【RTX830】IPoE v6プラス+IPv4 PPPoEを併用してVPNする話。
期間が空いてしまいましたが、、、
前回の記事でYAMAHAルーター「RTX830」を用いた
IPv6 IPoE v6プラス接続を設定しました。
今回はv6プラス接続に加えて、IPv4 PPPoE接続を併用し、
L2TPにて外部からVPN接続できるように変更してみました。
※素人が自身で設定テストを繰り返した内容の忘備録レベルです。
無駄なフィルターや作業を挟んでいるかもしれませんが、
ご容赦ください。
1.なぜIPv4 PPPoEの併用が必要なのか
v6プラス接続はIPv4 PPPoE接続と比較し、通信速度が速く、
回線網が混雑しやすい時間帯にも速度劣化しずらいという
メリットがあります。
その反面、払出されるグローバルIPアドレスが
他人と共用される為、各利用者で利用できるポートが
制限されるというデメリットがあり、
VPN接続やネットワークカメラへの外部アクセスのように、
ポート開放が必要な機能に向かないという結論になります。
対応策として、通常のインターネット接続はv6プラスへ、
外部からの接続のみPPPoE接続へ流す、
という手法で対応したいと思います。
2.導入した環境について
以下の環境で構築を行いました。
●使用ルーター
YAMAHA RTX830を使用しています。
昨今の半導体不足の影響からか、価格が高騰している模様、、、
●アクセスライン
NTT西日本 フレッツ光 ファミリー・スーパーハイスピードタイプ 隼
一般的なベストエフォート1Gbpsのプランです。
前回記事同様、「ひかり電話契約なし」にて実施します。
●導入プロバイダ
・IPv6 IPoE「v6プラス」サービス 1契約
JPNE社提供の「v6プラス」の契約が必要です。
So-NetやGMO等も同様のサービス提供を行なっているようなので、
v6プラスであれば問題ないと思います。
・IPv4 PPPoE接続プロバイダ 1契約
OCNや朝日ネットのものが比較的品質がいい印象です。
3.設定実施
①IPoE接続設定をコマンド入力
RTX830の設定ページへ管理者ログインします。
管理>保守>コマンドの実行 からコマンドを入力します。
基本的に入力するコマンドは前回記事同様、
YAMAHA公式サイトで開示されているものを入力すればOKですが、
今回は以後のPPPoE設定に合わせて、
一部、入力内容の修正が必要となります。
修正ポイントは、以下の通りです。
・「nat descriptor 1000」の1000→1200へ変更。
・各フィルター設定コマンドの「2000●●」の2000→3000に変更。
となります。
修正する理由としては、後述のPPPoE設定はコマンド入力でなく、
GUI設定を用いて行いますが、PPPoE設定を行う際に、自動で設定される
フィルター番号がv6プラス設定としてYAMAHAページで公開されている内容とバッティングしてしまっているからです。
バッティングしてしまうと、うまく作動しなくなりますので、
事前に修正をかけておくという形となります。
修正は一箇所ずつ行うと、修正漏れに繋がりますので、
メモ帳やテキストエディタに一度取り込んで、置換機能で変換してください。
完成したコマンドは下記の通りです。こちらをルーターへ入力します。
ip route default gateway tunnel 1
ipv6 prefix 1 ra-prefix@lan2::/64
ipv6 lan1 address ra-prefix@lan2::1/64
ipv6 lan1 rtadv send 1 o_flag=on
ipv6 lan1 dhcp service server
ipv6 lan2 dhcp service client ir=on
ipv6 lan2 secure filter in 300030 300031 300038 300039
ipv6 lan2 secure filter out 300099 dynamic 300080 300081 300082 300083 300084 300098 300099
tunnel select 1
tunnel encapsulation map-e
tunnel map-e type v6plus
ip tunnel mtu 1460
ip tunnel secure filter in 300030 300039
ip tunnel secure filter out 300099 dynamic 300080 300082 300083 300084 300098 300099
ip tunnel nat descriptor 1200
tunnel enable 1
ip filter 300030 pass * 192.168.100.0/24 icmp * *
ip filter 300039 reject * *
ip filter 300099 pass * * * * *
ip filter dynamic 300080 * * ftp
ip filter dynamic 300082 * * www
ip filter dynamic 300083 * * smtp
ip filter dynamic 300084 * * pop3
ip filter dynamic 300098 * * tcp
ip filter dynamic 300099 * * udp
ipv6 filter 300030 pass * * icmp6 * *
ipv6 filter 300031 pass * * 4
ipv6 filter 300038 pass * * udp * 546
ipv6 filter 300039 reject * *
ipv6 filter 300099 pass * * * * *
ipv6 filter dynamic 300080 * * ftp
ipv6 filter dynamic 300081 * * domain
ipv6 filter dynamic 300082 * * www
ipv6 filter dynamic 300083 * * smtp
ipv6 filter dynamic 300084 * * pop3
ipv6 filter dynamic 300098 * * tcp
ipv6 filter dynamic 300099 * * udp
nat descriptor type 1200 masquerade
nat descriptor address outer 1200 map-e
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.191/24
dns host lan1
dns server dhcp lan2
②PPPpE設定をWeb GUIから行う
Web GUIから、
かんたん設定>プロバイダー接続>新規 と進み、
プロバイダ設定を実施します。
・インターフェイスの選択は「WAN」
・回線自動判別は「PPPoE接続が利用可能です。」と表示されます。
表示されない場合はLANケーブルの接続状況等を確認してください。
・接続種別の選択は「PPPoE接続」
・プロバイダー情報の設定は、接続名はお好みのもの、
ユーザーID及びパスワードはプロバイダ事業者提供のもの、
PPインターフェースの IPアドレスは「自動取得」でOKです。
・DNSサーバーの設定は大半の場合、
「DNSサーバーアドレスを指定しない、またはプロバイダーから自動取得」
となりますが、プロバイダから指定のある場合は後者を選択して、
指定の内容を入力してください。
・IPフィルターの設定は「推奨のIPフィルターを設定する」
これで、v6プラスとPPPoE接続設定はOKです。
トップページで双方共に接続になっていることを確認してください。
③VPN用にDDNSを取得
②の固定で設定したIPv4プロバイダが静的グローバルIPが払い出されるものであればこの工程は不要となりますが、動的の場合はVPN接続の際に
必要となりますので取得しておきましょう。
Web GUIトップページから、
かんたん設定>ネットボランチDNS
お好みのものを設定し、控えておいてください。
④L2TP リモートアクセス設定を追加する
Web GUI設定にてリモートアクセス設定を実施します。
この工程を行い、③で取得したアドレス宛にアクセスすることで、
外部ネットワークから本ネットワークへのアクセスが可能になります。
Web GUIトップページから、
かんたん設定>VPN>リモートアクセス へ進みます。
・登録ユーザーの追加、変更
お好みのユーザー名とパスワードを追加します。
・共通設定の変更
L2TP/IPsecを使用する→チェックを入れる。
認証鍵 (pre-shared key)→お好みのものを。
先ほど設定したユーザー名とパスワード、この認証鍵の3点で
外部アクセスを実施します。
認証アルゴリズム→HMAC-SHA
暗号アルゴリズム→AES-CBC
PPTPを使用する→チェックを外す
PPP認証方式→CHAPもしくはPAP
こちらでVPN接続まで設定完了です。
⑤コマンド出力して一段落
ここまで設定したら、一旦設定コマンドをテキストへ出力しておきましょう。
トップページ右上のCONFIGボタンからテキストへ出力できます。
⑥フィルター型ルーティングを設定する
④までの設定で大半の設定は完了していますが、
VPN接続されてきたものだけIPv4へ流す、、、という設定を
書き込んであげる必要があります。
そのままでは、v6プラスとPPPoE、どちらへ接続するかわからず、
VPN接続ができないという事象に陥ってしまいます。
管理>保守>コマンドの実行 から、以下のコマンドを追加します。
ip filter 500011 pass * * udp 500 *
ip filter 500012 pass * * udp 4500 *
ip filter 500013 pass * * udp 1701 *
ip filter 500014 pass * * esp
上記番号のフィルターがVPN接続に必要と捉えてください。
さらに追加で、500011から500014の接続はPPPoEへと
指示するコマンドを追加します。
no ip route default gateway tunnel 1
ip route default gateway tunnel 1 gateway pp 1 filter 500011 500012 500013 500014
「no」〜にて既に入力されているコマンドを打ち消すことができます。
先程⑤で出力したコマンドから引用し、既存のip route default gateway行を
打ち消してから、ルーティング設定したコマンドを追加します。
以上で、設定は完了となります。
⑦その他Windows端末やスマホ等からVPN接続可否を確認
VPN接続したい端末へは先程設定したDDNS、ユーザ名、パスワード、
認証鍵を設定してください。
4.おわりに
上記フローで設定を行えば、v6プラスとVPNの共存が可能です。
ルーティング設定を理解するのに(自己流ですが、、)
相当時間を要しました。
パソコンにVPN「接続済み」と表示された時の安堵感といえば、、
また、新たなYAMAHA設定を行なった際は残していければと思います。
この記事が気に入ったらサポートをしてみませんか?