ネットワーク構築 パソコン設定 サーバ構築 無線LAN構築 名古屋市 豊田市

ホリテック ブログ 最新投稿

IPv6環境構築(IPoE+DS-Lite) その2

前の続きです。(構築はできたのですが、ほとんどネットだよりです。色々公開しれくれた方々ありがとうございます)

 

 

ちなみに、VLAN11は、PPPoE通って、インターネットにアクセスする事にしています。サーバの公開、又は、Webカメラ等で、自分のネットワーク内に入れるようにするには、これが良いみたいです。

参照:https://www.marbacka.net/blog/ipv4_pppoe_ds-lite_simultaneously/

 

 

 

では、YamahaRTX830のconfigを下記に記載します。これも、ここを参照にしました。公開した「ちべっとぎつね さん」本当にありがとうございます

参照:https://villas-windmill.blog.so-net.ne.jp/2017-05-27

 

login user hogehoge *
user attribute administrator=off connection=off gui-page=dashboard login-timer=300
console info off
ip routing process fast
ip route default gateway tunnel 1 gateway pp 1 filter 100
ip filter source-route on
ip filter directed-broadcast on
ipv6 route default gateway dhcp lan2
ipv6 prefix 1 dhcp-prefix@lan2::/64
ip lan1 address 192.168.0.1/24
ip lan1 secure filter in 100000 100001 100002 100003 100004 100005 100006 100007 100099
ipv6 lan1 address dhcp-prefix@lan2::1/64
ipv6 lan1 rtadv send 1 o_flag=on
ipv6 lan1 dhcp service server
switch control use lan1 on terminal=on
lan-map snapshot use lan1 on terminal=on
vlan lan1/1 802.1q vid=11 name=vlan11
ip lan1/1 address 192.168.1.1/24
vlan lan1/2 802.1q vid=12 name=vlan12
ip lan1/2 address 192.168.2.1/24
ip lan2 address 192.168.201.10/24
ipv6 lan2 address dhcp
ipv6 lan2 prefix change log on
ipv6 lan2 secure filter in 1010 1011 1012 2000
ipv6 lan2 secure filter out 3000 dynamic 100 101 102 103 104 105 108 109
ipv6 lan2 dhcp service client
ngn type lan2 ntt
pp select 1
pp keepalive interval 30 retry-interval=30 count=12
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname ユーザ名 パスワード
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp secure filter in 200020 200021 200022 200023 200024 200025 200030 200032
ip pp secure filter out 200020 200021 200022 200023 200024 200025 200026 200027 200099 dynamic 200080 200081 200082 200083 200084 200085 200098 200099
ip pp nat descriptor 1000
pp enable 1
tunnel select 1
description tunnel DS-Lite
tunnel encapsulation ipip
tunnel endpoint address トンネルエンドポイント用アドレス
ip tunnel mtu 1460
ip tunnel secure filter in 201000 201001 201002 201003 201004 201005 201020 201021 201022 201023 201024 201025 201030 201032 201033 201034 201035 201036
ip tunnel secure filter out 201010 201011 201012 201013 201014 201015 201020 201021 201022 201023 201024 201025 201026 201027 201099 dynamic 201080 201081 201082 201083 201084 201085 201098 201099
ip tunnel tcp mss limit auto
tunnel enable 1
ip filter 100 pass 192.168.1.254 * * * *
ip filter 100000 reject * * udp,tcp 135 *
ip filter 100001 reject * * udp,tcp * 135
ip filter 100002 reject * * udp,tcp netbios_ns-netbios_dgm *
ip filter 100003 reject * * udp,tcp * netbios_ns-netbios_dgm
ip filter 100004 reject * * udp,tcp netbios_ssn *
ip filter 100005 reject * * udp,tcp * netbios_ssn
ip filter 100006 reject * * udp,tcp 445 *
ip filter 100007 reject * * udp,tcp * 445
ip filter 100099 pass * * * * *
ip filter 200020 reject * * udp,tcp 135 *
ip filter 200021 reject * * udp,tcp * 135
ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 200024 reject * * udp,tcp 445 *
ip filter 200025 reject * * udp,tcp * 445
ip filter 200026 restrict * * tcpfin * www,21,nntp
ip filter 200027 restrict * * tcprst * www,21,nntp
ip filter 200030 pass * 192.168.0.0/16 icmp * *
ip filter 200031 pass * 192.168.0.0/16 established * *
ip filter 200032 pass * 192.168.0.0/16 tcp * ident
ip filter 200033 pass * 192.168.0.0/16 tcp ftpdata *
ip filter 200034 pass * 192.168.0.0/16 tcp,udp * domain
ip filter 200035 pass * 192.168.0.0/16 udp domain *
ip filter 200036 pass * 192.168.0.0/16 udp * ntp
ip filter 200037 pass * 192.168.0.0/16 udp ntp *
ip filter 200099 pass * * * * *
ip filter 201000 reject 10.0.0.0/8 * * * *
ip filter 201001 reject 172.16.0.0/12 * * * *
ip filter 201002 reject 192.168.0.0/16 * * * *
ip filter 201010 reject * 10.0.0.0/8 * * *
ip filter 201011 reject * 172.16.0.0/12 * * *
ip filter 201012 reject * 192.168.0.0/16 * * *
ip filter 201020 reject * * udp,tcp 135 *
ip filter 201021 reject * * udp,tcp * 135
ip filter 201022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 201023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 201024 reject * * udp,tcp 445 *
ip filter 201025 reject * * udp,tcp * 445
ip filter 201026 restrict * * tcpfin * www,21,nntp
ip filter 201027 restrict * * tcprst * www,21,nntp
ip filter 201030 pass * 192.168.0.0/24 icmp * *
ip filter 201032 pass * 192.168.0.0/24 tcp * ident
ip filter 201033 pass * 192.168.1.0/24 icmp * *
ip filter 201034 pass * 192.168.1.0/24 tcp * ident
ip filter 201035 pass * 192.168.2.0/24 tcp * ident
ip filter 201036 pass * 192.168.2.0/24 icmp * *
ip filter 201099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 200080 * * ftp
ip filter dynamic 200081 * * domain
ip filter dynamic 200082 * * www
ip filter dynamic 200083 * * smtp
ip filter dynamic 200084 * * pop3
ip filter dynamic 200085 * * submission
ip filter dynamic 200098 * * tcp
ip filter dynamic 200099 * * udp
ip filter dynamic 201080 * * ftp
ip filter dynamic 201081 * * domain
ip filter dynamic 201082 * * www
ip filter dynamic 201083 * * smtp
ip filter dynamic 201084 * * pop3
ip filter dynamic 201085 * * submission
ip filter dynamic 201098 * * tcp
ip filter dynamic 201099 * * udp
nat descriptor address outer 1 ipcp
nat descriptor type 1000 masquerade
ipv6 filter 1010 pass * * icmp6 * *
ipv6 filter 1011 pass * * tcp * ident
ipv6 filter 1012 pass * * udp * 546
ipv6 filter 2000 reject * * * * *
ipv6 filter 3000 pass * * * * *
ipv6 filter dynamic 100 * * ftp
ipv6 filter dynamic 101 * * domain
ipv6 filter dynamic 102 * * www
ipv6 filter dynamic 103 * * smtp
ipv6 filter dynamic 104 * * pop3
ipv6 filter dynamic 105 * * submission
ipv6 filter dynamic 108 * * tcp
ipv6 filter dynamic 109 * * udp
telnetd service on
telnetd host 192.168.0.10
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.0.11-192.168.0.50/24
dhcp scope 2 192.168.1.2-192.168.1.50/24
dhcp scope 3 192.168.2.2-192.168.2.10/24
dhcp client release linkdown on
dns host lan1 lan1/1 lan1/2
dns service fallback on
dns server dhcp lan2
dns private address spoof on
schedule at 1 */* *:*:00 * lua -e "rt.command(\"ping6 update-xxxxxxx.i.open.ad.jp\")"
httpd host 192.168.0.2-192.168.0.10
upnp use on

参照したちべっとぎつね さんの記事にある程度書いてあるので、記載していない部分だけ記載します。

 

Yamahaのデフォルトが、ユーザ名なし、パスワードなしでログインできるようになっているため、ユーザ名なしの設定をした行です。

user attribute administrator=off connection=off gui-page=dashboard login-timer=300

 

 

IPv6の設定ですが、NTTのホームゲートウェイのLANに接続するか、ONUに直接接続するかで、設定が変わります。

参照:http://www.rtpro.yamaha.co.jp/RT/FAQ/FLETS-HIKARI-NEXT/flets_square_next.html

http://www.mfeed.ad.jp/transix/ds-lite/contents/yamaha_nvr500.html

私の場合は、ホームゲートウェイの下なので、IPv6の設定例(ひかり電話を契約している場合:DHCPv6-PD)のようにパターンで記載しました。

VLANも切って、ipv4アドレスを、LAN1、LAN2にも振っているため下記のようにしました。(フィルタは、Yamahaのサイト等も参照してみてください。私の場合は、IPv4のフィルタと、IPv6フィルタを両方かける必要があったので、記載しています)

ipv6 prefix 1 dhcp-prefix@lan2::/64
ip lan1 address 192.168.0.1/24
ip lan1 secure filter in 100000 100001 100002 100003 100004 100005 100006 100007 100099
ipv6 lan1 address dhcp-prefix@lan2::1/64
ipv6 lan1 rtadv send 1 o_flag=on
ipv6 lan1 dhcp service server
switch control use lan1 on terminal=on
lan-map snapshot use lan1 on terminal=on
vlan lan1/1 802.1q vid=11 name=vlan11
ip lan1/1 address 192.168.1.1/24
vlan lan1/2 802.1q vid=12 name=vlan12
ip lan1/2 address 192.168.2.1/24
ip lan2 address 192.168.201.10/24
ipv6 lan2 address dhcp
ipv6 lan2 prefix change log on
ipv6 lan2 secure filter in 1010 1011 1012 2000
ipv6 lan2 secure filter out 3000 dynamic 100 101 102 103 104 105 108 109
ipv6 lan2 dhcp service client
ngn type lan2 ntt

 

 

通常IPv6からIPv4のサイト等はみれない為、MAP-Eや、DS-Liteってものがでてきたのですが、私が使っているプロバイダは、DS-Liteなので、IPv6overIPv4のトンネルを使って、IPv6とIPv4サイトをアクセスさせます。この方法と、PPPoEだと、PPPoEの認証がない分、アクセス速度は向上するはず・・・・・です。

私の場合は、確かの向上したのですが、IPv4に関しては少しは早くなったかなって感じです。(数値で言うと、ダウンが、12Mbps~30Mbps から、40Mbps~70Mbpsぐらいに変わった感じです。)

DS-Lite参照:http://www.mfeed.ad.jp/transix/

 

で、IPv6overIPv4のトンネル設定です。トンネル設定例参照:http://www.mfeed.ad.jp/transix/ds-lite/contents/yamaha_nvr500.html

tunnel select 1
description tunnel DS-Lite
tunnel encapsulation ipip
tunnel endpoint address トンネルエンドポイント用アドレス
ip tunnel mtu 1460
ip tunnel secure filter in 201000 201001 201002 201003 201004 201005 201020 201021 201022 201023 201024 201025 201030 201032 201033 201034 201035 201036
ip tunnel secure filter out 201010 201011 201012 201013 201014 201015 201020 201021 201022 201023 201024 201025 201026 201027 201099 dynamic 201080 201081 201082 201083 201084 201085 201098 201099
ip tunnel tcp mss limit auto
tunnel enable 1

 

DHCP、DNSはvlanに合わせて設定。特にDNSは、ホストを設定しないと、VLANは、名前を引けずインターネットにいけない。社内で言うと、インターネットにアクセスできないようなVLANは、DNS hostの設定に、そのVLANを含めないようにすればインターネットにいけないネットワークを構築できます。それと、DNS hostの設定は、オープンリゾルバー対策にも必要です。

オープンリゾルバ参照;http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/open-resolver.html

dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.0.11-192.168.0.50/24
dhcp scope 2 192.168.1.2-192.168.1.50/24
dhcp scope 3 192.168.2.2-192.168.2.10/24
dhcp client release linkdown on
dns host lan1 lan1/1 lan1/2
dns service fallback on
dns server dhcp lan2
dns private address spoof on

 

最後に、まだ未構築ですが、IPv6拠点間VPNの為に、前もって設定したものです。(xxxxは任意の名前です)

schedule at 1 */* *:*:00 * lua -e “rt.command(\"ping6 update-xxxxxxx.i.open.ad.jp\")"

これは、softether社の『OPEN IPv6 ダイナミック DNS for フレッツ・光ネクスト』というサービスで、IPv6のダイナミックDNSみたいなものです。

 

回線がもう一本用意できたら、これを使って、拠点間IPv6のVPNを貼ろうと思います。

 

できたら公開をまたします。

 

 

一応速度測定の結果も載せます(Google IIJのスピードテスト)を、IIJのIPv6スピードテストでやってみた所、最大200mbpsがでました。

google_iij_speed_test.png

ネットワークDS-Lite,IPoE,IPv6,yamaha