IPv6環境構築(IPoE+DS-Lite) その2
前の続きです。(構築はできたのですが、ほとんどネットだよりです。色々公開しれくれた方々ありがとうございます)
ちなみに、VLAN11は、PPPoE通って、インターネットにアクセスする事にしています。サーバの公開、又は、Webカメラ等で、自分のネットワーク内に入れるようにするには、これが良いみたいです。
参照:https://www.marbacka.net/blog/ipv4_pppoe_ds-lite_simultaneously/
では、YamahaRTX830のconfigを下記に記載します。これも、ここを参照にしました。公開した「ちべっとぎつね さん」本当にありがとうございます
参照:https://villas-windmill.blog.so-net.ne.jp/2017-05-27
login user hogehoge * user attribute administrator=off connection=off gui-page=dashboard login-timer=300 console info off ip routing process fast ip route default gateway tunnel 1 gateway pp 1 filter 100 ip filter source-route on ip filter directed-broadcast on ipv6 route default gateway dhcp lan2 ipv6 prefix 1 dhcp-prefix@lan2::/64 ip lan1 address 192.168.0.1/24 ip lan1 secure filter in 100000 100001 100002 100003 100004 100005 100006 100007 100099 ipv6 lan1 address dhcp-prefix@lan2::1/64 ipv6 lan1 rtadv send 1 o_flag=on ipv6 lan1 dhcp service server switch control use lan1 on terminal=on lan-map snapshot use lan1 on terminal=on vlan lan1/1 802.1q vid=11 name=vlan11 ip lan1/1 address 192.168.1.1/24 vlan lan1/2 802.1q vid=12 name=vlan12 ip lan1/2 address 192.168.2.1/24 ip lan2 address 192.168.201.10/24 ipv6 lan2 address dhcp ipv6 lan2 prefix change log on ipv6 lan2 secure filter in 1010 1011 1012 2000 ipv6 lan2 secure filter out 3000 dynamic 100 101 102 103 104 105 108 109 ipv6 lan2 dhcp service client ngn type lan2 ntt pp select 1 pp keepalive interval 30 retry-interval=30 count=12 pp always-on on pppoe use lan2 pppoe auto disconnect off pp auth accept pap chap pp auth myname ユーザ名 パスワード ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp secure filter in 200020 200021 200022 200023 200024 200025 200030 200032 ip pp secure filter out 200020 200021 200022 200023 200024 200025 200026 200027 200099 dynamic 200080 200081 200082 200083 200084 200085 200098 200099 ip pp nat descriptor 1000 pp enable 1 tunnel select 1 description tunnel DS-Lite tunnel encapsulation ipip tunnel endpoint address トンネルエンドポイント用アドレス ip tunnel mtu 1460 ip tunnel secure filter in 201000 201001 201002 201003 201004 201005 201020 201021 201022 201023 201024 201025 201030 201032 201033 201034 201035 201036 ip tunnel secure filter out 201010 201011 201012 201013 201014 201015 201020 201021 201022 201023 201024 201025 201026 201027 201099 dynamic 201080 201081 201082 201083 201084 201085 201098 201099 ip tunnel tcp mss limit auto tunnel enable 1 ip filter 100 pass 192.168.1.254 * * * * ip filter 100000 reject * * udp,tcp 135 * ip filter 100001 reject * * udp,tcp * 135 ip filter 100002 reject * * udp,tcp netbios_ns-netbios_dgm * ip filter 100003 reject * * udp,tcp * netbios_ns-netbios_dgm ip filter 100004 reject * * udp,tcp netbios_ssn * ip filter 100005 reject * * udp,tcp * netbios_ssn ip filter 100006 reject * * udp,tcp 445 * ip filter 100007 reject * * udp,tcp * 445 ip filter 100099 pass * * * * * ip filter 200020 reject * * udp,tcp 135 * ip filter 200021 reject * * udp,tcp * 135 ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 200024 reject * * udp,tcp 445 * ip filter 200025 reject * * udp,tcp * 445 ip filter 200026 restrict * * tcpfin * www,21,nntp ip filter 200027 restrict * * tcprst * www,21,nntp ip filter 200030 pass * 192.168.0.0/16 icmp * * ip filter 200031 pass * 192.168.0.0/16 established * * ip filter 200032 pass * 192.168.0.0/16 tcp * ident ip filter 200033 pass * 192.168.0.0/16 tcp ftpdata * ip filter 200034 pass * 192.168.0.0/16 tcp,udp * domain ip filter 200035 pass * 192.168.0.0/16 udp domain * ip filter 200036 pass * 192.168.0.0/16 udp * ntp ip filter 200037 pass * 192.168.0.0/16 udp ntp * ip filter 200099 pass * * * * * ip filter 201000 reject 10.0.0.0/8 * * * * ip filter 201001 reject 172.16.0.0/12 * * * * ip filter 201002 reject 192.168.0.0/16 * * * * ip filter 201010 reject * 10.0.0.0/8 * * * ip filter 201011 reject * 172.16.0.0/12 * * * ip filter 201012 reject * 192.168.0.0/16 * * * ip filter 201020 reject * * udp,tcp 135 * ip filter 201021 reject * * udp,tcp * 135 ip filter 201022 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 201023 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 201024 reject * * udp,tcp 445 * ip filter 201025 reject * * udp,tcp * 445 ip filter 201026 restrict * * tcpfin * www,21,nntp ip filter 201027 restrict * * tcprst * www,21,nntp ip filter 201030 pass * 192.168.0.0/24 icmp * * ip filter 201032 pass * 192.168.0.0/24 tcp * ident ip filter 201033 pass * 192.168.1.0/24 icmp * * ip filter 201034 pass * 192.168.1.0/24 tcp * ident ip filter 201035 pass * 192.168.2.0/24 tcp * ident ip filter 201036 pass * 192.168.2.0/24 icmp * * ip filter 201099 pass * * * * * ip filter 500000 restrict * * * * * ip filter dynamic 200080 * * ftp ip filter dynamic 200081 * * domain ip filter dynamic 200082 * * www ip filter dynamic 200083 * * smtp ip filter dynamic 200084 * * pop3 ip filter dynamic 200085 * * submission ip filter dynamic 200098 * * tcp ip filter dynamic 200099 * * udp ip filter dynamic 201080 * * ftp ip filter dynamic 201081 * * domain ip filter dynamic 201082 * * www ip filter dynamic 201083 * * smtp ip filter dynamic 201084 * * pop3 ip filter dynamic 201085 * * submission ip filter dynamic 201098 * * tcp ip filter dynamic 201099 * * udp nat descriptor address outer 1 ipcp nat descriptor type 1000 masquerade ipv6 filter 1010 pass * * icmp6 * * ipv6 filter 1011 pass * * tcp * ident ipv6 filter 1012 pass * * udp * 546 ipv6 filter 2000 reject * * * * * ipv6 filter 3000 pass * * * * * ipv6 filter dynamic 100 * * ftp ipv6 filter dynamic 101 * * domain ipv6 filter dynamic 102 * * www ipv6 filter dynamic 103 * * smtp ipv6 filter dynamic 104 * * pop3 ipv6 filter dynamic 105 * * submission ipv6 filter dynamic 108 * * tcp ipv6 filter dynamic 109 * * udp telnetd service on telnetd host 192.168.0.10 dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.0.11-192.168.0.50/24 dhcp scope 2 192.168.1.2-192.168.1.50/24 dhcp scope 3 192.168.2.2-192.168.2.10/24 dhcp client release linkdown on dns host lan1 lan1/1 lan1/2 dns service fallback on dns server dhcp lan2 dns private address spoof on schedule at 1 */* *:*:00 * lua -e "rt.command(\"ping6 update-xxxxxxx.i.open.ad.jp\")" httpd host 192.168.0.2-192.168.0.10 upnp use on
参照したちべっとぎつね さんの記事にある程度書いてあるので、記載していない部分だけ記載します。
Yamahaのデフォルトが、ユーザ名なし、パスワードなしでログインできるようになっているため、ユーザ名なしの設定をした行です。
| user attribute administrator=off connection=off gui-page=dashboard login-timer=300 |
IPv6の設定ですが、NTTのホームゲートウェイのLANに接続するか、ONUに直接接続するかで、設定が変わります。
参照:http://www.rtpro.yamaha.co.jp/RT/FAQ/FLETS-HIKARI-NEXT/flets_square_next.html
http://www.mfeed.ad.jp/transix/ds-lite/contents/yamaha_nvr500.html
私の場合は、ホームゲートウェイの下なので、IPv6の設定例(ひかり電話を契約している場合:DHCPv6-PD)のようにパターンで記載しました。
VLANも切って、ipv4アドレスを、LAN1、LAN2にも振っているため下記のようにしました。(フィルタは、Yamahaのサイト等も参照してみてください。私の場合は、IPv4のフィルタと、IPv6フィルタを両方かける必要があったので、記載しています)
| ipv6 prefix 1 dhcp-prefix@lan2::/64 ip lan1 address 192.168.0.1/24 ip lan1 secure filter in 100000 100001 100002 100003 100004 100005 100006 100007 100099 ipv6 lan1 address dhcp-prefix@lan2::1/64 ipv6 lan1 rtadv send 1 o_flag=on ipv6 lan1 dhcp service server switch control use lan1 on terminal=on lan-map snapshot use lan1 on terminal=on vlan lan1/1 802.1q vid=11 name=vlan11 ip lan1/1 address 192.168.1.1/24 vlan lan1/2 802.1q vid=12 name=vlan12 ip lan1/2 address 192.168.2.1/24 ip lan2 address 192.168.201.10/24 ipv6 lan2 address dhcp ipv6 lan2 prefix change log on ipv6 lan2 secure filter in 1010 1011 1012 2000 ipv6 lan2 secure filter out 3000 dynamic 100 101 102 103 104 105 108 109 ipv6 lan2 dhcp service client ngn type lan2 ntt |
通常IPv6からIPv4のサイト等はみれない為、MAP-Eや、DS-Liteってものがでてきたのですが、私が使っているプロバイダは、DS-Liteなので、IPv6overIPv4のトンネルを使って、IPv6とIPv4サイトをアクセスさせます。この方法と、PPPoEだと、PPPoEの認証がない分、アクセス速度は向上するはず・・・・・です。
私の場合は、確かの向上したのですが、IPv4に関しては少しは早くなったかなって感じです。(数値で言うと、ダウンが、12Mbps~30Mbps から、40Mbps~70Mbpsぐらいに変わった感じです。)
DS-Lite参照:http://www.mfeed.ad.jp/transix/
で、IPv6overIPv4のトンネル設定です。トンネル設定例参照:http://www.mfeed.ad.jp/transix/ds-lite/contents/yamaha_nvr500.html
| tunnel select 1 description tunnel DS-Lite tunnel encapsulation ipip tunnel endpoint address トンネルエンドポイント用アドレス ip tunnel mtu 1460 ip tunnel secure filter in 201000 201001 201002 201003 201004 201005 201020 201021 201022 201023 201024 201025 201030 201032 201033 201034 201035 201036 ip tunnel secure filter out 201010 201011 201012 201013 201014 201015 201020 201021 201022 201023 201024 201025 201026 201027 201099 dynamic 201080 201081 201082 201083 201084 201085 201098 201099 ip tunnel tcp mss limit auto tunnel enable 1 |
DHCP、DNSはvlanに合わせて設定。特にDNSは、ホストを設定しないと、VLANは、名前を引けずインターネットにいけない。社内で言うと、インターネットにアクセスできないようなVLANは、DNS hostの設定に、そのVLANを含めないようにすればインターネットにいけないネットワークを構築できます。それと、DNS hostの設定は、オープンリゾルバー対策にも必要です。
オープンリゾルバ参照;http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/open-resolver.html
| dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.0.11-192.168.0.50/24 dhcp scope 2 192.168.1.2-192.168.1.50/24 dhcp scope 3 192.168.2.2-192.168.2.10/24 dhcp client release linkdown on dns host lan1 lan1/1 lan1/2 dns service fallback on dns server dhcp lan2 dns private address spoof on |
最後に、まだ未構築ですが、IPv6拠点間VPNの為に、前もって設定したものです。(xxxxは任意の名前です)
| schedule at 1 */* *:*:00 * lua -e “rt.command(\"ping6 update-xxxxxxx.i.open.ad.jp\")" |
これは、softether社の『OPEN IPv6 ダイナミック DNS for フレッツ・光ネクスト』というサービスで、IPv6のダイナミックDNSみたいなものです。
回線がもう一本用意できたら、これを使って、拠点間IPv6のVPNを貼ろうと思います。
できたら公開をまたします。
一応速度測定の結果も載せます(Google IIJのスピードテスト)を、IIJのIPv6スピードテストでやってみた所、最大200mbpsがでました。
