(新)タイトルいつ決めるのさ

何かの参考にして頂ければ幸いです。

Yamaha RTX1200 を使った IPv6 IPoE + DS-Lite の設定

So-netIPv6 IPoE 開通手続きも無事済んだので RTX1200 を使って IPv6 IPoE + DS-Lite の設定をしていくことにします。RTX1200 に於いては IPv6 IPoE 及び DS-LiteIPv4 over IPv6) に関する設定を GUI から行うことはではできませんので、エディタを使って config を書き、USBメモリから本体に流し込むことにします。この場合、スペルミスがあるとその行は無視されてしまうので注意が必要です。 

自分の勉強用及びメモとして RTX1200 での設定例を載せておきます。今回も Yamaha のサイトやいくつかのブログを参考にさせて頂きました。ルーターパスワードの設定や侵入検知機能の設定は省いています。何分素人なので妙なところがあれば指摘して頂けるととても助かります。

IPv6 IPoE で繋ぐだけならば以下のリンクにある Yamaha の設定例で簡単に繋がります。(RTX1200 の場合は電話の設定部分は不要です。)ひかり電話を契約していない場合は若干設定が変わりますのでそちらの説明を参照してください。PPPoE 接続と違って接続用の ID やパスワードの記述は不要です。



まずは経路の設定をしておきます。IPv4 は IPIPトンネルへ、IPv6 は直接 WANへ流すように仕向けます。2つのフィルターは「Source-route」というオプションのついたIPパケットを廃棄するものと「smarf attack」から保護するものでどちらも防御用のものです。

ip routing process fast
ip route default gateway tunnel 1
ip filter source-route on
ip filter directed-broadcast on
ipv6 route default gateway dhcp lan2

LAN1ポートを使用する LANインターフェースを設定していきます。LAN1を DHCPv6サーバーにしています。

description lan1 LAN
ip lan1 address 192.168.100.1/24
ip lan1 secure filter in 100000 100001 100002 100003 100004 100005 100006 100007 100099
ipv6 lan1 address dhcp-prefix@lan2::1/64
ipv6 lan1 rtadv send 1 o_flag=on
ipv6 lan1 dhcp service server

LAN2ポートを使用する WANのインタフェースを設定します。LAN2 の IPv6アドレスは DHCPサーバから取得させますが、IPv4アドレスは HGW にログインするため適当に割り振っています。また、以下のブログを参考にさせて頂いて、HGW(PR-S300NE)に静的ルーティング設定を施して管理画面にアクセス出来るようにしています。 静的ルーティングの設定を加えた後は、「エントリ番号」にチェックを入れて「設定」→「保存」ボタンを押して HGW に設定を覚えさせておくのを忘れないように。

description lan2 WAN
ipv6 prefix 1 dhcp-prefix@lan2::/64
ip lan2 address 192.168.1.254/24
ipv6 lan2 address dhcp
ipv6 lan2 prefix change log on
ipv6 lan2 mtu 1500
ipv6 lan2 secure filter in 1010 1011 1012 2000
ipv6 lan2 secure filter out 3000 dynamic 100 101 102 103 104 105 108 109
ipv6 lan2 dhcp service client
ngn type lan2 ntt

DS-LiteIPv4パケットを IPv6 で「カプセル化」して NGN網へ流す技術なので、RTX1200 にその経路となるトンネルを作ってやります。以下のサイトがとても参考になりました。
 ☆ (Yamaha)    IPv4 over IPv6トンネリング
 ☆ (transix)     ヤマハ 動作確認機器
 ☆ (ZOOT NATIVE)  YAMAHA RTX1200の設定マニュアル
トンネル終端の AFTR の IPv6アドレスは西日本と東日本で異なりますのでそれぞれ参照してください。またこのアドレスは将来的に変更される可能性もあるそうです。(その場合は調べ直す必要がでてきます。)
具体的には下記の [AFTR ADDRESS] の部分を
           【NTT東日本エリア】  【NTT西日本エリア】
           2404:8e00::feed:100   2404:8e01::feed:100
           2404:8e00::feed:101   2404:8e01::feed:101
で置き換えてください。また、DS-Lite の MTU値は「ping -f -l」コマンドを使って調べてみたところ 1460 が良いようでした。

tunnel select 1
 description tunnel DS-Lite
 tunnel encapsulation ipip
 tunnel endpoint address [AFTR ADDRESS]
 ip tunnel mtu 1460
 ip tunnel secure filter in 201000 201001 201002 201003 201020 201021 201022 201023 201024 201025 201030 201032
 ip tunnel secure filter out 201010 201011 201012 201013 201020 201021 201022 201023 201024 201025 201026 201027 201099 dynamic 201080 201081 201082 201083 201084 201085 201098 201099
 ip tunnel tcp mss limit auto
tunnel enable 1

フィルター設定です。Yamaha の設定例や PPPoE の GUI設定時に入れられていたものなどを参考にしています。特にフィルターの設定はまだ充分ではないと思うので指摘して頂ければ助かります。
 ☆ (Yamaha) NVR500 GUI「プロバイダ情報の設定」で設定される IPフィルターの解説

ip filter 100000 reject * * udp,tcp 135 *
ip filter 100001 reject * * udp,tcp * 135
ip filter 100002 reject * * udp,tcp netbios_ns-netbios_dgm *
ip filter 100003 reject * * udp,tcp * netbios_ns-netbios_dgm
ip filter 100004 reject * * udp,tcp netbios_ssn *
ip filter 100005 reject * * udp,tcp * netbios_ssn
ip filter 100006 reject * * udp,tcp 445 *
ip filter 100007 reject * * udp,tcp * 445
ip filter 100099 pass * * * * *
ip filter 201000 reject 10.0.0.0/8 * * * *
ip filter 201001 reject 172.16.0.0/12 * * * *
ip filter 201002 reject 192.168.0.0/16 * * * *
ip filter 201003 reject 192.168.100.0/24 * * * *
ip filter 201010 reject * 10.0.0.0/8 * * *
ip filter 201011 reject * 172.16.0.0/12 * * *
ip filter 201012 reject * 192.168.0.0/16 * * *
ip filter 201013 reject * 192.168.100.0/24 * * *
ip filter 201020 reject * * udp,tcp 135 *
ip filter 201021 reject * * udp,tcp * 135
ip filter 201022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 201023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 201024 reject * * udp,tcp 445 *
ip filter 201025 reject * * udp,tcp * 445
ip filter 201026 restrict * * tcpfin * www,21,nntp
ip filter 201027 restrict * * tcprst * www,21,nntp
ip filter 201030 pass * 192.168.100.0/24 icmp * *
ip filter 201032 pass * 192.168.100.0/24 tcp * ident
ip filter 201099 pass * * * * *
ip filter dynamic 201080 * * ftp
ip filter dynamic 201081 * * domain
ip filter dynamic 201082 * * www
ip filter dynamic 201083 * * smtp
ip filter dynamic 201084 * * pop3
ip filter dynamic 201085 * * submission
ip filter dynamic 201098 * * tcp
ip filter dynamic 201099 * * udp
ipv6 filter 1010 pass * * icmp6 * *
ipv6 filter 1011 pass * * tcp * ident
ipv6 filter 1012 pass * * udp * 546
ipv6 filter 2000 reject * * * * *
ipv6 filter 3000 pass * * * * *
ipv6 filter dynamic 100 * * ftp
ipv6 filter dynamic 101 * * domain
ipv6 filter dynamic 102 * * www
ipv6 filter dynamic 103 * * smtp
ipv6 filter dynamic 104 * * pop3
ipv6 filter dynamic 105 * * submission
ipv6 filter dynamic 108 * * tcp
ipv6 filter dynamic 109 * * udp

DHCP周りの設定です。「dhcp scope bind」で IPアドレスを固定しておきたい機器の数だけ記述していきます。NAS無線LANルーターなどは管理画面にアクセスすることがままあると思うので固定しておくと何かと便利です。固定には 4行目と 5行目の二つの書式があるのでうまく動く方で設定してやってください。うちの場合 Wi-Fiアクセスポイントとして使うことにした NEC の WG1800HP2 だけは上の方の書式ではバインドを嫌がるので下の方の「ethernet」を抜いた書式の方で設定しています。

dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.10-192.168.100.191/24
dhcp scope bind 1 192.168.100.xx ethernet (バインドしたい機器のMACアドレスdhcp scope bind 1 192.168.100.xx (バインドしたい機器のMACアドレスdhcp client release linkdown on

DNS周りです。

dns host lan1
dns service fallback on
dns server dhcp lan2
dns private address spoof on

その他時刻合わせ等です。統計情報の設定は GUI でもできるので省いています。

schedule at 1 */* 01:00:00 * ntpdate ntp.nict.jp syslog
syslog notice on

接続状況の確認にはこの辺りのサイトを使うとよいでしょう。
   http://test-ipv6.com
   http://ipv6-test.com
   http://hantei.janis.or.jp/
速度測定はこの辺りを。
   http://flets-west.jp/        NGN内部の速度測定(サイト内バナーリンクから)
   http://speedtest6.iijmio.jp     IIJmio IPv6スピードテスト(β) (下りのみ・要Flash
   http://www.speedtest.net
   http://netspeed.studio-radish.com/index.html
   http://www.dslreports.com/speedtest

RTX1200 のリソース統計を見ていると速度測定時には CPU利用率が 100%まで上がることがあるようです。やはり今となっては非力な CPU がボトルネックになっているのでしょう。メモリやセッション数にはさすがにかなり余裕がありますね。とはいえ昼夜を問わず下りで 100~200Mbps、上りで 400Mbps程度はコンスタントに出ているので動画視聴やダウンロード、Webの表示などにストレスを感じることはありません。PPPoE接続で夜の混雑する時間帯に数Mbps、酷ければ1Mbpsを下回ることもあった頃に比べると雲泥の差です。混雑する時間帯の速度がこれだけ回復してくれれば私はもう御の字ですが、これ以上の速度が必要な方は最初から NVR510 なり RTX1210 なりを用意した方がいいです。(費用はかかりますが。)

IPoE+DS-Lite の環境の弊害として、グローバルIPアドレスを他の人と共有することになるので radiko の地域判定がおかしくなったりサーバーの公開などはフィルター等を用いて PPPoE経由の接続ルートの方へ出すなど工夫の必要があるようです。(radiko の件については「地域判定に関する問い合わせ」から修正を依頼することができます。但し IP が被っている利用者同士で取り合いになる可能性もあるかも?)他にはポート設定が必要な一部のゲームなどで不都合の出るものがあるようですがこの辺はまた遭遇した時にでも考えることにします。また、IPoE へ変えてすぐにシリアから(!)Google アカウントへの不正ログインの検知警告が来たりして驚いたことがありました。(確認したところ検出された IPアドレスDS-Lite で割り当てられた私のものでした。)いずれにせよ念のために二段階認証が使えるものはさっさと設定しておいた方がいいでしょうね。

DDoS攻撃の踏み台になってしまわないためにもこの辺りも確認しておいた方がよいかと思います。
 ☆ (Yamaha)   オープンリゾルバー(Open Resolver)に対する注意喚起について
 ☆ (JPCERT/CC) オープンリゾルバ確認サイト


ヤマハルーターでつくるインターネットVPN [第5版]

ヤマハルーターでつくるインターネットVPN [第5版]