概要

The Promised LAN は2021年から運用されている クローズドな会員制LANパーティネットワーク。 ドキュメントの大半はLAN内にあり、 このウェブサイトは外部向けの案内を提供。 社会的・技術的な設計思想をまとめたマニフェスト も公開。 ネットワークは Backboneネットワーク を中心に設計、独自の DNSやPKI も運用。 安定性・セキュリティ・運用効率 を重視した構成。

The Promised LANの概要

• The Promised LAN は 会員制・招待制の閉鎖型LANパーティネットワーク
• 2021年から24時間365日運用
• 主なドキュメントはLAN内で管理、外部向けにはウェブサイトで概要を案内
• 新規参加希望者や興味を持つ人向けの情報提供
• 運用方針・目的・技術的・社会的背景をまとめたマニフェスト を公開

マニフェストの意義

• The Promised LANの設立理由・目標・社会技術的アプローチ を説明
• 同様の構成を持つLANの普及促進を目的
• 社会的側面と技術的側面の密接な関係性 を強調

Backboneネットワーク構成

• 各LANセグメントはBackboneネットワークに接続

• 全LAN間を直接接続すると管理が困難 になるため、 Backbone経由で通信

• Backboneノードは独立運用・異種構成 （Debian+strongSwan, OpenBSD+ikedなど）

• ノード間はIPSecでピアリング

• 速度・セキュリティ・既存ノード対応を考慮した共通アルゴリズムを採用

  • IKE SA認証: HMAC SHA2 512
  • IKE SA暗号化: AES 256
  • IKE SA DH: Curve25519
  • Child SA暗号化: ChaCha20 Poly1305
  • Child SA DH: Curve25519

• /24アドレス空間をBackbone専用で割り当て

• 各Backboneは自身のNode IDに基づくIPを持つ

• 直接接続されたBackboneのみルートをハードコード

• ノード群はThe Promised LANのDefault Free Zone (DFZ)を構成

BGPによるルーティング

• IPSecリンク確立後、Backbone間はBGPでピアリング
• Debianではbird、OpenBSDではbgpdを使用
• 各ユーザーLANの経路をBackboneネットワーク全体にアドバタイズ

独自DNS設計

• 独自TLD「.tpl」(The Promised LANの略)を採用
• LAN参加時に自動的にドメインを割り当て
• 参加者は追加ドメイン申請も可能
• 3つの異なるLANに分散配置したルートDNSサーバ(ns1.tpl, ns2.tpl, ns3.tpl)
• 各権威DNSサーバはnsdを稼働、設定は中央gitリポジトリからcronで同期
• 各LANはx.x.x.254の固定IPで自身の権威DNSサーバを運用（運用自動化のため）
• 再帰リゾルバはBackbone上でanycast IP(x.x.0.1)で運用、unboundを使用

PKI運用方針

• TLS利用のため独自x509ルートCAを運用

• 各CAは3年ライフサイクル

  • 1年目: ルート配布と更新
  • 2年目: 証明書発行運用
  • 3年目: 移行期間（CA無効化前の証明書自然失効待ち）

• CA鍵種別: ECDSA P-384、署名: SHA384

• X509v3 Name Constraints（critical）で.tplドメイン・メールに限定

• 証明書発行管理に既存DNSを活用し、ACME等は未導入

• 各LANはDNS TXTレコード「_pki」にOpenSSH公開鍵を登録

• SSH経由でCSRを提出し、DNS上の公開鍵と一致すれば証明書発行

• 手作業や複雑なワークフローを排除したシンプル運用

まとめ

• The Promised LANはセキュアかつ効率的な会員制LANパーティネットワーク
• Backbone中心の設計、独自DNS・PKI・BGPルーティングで高可用性と自律性を実現
• 社会的・技術的な理念と実践の融合を重視
• 同様の仕組みを志すネットワーク運営者への参考事例