フレッツ光クロスのv6プラス固定IP8個をYAMAHA RTX1300で利用する(ひかり電話利用)
前々回投稿した通り、フレッツ光ネクスト利用のIPQのPPPoE固定IP4個利用から、フレッツ光クロスのenひかりv6プラス固定IP8個利用に変更しました。
合わせてRTX830からRTX1300にルーターも変更して10G回線を最大限活かせる環境に変更。RTX1300自体は事前に購入していてConfigを一通り作ったのちに投入したので割とスムーズに繋がりました。割と、と書きましたが、ひかり電話関連でHGW(XG-100NE)配下にぶら下げる関係上の設定変更が必要でした。当初は光クロスなのでDHCPv6-PDでの設定だと思っていたのですが、HGWからの再配布の場合はRAとなるようで、この辺りの仕様は光ネクストの時と同じようでした。この場合、ipv6は(うちの場合)lan1にしか配布できないことになります。実害はないのですが、何となく悔しいというか納得がいかない仕様ではあります。
RTX1300で設定するConfigファイルですが、基本的にYAMAHAのサイトにある設定例のままでOKです(v6プラス対応機能)。HGWにぶら下げるため、RAプロキシでの接続しかできません。設定例の固定IP8個のものを参考にしますが、今回の私の環境ではグローバルIPをそのままでは利用せず、全て静的NATを利用してプライベートIPv4アドレスをグローバルIPv4アドレスへ変換しつつ、NATマスカレードも併用します。従って設定例そのままではなくその辺りを調整します。ちなみにPPPoEの時のようなUnnumbered接続ではないため、先ほどのYAMAHAのリンク先にある通り、固定IP8個全て利用可能です。
あまり同じような環境の方はいないかもしれませんが、Configで必要となる部分を載せておきます。コメント部分は説明です。LAN1を通常利用で使用し、LAN2をHGWにぶら下げています。LAN3がサーバー用で、LAN4を予備でゲスト用NWに使う予定にしています。ローカルIPv4アドレスの値はLAN1はデフォルト値ですが、その他は適当です。グローバルIPv4アドレスは例示用として利用可能な203.0.113.16/29とします。フィルターの設定は最低限と思われるものを記載しておきますが、環境に合わせて適宜設定してください(長いので分けて記載しておきます)。ついでにIKEv2用のVPNの接続設定も記載しておきます。VPN利用端末はiOSとして2端末としています。
# この辺りは趣味でどうぞ
console character ja.utf8
console columns 240
ip route default gateway tunnel 1
ipv6 prefix 1 ra-prefix@lan2::/64
ip lan1 address 192.168.100.1/24
ipv6 lan1 address ra-prefix@lan2::<インターフェースID>/64 # インターフェースIDはプロバイダーから連絡のあった値
ipv6 lan1 prefix change log on
ipv6 lan1 rtadv send 1 o_flag=on
ipv6 lan1 dhcp service server
# プロバイダー接続関連
description lan2 "enHikari IPoE v6Plus"
lan linkup send-wait-time lan2 5
# LAN2のIPv4アドレスはHGWにLAN1側から接続するために設定
ip lan2 address 192.168.1.1/24
ipv6 lan2 secure filter in 101000 101001 101002 101003 101059
ipv6 lan2 secure filter out 101099 dynamic 101080 101081 101082 101083 101084 101085 101098 101099
ipv6 lan2 dhcp service client ir=on
ngn type lan2 ntt
ip lan3 address 192.168.2.1/24
ip lan4 address 192.168.3.1/24
# LAN4はゲスト用想定ということで、他のローカル環境からの一方通行のフィルター設定を入れています
# フレキシブルLAN/WANポートということでフィルターで管理
ip lan4 secure filter in 200050 500099
ip lan4 secure filter out 200059 500099 dynamic 300100
# RTX1300のポートはシャットダウンしておけるので、利用しないポートは落としています
# 設定変更時に全ポートが一度落ちるので注意を
lan port shutdown 3
# tunnel1がIPoE用です。
tunnel select 1
tunnel encapsulation ipip
tunnel endpoint remote address <BR IPv6アドレス> # BR IPv6アドレスはプロバイダーから連絡のあった値
ip tunnel mtu 1460
# 現状pop3サーバーは使っていないので通していません(フィルター設定自体は一旦残している)
ip tunnel secure filter in 200004 200005 200006 200020 200021 200022 200023 200024 200025 200030 200031 200032 200033 200034 200041 200042 200043 200044 400000 400001 400002 400004 400005 400006 400007 400008 400009 400010 400011 500059 dynamic 300001 300002 300004 300005 300006 300007 300008 300009 300010 300011 300012
ip tunnel secure filter out 200014 200015 200016 200020 200021 200022 200023 200024 200025 200026 200027 500099 dynamic 200080 200081 200082 200083 200084 200085 200098 200099
# NATマスカレードの設定を3つ使っています
ip tunnel nat descriptor 1 2 3
# 侵入検知設定を入れています
ip tunnel intrusion detection in on
ip tunnel intrusion detection in ip on reject=on
ip tunnel intrusion detection in ip-option on reject=on
ip tunnel intrusion detection in fragment on reject=on
ip tunnel intrusion detection in icmp on reject=on
ip tunnel intrusion detection in udp on reject=on
ip tunnel intrusion detection in tcp on reject=on
ip tunnel intrusion detection in ftp on reject=on
ip tunnel intrusion detection in winny on reject=on
ip tunnel intrusion detection in share on reject=on
ip tunnel intrusion detection in default off
ip tunnel intrusion detection out on
ip tunnel intrusion detection out ftp on reject=on
ip tunnel intrusion detection out winny on reject=on
ip tunnel intrusion detection out share on reject=on
ip tunnel intrusion detection out default off
# 下の1行は不要かもですが、明示的に入れています
ip tunnel tcp mss limit auto
tunnel enable 1
# IKEv2用VPN設定。複数端末用にテンプレート設定を利用
tunnel select 2
tunnel template 3
description tunnel iOS01
tunnel encapsulation ipsec
ipsec tunnel 2
ipsec sa policy 2 2 esp aes256-cbc sha-hmac
ipsec ike version 2 2
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 on rfc4306 10 3
# LAN1のNATの外側グローバルIPv4アドレスを指定
ipsec ike local name 2 203.0.113.21 ipv4-addr
ipsec ike nat-traversal 2 on
# iOSで設定する認証用のシークレットの値となる事前共通鍵用のテキストを指定
ipsec ike pre-shared-key 2 text <事前共通鍵用のテキスト>
# iOSで設定するローカルIDその1をここで指定
ipsec ike remote name 2 <ローカルIDその1> fqdn
ipsec ike mode-cfg address 2 1
ipsec auto refresh 2 off
tunnel enable 2
tunnel select 3
description tunnel iOS02
# NATの設定
# NATの外側IPv4アドレスはプロバイダーから連絡のあったものの中で割り振ります
nat descriptor type 1 masquerade
# nat timerの設定。不要の可能性もありますが、iOS端末へのプッシュ通知を安定させるため、
# APNsとiOS端末との間のセッションを明示的に維持して30分以上キープアライブ可能とする設定を入れてます
nat descriptor timer 1 protocol=tcp port=5223 2040
# LAN1用NAT
nat descriptor address outer 1 203.0.113.21
nat descriptor address inner 1 192.168.100.1-192.168.100.254
# VPN用
nat descriptor masquerade static 1 1 192.168.100.1 udp 1701
nat descriptor masquerade static 1 2 192.168.100.1 udp 500
nat descriptor masquerade static 1 3 192.168.100.1 esp
nat descriptor masquerade static 1 4 192.168.100.1 udp 4500
# LAN3用NAT
nat descriptor type 2 masquerade
nat descriptor address outer 2 203.0.113.20
nat descriptor address inner 2 192.168.2.1-192.168.2.254
# 外部公開サーバー用静的NAT
nat descriptor static 2 1 203.0.113.18=192.168.2.2 1
nat descriptor static 2 2 203.0.113.19=192.168.2.3 1
# LAN4用NAT
nat descriptor type 3 masquerade
nat descriptor address outer 3 203.0.113.23
nat descriptor address inner 3 192.168.3.1-192.168.3.254
# IPSecの設定
ipsec auto refresh on
# iOSで設定するローカルIDその2をここで指定
ipsec ike remote name 3 <ローカルIDその2> fqdn
# VPNで接続してくる端末に付与するLAN1側のローカルIPv4アドレスを指定
# 下に出てくるDHCPで予約しているものとは被らないようにする必要がある
ipsec ike mode-cfg address pool 1 192.168.100.240-192.168.100.241/24
ipsec transport 2 2 udp 1701
ipsec transport 3 3 udp 1701
# DHCPの設定
# IPアドレスを固定としたい端末と、固定しないで良い端末とを混ぜて設定
# 予備ゲスト用は無線LANルーターのみ固定として後は固定しないように設定
# DHCPで振られたくないアドレス範囲は「bind-only」で隔離しておく
dhcp service server
dhcp server rfc2131 compliant except remain-silent use-clientid
dhcp scope lease type 1 bind-priority
dhcp scope lease type 2 bind-priority
dhcp scope lease type 3 bind-only
dhcp scope lease type 4 bind-only
dhcp scope lease type 5 bind-only
dhcp scope lease type 6 bind-priority
dhcp scope 1 192.168.100.151-192.168.100.199/24
dhcp scope 2 192.168.100.100-192.168.100.109/24
dhcp scope 3 192.168.100.2-192.168.100.99/24
dhcp scope 4 192.168.100.110-192.168.100.150/24
dhcp scope 5 192.168.3.2-192.168.3.2/24
dhcp scope 6 192.168.3.201-192.168.3.249/24 expire 2:00 maxexpire 2:00
dhcp scope bind 3 192.168.100.2 00:00:5E:00:53:00
dhcp scope bind 4 192.168.100.110 00:00:5E:00:53:01
dhcp scope bind 5 192.168.3.2 00:00:5E:00:53:02
# LAN1、LAN3には内部DNSを利用する、ゲスト用LAN4は内部アクセスないので外部(パブリックDNS)のみ
dhcp scope option 1 dns=192.168.2.4,8.8.8.8,8.8.4.4
dhcp scope option 5 dns=8.8.8.8,8.8.4.4
dhcp scope option 6 dns=8.8.8.8,8.8.4.4
dhcp client release linkdown on
# DNS設定
# 「dhcp scope option」で指定している範囲についてはそちらが優先される
dns host lan1 lan3
dns service fallback on
dns server 192.168.2.4 2606:4700:4700::1111 2001:4860:4860::8888
dns cache max entry 1024
dns server select 5000 192.168.2.4 any mitsugi.jp 192.168.100.1-192.168.100.254,192.168.2.1-192.168.2.254
dns server select 5001 192.168.2.4 ptr 192.168.100.1/24
dns server select 5002 2606:4700:4700::1111 2001:4860:4860::8888 aaaa .
dns private address spoof on
# ひかり電話利用
sip use on私の環境でのフィルター設定例(一部)を記載します。長いな。。IPv6についてはサーバーを公開しているわけではないのでデフォルト設定です。LAN4についてはゲスト用ということで、他のローカル環境からのアクセスの一方通行で設定しています。RTX1300はフレキシブルLAN/WANポートというものが採用されているためvlan設定がなく、各セグメント間の分離が面倒です。
# IPv4静的フィルター
# LAN4向けには余計なものは外しています
ip filter 200004 reject 192.168.100.0/24 * * * *
ip filter 200005 reject 192.168.2.0/24 * * * *
ip filter 200006 reject 192.168.3.0/24 * * * *
ip filter 200014 reject * 192.168.100.0/24 * * *
ip filter 200015 reject * 192.168.2.0/24 * * *
ip filter 200016 reject * 192.168.3.0/24 * * *
ip filter 200020 reject * * udp,tcp 135 *
ip filter 200021 reject * * udp,tcp * 135
ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 200024 reject * * udp,tcp 445 *
ip filter 200025 reject * * udp,tcp * 445
ip filter 200026 restrict * * tcpfin * www,21,nntp
ip filter 200027 restrict * * tcprst * www,21,nntp
ip filter 200030 pass * 192.168.100.0/24 icmp * *
ip filter 200031 pass * 192.168.2.0/24 icmp * *
ip filter 200032 pass * 192.168.100.0/24 tcp * ident
ip filter 200033 pass * 192.168.2.0/24 tcp * ident
# 通常不要なのですが、APNsからのプッシュ通知がまれに不安定になるケースがあるため設定入れてます
ip filter 200034 pass 17.0.0.0/8 192.168.100.0/24,192.168.2.0/24,192.168.3.0/24 tcp * 5223
ip filter 200041 pass * 192.168.100.1 esp
ip filter 200042 pass * 192.168.100.1 udp * 500
ip filter 200043 pass * 192.168.100.1 udp * 4500
ip filter 200044 pass * 192.168.100.1 udp * 1701
# LAN4向けLAN間遮断用フィルター設定
ip filter 200050 reject * 192.168.0.0-192.168.2.255,192.168.4.0-192.168.100.0,192.168.100.2-192.168.255.255,10.0.0.0/8,172.16.0.0/12 * * *
ip filter 200059 pass 192.168.0.0-192.168.2.255,192.168.4.0-192.168.100.0,192.168.100.2-192.168.255.255 192.168.3.2-192.168.3.255
ip filter 400000 pass * 192.168.2.2 tcp,udp * domain
ip filter 400001 pass * 192.168.2.2 tcp,udp domain *
ip filter 400002 pass * 192.168.2.2 tcpflag=0x0002/0x0fff * smtp
ip filter 400003 pass * 192.168.2.2 tcpflag=0x0002/0x0fff * pop3
ip filter 400004 pass * 192.168.2.2 tcpflag=0x0002/0x0fff * submission
ip filter 400005 pass * 192.168.2.2 tcpflag=0x0002/0x0fff * imap2
ip filter 400006 pass * 192.168.2.2 tcpflag=0x0002/0x0fff * 465
ip filter 400007 pass * 192.168.2.2 tcpflag=0x0002/0x0fff * 993
ip filter 400008 pass * 192.168.2.2 tcpflag=0x0002/0x0fff * 8088
ip filter 400009 pass * 192.168.2.2 tcpflag=0x0002/0x0fff * 8443
ip filter 400010 pass * 192.168.2.3 tcpflag=0x0002/0x0fff * www
ip filter 400011 pass * 192.168.2.3 tcpflag=0x0002/0x0fff * https
ip filter 400101 pass * * tcp * 465
ip filter 400102 pass * * tcp 465 *
ip filter 400103 pass * * tcp * 993
ip filter 400104 pass * * tcp 993 *
ip filter 400105 pass * * tcp * 8088
ip filter 400106 pass * * tcp 8088 *
ip filter 400107 pass * * tcp * 8443
ip filter 400108 pass * * tcp 8443 *
ip filter 500059 reject * *
ip filter 500099 pass * * * * *
# IPv4動的フィルター
ip filter dynamic 200080 * * ftp
ip filter dynamic 200081 * * domain
ip filter dynamic 200082 * * www
ip filter dynamic 200083 * * smtp
ip filter dynamic 200084 * * pop3
ip filter dynamic 200085 * * submission
ip filter dynamic 200098 * * tcp
ip filter dynamic 200099 * * udp
ip filter dynamic 300001 * 192.168.2.2 domain
ip filter dynamic 300002 * 192.168.2.2 smtp
ip filter dynamic 300003 * 192.168.2.2 pop3
ip filter dynamic 300004 * 192.168.2.2 submission
ip filter dynamic 300005 * 192.168.2.2 smtp
ip filter dynamic 300006 * 192.168.2.2 imap3
ip filter dynamic 300007 * 192.168.2.2 filter 400006 in 400101 out 400102 syslog=off
ip filter dynamic 300008 * 192.168.2.2 filter 400007 in 400103 out 400104 syslog=off
ip filter dynamic 300009 * 192.168.2.2 filter 400008 in 400105 out 400106 syslog=off
ip filter dynamic 300010 * 192.168.2.2 filter 400009 in 400107 out 400108 syslog=off
ip filter dynamic 300011 * 192.168.2.3 www
ip filter dynamic 300012 * 192.168.2.3 https
ip filter dynamic 300100 * 192.168.3.2-192.168.3.255 filter 300010 in 500099 out 500099 syslog=off
# IPv6静的フィルター
ipv6 filter 101000 pass * * icmp6 * *
ipv6 filter 101001 pass * * tcp * ident
ipv6 filter 101002 pass * * udp * 546
ipv6 filter 101003 pass * * 4
ipv6 filter 101059 reject * *
ipv6 filter 101099 pass * * * * *
# IPv6動的フィルター
ipv6 filter dynamic 101080 * * ftp
ipv6 filter dynamic 101081 * * domain
ipv6 filter dynamic 101082 * * www
ipv6 filter dynamic 101083 * * smtp
ipv6 filter dynamic 101084 * * pop3
ipv6 filter dynamic 101085 * * submission
ipv6 filter dynamic 101098 * * tcp
ipv6 filter dynamic 101099 * * udplua使ったv6プラスのIPv6 アドレス通知用スクリプトは上記YAMAHAサイトなどをご確認ください。特記事項なくそのまま使えるはずです。私の環境ではrtx1300に「/lua」ディレクトリ作ってそこにluaファイル配置して定期的にキックさせるようにしています。Configファイルに含める形だと見通し悪いので。
関連記事
コメント
トラックバックは利用できません。
コメント (0)
この記事へのコメントはありません。