【RTX830】IPv4/IPv6デュアルスタック環境のCATV回線で設定した話。

先日、実家にてCATVのHFC回線からFTTH回線へのマイグレーション工事がありました。

HFC回線では、グローバルIPv4アドレスをDHCPでもらえる仕様でした。

今回のFTTHではそこにIPv6が加わるという形だけだったため、YAMAHAのConfig例をベースに構成いたしました。参考までにConfigを掲載しておきます。

結論から申し上げますと問題なく構築でき、IPv6同士での拠点間VPNも正常に行うことができました。

今回の環境

  • D-ONU(CATVではこの表記になっている)は、CATVからFTE6083が貸与されている。
  • IPv4はDHCPでグローバルIPv4アドレスが振られる。(ポート開放など全ポートが専有可)
  • IPv6はDHCPv6-PDで割り振られる。

IPv4の設定

IPv4はYAMAHAのConfig例を元に設定を行いました。

下記から変更した点はIPv4でのVPN関連のIPフィルター追加とIPマスカレードになります。

CATVインターネットなどイーサネット回線を利用する
ヤマハのネットワーク機器の設定例ページです。CATVインターネットなどイーサネット回線を利用するための、ルーターの設定をご紹介します。

Config例

#RTX830のIPアドレス設定(RTX830本体に設定するプライベートIPアドレスで任意のアドレスを指定)
ip lan1 address 192.168.2.254/24

#グローバルIPv4アドレスをDHCPで取得。
ip lan2 address dhcp
ip lan2 nat descriptor 1
ip route default gateway dhcp lan2
description lan2 "プロバイダー名" ←LAN2にプロバイダー名等を入れると判別しやすくなります。

#NAT設定
nat descriptor type 1 masquerade
nat descriptor address outer 1 primary
nat descriptor masquerade incoming 1 reject 
nat descriptor masquerade static 1 1 192.168.2.254 udp 500
nat descriptor masquerade static 1 2 192.168.2.254 esp
nat descriptor masquerade static 1 3 192.168.2.254 udp 4500
nat descriptor masquerade static 1 4 192.168.2.254 udp 1701

#DHCP設定
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.2.50-192.168.2.150/24 ←設定したプライベートIPアドレスの範囲でDHCPを設定する

#IPフィルターの設定
ip filter source-route on
ip filter directed-broadcast on
ip filter 1001 reject 192.168.2.0/24 *
ip filter 1002 pass * 192.168.2.0/24 icmp
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * tcp
ip filter dynamic 106 * * udp
ip filter 101099 pass * 192.168.2.254 udp * 500
ip filter 101100 pass * 192.168.2.254 esp
ip filter 101101 pass * 192.168.2.254 udp * 4500
ip filter 101102 pass * 192.168.2.254 udp * 1701
ip lan2 secure filter in 1001 1002 2000 101099 101100 101101 101102
ip lan2 secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106

GUIでの設定

GUIでは基本的にかんたん設定で、プロバイダー接続でDHCPクライアントで設定すると問題なく接続できます。後にIPv6の設定を行うため、IPv4/IPv6デュアルスタック環境ではあまりおすすめはしません。

というより、ご家庭でRTX830を購入している方は有識者の方が多いため、大体はCUIでConfigを入れてしまう方が大多数だと思いますので、その心配は必要ないと信じてますが…。

詳細設定から各々設定を行うとそのような事故がマシになるので参考程度で記載します。

グローバルIPv4アドレスは[詳細設定]→[LAN]→[IPアドレス]にて、WAN側の[プライマリーIPアドレス]を[DHCPクライアント]とすると取得することができます。

また、LAN側の[プライマリーIPアドレス]をRTX830に設定したいIPアドレスにするとそのIPアドレスがRTX830本体のIPアドレスになります。

NAT設定は、[詳細設定]→[NAT]にてNATディスクリプターを作成しWANにNATディスクリプターを割り当てることで同様のことが可能です。

NATディスクリプター番号任意の番号
変換方法IPマスカレード
外側アドレスプライマリーアドレス
内側アドレス自動(auto)(デフォルト値)
ヘアピンNATの利用利用しない(デフォルト値)
変換ルールに該当しないパケットの処理破棄する(デフォルト値)

DHCPサーバはデフォルトで有効に設定されており、問題なく動くと思いますが、変更したい場合は[詳細設定]→[DHCPサーバ]で設定することができます。

ちなみに、LAN側プライマリーアドレスを変更した場合、[IPアドレスの変更に合わせて、その他の設定のIPアドレスを自動で変更する]にチェックが入ってると、DHCPのアドレス範囲が自動的に変わるため、そこまで気にする必要はないかと思います。

IPv6の設定

IPv6の設定はGUIのかんたん設定や[詳細設定]→[プロバイダー接続]から設定を行おうとしてしまうと、バグって正常にIPv6通信が行えなかったので、GUIからの設定はできないと思っていいです。

※私の実際の環境下ではバグってしまってIPv6通信が正常に通信を行うことができませんでした。

これは私の個人的な見解ですが、ひかり電話の契約の有無のところでRA方式かDHCPv6-PD方式かを判別しており、これを設定してしまうと、自動的にNTTのフレッツ網に最適化されたConfigが放り込まれるため、バグるのかと思います。

Configは、IPsecを使用したVPN拠点間接続(IPv6 IPoE)のConfig例をベースに作成しました。フレッツ光のひかり電話環境では(HGWを通す前)DHCPv6-PDでIPv6アドレスが提供される仕様となっており、その設定をベースにしております。

また、NGN網に接続する回線ではないためngn type のコマンドは使用しておりません。

IPsecを使用したVPN拠点間接続(IPv6 IPoE) : コマンド設定
ヤマハのネットワーク機器の設定例ページです。IPv6 IPoEでインターネットに接続して、IPsecによる拠点間VPN接続を行うための設定を説明します。本設定例では、ネットボランチDNSサーバーに登録した名前(ホストアドレス)を利用して、V...

Config例

#IPv6のデフォルトゲートウェイ設定 
ipv6 route default gateway dhcp lan2

#IPv6アドレス設定
ipv6 prefix 1 dhcp-prefix@lan2::/64
ipv6 lan1 address dhcp-prefix@lan2::1/64
ipv6 lan1 rtadv send 1 o_flag=on

#IPv6アドレスのDHCP設定
ipv6 lan1 dhcp service server
ipv6 lan2 address dhcp
ipv6 lan2 dhcp service client

#IPv6 IPフィルター設定
ipv6 filter 1010 pass * * icmp6 * *
ipv6 filter 1011 pass * * tcp * ident
ipv6 filter 1012 pass * * udp * 546
ipv6 filter 1013 pass * * 4
ipv6 filter 1040 pass * * udp * 500
ipv6 filter 1041 pass * * esp
ipv6 filter 1042 pass * * udp * 4500
ipv6 filter 3000 pass * * * * *
ipv6 filter dynamic 100 * * ftp
ipv6 filter dynamic 101 * * domain
ipv6 filter dynamic 102 * * www
ipv6 filter dynamic 103 * * smtp
ipv6 filter dynamic 104 * * pop3
ipv6 filter dynamic 105 * * submission
ipv6 filter dynamic 118 * * tcp
ipv6 filter dynamic 119 * * udp
ipv6 lan2 secure filter in 1010 1011 1012 1013 1040 1041 1042
ipv6 lan2 secure filter out 3000 dynamic 100 101 102 103 104 105 118 119

GUIでConfigを流し込む方法

GUIでConfigを流し込む場合は[管理]→[保守]→[コマンド実行]でConfigを流し込むことが可能です。

ただし、一部コマンドは利用できないため、Configをちゃんと流し込みたい方は、SSHやTELNETでRTX830と接続するか、コンソールケーブルを利用した接続を行うと確実です。

DNS設定

DNS設定は基本的にプロバイダーからDHCPで配布されるDNSで大丈夫かと思いますが、当環境ではあまり安定しなかったのでCloudflareの1.1.1.1DNSを使用しました。

Config例

dns host lan1
dns service recursive
dns server select 1 2606:4700:4700::1111 2606:4700:4700::1001 aaaa .
dns server select 2 1.1.1.1 1.0.0.1 a .
dns private address spoof on

GUIでの設定

GUIでは、[詳細設定]→[DNSサーバー]→[中継先サーバーの一覧]から設定を行うことができます。

中継先DNSサーバーをそれぞれ設定してIPv6アドレスはAAAAレコード、IPv4アドレスはAレコードになるように設定をします。

IPv6同士の拠点間VPNの設定

IPv6アドレスは半固定での配布が一般的なためDDNSを通す必要があります。IPv6のDDNSでかんたんに利用できるOPEN IPv6 ダイナミック DNSを利用しました。

以前設定した例があるのでそちらの記事を参照してください。

まとめ

今回は、CATV回線でのIPv4/IPv6デュアルスタック環境での設定例をご紹介しました。

CATV回線によっては、IPv4アドレスがプライベートIPアドレスで提供されていたりすることがあるので、確認しておくことが無難です。

また、IPv6アドレスの配布方式については、どこのCATV回線会社のFAQに書いていないことが多いので、予め問い合わせを入れて確認をしておくとスムーズかと思います。

一般社団法人日本ケーブルラボの”IPv6対応ケーブルインターネットアクセス技術仕様ガイドライン”によると、IPv6アドレスの配布方式はDHCPv6-PDが推奨されているため、大多数はDHCPv6-PDで配布されているのかもしれません。

IPv6対応ケーブルインターネットアクセス技術仕様ガイドライン改定 : 日本ケーブルラボ

YAMAHAのGUIは昔と比べて設定できる範囲がかなり増えてきており、扱いやすくはなっておりますが、まだまだ細かいバグなどが残されている印象で、まだまだ改善の余地があると思います。IPv6での拠点間VPNをGUIで構築できたら、もっと扱いやすい製品になるのではないかと考えております。

正直なところ、Configをしっかり理解してCUIで入力するのに慣れるとぶっちゃけConfig流したほうが早いです笑

以上、CATV回線でRTX830を利用するための設定でした。

コメント

タイトルとURLをコピーしました