rabbit51

it's since Nov.30 2005
May.29 2014, transferred from broach

ヤマハNVR500で「ぷらら」IPv6 IPoE接続 Transix DS-Lite

2018-06-24 09:00:00 | NVR500
「ぷらら」のIPv6 IPoE接続、5年半ほどかかったが、お願い「PlalaさんIPv6のIPoEサービスを提供してください」が実現した。IPv6 IPoE接続設定は、NVR500の簡単設定・プロバイダ情報の設定で可能だ。IPv6 IPoEによるNGNとインターネットの接続事業者は、インターネットマルチフィードTransixサービスが使われている。Transixは、IPv6インターネット接続だけでなくIPv4インターネット接続をAFTR(Address Family Translation Router)装置でNAPT接続するDS-Lite(Dual Stack-Lite : IPv4 over IPv6)オプションサービも含まれている。DS-Liteは、NAPTのためL2TP/IPSecによるVPN接続やデジタル写真データを配布するためのWebサービスを適応する事ができない。これらの機能を稼動させるため、ぷららのIPv4 PPPoEインターネット接続とDS-Liteを併用するよう設定する事にした。


NVR500でDS-LiteのAFTRに接続するには、「IPIP Tunnel」を使用する。確か、VPNもTunnelを使っている。簡単設定の「詳細設定と情報」「VPN接続の設定」「設定可能なVPN設定」でPPまたはTUNNEL表示された追加ボタンでTunnelの設定が選択できる。「IPIPトンネルを使用したネットワーク型 LAN間接続」を使用してDS-Liteの設定を試みた。




設定出来ない。。。


TUNNEL1には、VPNアカウントがbindされたL2TP/IPSecトンネル設定
TUNNEL2には、コマンド実行から「DS-Lite接続設定」がしてある。この状態でTUNNEL2の設定を開くと設定出来そうな画面となる。「設定の確定」を行うと幸いな事に「間違いがあるので登録できません」となり意図しない上書き変更されない。
この状態で、VPNアカウントを追加すると「PP Anonymous」セクションにアカウントが追加される。TUNNELへのbindも変更されている。「pp bind tunnel1-tunnel2」?TUNNEL2は、DS-Liteに使っているのだが。。。。


TUNNEL2の設定を確認してみるとコマンドの上書きと追加が行われていた。


VPNの登録された追加アカウントを削除してみた。「PP Anonymous」セクションで追加ユーザが削除されたが、bindされたTUNNELが変更されている。。。。


「TUNNEL」セクションを確認すると、TUNNEL1が削除され上書き追加されたTUNNEL2が残っている!

これは、上手くない。意図しない変更が発生しそうな予感がする。簡単設定の選択範囲外のTUNNEL番号を設定すれば、簡単設定画面に表示されない(PP番号で確認)。コマンド実行から「TUNNEL5」で設定しようとすると番号が範囲外で設定出来ない。NVR500の最大TUNNEL数が4と思われる。DS-Lite接続でTUNNELを1個使うとVPNアカウントが3個までしか設定出来なくなる。VPNアカウントが壊されてしまったので、TUNNEL1をDS-Lite接続に使用し、VPNアカウントは、TUNNEL2以降が使われるよう変更した。

TUNNEL設定は、disableを設定していないと直ぐに接続された状態になる。設定には、「ip route default」コマンドでDS-LiteへのTUNNELインターフェースを設定するので不具合を想定してdisableの状態で設定するのが良い。
セキュリティフィルターは、Plala IPv4PPPoEで設定されるPPインターフェースと同じ設定とした。L2TP/IPSecとhttp/httpsの静的IPマスカレード関連のファイアウォールフィルタ80-97を除いたフィルタを設定した。
---------------------------------------
tunnel select 1
tunnel disable 1
tunnel name "Plala Transix DS-Lite"
tunnel encapsulation ipip
tunnel endpoint address 2404:8e00::feed:100
ip tunnel secure filter in 200003 200020 200021 200022 200023 200024 200025 200030 200032
ip tunnel secure filter out 200013 200020 200021 200022 200023 200024 200025 200026 200027 200099 dynamic 200080 200081 200082 200083 200084 200085 200098 200099
---------------------------------------

このTUNNEL1をdefaultルートとして設定すれば、Transix DS-Lite経由のIPv4インターネット接続できる。
pp01にぷららのIPv4 PPPoEインターネット接続の経路設定がされている。同時に使用するにはどうしたら良いか?

---------------------------------------
ip route default gateway pp 1 filter 500000 gateway pp 1
----
ip filter 500000 restrict * * * * *
---------------------------------------

「pp 1」と「tunnel 1」でweightを設定する事にした。通常使用されるのは、Transix DS-LiteとしPlala IPv4 PPPoEは、補佐的に設定した。外部から接続されるL2TP/IPSecのVPNとhttp/httpsのwebに関しては、「pp 1」が使用されるはず。

---------------------------------------
ip route default gateway tunnel 1 weight 1000 hide gateway pp 1 weight 1 hide
---------------------------------------

コマンド実行で「tunnel enable 1」を実行し、DS-LiteへのTUNNELを有効にする。
上手く接続され、Transix DS-Liteで接続されるようになる。TUNNEL1をdisableするとpp 1が使用される。TUNNEL1が有効だとL2TP/IPSecのVPNとhttp/httpsのwebが利用できない。TUNNEL1をdisableすると利用できる。L2TP/IPSecのVPN接続は、PlalaのIPv4 PPPoE側からしか利用できないので、IPSecに関するパケットは、PP1へ送る。NVR500から接続元へ帰るIPSec関連のUDP/500, 4500とESPをPP1へ送るようにFilter経路設定を行うこととする。インターネットから接続されるhttp/httpsも同様にFilter経路設定とした。

---------------------------------------
ip route default gateway pp 1 filter 10 11 12 gateway tunnel 1 weight 1000 hide gateway pp 1 weight 1 hide
----
ip filter 10 pass 192.168.11.AAA * udp 500,4500 *
ip filter 11 pass 192.168.11.AAA * esp * *
ip filter 12 pass 192.168.11.BBB * tcp 1080,1443 *
---------------------------------------
ip filter 500000 restrict * * * * *
---------------------------------------

簡単設定が挿入する500000番のFilterを加えても良いかも。。。

Plala IPv4 PPPoE + Transix IPv6 IPoE + DS-Lite 同時接続時


Macbook proでIPv6テスト(IPv4もIPv6もインターネットマルチフィードからインターネットへ)


iPhoe6SからL2TP/IPSecのVPNで接続してIPv6テスト
OverridePrimaryがFalseなので、イントラネット宛て以外のサイトへの接続は、VPNを介さず、iPhone6SのSIMキャリア(DoCoMo MVNO IIJ/AEON)のipで接続しているのが判る。


L2TP/IPSecでイントラネット内に接続し、NVR500のトップ画面へ接続。VPN接続表示が確認できる


http/httpsサイトへの接続(VPN切断でキャリアネットワークから接続)


イントラネット内にWiFiで接続し、IPv6テスト。インターネットマルチフィードから接続されているのが判る。


-----
P.S.
メール通知機能

メール通知機能に使う、メールサーバの設定で「mailserver.plala.or.jp」の25番ポートで設定がしてあった。
Transix DS-Liteで「ぷらら」の外からsmtp 25番ポートで送信が行われることとなり、送信失敗が発生した。
pp1のぷらら経由となるようFilter経路設定を加えるか、Submission port(587)からSMTP AUTHで接続するかに変更する必要が発生した。Submission portでsmtp authが使われるよう設定変更した。


------
設定内容(NVR500)






























コメント    この記事についてブログを書く
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする
« Synology DS-216JでLet's Enc... | トップ | 光ネクストPR-S300SEのIPv6 I... »
最新の画像もっと見る

コメントを投稿

ブログ作成者から承認されるまでコメントは反映されません。

NVR500」カテゴリの最新記事