会社のボスは、アンチIPv6なようなので、検証目的でもなく、自宅環境で遊んでみた。
http://wiki.tomocha.net/draft_hikarip_yamaha.html
(現在は・・・会社で、遊んでいたってことにしておこう。)
ルータ借りてきて、実家(奈良)のRTX1000と繋いで遊び中。
で、上手く動かないなあ。即席で30分程度でやって書いたことなので。
暇なときにじっくりと調べてみよう。 IPv4 over IPv6 IPsec
静岡の自宅の古川のルータ(Fitelnet F100)をYAMAHAルータにリプレースさせたいこの頃(笑)
検証名目で誰かYAMAHAルータを無期限で恵んでください。って、自宅にこういう機材おかしいというツッコミは無しでおねがいしします。
実は、F100は、上記のページに書いた、光プレミアムの時におこなうルーティング時に問題がでて繋がりません。
なんとかしてよ!>中の人
YAMAHAルータで検証をしていて初めて知ったのですが。。
※ 210.247.16.1 は ctu.fletsnet.com で、CTU設定サーバのことです。
GW-RTX:# show status pp 1 PP[01]: PPPoEセッションは接続されています 接続相手: nttw-ctu 通信時間: 10秒 受信: 798 パケット [268026 オクテット] 負荷: 0.2% 送信: 809 パケット [188726 オクテット] 負荷: 0.1% PPPオプション LCP Local: Magic-Number MRU, Remote: CHAP Magic-Number MRU IPCP Local: IP-Address, Remote: IP-Address PP IP Address Local: 124.99.XXX.XXX, Remote: 210.247.16.1 CCP: None
PP IP Address Local: 124.99.XXX.XXX, Remote: 210.247.16.1
の 210.247.16.1 の部分。これが原因で古川のルータは誤作動していると考えられます(汗
というか、本来であれば、古川のルータは挙動が正しいのかもしれません。。
てことで、悪いのはNTTなのか!!!(汗
IPv6 IPsecのデモ環境について。
奈良のFreeBSDなルータでRA及びトンネルをおこなっています。(そのうち、HITACHI GR2000-2Bあたりに置きかえる予定)
その上で、奈良と静岡がL2-VPNで接続されており(L1的には別拠点ですがL3的には同一セグメント)、奈良にあるYAMAHAルータと静岡にあるYAMAHAルータをIPv6でIPsecで接続。無事に成功。その上で、IPv4を流そうとしたら通りませんでした(苦笑)
30分程度しかかけずにやっていないので、何か間違いがあるのか後で調査。暇つぶしの息抜きです(汗
★ F100での挙動不審について。:
上記のWikiにある環境をFURUKAWA FitelNet F100で設定をおこなったところ、正常に動作しないことが判明。
光プレミアムでは、古川のF100はお勧め出来ません。古川が悪いのではなく、NTTの仕様が悪いのです;-)
Router#show ip route
Codes: K - kernel route, C - connected, S - static, R - RIP, O - OSPF
B - BGP, I - IKE, U - SA-UP, D - REDUNDANCY, E - EventAction
A - AutoConfig, > - selected route, * - FIB route, p - stale info.
S> * 0.0.0.0/0 [1/0] is directly connected, PPPoE1
S> * 210.247.0.0/17 [2/0] via 192.168.24.1, EWAN1
C> * 210.247.16.1/32 is directly connected, PPPoE2
S 210.247.16.1/32 [2/0] is directly connected, EWAN1 inactive
ctu設定サーバが、ewan1上の192.168.24.1/24経由でIPv4で接続するべきなのですが、PPPoEのリモートサーバの終端が ctu.fletsnet.com と同じIPアドレスの 210.247.16.1 で有るために、static routeを記述しても、pppoe にどうしてもgatewayが向いてしまい、ctu設定サーバへ接続できなくなります。この挙動はルータとして正しいのですが、逆に光プレミアムでは問題となってしまいます。解決方法として考えられるのは、IPv6を使う方法でしょうけれども、自宅内には別経路でIPv6が存在するためその手段をとることが出来ません。
FURUKAWA FitelNet F100 Rev2系のサンプルコンフィグ
次に、古川 Fitel-Net F100 Rev2系のサンプルコンフィグとなります(フレッツスクウェアへの接続含む)。vlan は、interface lan1 でしか使えないこと、vlan及びewan 1では、dhcpサーバを構成すことが出来ないと言うことで、ちょっと特殊な設定となっています。(後日、Linuxサーバでvlan単位にdhcpで配布するために、若干構成が変更されたなごりで、ewan2がLANとなっています。)
尚、フレッツスクウェアへPPPoEで接続する方法、若しくはctuで接続させ、 ip rotue でルーティングテーブルを記述することにより、ctu経由で接続する方法の二通り有ります。(config中には両方のパターンが記載あり。)
<ぼそ>
設定が悪いのか、DNSサーバを recursive として動作させたときに非常にレスポンスが悪くタイムアウトすることが多いのは、設定の問題なのだろうか・・・。
ip route 0.0.0.0 0.0.0.0 pppoe 1 ip route 210.247.0.0 255.255.128.0 192.168.24.1 ip route 210.247.16.1 255.255.255.255 ewan 1 ip route 210.247.16.1 255.255.255.255 192.168.24.1 ip route 10.10.0.0 255.255.0.0 192.168.80.254 ip route 10.60.0.0 255.255.0.0 192.168.24.1 ip route 10.174.0.0 255.255.0.0 192.168.24.1 access-list 1 permit 192.168.0.0 0.0.255.255 access-list 99 permit 0.0.0.0 0.0.0.0 access-list 99 permit any access-list 100 dynamic permit ip any any ip name-server 222.146.35.138 ip nat translation udp-timeout 60 ip nat translation tcp-timeout 800 ip nat translation finrst-timeout 10 ip nat translation icmp-timeout 60 ip nat reserved-sessions 50 ip nat max-sessions 16384 proxydns mode v4 proxydns domain flets v4 10.60.20.72 10.60.20.73 proxydns domain fletsnet.com v4 192.168.24.1 syslog source-interface ewan 2 syslog sending syslog level 4 syslog server 192.168.80.253 syslog facility 16 logging-level elog 3 logging-level slog 5 logging-level tlog 2 interface ewan 1 ip address 192.168.24.10 255.255.255.0 ip access-group 100 out ip nat inside source list 1 interface ipv6 enable exit interface ewan 2 ip address 192.168.80.1 255.255.255.0 ipv6 enable exit interface lan 1 shutdown exit interface pppoe 1 ip mtu 1400 ip nat inside source list 1 interface ip nat inside source list 99 interface pppoe server ocn pppoe account <user> <password> pppoe type host pppoe auth-accept auto exit interface pppoe 2 ip mtu 1400 pppoe server square pppoe account flets@flets flets pppoe type host exit