最近のお仕事(2回線を使い、フィルター型ルーティングで通信負荷を分散)

投稿日: 2025年6月4日 作成者: regno

最近行ったお仕事のまとめ

ご依頼内容

Nuroの回線を2本使い、インターネットの回線の分散化を行いたい。

・環境:LAN1:192.168.1.0/24 、 LAN2、LAN3にNuroからの配線を行う。

・VLANを作成し、ゲスト用WiFi環境を作成

 

いつも通り、ある程度簡単な部分はGUIで行う。

・Nuroの設定はGUIに則ってサクッと2回線分追加(LAN2、LAN3に接続)

回線の分散化というのをどうするのか悩んだ挙句4オクテッドめの数字によってLAN2、LAN3に振り分ける。(奇数、偶数にしてみてもいいがフィルターの書き方が超絶メンドーな感じがして妥協して10番毎に分けてみる)

ip filter 1001 pass 192.168.1.11-192.168.1.20,192.168.1.30-192.168.1.39,192.168.1.50-192.168.1.59,192.168.1.170-192.168.1.79.192.168.1.190-192.168.1.99 * * * *

ip filter 1002 pass 192.168.1.110-192.168.1.119,192.168.1.130-192.168.1.139,192.168.1.150-192.168.1.159,192.168.1.170-192.168.1.179,192.168.1.190-192.168.1.199 * * * *

こんな感じでフィルターを作る。

で、ゲートウェイの設定を

ip route default gateway dhcp lan3 filter 1001 1002 gateway dhcp lan2

にする。

そうするとdhcp lan3には1001、1002に該当するIPが通り、それ以外はdhcp lan2に行くと。

端末台数がソコソコ多い(数十台)と満遍なく振り分けられるかと。

最初lan2に対応するフィルターも書いてたのだが、VLANがあるとダメっぽい。

そこで、悩んだ挙句、YAMAHAのサポートセンターに泣きついてconfigを添削してもらう。

で、上記のお答えをいただく。それと一部GUIが生成したフィルターも一部変更しろと。

ip filter 101030 pass * 192.168.1.0/24 icmp * *
ip filter 102030 pass * 192.168.1.0/24 icmp * *

ip filter 101030 pass * 192.168.0.0/16 icmp * *
ip filter 102030 pass * 192.168.0.0/16 icmp * *

 

サポート様ありがとうございました!

 

 

 

カテゴリー: etc, Network, 未分類 | コメントする

VLANを通過させないUTMがある場合のゲストwifiの作り方

投稿日: 2025年6月4日 作成者: regno

仕事上でUTMが間にいてVLANを利用したゲスト用Wifiを用意する場合がでてきまして、どうしたもんかと考えてこんな風にやってみました。

構成機器

メインルーター:YAMAHA RTX830 :192.168.100.1

UTM:VLANを通さないUTM(ブリッジモード) :192.168.100.240

AP:YAMAHA WLX212 :192.168.100.250

 

<RTX830>  – <UTM> – <WLX212> —– 機器類

 

ゲスト用Wifiなので、基本的な考え方は

・ゲスト用Wifiで接続してる機器類はインターネットに接続できればいい。

・社内の機器類には接続させない。

この2つが大事かなということで

・VLANが必ず必要というのではない。

・たまにお客さんが使う程度なら接続台数は多くなくても良い。(10台程度)

そういう考えだと間にVLANを通さないUTMがいてもなんとかなりそうだと。

 

基本的な考え方は

・UTMがいるため、すべて同一セグメントで統一する。

・RTX830のDHCPの範囲と被らないDHCPをWLX212でも用意する。

・ゲスト用Wifiでつながってる機器類を社内のネットワークと通信させない(フィルターを掛ける)

 

 

・これはWLX212にてDHCPサーバーを用意できることと、

・そのDHCPサーバーを利用できるSSIDを選択できることがわかった。(全適用じゃない)

ので、試してみようかと思ったんです。

 

上位のRTX830は簡単設定で設定を進めるとDHCPが

192.168.100.11 – 192.168.100.191/24

に、なってるので

WLX212でもう1個 192.168.100.220 – 192.168.100.229/24 の範囲ででDHCPを建ててやればいいかな?と

で、その範囲の機器類から社内の”それ以外”にフィルターを掛けて通信を不可にしてやればいい。

 

で、実際の設定は

まず、WLX212でDHCPサーバーの設定をする。

・DHCPの範囲をRTX830と被らない場所で10台に設定する。

今回の場合は 192.168.100.221 ~ 192.168.100.230 /24

に設定する。

・IPアドレスの払い出し先を 「無線接続端末のみに払い出し」にする。

 

次にゲスト用SSIDを作る。

・SSIDを「guest-wifi」(任意)

・VLANID:1のまま

・プライバセーセパレータを「使用する」(ゲスト用機器類間の通信を遮断)

・認証方式:WPA2-PSK/WPA3-SAE(接続できる機器類を多くするため)

・PSK(事前認証鍵)をてきとーに決め

・内蔵DHCPサーバーを「使用する」に変更

これで、WLX212の設定は終了。

 

次にRTX830にて、社内の機器類との通信をフィルターかけて遮断してやればいい。

(とりあえず受信側だけでいいかな?気になるようなら送信側も掛けてあげればいい)

「詳細設定」→「セキュリティー」→「IPフィルター」LANの「設定」

静的フィルターの「編集」→「新規」で

・タイプ:reject(ログは有り無しはお好きに)

・送信元アドレス: ゲスト用Wifiで接続する機器類のIP

(=WLX212のDHCPサーバーで決めたIP)

・宛先アドレス:社内のネットワーク機器類(ただし、ルーターのアドレス、

ブロードキャストアドレス(xxx.xxx.xxx.255)を除く)

このような設定で確認で追加

 

 

できたフィルターを「先頭に追加」で、適用フィルターに追加します。

こうなれば、OKです↓

 

これで、テストを行って問題なければ終了です。

 

あと、この場合、通信を許可してる機器類(ルーター等)とかのセキュリティーには気をつけてください。

(パスワードを強固なのに変更する等)

 

PS.久しぶりの投稿でした・・・

カテゴリー: Network | コメントする

DNSBL

投稿日: 2022年5月25日 作成者: regno

DNSBLという言葉ご存じですか?

その内容は知っていたのですが、実はそういう”ちゃんとした言葉”というのを私は意外と知らなかったりします。

今日仕事がドタキャンされたのもありぽっかり時間があいたので、当ブログのリンク切れとかがあったので一通り見直してまして、

ここの資料を以前参考にしたことがあり、ここのパワポ(実際にはpdf変換されたもの)の資料の作り方、人に見せるための資料の作り方が私の好み(=簡潔なおかつ少し面白い)だったのでリンク張られてるpdf資料を片っ端から見てたんです。

そしたらこんな資料が。で、本日のお題です。

以前、とあるお客さんから「自社から送るメールが相手に届かない」というのがあり、調べてたら今回目にした資料の通りのことがあったんです。

まぁちっちゃい私どもの会社ではこの資料のように監視システムなんかは作れないんで仕方なしに、対処療法として、BlackListに載ったら片っ端から解除申請をこまめにやる。それくらいしかできなかったんですが、ある程度解除申請をマメにやると実際には解除されたことの方が多いんです。ただ、1か所だけ解除申請してもだめだったんですが、それはどうしようもないということで別メールアドレスから送るということで了承してもらったことがあります。

 

過去にあった案件を思い出したので今回はそれを書いてみました。

 

カテゴリー: Network | コメントする

帯域制限

投稿日: 2022年5月18日 作成者: regno

とある案件からインターネット回線の帯域制限を掛けたいと問い合わせがあった。

そんなの自分ではやらないと思ってたのでいろいろ調べ実験してみた。

USENのサービスで帯域保障のサービスがあり、その帯域を超えるるとパケットを破棄するという厄介なものである。

その帯域を超えないようにスピードを調整しないとかえってパケットの再送信等が行われ遅くなるという何とも言えない状態になるらしい。

そこで、こういうことをやらないといけないらしい。

で、まず、

”YAMAHA” と ”帯域制限”と二つのキーワードでぐぐってみると

帯域制御

おなじみYAMAHAさんの設定例が見つかった。

でも、まぁこれはデータの種類(プロトコル)によって、スピードの差をつけるというもので、今回のインターネット全部で制限掛けるというものと違う。

でも、ググってみるうちに

”QoS”というキーワードが大量に出てきた。

で、QoSというキーワードは 「Quality of Service}の略で

「ネットワーク上のサービスを安定して使えるようにするために、データを通す順番や量を調整する技術のこと」らしい。

いろいろ見てるとこの方のがヒット。

この方

(こっそりしてたのにすいません・・・)

この方のがドンズバなんだけど、実際のコマンドとか書いてくれてない・・・

で、

つぎに見つけたのがこの方

この方

で、帯域制限の所だけ拝借します。。。

 

まずは会社のRTX1200を初期化してLANの設定とプロバイダーのみ設定してスピードを測ってみる。

とりあえずこんな数字が出た。

これを基準にいろいろやってみた。

で、拝借したのが↓のところ。

# LAN1から出て行く通信の帯域を200kbpsに制限

これの200kというのを30mに置き換えて、あとリスト番号も1にして入力してみる。で、計測してみる。

入力したコマンドは↓

queue lan1 type shaping
queue lan1 class filter list 1
queue lan1 class property 1 bandwidth=30m
queue lan1 class property 2 bandwidth=30m

で、また測定してみる。

ダウンロードだけ30mに制限されたっぽい。

で、つぎにlan2にもshaping掛けてみる。

queue lan2 type shaping
queue lan2 class filter list 1
queue lan2 class property 1 bandwidth=30m
queue lan2 class property 2 bandwidth=30m

これを入力してみた。

アップロードも数字が30m近い数字になった。

これでいいかな・・・

lan1にshaping掛けるとダウンロード

lan2にshaping掛けるとアップロードが制限された。

覚えとこっと。

 

こっそり様、ありすねーさん様ありがとうございます。

 

 

カテゴリー: Network | コメントする

LAN配下の端末が254台以上になったら その4

投稿日: 2022年5月14日 作成者: regno

おまけ。

ちょっと違うんだけど、こんなお話があり、アドバイスしてみた。

とある病院に数百台の患者さん用のセンサー(脈拍、体重(過重)、体温)を各ベッドに設置したい。それをWifiで飛ばしてナースセンターで一括管理したいと。

どう考えても1つのセグメントで収まるわけがない。

配線はいじりたくない(というか出来ない)。またできるだけ一般的な機器類を使いたい。

で、相談して思いついたのがこの構成 ↓

メインルーター配下にローカルルーターを立ててそこからハブで合流させてWiFi-APにつなぐ。ローカルルーターでセグメントを変えてるのでハブでループすることもない。

同一LAN上に複数のセグメントを流すことができるのでそのままの配線を利用できる。

ただし、WiFi-AP及びセンサー類は必ず固定IPにしてゲートウェイをローカルルーターにする。そうしないとメインルーターからDHCPをもらってしまう。またローカルルーターはDHCP(サーバー)を停止させておくこと。そうしないと今までの端末にもDHCPを配布してしまう可能性があり混乱を生じやすい。これでできるんじゃないかな?

(まだ実際には作業していない・・・)

カテゴリー: many-client-in-a-lan, Network | タグ: | コメントする

LAN配下の端末が254台以上になったら その3

投稿日: 2022年5月14日 作成者: regno

ルーターは5千円以下から市場にあります。

L3スイッチは高いと思ってたのですが今ググってみたら愕然としました。今や数千円くらいからでもあるんですね!これでは今回の話は企画倒れになりそうです・・・

以前は

L3スイッチ=高い!!!

というものでしたが、なんやねん!めちゃ安いのからあるやん!

まぁ、実際に使えるのかどうかはわからないんですが(ボソッ)

 

高いと思ってたL3スイッチの代わりにやっすいルーターをその代わりに使ってみようというのが実は今回のメインでした

とりあえずここまで書いたのだから続けてみます。。

構成図はこのようなのを想定しています。↓ルーターはその辺に転がってたバッファロー製のWSR-2533DHP。そいつを使って実験してみます。

そいつはもうWiFiの規格がAX対応となり出番がなくなった(お客さん所から引き揚げてきた)もの。WiFiの規格がACの時はよく使ってたものでまぁまぁ安定して使わせてもらってました。

こいつを一旦初期化してデータをすべて飛ばし、LANケーブルが刺さる面の上部にあるスイッチを

ROUTER - MANUAL にして

WANに上位のルーターと接続LANに端末(PC)を接続すると実はそれだけでインターネットや複合機、サーバーへのアクセスは可能となります。

インターネット@スタートを行う

が勝手にDHCP接続でローカルルーターとして接続しているんです。

ただ、今のままだと上位から下位への通信ができません。

ルーターのファイアウォールをすべて切りすべての相互通信を可能にしてあげないとだめなのでそれをやってあげます。

それとルーター配下へのルートをメインのルーターに書いてあげないとダメなのでそれをルーターに追記します。

そうするとIPアドレスでの相互間の通信が可能となります。

 

とまぁL3スイッチの値段が高いと思い込んでいたので代わりにルーターを使いお安くできるぞ!と思ってたのですが、値段を見てびっくり!5千円以下のL3スイッチってどうなんでしょうね?実際に使えるんですかね?とりあえず、VLANが使える最安値は多分、こいつ↓

https://kakaku.com/item/K0000886514/

5/14現在 価格がなんと2200円!

これでVLAN使えて、帯域制御等もできるのか?すげーなー。

最初YAMAHAあたりで見てたら数万円・・・

この差は性能がどこまで変わるんでしょうね???

 

(追記)

実際に買ってみた!

価格.comでは「絞り込みで一括検索」というのにVLANというのがあり、それにチェックをつけて検索し、最安値は↑のやつだったんですが、買って実際に触ってみると確かにVLANは切る事はできるんですが、hubからDHCPが配布されない。DHCPサーバーの機能がない!ただ、単にポート間の通信の許可/不許可を行うだけでした。あとQoSもありましたが、それは試していません。

カテゴリー: many-client-in-a-lan, Network | タグ: | コメントする

LAN配下の端末が254台以上になったら その2

投稿日: 2022年5月14日 作成者: regno

その1ででてきた

L3スイッチ

今回はその話です。

 

ネットワークの規模が大きくなってくるとでてくるのがスイッチという言葉。

スイッチングハブ

L2スイッチ

L3スイッチ

と、私の範囲ではこの3つがよくでてきます。

スイッチングハブとL2スイッチはほぼ一緒と言い換えてもいいと思います。

データの宛先のmacアドレスを見てデータの行き先を制御する。それがスイッチというものになるのですが、最近のL2スイッチは高度になってきてセキュリティ機能で端末の接続拒否や通信拒否等の制御が可能なものが多くなっています。

L2スイッチとL3スイッチの違いを理解しようとすると出てくるのが

OSI参照モデル

このOSI参照モデルというのがネットワーク機器をメーカー間問わず接続できるように考えられた規格(モデル)です。詳しくは OSI参照モデルをググってみてください。

 

OSI参照モデル
第7層(レイヤ7) アプリケーション層
第6層(レイヤ6) プレゼンテーション層
第5層(レイヤ5) セッション層
第4層(レイヤ4) トランスポート層
第3層(レイヤ3) ネットワーク層
第2層(レイヤ2) データリンク層
第1層(レイヤ1) 物理層

そのレイヤ2での制御なのかレイヤ3での制御なのかその違いです。

レイヤ2で宛先を判断できるのはmacアドレスだけ。

レイヤ3は宛先をIPアドレスで判断できます。

ざっくりその違いだとおもっていいと思います。

まぁL3スイッチはVLANを設定しそのVLAN間の通信、上位への機器類への通信、それらの制御や規制等を行うことができます。

通常我々が使うルーターといわれる機器もL3スイッチの一種です。

L3スイッチにインターネットに接続するためのPPPoEやPoEなどの接続機能やNAT、NAPT等のIPアドレスやプロトコル変換ができる機能を持っています。

用途として主に、

ルーターはWAN(インターネット)とLANとの境界で使うもの、

L3スイッチは社内(LAN内)で使うものと考えられています。

カテゴリー: many-client-in-a-lan, Network | タグ: | コメントする

LAN配下の端末が254台以上になったら その1

投稿日: 2022年5月14日 作成者: regno

色々仕事を任されるようになって、対応するネットワークの規模も徐々に大きくなってきてる今日この頃、ぼちぼちと254台以上の端末を制御しないといけない案件がちらほらと・・・、また複数のセグメントを考えないといけないこともちらほらと・・・

今日はそのあたりをまとめてみました。

 

一つのセグメントで管理できる端末数は理論上254-1(ルーター)と最大253台になります。

DHCPで管理すると253台まで管理できるのですが、DHCPのリース時間等があり、実際にはもっと少ない数しかLAN配下にぶら下げることができません。(ギリギリの数だとトラブルが増える)

IPV4環境では通常

192.168.1.xxx のように第4オクテット(最後のxxx)を一つのセグメントとしています。

その数が最大254個になります。ただ、そこからルーターのアドレスが1個使っていますので253個のアドレスを端末に割り振ることができます。ただ、一般的に会社とかではそこに固定IPで運用するような端末(プリンター、複合機、サーバー、etc)が複数あり、実際にパソコン等に割り振れる数はもっと少なくなります。

さらにDHCPで管理するとある端末が一つDHCPサーバーからIPアドレスを振り当てられると、その端末が電源を切っても(ネットワークから切り離されても)、一時的に与えられたIPアドレスをキープしてほかの端末につかわせないよう仕組みでIPアドレスを消費したままになることが多いのです。

そこで、端末数が200台くらいをこえそうな場合セグメントを分けて管理する事になります。実際には一人複数の端末を持つことが多くなっている現在(スマホとか持ってたりデスクトップPCとノートPCを持ってたり等々・・・)、端末数=人数と考えるのは間違いで1セグメントで100名くらいの端末が収容できる最大数と考えるのがいいと思います。

セグメントの分け方はは部署単位であったり、フロア毎、島毎にしたりと目的と環境により様々となります。

例えば200名分の端末があり、2つのセグメントに分ける場合を考えてみます。

私ならメインのルーターを一つ置き、その配下にL3スイッチを置きそこからAとBに分ける。↓みたいにする感じですかね。

AとBは通信不可にしても良し、通信可能にしても良し、と会社のポリシーによって変わります。また、A-B相互に通信する場合、上記の構成だけではIPベースでの通信はできますが、ホスト名(コンピューター名等)ではアクセスができません。この構成に付け加えて追加の機器類が必要です。(その話はまた後日)

上記の例ではAとBと2つにしていますが、A、B、C、D・・・と増やしていくこともできます。

A-B間の通信を不可にしていても、サーバーや複合機はルーター配下のセグメントに置くことによってA,Bどちらのセグメント側からでもアクセスできます。こういうパターンが一番スマートではないでしょうか?

 

 

 

 

カテゴリー: many-client-in-a-lan, Network | タグ: | コメントする

GUIだけでどこまでできるか

投稿日: 2021年5月16日 作成者: regno

RTX810で、GUIでどこまでできるか実験してみたが、結論から言うとできなところが多く、手直しが必要なところが多いということがわかりました。

IPv6はDHCPでHGWから取得するのでそのままできた。

が、RTX810のGUIがDS-Liteの所でIPIPトンネルがプロバイダー指定しかできない。

この状態だとIPv6のサイトしか見れない。

ので、IPv4のPPPoEを作ろうとすると、先にIPoEを設定してあるとPPPoEが設定できない。

IPoEとPPPoEを両立させようとすると

  1. IPv4PPPoEの設定を作る
  2. IPoEの設定を作る

の順番に入力していかないとだめ。

その順番でやるととりあえずはIPoEとPPPoEと両方の設定ができる。

これでIPv4サイトもIPv6サイトもみれるようになるのだが、IPv4 over IPv6ができていない。

この状態でDS-Liteの設定を手入力か、テキトーにGUIでIPIP-VPNを作って手直しする。

どっちにしろこれからはコマンドをいじらないとだめみたいですね。

GUIだけでできたconfigとすべてCLIで作ったconfigを見比べると

  1. default gatewayの設定
  2. フィルターの追加及び適用
  3. DS-Lite(IPIP)手直し
  4. DNS周りの調整

あたりをいじらないとダメっぽいですね

なんか惜しいって感じがします。

そのあとのIPSecやL2TPはGUIだけでできるのだが・・・

これじゃあ、予め作ったconfigを流し込む方がてっとり早いですね

 

これが新しい世代のRTX830やらRTX1210だとGUIのみでできるのかな?

カテゴリー: ipv6, Network | タグ: , , | コメントする

RT810_IPv6IPoE(DHCPv6)+IPsec(in NGN)+IPv4PPPoE+L2TP(IPv4)+NetvolanteDNS(IPv4) まとめ

投稿日: 2021年5月16日 作成者: regno

すっごい件名になりましたが

Asahi-netでIPv6を契約して使いたい。

→IPoE DS-liteだというのがわかり、その設定をし、

会社とのVPNをIPv6のみでしたい。

→NGN網内の折り返しを使い、そこにIPsecVPNを構築し、

自宅への外からのアクセスしたい。

→IPv6のみだとできないので、受け用のIPv4PPPoEを設定し、IPv4が動的のしかないのでNetvolante DNSを設定、そこにL2TPVPNを構築する。

全部乗せにしてみました。

これで一応やってみたいことは一通り完成です。

一応テキストをそのまま載せただけなので表示の時には文字化けします。

テキストエンコードを変更して見てください。

(できたconfigはこちら)

(↑はテキトーに数値や文字列をマスク、変更してあります)

まぁ、今回ほど調べに調べ、試しに試し、試行錯誤の連続が続いたのは初めてかもしれません。本当にいい勉強になりました。

 

カテゴリー: ipv6, IPv6 DS-Lite+IPv4 over IPv6, ipv6-etc, IPv6+IPSecVPN in NGN, Network, NGN-IPv6-ipip-vpn | タグ: , , , | コメントする

IPoE DS-Lite + NGN網内の折り返し通信によるIPSecVPN

投稿日: 2021年5月14日 作成者: regno

結果的にIPoE DS-Lite + NGN網内の折り返し通信によるIPSecVPNという形に落ち着きました。

でも、これも仕事で使えそうな技なのでこれはこれでしっかり勉強できて良かったです。

ここの最後で IPV4PPPoE、IPSecで約1Gのファイルを転送させたとき丁度4分だったのが、

IPoE DS-Lite + NGN網内の折り返し通信によるIPSecVPNだと2分27秒と約1.6倍のスピードで転送できました。IPIPにしなくても早くなったのがわかりました。

使ってるルータが新しくなればまたIPIPにチャレンジしたいと思います。(ほしいなぁ・・・)

 

今回IPv6のことを色々調べているといろいろチェックしないといけない項目が多く、

仕事でお客さんの環境にIPv6を提案するときに

現環境

  • 回線業者はどこだ?(NTT系のフレッツなのかNuroなのかetc・・・)
  • ひかり電話やVoIPは使ってるか?(HGWやVGなどの機器があるのかどうか?)
  • VPNは使っているのか?(それもIPsecなのかIPIP、L2TPv3等いろいろある)
  • ISPはどこを使ってるのか?
  • 現状の機器構成は何なのか?(ルータがIPv6が対応してるのかどうか?)

を念入りに調べて

  • ISPのIPv6はどこのVNE事業者を使ってるのか?(ISP自身がVNE事業者の場合もある)
  • 機器構成をどうするのか?(現状の機器で行くのか、新規導入が必要なのか?)
  • 機器構成によってはIPv6とIPv4の両方設定する必要があるのか?
  • 設定する内容がいろいろなパターンから選択する必要がある(ここ)

まぁ、最終的には初めて設定するISPとかによっては試行錯誤が必要かと。

まだ、ISPに問い合わせをかけても満足いく回答は期待できないのです。(私はISPとかのサポセンにはいい思い出はないので・・・)

最後に今回出来上がったconfigを置いときます。

<ここ>

テキトーにIP等は変更しております。また、フィルターはほかにも使う可能性があるのであえて整理していません。(今回使ってないフィルターがあります。)

またテキストには日本語が含まれており、ブラウザーによっては文字化けしてます。

テキストのエンコードを変更してUnicodeに変更していただければ文字化けは解消します。

 

皆様の参考になればと。

 

 

カテゴリー: ipv6, ipv6-etc, IPv6+IPSecVPN in NGN, Network | タグ: , , | コメントする

IPv6 DS-Lite+IPIP VPNの顛末

投稿日: 2021年5月13日 作成者: regno

紆余曲折ありましたが、結果からいうとRTX810、RTX1200だと

ipip keepalive use on というコマンドが使えなかったのです。

これがないと IPIPのtunnelを維持してくれないのです。

やはりこの世代のYAMAHAのルータはちょっとずつ現世代のやつに比べてできないことがあるのですね。それがわかったのはそれはそれで良かったです。

まぁそういうことで出来上がったのは

IPoE DS-Lite + NGN網内の折り返し通信によるIPSecVPN

ということになりました。

やはりフルにIPv6の機能を堪能しようと思うと新しい世代のやつがいいみたいです。

でも、このGWから2週間ばかし久しぶりにルータをいじくりまくりました。

初期化した回数は数十回になります。なんかちょっとでも変なコマンド(間違ったパラメータ)を入れようもなら即座に反応なかったり、いちいち間違った行を消すのに、no ~を入れて一行一行消していくのもめんどいので間違ったと思ったら即座に初期化!

余談ですが、リモート化で別の場所のルータを触るのは怖いですねー。何回か、会社から家のルータをいじってる時に間違ったことをしてしまい、家のネットが使えなくなったりしてしまい、顰蹙をくらいまくりまし。

ちなみにコマンドを受け付けないときはTRX1200、RTX830ともルータの正面のUSB、mmicroSD、DOWNLOADのボタン3つを同時押しながら電源を入れるというとてもお手軽で、RTX1200はその3つがあまり離れていないので押しやすいのですが、RTX810は微妙に離れているので何回も失敗しました。

また、ほかの会社のルータは知らないんですが、YAMAHAのルータはCLIで設定したconfigにGUIで修正しようとすると項目によっては余計なコマンドが入力されるたり、消えたり、変更されたり・・・特にフィルターが同じ内容がいくつもできてしまうというので、後で整理するのが大変です。できたらCLIでいじった後はGUIでいじらない方がいいですね。まぁ、最初のうちはGUIであらかじめできる項目は作っておいてGUIでできない部分をCLIで追加、変更していくのがいいのかな?

でも、私は最終的にはCLIのみでやっちゃいました。

ググって、いろんなところからかき集めたconfigをメモ帳などのエディタで編集して作っておきます。次にLAN1のIPアドレスだけ設定し、GUIの画面にログインして、あらかじめ用意したconfigを張り付ける。それが一番手っ取り早かったです。RTX1100以前の機種はほぼCLIのみでコンソールケーブルなんかは必須のものでした。コンソールでコマンドを打ったりtftpコマンドでconfigを流し込んだり、今でも作業用のかばんにはいれてあるのですが、今回は使いませんでした。

また、GUIでいじると即座に保存され、反映されてしまうのですが、CLIでやると必ず”save”コマンドを入力しないと保存されません。ただ、失敗したときに物理的にスイッチを入り切りすると変更する前に戻ります。失敗したなーと思えばスイッチをブチっと。これでなかったことにできます。意外と便利です!

いろんな先人様たちのお知恵を拝借して切り貼りし、パラメーターを自分の環境に合わせて変更していく作業最近久しくしてなかったので楽しくもあり、頭を久しぶりに使ったのでめちゃ疲れました。

次回に今回出来上がったらconfigを披露したいと思います。

カテゴリー: etc, ipv6, IPv6+IPSecVPN in NGN, Network, NGN-IPv6-ipip-vpn | タグ: , , | コメントする

IPv6 NGN内のDDNSサービスをググってると

投稿日: 2021年5月12日 作成者: regno

色々ググって、資料を集めてる時に面白い資料を見つけました。(私はこのように調べものをしてる時によく脱線してその手のものを夢中になって読みふける事が多々あります。)

今回、NGN網での折り返し通信というのを色々ググってた時にNGN内でのDDNSサービスというのを調べていました。フレッツのIPv6アドレスは基本的には固定じゃない(可変)になっています。そこで、フレッツ網内にDDNSがあればそれに対応できます。NTTが用意してるDDNSサービスが「IPv6ネーム」といわれるもの。そして、ソフトイーサ社のダイナミックDNSサービスその二つがあります。NTTの閉鎖的かつ官僚的なところによくぞ、風穴を開けられた!もう称賛しかありません。とてつもない時間をかけ努力されたことに対し、今は感謝の言葉しかありません。そのあたりをここでまとめてらっしゃいます。

<ここ>

これを読みふけってたおかげで仕事に遅刻してしまったのはちょっとナイショです。

で、今回はソフトイーサ社の方でやってみたいと思います。

YAMAHAのルータではLuaスクリプトを使い、定期的にpingを専用更新サーバーに飛ばし更新されたらDDNSを書き換えるという方式です。

詳しくは<ここ>をご覧ください。

で、ルータに入れるコマンドは次の通りになります。

schedule at 1 *:*:00 * lua -e ‘rt.command(“ping6 update-<ホストキー情報>.i.open.ad.jp”)’

これをConfigに書き加えます。(最後あたりでいいです)

カテゴリー: ipv6, Network, NGN-IPv6-ipip-vpn | タグ: , , | コメントする

NTT V6オプション確認

投稿日: 2021年5月12日 作成者: regno

会社のV6オプションを契約した時のメモ

会社ではAsahi-netを契約してるのですが、Asahi-netにIPv6接続機能を申し込んで、てっきりそれで終わりだと思ってたら、そこからIPv4 over IPv6はまた次なる契約(オプション)がいると失念しておりました。

Asahi-netのサイトでも確認できますが、もう一つ、HGWの画面でも確認できます。

http://<HGWのアドレス>:8888/t をクリックしHGWのユーザー名、パスワードを入力するとIPv4 over IPv6を契約してないとこうなります。

これが

IPv4 over IPv6を申し込み、完了できたら、必ずHGWの電源(ONUが別の場合はONUも)を抜いて入れなおしてください。

そして、再度http://<HGWのアドレス>:8888/tにログインすると

こうなってるとIPv4 over IPv6が使えるようになります。

ちなみに、このV6コネクトをクリックするとこんな感じに

ここは普段触ることはないと思います。

 

 

カテゴリー: ipv6, Network | タグ: , , | コメントする

IPv6折り返し通信を利用したVPN構築その4

投稿日: 2021年5月10日 作成者: regno

そもそもIPv6は実にややこしくできています。

IPv4とIPv6、なにが違うかというと利用できる個数がまず、圧倒的に大きくなった。ネットにつながる機器類全部に違うユニークアドレスをつける、途方もなく大きなアドレス数にあります。が、単純にIPv4を拡張したんじゃなくいろいろ新しい技術が組み込まれています。そのあたりは↓を読んでみるといいと思います。

(ここ)

アドレス空間が大きくなるといろいろ問題が出てきてそれを解消するためにいろんな仕組みが出来上がったということです。が、実際に使うとなればいろいろ知らなければならないことが多くあります。(というのが私もわかったのです!)

 

前回からあれやこれや試行錯誤していってるんですが、なかなかうまくいかない。

とりあえず、IPv6ネームで行くことにして、configを書いているのですが、

IPIPトンネルは難しい記述じゃないし、前回から悩みまくってるのです。

で、いろいろ調べていくうちに

www.google.co.jp 等通常のインターネット上のIPv6サイトはきちんと通信ができるのだが、flets-west.jpなどのNTT NGN閉塞網内の通信がうまくできない。閉塞網への通信ができないと*****.p-ns.flets-west.jpなどのIPV6ネームが使えないんです。

ちなみにドメインじゃなくIPv6アドレスを指定してpingを打ってみるとこんな感じ

www.google.co.jpのアドレスは2404:6800:400a:804::2003で、これは通常のインターネットIPv6アドレス。これはちゃんと返事が返ってくる。

flets-west.jpのアドレスは2001:a7ff:ff47:101::1 は、NTTの閉塞網にあるIPv6アドレス。これは返事が返ってこない。

ということは、名前解決はできてるのだが、閉塞網へ行くことができてない?名前解決はできてるのでルートがないかそもそもIPv6の設定ができてないのか???

まぁ、通常のIPv6サイトへはアクセスできてるので閉塞網へのルートがないと思うのですが・・・

まぁいろいろググってみますか・・・

カテゴリー: ipv6, Network, NGN-IPv6-ipip-vpn | タグ: , , | コメントする

IPv6折り返し通信を利用したVPN構築その3

投稿日: 2021年5月9日 作成者: regno

IPv6折り返し通信を利用したVPN構築その2で

で、昨夜はNTTのIPv6ネームで躓いたんですが、インターネットから見たルータのIPv6アドレスじゃね?って思い、Asahi-netのIPv6接続確認ページで表示してるIPv6を入力してみました。

このIPv6ネームというのはIPv4で使われるDDNSサービスみたいなもんだと思っています。で、ほかにIPv6のDDNSサービスはどうか?と言われますと、YAMAHAのNetvolante DNSサービスがIPv6に対応していました。というのを見つけたのですが!私のRTX810は対象外でした・・・で、もう一つ、NTT東日本とソフトイーサ社が組んでDDNSサービスをやっています。(ここ)

これらのどれかが使えればIPv6でのVPNが使えそうです。(固定IPを使えばもっと楽ですが・・・まぁ金をケチクりまくってるんで、今更固定IPなんか用意できない。追加費用無し!っていうのからスタートしてますから。上記の3つは無料サービス:まぁ、NTTの回線を使ってる人へのサービス、YAMAHAのルータを使ってる人へのサービス等もあるんでしょうね)

そのうち、IPV6ネームはDDNSではないので、IPv6アドレスが変更されたときに追随してないので手動更新する必要があり、YAMAHAのルータではLuaスクリプトを使えば行けるとネットの情報を見つけました。まぁ、このIPV6ネームのIPv6アドレスが変更されるのは滅多にない(完全にないとは言わない!)ので、その時はその時だ!ってやっちゃえばいいかな?(オイッ!)

うーんととりあえず、上記のOPEN IPv6 ダイナミック DNS for フレッツ・光ネクストが使えたらいいなあ(願望)と思い、とりあえずアクセスしてみた。で、登録してみた。登録してPingなど打ってみるとちゃんと帰ってきてた。西日本管轄だけどいけるかも?

うちのRTX810ではYAMAHANetvolanteDNSサービスはできないと公式では言ってるが、、、とりあえず、それっぽいコマンドを打ってみるが、

エラー: コマンド名を確認してください

と、つれないお返事・・・これは諦めましょ。

********.p-ns.flets-west.jp(NTTのIPV6ネーム) か ********.i.open.ad.jp (ソフトイーサさんのIPv6DDNS)のどちからでやってみましょう。

では方針が決まったので今までのconfigに追加&変更していきます。

続く・・・

ググってるときに面白い資料を見つけたので

(これ)

ちょっと古いんですが、この資料お客さんに本当に見せてたのかな・・・

 

カテゴリー: ipv6, Network, NGN-IPv6-ipip-vpn | タグ: , , | コメントする

IPv6折り返し通信を利用したVPN構築その2

投稿日: 2021年5月9日 作成者: regno

さて、IPv6折り返し通信を利用したVPN構築にはNTT 東日本・西日本の提供するフレッツ・サービス (B フレッツ、NGN) の網内 IPv6 折り返し通信を利用します。よって、NTT以外の回線では利用できないということです。

またNTT東日本・NTT西日本またぐにはIPv6 対応の ISP (ネイティブモード) が必要。これ、何を言ってるのかというとIPoEが必要という事なんです。「フレッツ光ネクスト」以外のフレッツサービス(回線契約)では利用できないという事にもなります。(まぁ現在NTTの光回線を利用してる方の多くはNTTネクストになってると思いますが)

必要なルータなのですが、閉塞網内ということでIPSec等暗号化処理を行わない通信だとYAMAHA等のVPNを利用できるルータじゃなくてもいいということになります。(もちろん、より安全を期して閉塞網内でIPSecを使う事もできます。)ただし、IPoEに対応してる機種が必要となります。(ひかり電話を利用してる方はHGWでも可能です)

今回は勉強もかねてなので、あえて、YAMAHAのルータを使った

速さを求め、IPv6 IPoEで接続し、閉塞網折り返しの暗号化無し(IPIP)によって自宅と会社を接続することにします。可能なら、バックアップ回線として今までのIPv4PPPoE IPSecは残したままやりたいと思います。(今まで作ったconfigにまた継ぎ足そうと・・・)

を行いたいと思います。

まず、いつも通り資料集めですね。いつものごとく先人たちのお知恵を拝借するために色々ググっていきます。(話は飛びますがインターネットってホント便利ですよね・・・こういう時にググればほしい資料がいくらでもでてきます。が、情報が古かったり自分が欲しいものがずばり出てくることはほぼありません。だから膨大な情報の海から目的のものを探し出し、それを自分なりに加工したりするのが重要になってきます。)

今回、ソフトイーサ様の資料が大変役に立ちました。尚且つ、NTT東日本と組んでIPv6のサービスを使いやすくしてくれています(後に説明します)。それを活用したいと思っています。

調べていくうちに

・フレッツv6オプションの申し込み(追加料金なし!
・フレッツv6オプションのネーム設定(追加料金なし!

というものがでてきた。IPv4のインターネットにはDDNSサービスというのがあり、固定IPじゃない動的IPを普通のISPは配布しており、それだとIPアドレスが可変のためVPNやVoIP、監視カメラ等へのアクセスなどに不都合なことが多いのです。(固定IPは大抵、追加料金がかかります!)IPv6にもそれらのサービスがあるのだが、NTTはそれに近い(ただしイコールじゃない)サービスがあり、それがフレッツv6オプションのネーム設定(IPv6ネーム)というやつです。

私はAsahi-netを利用してるのですが、フレッツV6オプションはAsahi-netが代理で行ってくれています。NTTに直接申し込んでもできるみたいですが、私は前回の時にAsahi-net経由で申し込んでいます。

フレッツv6オプションのネーム設定が追加料金なしに使えるとあるので、”フレッツv6オプションのネーム設定”をググってみると、私はNTT西日本管轄に住んでいますのでフレッツ・v6オプション設定ガイド というpdfを見つけ読んでみるんですが、サービス申し込むページへのアクセス方法に”スタートアップツール”が必要だと?NTT西日本に住んでる人なら知ってる人がいるかもしれないのですが、ちょい昔、光回線のサービス名で光プレミアムというのがありました。で、その時にネット回線工事後に工事業者が置いていく設定ツールが入ったCDを置いていくのです。それで設定していくとスタートアップツールというのがインストールされそれを使いインターネット接続の設定やセキュリティ対策ツール(ウィルスバスターのOEM版)などができるようになっているんです。また、こいつを目にするとはちょっとびっくりです。当時私はこいつを見るとどのパソコンでも(お客さんのPCでも)速攻でPCの自動起動から外すか、アンインストールして回りました(ハハハ・・・)

まぁ、実際にはここから申し込むみたいです。(ここ)

そのページの下の方に

というボタンがあるのでそれをクリックし

ここにCAF~から始まるお客さまIDとアクセスキーを入れるとこうなっていました。そこの【詳細・申込・変更】をクリックしていくと

ここから設定していきます。【設定変更】をクリックします。

変更後の所に好きなネームを入れて

設定を押すと

となります。

IPv6アドレスの所に本当はルータのIPv6アドレスを登録していくのですが、調べ忘れたので今から調べて再度入力していくことにします。

さて、ルータのIPv6アドレスってどれだろう???

RTX810のシステム情報のレポート作成で見てみるとIPv6の欄に

ってある。でここでどれか悩む。LAN1 scope-idなのかLAN2 scope-idなのか???

今の自分のアドレスが何かを調べるためにパソコンからそれらのアドレス宛にPingを打ってみる。まずは長い方がそれっぽいと思いLAN2 scope-idのグローバル宛てにpingを打ってみる

返事が返ってこない・・・

ということはLAN1 scope-idの所のやつなのか?試しにそれ宛てにpingを打ってみる

おっ、返事は返ってきた。こいつか?でもなんか違うような・・・

今日は疲れたのでここまで、また明日ガンバロ・・・

続く

 

 

カテゴリー: ipv6, Network, NGN-IPv6-ipip-vpn | タグ: | コメントする

IPv6折り返し通信を利用したVPN構築その1

投稿日: 2021年5月8日 作成者: regno

IPv6 IPoEの設定がうまくいったのをいいことに

調子乗って次にやってみたいことがあるのを思い出した。

何かというと

IPv6折り返し通信を利用したVPN(ipip)構築

一般的なインターネットVPNというのは

Ipv4 PPPoEで接続されたルータ間でIPSec等を利用した暗号化した通信で結ぶというものである。が、その方式だと必ず 暗号化⇔解読化というプロセスが必ず発生する。そうするとそこがボトルネックになり通信スピードがかなり遅くなる。IPSecVPN等の通信はは暗号化⇔解読化というプロセスを必要としておりそれをルータが行っております。よってルータの性能によってIPSec等の暗号化処理のスピードが変わるので、通常は高性能のルータを要求します。また、IPv4PPPoEでの通信なのでそこでも遅くなるってる原因でもあります。

以前から、NTTのサービスにフレッツVPN(ワイド)というサービスがあり、NTTの閉塞網を利用したVPNを構築できます。フレッツVPNを利用することによって暗号化のプロセスを省略でき通常のIPSecVPNよりスピードを高くすることができます。暗号化を省略できるのはNTTの閉塞網を利用してるところであり、その回線は通常のインターネットに出ないので安全であると言われています。お客さんで通常のIPSecVPNを利用してるのだが、遅くて何とかならない?と注文がありフレッツVPNを利用したVPNを構築すると断然早くなったと喜んでくれました。

ただ、VPNが速くなるのですが、コストが掛かるのです。(NTTのオプションサービス)

それがですね、IPv6が世の中に普及していく時にNTTの大人の事情(参考)によって

日本では

・閉域網としてのIPv6サービス

・IPv6接続サービス

の2つが出来上がってしまったんです。

でも、それによって閉域網としてのIPv6サービスが一般のインターネット回線から切り離された状態になりそれが高いセキュリティを生むことになったんです。また、今までのIPv4PPPoEを使わないのでスピードも期待できるのです。偶然にも?二つに分かれた結果フレッツVPNと同等なことが追加料金なしに!できる。今回はそれらを使ったVPNを構築しようというのが今回のお話です。

現在まだ構築してないのですが

自宅(RTX810)⇔会社(RTX1200)間 IPV4PPPoE、IPSecの環境で1Gのファイルを転送させた場合 4分丁度で転送できています。これが構築された環境ではどれくらい変化があるのか楽しみです。

カテゴリー: ipv6, Network, NGN-IPv6-ipip-vpn | タグ: , | コメントする

IPv6 DS-Lite IPv4 over IPv6にチャレンジする、、、まとめ

投稿日: 2021年5月8日 作成者: regno

改めてIPv6 DS-Lite IPv4 over IPv6にチャレンジするのまとめ。

Asahi-net IEoE DS-Liteを契約したのが始まりで手持ちのRTX810でIPv6を使ってみようと思ったのが始まりなのだが、

Asahi-netの iPv6 DSLite+IPv4 IPPPoEで、今以上の快適なネット環境の構築

+会社へのアクセスのためのIPsec VPN

+自宅へ外からアクセスするためのL2TPVPN

+L2TP接続するためにNet VolanteDNSの設定

+上位のHGWへのアクセス(いちいち付け替えるのがめんどいので)

とやりたいことのてんこ盛りなのですが、集められる情報が断片的なので(ここまでてんこ盛りにしてる人はそうはいない)、でそれらをかき集め、また、YAMAHAサイトにはRTX810が対応機種してるとは書いて無く、きちんとできるかどうか判らない所からスタートしました。

また私の知識が専門家というレベルまでにはいかなくて、今あるconfigを適当に変更して使いまわしてる程度。なんとなく書いてある内容は理解できてるのだが細かい変更や間違いを探すのにも苦労する程度です。そんな人間がGWをつぶして(暇だったので?)作ったもので、これから設定する人に少しでも参考になればいいかと思います。

ちなみに参考にしたサイトは以下の通りです。

基本は

YAMAHA 「transix」接続設定例 

YAMAHA IPv6 IPoE 対応機能

YAMAHAのサンプルconfigからスタートします。

また、NTTのHGWの扱いについては

ひかり電話 RAプロキシ DHCPv6-PD どっちが正解(リンク先死んでいました。)

で、方向性を見つけ、

今更ですが、自宅のルーターをIPv6対応にしてみました

YAMAHA RTX1200でIPoE IPv4 over IPv6を設定する

自宅ネットワークをIPv6対応にした話

RTX830でIPv4 over IPv6接続とひかり電話(SIP)の設定

YAMAHAルータでDS-Lite+PPPoE+L2TP/IPSec

この辺りを参考にconfigを完成させました。

RTX810で出来たので、多分同世代のRTX1200や後継機種のRTX1210, RTX1220やRTX830あたりでもできると思います。(RTX1200系はWANに利用可能なポートが2つあるので、もっと複雑(変な)事ができると思います。会社のルータはRTX1200なので、いずれ・・・)NVR510はIPsec以外は可能かと。それ以前の機種は諦めてください・・・かな?RTX1210,RTX1220,RTX830,RTX510は新しい世代のルータでGUIでもっと簡単にできるようになっています。

また、RTX810のGUIに合わせていますので、所々他機種には使えない部分もあるかもです。切り貼り寄せ集めの間違いがあるかもしれませんが、それでも参考になれば・・・最後に完成したConfigを載せていおきます。

config (適度にIPアドレス、ID、Password等はマスクまたは変更しております。)

(*今見直すとフィルター周りがぐちゃぐちゃであったり、間違ってる場所が有ったり整理する必要があります・・・参考程度に)

また、Asahi-netのAFTRアドレスは公開してないみたいなので隠しております。まぁ、ググってみたり、5chあたりには情報がありますのでご自身で調べてください。

 

最後に、今回参考にさせていただいたYAMAHAさんや偉大な先人様方に大いなる感謝を!!

 

カテゴリー: ipv6, IPv6 DS-Lite+IPv4 over IPv6, Network | タグ: , , | コメントする

IPv6 DS-Lite IPv4 over IPv6にチャレンジする その4

投稿日: 2021年5月5日 作成者: regno

PPPoEを追加し、会社とのVPNを張り、家のパソコンへ外からアクセスできるように

また、GUIの画面にきちんと反映するように手直しをと・・・

L2TPを用意し、また上位のHGWへのアクセスルートを書き・・・遂に完成しました!

ついでに色々テストを・・・

Asahi-net 接続確認ページ

IPv6test

IPv4/IPv6接続判定ページ

IPv4/IPv6接続判定ページ

 

とりあえずこれでいいかな?”IPv4設定ソフトウェアへのアクセス(v6プラスHGW用)”は直接HGWへのルートを書いて見れてるのいいかな???

 

GWもそろそろ終わり、大変有意義なGWでした。

カテゴリー: ipv6, IPv6 DS-Lite+IPv4 over IPv6, Network | タグ: , , | コメントする