GUIだけでどこまでできるか

投稿日: 2021年5月16日 作成者: regno

RTX810で、GUIでどこまでできるか実験してみたが、結論から言うとできなところが多く、手直しが必要なところが多いということがわかりました。

IPv6はDHCPでHGWから取得するのでそのままできた。

が、RTX810のGUIがDS-Liteの所でIPIPトンネルがプロバイダー指定しかできない。

この状態だとIPv6のサイトしか見れない。

ので、IPv4のPPPoEを作ろうとすると、先にIPoEを設定してあるとPPPoEが設定できない。

IPoEとPPPoEを両立させようとすると

  1. IPv4PPPoEの設定を作る
  2. IPoEの設定を作る

の順番に入力していかないとだめ。

その順番でやるととりあえずはIPoEとPPPoEと両方の設定ができる。

これでIPv4サイトもIPv6サイトもみれるようになるのだが、IPv4 over IPv6ができていない。

この状態でDS-Liteの設定を手入力か、テキトーにGUIでIPIP-VPNを作って手直しする。

どっちにしろこれからはコマンドをいじらないとだめみたいですね。

GUIだけでできたconfigとすべてCLIで作ったconfigを見比べると

  1. default gatewayの設定
  2. フィルターの追加及び適用
  3. DS-Lite(IPIP)手直し
  4. DNS周りの調整

あたりをいじらないとダメっぽいですね

なんか惜しいって感じがします。

そのあとのIPSecやL2TPはGUIだけでできるのだが・・・

これじゃあ、予め作ったconfigを流し込む方がてっとり早いですね

 

これが新しい世代のRTX830やらRTX1210だとGUIのみでできるのかな?

カテゴリー: ipv6, Network | タグ: , , | コメントする

RT810_IPv6IPoE(DHCPv6)+IPsec(in NGN)+IPv4PPPoE+L2TP(IPv4)+NetvolanteDNS(IPv4)

投稿日: 2021年5月16日 作成者: regno

すっごい件名になりましたが

Asahi-netでIPv6を契約して使いたい。

→IPoE DS-liteだというのがわかり、その設定をし、

会社とのVPNをIPv6のみでしたい。

→NGN網内の折り返しを使い、そこにIPsecVPNを構築し、

自宅への外からのアクセスしたい。

→IPv6のみだとできないので、受け用のIPv4PPPoEを設定し、IPv4が動的のしかないのでNetvolante DNSを設定、そこにL2TPVPNを構築する。

全部乗せにしてみました。

これで一応やってみたいことは一通り完成です。

一応テキストをそのまま載せただけなので表示の時には文字化けします。

テキストエンコードをUnicodeに変更して見てください。

(できたconfigはこちら)

まぁ、今回ほど調べに調べ、試しに試し、試行錯誤の連続が続いたのは初めてかもしれません。本当にいい勉強になりました。

 

カテゴリー: ipv6, IPv6 DS-Lite+IPv4 over IPv6, IPv6+IPSecVPN in NGN, Network | タグ: , , , | コメントする

IPoE DS-Lite + NGN網内の折り返し通信によるIPSecVPN

投稿日: 2021年5月14日 作成者: regno

結果的にIPoE DS-Lite + NGN網内の折り返し通信によるIPSecVPNという形に落ち着きました。

でも、これも仕事で使えそうな技なのでこれはこれでしっかり勉強できて良かったです。

ここの最後で IPV4PPPoE、IPSecで約1Gのファイルを転送させたとき丁度4分だったのが、

IPoE DS-Lite + NGN網内の折り返し通信によるIPSecVPNだと2分27秒と約1.6倍のスピードで転送できました。IPIPにしなくても早くなったのがわかりました。

使ってるルータが新しくなればまたIPIPにチャレンジしたいと思います。(ほしいなぁ・・・)

 

今回IPv6のことを色々調べているといろいろチェックしないといけない項目が多く、

仕事でお客さんの環境にIPv6を提案するときに

現環境

  • 回線業者はどこだ?(NTT系のフレッツなのかNuroなのかetc・・・)
  • ひかり電話やVoIPは使ってるか?(HGWやVGなどの機器があるのかどうか?)
  • VPNは使っているのか?(それもIPsecなのかIPIP、L2TPv3等いろいろある)
  • ISPはどこを使ってるのか?
  • 現状の機器構成は何なのか?(ルータがIPv6が対応してるのかどうか?)

を念入りに調べて

  • ISPのIPv6はどこのVNE事業者を使ってるのか?(ISP自身がVNE事業者の場合もある)
  • 機器構成をどうするのか?(現状の機器で行くのか、新規導入が必要なのか?)
  • 機器構成によってはIPv6とIPv4の両方設定する必要があるのか?
  • 設定する内容がいろいろなパターンから選択する必要がある(ここ)

まぁ、最終的には初めて設定するISPとかによっては試行錯誤が必要かと。

まだ、ISPに問い合わせをかけても満足いく回答は期待できないのです。(私はISPとかのサポセンにはいい思い出はないので・・・)

最後に今回出来上がったconfigを置いときます。

<ここ>

テキトーにIP等は変更しております。また、フィルターはほかにも使う可能性があるのであえて整理していません。(今回使ってないフィルターがあります。)

またテキストには日本語が含まれており、ブラウザーによっては文字化けしてます。

テキストのエンコードを変更してUnicodeに変更していただければ文字化けは解消します。

 

皆様の参考になればと。

 

 

カテゴリー: ipv6, ipv6-etc, IPv6+IPSecVPN in NGN, Network | タグ: , , | コメントする

IPv6 DS-Lite+IPIP VPNの顛末

投稿日: 2021年5月13日 作成者: regno

紆余曲折ありましたが、結果からいうとRTX810、RTX1200だと

ipip keepalive use on というコマンドが使えなかったのです。

これがないと IPIPのtunnelを維持してくれないのです。

やはりこの世代のYAMAHAのルータはちょっとずつ現世代のやつに比べてできないことがあるのですね。それがわかったのはそれはそれで良かったです。

まぁそういうことで出来上がったのは

IPoE DS-Lite + NGN網内の折り返し通信によるIPSecVPN

ということになりました。

やはりフルにIPv6の機能を堪能しようと思うと新しい世代のやつがいいみたいです。

でも、このGWから2週間ばかし久しぶりにルータをいじくりまくりました。

初期化した回数は数十回になります。なんかちょっとでも変なコマンド(間違ったパラメータ)を入れようもなら即座に反応なかったり、いちいち間違った行を消すのに、no ~を入れて一行一行消していくのもめんどいので間違ったと思ったら即座に初期化!

余談ですが、リモート化で別の場所のルータを触るのは怖いですねー。何回か、会社から家のルータをいじってる時に間違ったことをしてしまい、家のネットが使えなくなったりしてしまい、顰蹙をくらいまくりまし。

ちなみにコマンドを受け付けないときはTRX1200、RTX830ともルータの正面のUSB、mmicroSD、DOWNLOADのボタン3つを同時押しながら電源を入れるというとてもお手軽で、RTX1200はその3つがあまり離れていないので押しやすいのですが、RTX810は微妙に離れているので何回も失敗しました。

また、ほかの会社のルータは知らないんですが、YAMAHAのルータはCLIで設定したconfigにGUIで修正しようとすると項目によっては余計なコマンドが入力されるたり、消えたり、変更されたり・・・特にフィルターが同じ内容がいくつもできてしまうというので、後で整理するのが大変です。できたらCLIでいじった後はGUIでいじらない方がいいですね。まぁ、最初のうちはGUIであらかじめできる項目は作っておいてGUIでできない部分をCLIで追加、変更していくのがいいのかな?

でも、私は最終的にはCLIのみでやっちゃいました。

ググって、いろんなところからかき集めたconfigをメモ帳などのエディタで編集して作っておきます。次にLAN1のIPアドレスだけ設定し、GUIの画面にログインして、あらかじめ用意したconfigを張り付ける。それが一番手っ取り早かったです。RTX1100以前の機種はほぼCLIのみでコンソールケーブルなんかは必須のものでした。コンソールでコマンドを打ったりtftpコマンドでconfigを流し込んだり、今でも作業用のかばんにはいれてあるのですが、今回は使いませんでした。

また、GUIでいじると即座に保存され、反映されてしまうのですが、CLIでやると必ず”save”コマンドを入力しないと保存されません。ただ、失敗したときに物理的にスイッチを入り切りすると変更する前に戻ります。失敗したなーと思えばスイッチをブチっと。これでなかったことにできます。意外と便利です!

いろんな先人様たちのお知恵を拝借して切り貼りし、パラメーターを自分の環境に合わせて変更していく作業最近久しくしてなかったので楽しくもあり、頭を久しぶりに使ったのでめちゃ疲れました。

次回に今回出来上がったらconfigを披露したいと思います。

カテゴリー: etc, ipv6, IPv6+IPSecVPN in NGN, Network, NGN-IPv6-ipip-vpn | タグ: , , | コメントする

IPv6 NGN内のDDNSサービスをググってると

投稿日: 2021年5月12日 作成者: regno

色々ググって、資料を集めてる時に面白い資料を見つけました。(私はこのように調べものをしてる時によく脱線してその手のものを夢中になって読みふける事が多々あります。)

今回、NGN網での折り返し通信というのを色々ググってた時にNGN内でのDDNSサービスというのを調べていました。フレッツのIPv6アドレスは基本的には固定じゃない(可変)になっています。そこで、フレッツ網内にDDNSがあればそれに対応できます。NTTが用意してるDDNSサービスが「IPv6ネーム」といわれるもの。そして、ソフトイーサ社のダイナミックDNSサービスその二つがあります。NTTの閉鎖的かつ官僚的なところによくぞ、風穴を開けられた!もう称賛しかありません。とてつもない時間をかけ努力されたことに対し、今は感謝の言葉しかありません。そのあたりをここでまとめてらっしゃいます。

<ここ>

これを読みふけってたおかげで仕事に遅刻してしまったのはちょっとナイショです。

で、今回はソフトイーサ社の方でやってみたいと思います。

YAMAHAのルータではLuaスクリプトを使い、定期的にpingを専用更新サーバーに飛ばし更新されたらDDNSを書き換えるという方式です。

詳しくは<ここ>をご覧ください。

で、ルータに入れるコマンドは次の通りになります。

schedule at 1 *:*:00 * lua -e ‘rt.command(“ping6 update-<ホストキー情報>.i.open.ad.jp”)’

これをConfigに書き加えます。(最後あたりでいいです)

カテゴリー: ipv6, Network, NGN-IPv6-ipip-vpn | タグ: , , | コメントする

NTT V6オプション確認

投稿日: 2021年5月12日 作成者: regno

会社のV6オプションを契約した時のメモ

会社ではAsahi-netを契約してるのですが、Asahi-netにIPv6接続機能を申し込んで、てっきりそれで終わりだと思ってたら、そこからIPv4 over IPv6はまた次なる契約(オプション)がいると失念しておりました。

Asahi-netのサイトでも確認できますが、もう一つ、HGWの画面でも確認できます。

http://<HGWのアドレス>:8888/t をクリックしHGWのユーザー名、パスワードを入力するとIPv4 over IPv6を契約してないとこうなります。

これが

IPv4 over IPv6を申し込み、完了できたら、必ずHGWの電源(ONUが別の場合はONUも)を抜いて入れなおしてください。

そして、再度http://<HGWのアドレス>:8888/tにログインすると

こうなってるとIPv4 over IPv6が使えるようになります。

ちなみに、このV6コネクトをクリックするとこんな感じに

ここは普段触ることはないと思います。

 

 

カテゴリー: ipv6, Network | タグ: , , | コメントする

IPv6折り返し通信を利用したVPN構築その4

投稿日: 2021年5月10日 作成者: regno

そもそもIPv6は実にややこしくできています。

IPv4とIPv6、なにが違うかというと利用できる個数がまず、圧倒的に大きくなった。ネットにつながる機器類全部に違うユニークアドレスをつける、途方もなく大きなアドレス数にあります。が、単純にIPv4を拡張したんじゃなくいろいろ新しい技術が組み込まれています。そのあたりは↓を読んでみるといいと思います。

(ここ)

アドレス空間が大きくなるといろいろ問題が出てきてそれを解消するためにいろんな仕組みが出来上がったということです。が、実際に使うとなればいろいろ知らなければならないことが多くあります。(というのが私もわかったのです!)

 

前回からあれやこれや試行錯誤していってるんですが、なかなかうまくいかない。

とりあえず、IPv6ネームで行くことにして、configを書いているのですが、

IPIPトンネルは難しい記述じゃないし、前回から悩みまくってるのです。

で、いろいろ調べていくうちに

www.google.co.jp 等通常のインターネット上のIPv6サイトはきちんと通信ができるのだが、flets-west.jpなどのNTT NGN閉塞網内の通信がうまくできない。閉塞網への通信ができないと*****.p-ns.flets-west.jpなどのIPV6ネームが使えないんです。

ちなみにドメインじゃなくIPv6アドレスを指定してpingを打ってみるとこんな感じ

www.google.co.jpのアドレスは2404:6800:400a:804::2003で、これは通常のインターネットIPv6アドレス。これはちゃんと返事が返ってくる。

flets-west.jpのアドレスは2001:a7ff:ff47:101::1 は、NTTの閉塞網にあるIPv6アドレス。これは返事が返ってこない。

ということは、名前解決はできてるのだが、閉塞網へ行くことができてない?名前解決はできてるのでルートがないかそもそもIPv6の設定ができてないのか???

まぁ、通常のIPv6サイトへはアクセスできてるので閉塞網へのルートがないと思うのですが・・・

まぁいろいろググってみますか・・・

カテゴリー: ipv6, Network, NGN-IPv6-ipip-vpn | タグ: , , | コメントする

IPv6折り返し通信を利用したVPN構築その3

投稿日: 2021年5月9日 作成者: regno

IPv6折り返し通信を利用したVPN構築その2で

で、昨夜はNTTのIPv6ネームで躓いたんですが、インターネットから見たルータのIPv6アドレスじゃね?って思い、Asahi-netのIPv6接続確認ページで表示してるIPv6を入力してみました。

このIPv6ネームというのはIPv4で使われるDDNSサービスみたいなもんだと思っています。で、ほかにIPv6のDDNSサービスはどうか?と言われますと、YAMAHAのNetvolante DNSサービスがIPv6に対応していました。というのを見つけたのですが!私のRTX810は対象外でした・・・で、もう一つ、NTT東日本とソフトイーサ社が組んでDDNSサービスをやっています。(ここ)

これらのどれかが使えればIPv6でのVPNが使えそうです。(固定IPを使えばもっと楽ですが・・・まぁ金をケチクりまくってるんで、今更固定IPなんか用意できない。追加費用無し!っていうのからスタートしてますから。上記の3つは無料サービス:まぁ、NTTの回線を使ってる人へのサービス、YAMAHAのルータを使ってる人へのサービス等もあるんでしょうね)

そのうち、IPV6ネームはDDNSではないので、IPv6アドレスが変更されたときに追随してないので手動更新する必要があり、YAMAHAのルータではLuaスクリプトを使えば行けるとネットの情報を見つけました。まぁ、このIPV6ネームのIPv6アドレスが変更されるのは滅多にない(完全にないとは言わない!)ので、その時はその時だ!ってやっちゃえばいいかな?(オイッ!)

うーんととりあえず、上記のOPEN IPv6 ダイナミック DNS for フレッツ・光ネクストが使えたらいいなあ(願望)と思い、とりあえずアクセスしてみた。で、登録してみた。登録してPingなど打ってみるとちゃんと帰ってきてた。西日本管轄だけどいけるかも?

うちのRTX810ではYAMAHANetvolanteDNSサービスはできないと公式では言ってるが、、、とりあえず、それっぽいコマンドを打ってみるが、

エラー: コマンド名を確認してください

と、つれないお返事・・・これは諦めましょ。

********.p-ns.flets-west.jp(NTTのIPV6ネーム) か ********.i.open.ad.jp (ソフトイーサさんのIPv6DDNS)のどちからでやってみましょう。

では方針が決まったので今までのconfigに追加&変更していきます。

続く・・・

ググってるときに面白い資料を見つけたので

(これ)

ちょっと古いんですが、この資料お客さんに本当に見せてたのかな・・・

 

カテゴリー: ipv6, Network, NGN-IPv6-ipip-vpn | タグ: , , | コメントする

IPv6折り返し通信を利用したVPN構築その2

投稿日: 2021年5月9日 作成者: regno

さて、IPv6折り返し通信を利用したVPN構築にはNTT 東日本・西日本の提供するフレッツ・サービス (B フレッツ、NGN) の網内 IPv6 折り返し通信を利用します。よって、NTT以外の回線では利用できないということです。

またNTT東日本・NTT西日本またぐにはIPv6 対応の ISP (ネイティブモード) が必要。これ、何を言ってるのかというとIPoEが必要という事なんです。「フレッツ光ネクスト」以外のフレッツサービス(回線契約)では利用できないという事にもなります。(まぁ現在NTTの光回線を利用してる方の多くはNTTネクストになってると思いますが)

必要なルータなのですが、閉塞網内ということでIPSec等暗号化処理を行わない通信だとYAMAHA等のVPNを利用できるルータじゃなくてもいいということになります。(もちろん、より安全を期して閉塞網内でIPSecを使う事もできます。)ただし、IPoEに対応してる機種が必要となります。(ひかり電話を利用してる方はHGWでも可能です)

今回は勉強もかねてなので、あえて、YAMAHAのルータを使った

速さを求め、IPv6 IPoEで接続し、閉塞網折り返しの暗号化無し(IPIP)によって自宅と会社を接続することにします。可能なら、バックアップ回線として今までのIPv4PPPoE IPSecは残したままやりたいと思います。(今まで作ったconfigにまた継ぎ足そうと・・・)

を行いたいと思います。

まず、いつも通り資料集めですね。いつものごとく先人たちのお知恵を拝借するために色々ググっていきます。(話は飛びますがインターネットってホント便利ですよね・・・こういう時にググればほしい資料がいくらでもでてきます。が、情報が古かったり自分が欲しいものがずばり出てくることはほぼありません。だから膨大な情報の海から目的のものを探し出し、それを自分なりに加工したりするのが重要になってきます。)

今回、ソフトイーサ様の資料が大変役に立ちました。尚且つ、NTT東日本と組んでIPv6のサービスを使いやすくしてくれています(後に説明します)。それを活用したいと思っています。

調べていくうちに

・フレッツv6オプションの申し込み(追加料金なし!
・フレッツv6オプションのネーム設定(追加料金なし!

というものがでてきた。IPv4のインターネットにはDDNSサービスというのがあり、固定IPじゃない動的IPを普通のISPは配布しており、それだとIPアドレスが可変のためVPNやVoIP、監視カメラ等へのアクセスなどに不都合なことが多いのです。(固定IPは大抵、追加料金がかかります!)IPv6にもそれらのサービスがあるのだが、NTTはそれに近い(ただしイコールじゃない)サービスがあり、それがフレッツv6オプションのネーム設定(IPv6ネーム)というやつです。

私はAsahi-netを利用してるのですが、フレッツV6オプションはAsahi-netが代理で行ってくれています。NTTに直接申し込んでもできるみたいですが、私は前回の時にAsahi-net経由で申し込んでいます。

フレッツv6オプションのネーム設定が追加料金なしに使えるとあるので、”フレッツv6オプションのネーム設定”をググってみると、私はNTT西日本管轄に住んでいますのでフレッツ・v6オプション設定ガイド というpdfを見つけ読んでみるんですが、サービス申し込むページへのアクセス方法に”スタートアップツール”が必要だと?NTT西日本に住んでる人なら知ってる人がいるかもしれないのですが、ちょい昔、光回線のサービス名で光プレミアムというのがありました。で、その時にネット回線工事後に工事業者が置いていく設定ツールが入ったCDを置いていくのです。それで設定していくとスタートアップツールというのがインストールされそれを使いインターネット接続の設定やセキュリティ対策ツール(ウィルスバスターのOEM版)などができるようになっているんです。また、こいつを目にするとはちょっとびっくりです。当時私はこいつを見るとどのパソコンでも(お客さんのPCでも)速攻でPCの自動起動から外すか、アンインストールして回りました(ハハハ・・・)

まぁ、実際にはここから申し込むみたいです。(ここ)

そのページの下の方に

というボタンがあるのでそれをクリックし

ここにCAF~から始まるお客さまIDとアクセスキーを入れるとこうなっていました。そこの【詳細・申込・変更】をクリックしていくと

ここから設定していきます。【設定変更】をクリックします。

変更後の所に好きなネームを入れて

設定を押すと

となります。

IPv6アドレスの所に本当はルータのIPv6アドレスを登録していくのですが、調べ忘れたので今から調べて再度入力していくことにします。

さて、ルータのIPv6アドレスってどれだろう???

RTX810のシステム情報のレポート作成で見てみるとIPv6の欄に

ってある。でここでどれか悩む。LAN1 scope-idなのかLAN2 scope-idなのか???

今の自分のアドレスが何かを調べるためにパソコンからそれらのアドレス宛にPingを打ってみる。まずは長い方がそれっぽいと思いLAN2 scope-idのグローバル宛てにpingを打ってみる

返事が返ってこない・・・

ということはLAN1 scope-idの所のやつなのか?試しにそれ宛てにpingを打ってみる

おっ、返事は返ってきた。こいつか?でもなんか違うような・・・

今日は疲れたのでここまで、また明日ガンバロ・・・

続く

 

 

カテゴリー: ipv6, Network, NGN-IPv6-ipip-vpn | タグ: | コメントする

IPv6折り返し通信を利用したVPN構築その1

投稿日: 2021年5月8日 作成者: regno

IPv6 IPoEの設定がうまくいったのをいいことに

調子乗って次にやってみたいことがあるのを思い出した。

何かというと

IPv6折り返し通信を利用したVPN(ipip)構築

一般的なインターネットVPNというのは

Ipv4 PPPoEで接続されたルータ間でIPSec等を利用した暗号化した通信で結ぶというものである。が、その方式だと必ず 暗号化⇔解読化というプロセスが必ず発生する。そうするとそこがボトルネックになり通信スピードがかなり遅くなる。IPSecVPN等の通信はは暗号化⇔解読化というプロセスを必要としておりそれをルータが行っております。よってルータの性能によってIPSec等の暗号化処理のスピードが変わるので、通常は高性能のルータを要求します。また、IPv4PPPoEでの通信なのでそこでも遅くなるってる原因でもあります。

以前から、NTTのサービスにフレッツVPN(ワイド)というサービスがあり、NTTの閉塞網を利用したVPNを構築できます。フレッツVPNを利用することによって暗号化のプロセスを省略でき通常のIPSecVPNよりスピードを高くすることができます。暗号化を省略できるのはNTTの閉塞網を利用してるところであり、その回線は通常のインターネットに出ないので安全であると言われています。お客さんで通常のIPSecVPNを利用してるのだが、遅くて何とかならない?と注文がありフレッツVPNを利用したVPNを構築すると断然早くなったと喜んでくれました。

ただ、VPNが速くなるのですが、コストが掛かるのです。(NTTのオプションサービス)

それがですね、IPv6が世の中に普及していく時にNTTの大人の事情(参考)によって

日本では

・閉域網としてのIPv6サービス

・IPv6接続サービス

の2つが出来上がってしまったんです。

でも、それによって閉域網としてのIPv6サービスが一般のインターネット回線から切り離された状態になりそれが高いセキュリティを生むことになったんです。また、今までのIPv4PPPoEを使わないのでスピードも期待できるのです。偶然にも?二つに分かれた結果フレッツVPNと同等なことが追加料金なしに!できる。今回はそれらを使ったVPNを構築しようというのが今回のお話です。

現在まだ構築してないのですが

自宅(RTX810)⇔会社(RTX1200)間 IPV4PPPoE、IPSecの環境で1Gのファイルを転送させた場合 4分丁度で転送できています。これが構築された環境ではどれくらい変化があるのか楽しみです。

カテゴリー: ipv6, Network, NGN-IPv6-ipip-vpn | タグ: , | コメントする