So-net の IPv6 IPoE 開通手続きも無事済んだので RTX1200 を使って IPv6 IPoE + DS-Lite の設定をしていくことにします。RTX1200 に於いては IPv6 IPoE 及び DS-Lite(IPv4 over IPv6) に関する設定を GUI から行うことはではできませんので、エディタを使って config を書き、USBメモリから本体に流し込むことにします。この場合、スペルミスがあるとその行は無視されてしまうので注意が必要です。
自分の勉強用及びメモとして RTX1200 での設定例を載せておきます。今回も Yamaha のサイトやいくつかのブログを参考にさせて頂きました。ルーターパスワードの設定や侵入検知機能の設定は省いています。何分素人なので妙なところがあれば指摘して頂けるととても助かります。
IPv6 IPoE で繋ぐだけならば以下のリンクにある Yamaha の設定例で簡単に繋がります。(RTX1200 の場合は電話の設定部分は不要です。)ひかり電話を契約していない場合は若干設定が変わりますのでそちらの説明を参照してください。PPPoE 接続と違って接続用の ID やパスワードの記述は不要です。
まずは経路の設定をしておきます。IPv4 は IPIPトンネルへ、IPv6 は直接 WANへ流すように仕向けます。2つのフィルターは「Source-route」というオプションのついたIPパケットを廃棄するものと「smarf attack」から保護するものでどちらも防御用のものです。
ip routing process fast ip route default gateway tunnel 1 ip filter source-route on ip filter directed-broadcast on ipv6 route default gateway dhcp lan2
LAN1ポートを使用する LANインターフェースを設定していきます。LAN1を DHCPv6サーバーにしています。
description lan1 LAN ip lan1 address 192.168.100.1/24 ip lan1 secure filter in 100000 100001 100002 100003 100004 100005 100006 100007 100099 ipv6 lan1 address dhcp-prefix@lan2::1/64 ipv6 lan1 rtadv send 1 o_flag=on ipv6 lan1 dhcp service server
LAN2ポートを使用する WANのインタフェースを設定します。LAN2 の IPv6アドレスは DHCPサーバから取得させますが、IPv4アドレスは HGW にログインするため適当に割り振っています。また、以下のブログを参考にさせて頂いて、HGW(PR-S300NE)に静的ルーティング設定を施して管理画面にアクセス出来るようにしています。 静的ルーティングの設定を加えた後は、「エントリ番号」にチェックを入れて「設定」→「保存」ボタンを押して HGW に設定を覚えさせておくのを忘れないように。
description lan2 WAN ipv6 prefix 1 dhcp-prefix@lan2::/64 ip lan2 address 192.168.1.254/24 ipv6 lan2 address dhcp ipv6 lan2 prefix change log on ipv6 lan2 mtu 1500 ipv6 lan2 secure filter in 1010 1011 1012 2000 ipv6 lan2 secure filter out 3000 dynamic 100 101 102 103 104 105 108 109 ipv6 lan2 dhcp service client ngn type lan2 ntt
DS-Lite は IPv4パケットを IPv6 で「カプセル化」して NGN網へ流す技術なので、RTX1200 にその経路となるトンネルを作ってやります。以下のサイトがとても参考になりました。
☆ (Yamaha) IPv4 over IPv6トンネリング
☆ (transix) ヤマハ 動作確認機器
☆ (ZOOT NATIVE) YAMAHA RTX1200の設定マニュアル
トンネル終端の AFTR の IPv6アドレスは西日本と東日本で異なりますのでそれぞれ参照してください。またこのアドレスは将来的に変更される可能性もあるそうです。(その場合は調べ直す必要がでてきます。)
具体的には下記の [AFTR ADDRESS] の部分を
【NTT東日本エリア】 【NTT西日本エリア】
2404:8e00::feed:100 2404:8e01::feed:100
2404:8e00::feed:101 2404:8e01::feed:101
で置き換えてください。また、DS-Lite の MTU値は「ping -f -l」コマンドを使って調べてみたところ 1460 が良いようでした。
tunnel select 1 description tunnel DS-Lite tunnel encapsulation ipip tunnel endpoint address [AFTR ADDRESS] ip tunnel mtu 1460 ip tunnel secure filter in 201000 201001 201002 201003 201020 201021 201022 201023 201024 201025 201030 201032 ip tunnel secure filter out 201010 201011 201012 201013 201020 201021 201022 201023 201024 201025 201026 201027 201099 dynamic 201080 201081 201082 201083 201084 201085 201098 201099 ip tunnel tcp mss limit auto tunnel enable 1
フィルター設定です。Yamaha の設定例や PPPoE の GUI設定時に入れられていたものなどを参考にしています。特にフィルターの設定はまだ充分ではないと思うので指摘して頂ければ助かります。
☆ (Yamaha) NVR500 GUI「プロバイダ情報の設定」で設定される IPフィルターの解説
ip filter 100000 reject * * udp,tcp 135 * ip filter 100001 reject * * udp,tcp * 135 ip filter 100002 reject * * udp,tcp netbios_ns-netbios_dgm * ip filter 100003 reject * * udp,tcp * netbios_ns-netbios_dgm ip filter 100004 reject * * udp,tcp netbios_ssn * ip filter 100005 reject * * udp,tcp * netbios_ssn ip filter 100006 reject * * udp,tcp 445 * ip filter 100007 reject * * udp,tcp * 445 ip filter 100099 pass * * * * * ip filter 201000 reject 10.0.0.0/8 * * * * ip filter 201001 reject 172.16.0.0/12 * * * * ip filter 201002 reject 192.168.0.0/16 * * * * ip filter 201003 reject 192.168.100.0/24 * * * * ip filter 201010 reject * 10.0.0.0/8 * * * ip filter 201011 reject * 172.16.0.0/12 * * * ip filter 201012 reject * 192.168.0.0/16 * * * ip filter 201013 reject * 192.168.100.0/24 * * * ip filter 201020 reject * * udp,tcp 135 * ip filter 201021 reject * * udp,tcp * 135 ip filter 201022 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 201023 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 201024 reject * * udp,tcp 445 * ip filter 201025 reject * * udp,tcp * 445 ip filter 201026 restrict * * tcpfin * www,21,nntp ip filter 201027 restrict * * tcprst * www,21,nntp ip filter 201030 pass * 192.168.100.0/24 icmp * * ip filter 201032 pass * 192.168.100.0/24 tcp * ident ip filter 201099 pass * * * * * ip filter dynamic 201080 * * ftp ip filter dynamic 201081 * * domain ip filter dynamic 201082 * * www ip filter dynamic 201083 * * smtp ip filter dynamic 201084 * * pop3 ip filter dynamic 201085 * * submission ip filter dynamic 201098 * * tcp ip filter dynamic 201099 * * udp ipv6 filter 1010 pass * * icmp6 * * ipv6 filter 1011 pass * * tcp * ident ipv6 filter 1012 pass * * udp * 546 ipv6 filter 2000 reject * * * * * ipv6 filter 3000 pass * * * * * ipv6 filter dynamic 100 * * ftp ipv6 filter dynamic 101 * * domain ipv6 filter dynamic 102 * * www ipv6 filter dynamic 103 * * smtp ipv6 filter dynamic 104 * * pop3 ipv6 filter dynamic 105 * * submission ipv6 filter dynamic 108 * * tcp ipv6 filter dynamic 109 * * udp
DHCP周りの設定です。「dhcp scope bind」で IPアドレスを固定しておきたい機器の数だけ記述していきます。NAS や無線LANルーターなどは管理画面にアクセスすることがままあると思うので固定しておくと何かと便利です。固定には 4行目と 5行目の二つの書式があるのでうまく動く方で設定してやってください。うちの場合 Wi-Fiアクセスポイントとして使うことにした NEC の WG1800HP2 だけは上の方の書式ではバインドを嫌がるので下の方の「ethernet」を抜いた書式の方で設定しています。
dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.100.10-192.168.100.191/24 dhcp scope bind 1 192.168.100.xx ethernet (バインドしたい機器のMACアドレス) dhcp scope bind 1 192.168.100.xx (バインドしたい機器のMACアドレス) dhcp client release linkdown on
DNS周りです。
dns host lan1 dns service fallback on dns server dhcp lan2 dns private address spoof on
その他時刻合わせ等です。統計情報の設定は GUI でもできるので省いています。
schedule at 1 */* 01:00:00 * ntpdate ntp.nict.jp syslog syslog notice on
接続状況の確認にはこの辺りのサイトを使うとよいでしょう。
http://test-ipv6.com
http://ipv6-test.com
http://hantei.janis.or.jp/
速度測定はこの辺りを。
http://flets-west.jp/ NGN内部の速度測定(サイト内バナーリンクから)
http://speedtest6.iijmio.jp IIJmio IPv6スピードテスト(β) (下りのみ・要Flash)
http://www.speedtest.net
http://netspeed.studio-radish.com/index.html
http://www.dslreports.com/speedtest
RTX1200 のリソース統計を見ていると速度測定時には CPU利用率が 100%まで上がることがあるようです。やはり今となっては非力な CPU がボトルネックになっているのでしょう。メモリやセッション数にはさすがにかなり余裕がありますね。とはいえ昼夜を問わず下りで 100~200Mbps、上りで 400Mbps程度はコンスタントに出ているので動画視聴やダウンロード、Webの表示などにストレスを感じることはありません。PPPoE接続で夜の混雑する時間帯に数Mbps、酷ければ1Mbpsを下回ることもあった頃に比べると雲泥の差です。混雑する時間帯の速度がこれだけ回復してくれれば私はもう御の字ですが、これ以上の速度が必要な方は最初から NVR510 なり RTX1210 なりを用意した方がいいです。(費用はかかりますが。)
IPoE+DS-Lite の環境の弊害として、グローバルIPアドレスを他の人と共有することになるので radiko の地域判定がおかしくなったりサーバーの公開などはフィルター等を用いて PPPoE経由の接続ルートの方へ出すなど工夫の必要があるようです。(radiko の件については「地域判定に関する問い合わせ」から修正を依頼することができます。但し IP が被っている利用者同士で取り合いになる可能性もあるかも?)他にはポート設定が必要な一部のゲームなどで不都合の出るものがあるようですがこの辺はまた遭遇した時にでも考えることにします。また、IPoE へ変えてすぐにシリアから(!)Google アカウントへの不正ログインの検知警告が来たりして驚いたことがありました。(確認したところ検出された IPアドレスはDS-Lite で割り当てられた私のものでした。)いずれにせよ念のために二段階認証が使えるものはさっさと設定しておいた方がいいでしょうね。
DDoS攻撃の踏み台になってしまわないためにもこの辺りも確認しておいた方がよいかと思います。
☆ (Yamaha) オープンリゾルバー(Open Resolver)に対する注意喚起について
☆ (JPCERT/CC) オープンリゾルバ確認サイト