【機能ガイド】レジェンド制限機能のDNSルーティングとは！機能を深堀して公開してみた

この記事は、古いWiFiルータに搭載されたDNSルーティング機能を解説し、インターネット制限する場合の使われ方と、現在のWiFiルータに搭載されなくなった理由を説明します。

DNSルーティングは、登録したドメイン名（URLの一部）への接続を、指定したDNS経由にするのが本来の機能です。この機能を逆手に取り、特定のドメインやURL接続を存在しないサーバにするのが制限の概要です。

のんびり理系おじさんは、やっと奥様から新しいWiFiルータの購入承認がでました。MACアドレスフィルタの劣化版であるキッズタイマの代わりになる機能を探していると、うちの古いWiFiルータ（Aterm WR9500N）にはあって、今のWiFiルータにはない機能があることを発見しました。

そこで今回は、WiFiルータを新しくすることで、失ってしまうレジェンド機能「DNSルーティング」について深堀りします。

この記事のポイント

DNSルーティングの仕組みを知る
利用できる環境条件を確認する
WiFiルータを搭載状況を調べる
ルータ機能から消滅した理由を知る

インターネット速度が不満なら

今すぐ確認する

※マンション住まいはJ:COM回線がお勧め

DNSルーティングの概要

DNSはDomain Name Systemの略です。インターネットでWebサーバにアクセスする際、人間は、IPアドレスの数字の並びだと覚えにくいので、アルファベットで覚えやすい文字列にします。

もちろん、コンピュータが通信をする時は文字列ではなく、IPアドレスに戻す必要があります。その際、DNSを管理するサーバに問い合わせてIPアドレスにするのですが、DNSやURLによって問い合わせ先を変えるのがDNSルーティングの機能です。

搭載されたWiFiルータ

のんびり理系おじさんが調べたところ、WiFiルータにDNSルーティングが機能として搭載されたのは次のような時期でした。スマートフォン普及により使われることがなったレジェンド機能です。

バッファローのiフィルターや、tp-linkのHome CareやHome Shieldといった有料サービスにおいては、今でも使うこともできるようですが、スマートフォンの専用アプリによるアクセスが主流となった現在において、インターネットの通信制限として使うことはありません。

: 【機能ガイド】WiFiルータで安心なネット環境を！URLとDNSのフィルタリングの違い解説

子育て中のご家庭にとって、子どもたちがインターネットに触れる機会は日々増えています。タブレットでの学習、動画視聴、オンラインゲーム、そして友達とのコミュニケーションツールとして、デジタル端末はもはや生 ...

DNSとは何か

DNSとかURLってなんだ！　玉子かけご飯（TKG）との差が分からないという話になると思うので、少しだけ説明をしておきます。

ドメインとURLについて図示すると下記のようになります。

URLからドメイン名を知る

ドメインとは姓(氏)であり、サーバ名は名前です。つまり山田さんところの太郎ちゃんみたいなもので、tariwo.netのWWWサーバといった使われ方で通信先を指定します。DNSルーティングにしても、URLフィルタリングにしても、実質的な使われ方は同じです。

制限動作の概要

人間が分かりやすいようにしたドメイン名（文字列）は、DNSサーバによりコンピュータが通信するIPアドレスに変換されます。特定のドメイン名やURLの一部により、どのDNSサーバに問い合わせるのか指定するのがDNSルーティングです。

スマホやパソコンといった端末は、通常、Youtube.comや、www.yahoo.co.jpといった接続先URLをIPアドレスに変換するDNSサーバを１つしか指定できません。インターネット等の外部ネットワークに接続する際、真っ先にDNSサーバに問い合わせします。

DNSルーティングでは、特定のドメイン名やURLの一部の問い合わせ先を変更することができます。例えば、Youtube.comの問い合わせ先を、127.0.0.1～127.0.0.254などのローカルループバックアドレスにすることで、端末は、外部へURL名の問い合わせしなくなります。

機能上の問題

DNSルーティング機能が生まれた背景には、インターネット接続回線が遅い環境において、自社の社外公開用サーバや需要の高いサーバは深夜時間帯などにミラーリングを行い、社内のイントラネット上にコピーするといった使われ方をしていました。

DNSサーバの接続先は、通信制限を行いたい端末だけではなく、WiFiルータを使うすべての端末に対してDNSルーティングの機能が有効になります。制限したくないスマホやパソコンまで特定のドメインやURLに接続できなくなってしまいます。これを避けるため、DNSルーティングでインターネット制限をする場合は、２台のWiFiルータを必要となります。

また、IPv6環境ではWiFiルータでルーティングしないのでDNSルーティング機能も動作しません。IPv4環境にする必要があります。

DNSルーティングの準備

ここからは、DNSルーティングをする準備を行っていきましょう。

動作環境

WiFiルータは２台必要で、IPv4環境する必要があります。

最近のWiFiルータはIPv6で動作させることを前提に作られており、DNSルーティングの機能は搭載されていません。１台はDNSルーティングが搭載されたWiFiルータが必要です。中古で1,000円ぐらいで購入可能です。２台目のWiFiルータは何でもOKです。

さて、２台のWiFiルータが準備できたら、さっそく、古いWiFiルータをIPv4動作させ、特定のドメインやURLへのアクセス制限していきましょう。

制限したい端末はDNSルーティングが搭載された古いWiFiルータに、通信を制限しない端末は２台目のWiFiルータに接続させる必要があるので、２台目のルータはMACアドレスフィルタなどを搭載したWiFiルータにされることをおススメします。

動作の概要

まず、DNSルーティングの機能の動作を説明します。DNSは、Youtube.comや、www.yahoo.co.jpといった接続先URLをIPアドレスに変換し、問い合わせた端末に通知するサーバです。端末は、インターネット等の外部ネットワークに接続する際、真っ先にDNSに問い合わせます。

DNSルーティングでは、特定のURLの問い合わせ先を変更することができます。例えば、Youtube.comの問い合わせ先を、127.0.0.1～127.0.0.254などのローカルループバックアドレスにすることで、端末は、外部へURL名の問い合わせしなくなります。

古いWiFiルータをIPv4で動作させる

まず、具体的に古いWiFiルータの設定をしていきましょう。DNSルーティングの機能を有効にするには、古いWiFiルータをIPv4で動作させる必要があります。

Aterm WR9500Nの場合、トップページから、基本設定を選び、その中の基本設定から、動作モードをローカルルータとして、IPv6ブリッジ（パススルー）を使用するのチェックを外します。この設定だけで、WiFiルータへ接続する端末はIPv4で接続されます。

ＷiFiルータをIPv6で動作させると、端末もIPv6で接続するため、DNSルーティングの機能は動作しません。古いWiFiルータのIPv4動作は必須です。他メーカ製のルータでも、「IPv6ブリッジ」や「IPv6パススルー」等の設定を探し、設定をオフにするようにしてください。

ちゃんとIPv4動作をしているか確認する

えっ？　そんな設定だけで、IPv4動作になるの？と疑問に思う方もおられるかも知れないので動作確認をしていきましょう。まずは、検証用のパソコンを用意します。

「コントロールパネル」を開き、「ネットワークと共有センター」を選びます。左の一覧から、「アダプターの設定の変更」をクリックして、設定を変更したいイーサネットを選択します。下図のようにIPv4とIPv6の両方で接続できるよう設定をします。

次に、パソコンを古いWiFiルータに接続します。DNSサーバの割り当ての確認なので、有線でも無線でも構いません。

接続できたら、コマンドプロンプトから「ipconfig /all」と打ち込みます。うまく設定できた場合は、DNSサーバはIPv4のアドレスだけが表示されます。下のように、IPv4のアドレスだけがでるようなら設定はＯＫです。

C:>ipconfig /all
　　　　　（中略）
　DNS サーバー ．．．．．．．．．．．．：192.168.0.1

C:>ipconfig /all

　　　　　（中略）

　DNS サーバー．．．．．．．．．．．．：192.168.0.1

設定を失敗した場合は、DNSサーバはIPv6とIPv4の両方が表示されます。この状態だと、IPv6のDNSサーバが使用されてしまうので制限できません。WiFiルータのIPv6ブリッジ（パススルー）設定を見直してください。

C:>ipconfig /all
　　　　　（中略）
　DNS サーバー ．．．．．．．．．．．．：2001:1234:abcd:1234::1
　　　　　　　　　　　　　　　　　　　　　192.168.0.1

C:>ipconfig /all

　　　　　（中略）

　DNS サーバー．．．．．．．．．．．．：2001:1234:abcd:1234::1

　　　　　　　　　　　　　　　　　　　　　192.168.0.1

これらが確認できれば、古いWiFiルータはIPv4で動作するようになっています。

DNSルーティングの設定

次はDNSルーティングの設定をします。前項では、古いWiFiルータをIPv4で動作するように設定しましたが、ここでは、制限したい宛先ドメイン名（URL）を登録していきます。

制限したいURLの登録

さきほどと同じようにAterm WR9500Nの場合で説明します。「詳細設定」「DNSルーティング設定」を選択し、右下の「追加」ボタンを押します。

エントリ追加画面が出てくるので、制限したい「宛先ドメイン名」を入力します。宛先ドメイン名とはURLの一部です。なお、当ブログのようにサーバ名が省略されている場合があります。（Aterm WR9500Nの場合、サーバ名を入れても通信制限できました。）
URLからドメイン名を知る

「指定方法」は、「ゲートウェイ」にします。「ゲートウェイ」、「プライマリDNS」、「セカンダリDNS」は、「127.0.0.254」と入力し、「設定」ボタン押します。

設定が終われば、一覧に追加されていることを確認します。この方法で制限したい、すべての宛先ドメイン名を登録します。登録できる数は50個までです。

うんちくになりますが、127.0.0.1～127.0.0.254のIPアドレスは特殊なIPアドレス番号です。IPスイッチの問い合わせ用のアドレスなどに使われることもあります。今回は、存在しない相手であれば、何でも良いので、上記範囲であれば、どのアドレスを使っても問題はありません。

DNSルーティング動作しているか確認する

DNSルーティングが動作するようになったか検証用のパソコンを用意します。先ほど、DNSルーティングに登録した宛先URL名に向かって検証用パソコンのコマンドプロンプトからpingコマンドを送ります。

DNSルーティングがうまく設定できていれば、pingコマンドの応答が返ってきません。DNSルーティングを設定する前は、下記のような応答があったものが

C:>ping www.yahoo.co.jp
　www.yahoo.co.jp [192.168.0.1]に ping を送信しています 32 バイトのデータ: 
192.168.0.1 からの応答: バイト数 =32 時間 =1ms TTL=118
192.168.0.1 からの応答: バイト数 =32 時間 =1ms TTL=118
　：
　：

C:>ping www.yahoo.co.jp

　www.yahoo.co.jp [192.168.0.1]に ping を送信しています 32 バイトのデータ:

192.168.0.1 からの応答: バイト数 =32 時間 =1ms TTL=118

　：

DNSルーティングの設定ができると、下記のように、設定した宛先が見つからないといった内容になります。

C:>ping www.yahoo.co.jp
ping 要求ではホスト www.yahoo.co.jp が見つかりませんでした。ホスト名を確認してもう一度実行してください。

1 2	C:>ping www.yahoo.co.jp ping 要求ではホスト www.yahoo.co.jp が見つかりませんでした。ホスト名を確認してもう一度実行してください。

これで、DNSルーティングに登録した宛先URL名には接続できなくなりました。

ハードリセットできないようにする

古いWiFiルータは、ハードスイッチでリセットができないようにしておきます。うちの息子は、勝手にWiFiルータを初期化して出荷状態に戻して、インターネットへ接続できるようにしました。

ルータを初期化されてしまうとネットワークに接続し放題です。そういう知恵が働くなら、その時間で勉強をして欲しいものだとは思います。非常にアナログな方法ですが、下記を参考にハードスイッチが押せないようにしましょう。

: 【子育てコラム】おじさん出張中にバカ息子が初期化したNECのWiFiルータのハードリセット対策

この記事は、WiFiルータのハードリセットを説明し、子どもがリセットボタンを使って、WiFiルータの設定を初期化することで、インターネット利用の制限を強制的に解除できないようにする方法を説明します。 ...

DNSルーティングの懸念事項

古いルータしか搭載していないDNSルーティングで制御するので、懸念事項も合わせて書いておきます。まあ、これらを心配するより、もっと深刻な問題があるので、このページにアクセスされているとは思いますが。。。

古いWiFiルータの寿命

10年ほど前のWiFiルータを使うので、突然、動かなくなるといった問題が発生する可能性があります。電子部品を使った製品ですが、10～15年ぐらいで寿命になります。

私の経験上、電解コンデンサの液抜けや熱による素子の劣化、フラッシュROMの内容が消えたためプログラムが起動できなくなった。といった原因が多いですが、電子機器を使う以上、避けることはできません。

もちろん、通信制限が必要になるのは一時的でしょう。数年もすれば、子供は大人になり、こういった制限は不要になるはずです。短期間と割り切った上で、古いWiFiルータを導入する必要があります。もし、壊れたら中古で、同じような製品を入手してください。

制限できる宛先ドメインが少ない

DNSルーティングで制限できる宛先URLの数には限りがあります。Atermでは、宛先ドメインは50個となっています。

Youtubeやニコニコ動画といった動画サイトだけではなく、アダルトサイトや、ゲームサイトなど登録したいサイトが多い場合は、すべての宛先URLを登録することはできません。

また、登録する宛先URL名は、ワイルドカード「＊」「？」などで省略できません。登録できる宛先URLに限りがあることは覚えておきましょう。

新しいWiFiルータの対策が必要

せっかく、古いWiFiルータで制限をしたとしても、誰でも、新しいWiFiルータに繋げるようにしていたら意味がありません。新しいWiFiルータに接続できるユーザを限定しましょう。接続ユーザを限定する方法については、MACアドレスフィルタを使いましょう。

: 【機能ガイド】MACアドレスフィルタリングは意味ないや効果なしの真相を考察して公開してみた

この記事は、MACアドレスフィルタなんて「意味なし」や「効果ゼロ」という巷のウワサの真偽を考察し、本当に意味がないのか、効果がゼロなのか白黒はっきりさせます。スマホ依存で困っているご家庭は、世の中にた ...

無線LANの規格が古い

NEC Atermの場合、2016年頃までしかDNSルーティングが搭載されていません。約10年前の規格なので、WiFiの通信速度は今のように早くありません。Multi-MIMOやビームフォーミングといった快適になる機能もありません。セキュリティの規格が古い（WPA2があれば十分とは思いますが）ので、セキュリティホールを突かれれば、情報漏えいの危険性があります。

まとめ

今回は２台のWiFiルータを使って、接続制限をする方法を説明しました。古いIPv4ルータに搭載されていたDNSルーティング機能を利用するので、使用できるルータは限られますが、制限をしたい端末と、制限しない端末をWiFiルータで振り分ける事ができます。

ポイント

古いWiFiルータはIPv4で動作させる
古いWiFiルータのDNSルーティングで、登録URLを接続制限する
新しいWiFiルータは、MACアドレスフィルタで接続端末を限定する
制限できるのは、httpやhttpsといったWeb接続のみ
スマホのアプリは制限できない

最後に、読者の皆さまのお子様の成長を願います。どうしようもないとき、このページを参考に通信制限を掛けてください。今後も、皆様のお役に立てる情報を発信していきます。