)からアクセスできない。うーん・・・
試行錯誤すること約1時間、inside側のNATにExemptの設定をしてやれば外側に行くことが分かり、メールも配信されだした。

DMZからinside側の通信が通らない

上記の設定をするまでは、DMZから直接inside側のIPアドレスを指定すれば通信できたが、設定以降は不通に。DMZにinside側のNAT設定を追加してaccess-listを定義してやれば問題なく通信できたが、DMZに置いている公開サーバの設定(アプリの接続先やDNS設定など)がことごとくイントラ側IPを直接指定していたため、全てNAT設定したIPアドレスに変更することに。この作業で1時間ぐらい取られた。
予定時刻が迫っていたため焦ったが、この時点で0時。社外からのアクセスは予定時間までに問題なく復旧することができた。

外側設置のサーバにアクセスできない

さて、あとは一通り動作確認して帰ろうと思った矢先、外側に直接設置しているサーバに接続できない。外側に直接設置しているサーバは、外向けメールサーバ。これまで外側直接で、ルータのファイアウォール機能でガードしていたので、今回はこのままの場所の予定にしていた。
メールは配信されているようなので問題ないのだが、イントラからSSHでつなげない状態だと明日以降のメンテナンスが大変になる。停止ができるのは今日だけなので、今日のうちに解決したいところ。
いろいろググったり調べたが、解決の糸口が見えない。帰りたい・・・
ふと気になって、旧F/Wを繋ぎ直して、内側にPCを直接LAN接続してテストしてみたら、通信が通った。「もしかして」と思い、新F/Wの外側のIPアドレスを、旧F/Wの外側と同じにしてみたら、、、無事通った!
外向けメールサーバを再起動してもだめで、/etc/hosts.denyを確認しても何も設定されていなかったが、何かしら通信制限がされていたのだろう。これは今後のため後日調査するとして、解決にかかった時間は1時間半後。





そんなこんなで、全部終わったのは深夜1時半。スムーズに行けば23時頃には帰れる予定だったが、見事に日をまたいでしまった。予定時間までに移行しなければならない、移行に失敗したら時間までに戻さなければならないのでその判断をどこでするかというプレッシャーから、時間との戦いで精神的に疲れた。眠い。
でも、長年懸念していた回線速度の問題と、ファイアウォールのリプレース問題が一気に片付いて、かなり嬉しい。数年前の知識ではここまで一人でやれなかっただろうと考えると、今回全部できたことで着実に知識とノウハウが貯まっているのが実感できる。達成感が半端じゃない。
帰宅したら2時回ってた。昨日夕食を作っておいたのが救い。ただ、帰ってからもリモートで繋いで動作確認したりしてたら、布団に入ったのは4時過ぎになってしまった。
明日は休みたいところだけど、リプレース後の設定に不安が残るので、不具合があった場合に対応しなければならない。なので、とりあえず朝は定時に出社して問い合わせに対応することに。眠いだろうな。