カテゴリーアーカイブ: IPV6対応化覚書

ネットワーク構成変更 楽天ひかり⇒IIJひかり

コロナ禍後、初の更新になります。

前回楽天ひかり開通直前に更新しました。その後3年間楽天ひかりを問題なく使っていました。契約期間が過ぎたので変更してみました。

と同時にネットワーク構成も変更していたので合わせて情報更新いたします。

DS-Liteについて

DS-Liteは、対応ルータを使えば簡単に接続できかなりのパフォーマンスが期待できます。最初TP-LinkA10をDS-Lite接続用、RTX1200をVPN用のPPPoEとIPoEとしていましたが、試しにRTX1200にもDS-Lite用のip-ipトンネルを設定したら、それぞれに別のIPv4接続が確立することが分かりました。現在はそれぞれRTX1210 AX80に換装してあります。

OneMesh WiFi

今までも中継器を使って同じSSIDを設定してシームレスにWiFiが使えるようにしていたが親機として設定できるのは5Gか2.4Gいずれかで、やはりメッシュ方式には劣るので、メッシュ対応のルーター・中継器に変更した。

現在の構成図

ネットワーク構成図

この構成だと各ノードにIPv6アドレスが2つ(厳密には4つ)割り振られます。これで問題なく接続はできているのですがわり振られるIPv6アドレスが1セットになるよう構成を変更したいと思っています。

楽天ひかり開通までのつなぎに今更だがIPv6 over IPv4 トンネル・無料サービス IPv6 tunnelbroker

前プロバイダを解約してしまったため(6月末)7月末までIPv6(IPoE)が開通しないっぽい、IPv4(PPPoE)はもう開通しているので困らないスピードも空いてる時間帯は 問題ない。

申し分ない、V6の必要があるのだろうか (笑)

IPv6トンネルブローカーで検索したらIPv6 Tunnel Brokerについてに記事を発見早速登録してみました。 出典 https://qiita.com/kazuhidet/items/b295d4932f478c488646

詳しい登録方法は上記サイトを・・・

登録後トンネルのディテールが表示されます。その情報に沿ってRTX1200を設定しました。

IPv6トンネルブローカー開通設定(RTX-1200)
ipv6 routing on
ipv6 route default gateway tunnel 1
ipv6 prefix 1 2001:470::::/64
(Routed IPv6 Prefixes の値です)
ip lan1 address 192.168..1/24

(ルーターローカルアドレス)

ip lan1 proxyarp on

ipv6 lan1 address 2001:470::*::1/64
(Server IPv6 Addressの値です)
ipv6 lan1 rtadv send 1

tunnel select 1
description tunnel “IPv6 Tunnel”
tunnel encapsulation ipip
tunnel endpoint address 192.168.* .* 174.82.*.*
(Server IPv4 Addressの値です)
ip tunnel mtu 1280
ipv6 tunnel address 2001:470:*:*::2/64
(Client IPv6 Addressの値です)
tunnel enable 1

デュアルスタックでの接続を確認しました。今更のIPv6 over IPv4接続ですが楽天ひかり開通までこれで乗り切ります (笑)。ここで作ったIPIPトンネルをDS-LITE接続に設定変更して使う予定です。今度はIPv4 over IPv6(笑)

GMBB V6プラスから楽天ひかりへ変更覚書・事前準備

楽天ひかりが1年間無料無料キャンペーンとのことで、変更することにしました。申し込み後届いたメールで、開通が1か月後のなるので事前準備をはじめました。 これはその覚書です。

前回記事 ぷららDS-LiteからGNOBB V6プラスへ変更覚書

アクセスポイントとして使用しているTP-LINK A10が楽天ひかりのIPv6対応ルーターのリストにあるので、これをIPv6(DS-LITE)ルーターとして使用しRTX-1200はIPSEC VPNルーターとしHGW配下に2つのルーターを同一セグメントに並列に設置することとし事前準備を始めました。設置イメージは以下

ただしRTX-1200でDS-LITE接続を試したこともあるので、A10の負荷が高いようであればA10をアクセスポイントに戻しRTX-1200 LAN3をDS-LITE用に使用することも視野に入れています。

RTX-1200でIPV4 OVER IPV6・ぷららIPOEネイティブ接続に変更覚書

開通は8月1日予定なのでそれから更新しようと思います。それにしても1年間無料は太っ腹

https://hikari.rakuten.co.jp/ 楽天ひかり

ぷららDS-LiteからGNOBB V6プラスへ変更覚書

ぷらら光コラボからNTTへ事業者変更を行った際、期せずしてぷらら解約となってしまったため、急遽プロバイダGMOBBを契約しました。

V6プラス対応ルーターをレンタルする選択肢もあったのですが私のHGW PR-500KIがV6プラスに対応してたのでそのまま使うことにしました。

VPN用はPPPoEで動的IPv4を使用します。

前回変更後NASの動画を見たり別室のTVビデオレコーダーの録画ビデオを見るのに苦労しました。(2つのネットワークがあるので RTX1200配下  PR-500KI配下)

そこで今回はRTX1200のLAN配下には何もつながず、すべての機器をHGW配下設置しすべてを同一のネットワークとしました。

VPNへ向かうパケットは、HGWでRTX1200のLAN3へ静的ルーティングをしています。

RTX1200のLAN3 は、HGWから固定のIPv4アドレス配布しもまたIPv6もRTX1200 LAN1側に流しています。

デフォルトルートはPP1、HGW配下のネットワークへはLAN3へルーティングします。これでHGW配下のPCからVPN接続先へアクセスできます。

RTX1200のIPv6設定はこんな感じです。

ipv6 route default gateway dhcp lan3
ipv6 prefix 1 ra-prefix@lan3::/64
ipv6 lan1 address ra-prefix@lan3::1/64
ipv6 lan1 rtadv send 1 o_flag=on

RTX1200のLAN側ポートを使用していないのは、もったいない気がしますが使いかっては良くなりました、

RTX1200 1台で欲張り設定 IPSECトンネル・ぷららIPOE・DS-LITEもすべて

前回まででルーター2台+HGWでで来た事

・IPoEによるIPv6-何の設定も必要ない 笑

・IPSECトンネル

・DS-Lite IPv4 over IPv6

これを一台のルーターで処理したい・・・

そして以下のような構成になった]

IPSECトンネルは基本デフォルトゲートウェイに向かうようです。

しかしPC等からのインターネットアクセスは、

DS-Lite(IPv4 over IPv6トンネル)を使いたい。

そこでデフォルトゲートウェイ1をPP1(DHCP Lan2 Lan3でも可)

デフォルトゲートウェイ2を始点フィルタリングで、トンネル1(IPv4 over IPv6)に向ける。

始点フィルタリングは、DHCPで割り当てる範囲に指定すれば、PCやスマホはDS-Liteへ向ける事が出来ました。

設定IPv6関係

lan2をトンネル1に使用しています

IPSECトンネル(lan3にdhcpでアドレスを割り当てIPSECトンネルをこちらに向けています。)

ip route default gateway dhcp lan3 gateway tunnel 1 filter 4 3
ip filter 3 reject-nolog * * * * *
ip filter 4 pass 192.168.100.2-192.168.100.80 * * * *

これでDHCPで割り当てられるPCはトンネル(DS-Lite)へIPSECトンネルはlan3へと振り分けられます。

IPSECトンネルは、lan3を利用したPPPoEでも動作確認いたしましたが。
セッションを2つ消費するのはもったいないので、HGWに任せています。
 そのかわりRTX1200のlan3をDMZとする設定が必要でした。
HGWからDHCPで固定のアドレスを(IPv4)をlan3に振っています。

わたしのHGWは、NTTのPR-500KIです。
他のHGWでも同様の設定ができると思います。
今後の課題としてはWiFiノードとその他のノードを同一セグメントとして使う事でしょうか?

追加情報速度テストしてみました。

=== Radish Network Speed Testing Ver.5.3.5.0 β - Test Report ===
使用回線: NTT東 フレッツ 光ネクスト ギガファミリー・スマートタイプ
プロバイダ: ぷらら
測定地: **************市
-----------------------------------------------------------------
測定条件
 精度: 高 接続数: 1-16 RTT測定: 速度測定前後/速度測定中
 データタイプ: 圧縮可能性低 測定クライアント: JavaScript
下り回線
 速度: 193.1Mbps (24.13MByte/sec) 測定品質: 93.7 接続数: 16
 測定前RTT: 11.5ms (10.8ms - 12.6ms)
 測定中RTT: 11.9ms (10.1ms - 16.6ms)
上り回線
 速度: 421.8Mbps (52.72MByte/sec) 測定品質: 98.4 接続数: 16
 測定前RTT: 11.1ms (10.9ms - 11.4ms)
 測定中RTT: 18.8ms (13.4ms - 76.1ms)
測定者ホスト: **.***.**.***.shared.user.transix.jp
測定時刻: 2018/8/4 17:39:19
-----------------------------------------------------------------
測定サイト http://netspeed.studio-radish.com/
=================================================================

RTX-1200でIPV4 OVER IPV6・ぷららIPOEネイティブ接続に変更覚書

前回の投稿で、RTX-1200でぷららのIPv4 over IPv6接続がうまくいきませんでしたが、ググると接続できるようです。

元の設定は、PPPoE IPv4 と PPPoE IPv6 の2セッションをRTX-1200で張りそこにIPSECトンネル10本・L2TPトンネル3本で運用していた。

IPSECトンネルを、手持ちのRTX-1500に移し、RTX-1200をコールドスタートして

http://www.mfeed.ad.jp/transix/ds-lite/contents/yamaha_nvr500.html

この設定をコピー&ペーストしたところ難なく接続できた。

前回は、ipip(IPv4 over IPv6)トンネルを追加してデフォルトゲートウェイをこのトンネルに向けてテストしたので、既存の設定が干渉してたのかもしれません。

ルーター2台体制ですが、IPSECトンネルとDS-Lite接続を両方使う事が出来るようになりました。

構成は、以下のようになりました。

WiFi接続は、HGW直下の別セグメントになってしまいましたが、スマートフォンとタブレットなので問題は少ないと思われます。

HGW下にルーター一台ですましたいのですが、DS-LiteはIPIPトンネルをデフォルトルートにするのは必須、1台のルータで済ませるのは難しそうです。

Rebooted by XTLB unmatch [load/fetch](19) その後

多いときは毎日”Rebooted by XTLB unmatch”というログを残してrebootしていた

RTX1200がここ数日は、安定しています。

設定変更したことといえば

1:pp2はIPv6用なのでIPv4をすべてフィルタリングした

2:pp3(PPPoE)を追加、ルーティングの設定を変更  https://www.hstech.net/?p=227

思い当たるのはそれくらいです。

まだ5日目なのでもう少し様子を見ないと分かりませんが・・・

以前の設定変更時にも、reboot回数が減ったのですがいつの間にか元に戻ってしまったので

Rebooted by XTLB unmatch [load/fetch](19)

しかしこの情報は、ネットで検索しても少ないですね~

12時間続いたUDP bomb攻撃

202.101.42.30  から 自鯖宛に 15日23:37から16日12:07までおよそ2分間隔で

UDP bombパケットが送られてきました。

このIPのwhois情報は、以下 いい加減にして欲しいですね!

[whois.apnic.net]
% [whois.apnic.net node-2]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
inetnum:202.101.0.0 – 202.101.63.255
netname:CHINANET-SH
descr:China Telecom
descr:SHANGHAI PROVINCE NETWORK
country:CN   → (中国)
admin-c:CH93-AP
tech-c:XI5-AP
mnt-by:APNIC-HM
mnt-lower:MAINT-CHINANET-SH
changed:hm-changed@apnic.net 20031104
changed:hm-changed@apnic.net 20031112
status:ALLOCATED PORTABLE
source:APNIC
person:Chinanet Hostmaster
nic-hdl:CH93-AP
e-mail:anti-spam@ns.chinanet.cn.net
address:No.31 ,jingrong street,beijing
address:100032
phone:+86-10-58501724
fax-no:+86-10-58501724
country:CN   → (中国)
changed:dingsy@cndata.com 20070416
mnt-by:MAINT-CHINANET
source:APNIC
person:Wu Xiao Li
address:Room 805,61 North Si Chuan Road,Shanghai,200085,PRC
country:CN   → (中国)
phone:+86-21-63630562
fax-no:+86-21-63630566
e-mail:ip-admin@mail.online.sh.cn
nic-hdl:XI5-AP
mnt-by:MAINT-CHINANET-SH
changed:ip-admin@mail.online.sh.cn 20010510

ルーターログです。最後のほうは攻撃もとのIPが変わってます。

この2つのIPの共通点は

ns.yovole.com : 61.129.88.186 ns1.yovole.com : 202.101.  42.30と

どちらもyovole.comドメインのネームサーバーのようです。

日時 攻撃の名称 攻撃元アドレス 攻撃先アドレス

2012/10/16 07:22:33 UDP bomb 202.101.42.30 ***.***.***.33

2012/10/16 07:25:12 UDP bomb 202.101.42.30 ***.***.***.33

2012/10/16 07:27:19 UDP bomb 202.101.42.30 ***.***.***.35

2012/10/16 07:30:30 UDP bomb 202.101.42.30 ***.***.***.35

2012/10/16 07:33:05 UDP bomb 202.101.42.30 ***.***.***.39

2012/10/16 07:37:58 UDP bomb 202.101.42.30 ***.***.***.35

2012/10/16 07:44:23 UDP bomb 202.101.42.30 ***.***.***.33

2012/10/16 07:55:48 UDP bomb 202.101.42.30 ***.***.***.36

2012/10/16 07:56:30 UDP bomb 202.101.42.30 ***.***.***.35

2012/10/16 07:57:58 UDP bomb 202.101.42.30 ***.***.***.35

2012/10/16 08:09:46 UDP bomb 202.101.42.30 ***.***.***.33

2012/10/16 08:19:59 UDP bomb 202.101.42.30 ***.***.***.35

2012/10/16 08:20:56 UDP bomb 202.101.42.30 ***.***.***.39

2012/10/16 08:29:39 UDP bomb 202.101.42.30 ***.***.***.35

2012/10/16 08:32:43 UDP bomb 202.101.42.30 ***.***.***.33

2012/10/16 08:35:48 UDP bomb 202.101.42.30 ***.***.***.35

2012/10/16 08:54:44 UDP bomb 202.101.42.30 ***.***.***.35

2012/10/16 08:59:27 UDP bomb 202.101.42.30 ***.***.***.39

2012/10/16 09:03:50 UDP bomb 202.101.42.30 ***.***.***.35

2012/10/16 09:05:25 UDP bomb 202.101.42.30 ***.***.***.33

2012/10/16 09:06:26 UDP bomb 202.101.42.30 ***.***.***.39

2012/10/16 09:09:29 UDP bomb 202.101.42.30 ***.***.***.33

2012/10/16 09:11:37 UDP bomb 202.101.42.30 ***.***.***.35

2012/10/16 09:12:42 UDP bomb 202.101.42.30 ***.***.***.39

2012/10/16 09:15:01 UDP bomb 202.101.42.30 ***.***.***.39

2012/10/16 09:17:22 UDP bomb 202.101.42.30 ***.***.***.33

2012/10/16 09:18:36 UDP bomb 202.101.42.30 ***.***.***.35

2012/10/16 09:19:36 UDP bomb 202.101.42.30 ***.***.***.33

2012/10/16 09:24:52 UDP bomb 202.101.42.30 ***.***.***.35

2012/10/16 09:26:59 UDP bomb 202.101.42.30 ***.***.***.35

2012/10/16 09:27:28 UDP bomb 202.101.42.30 ***.***.***.33

2012/10/16 09:30:37 UDP bomb 202.101.42.30 ***.***.***.39

2012/10/16 09:31:29 UDP bomb 202.101.42.30 ***.***.***.33

2012/10/16 09:32:54 UDP bomb 202.101.42.30 ***.***.***.33

2012/10/16 09:33:17 UDP bomb 202.101.42.30 ***.***.***.39

2012/10/16 09:35:37 UDP bomb 202.101.42.30 ***.***.***.39

2012/10/16 09:39:44 UDP bomb 202.101.42.30 ***.***.***.33

2012/10/16 09:47:18 UDP bomb 202.101.42.30 ***.***.***.39

2012/10/16 10:06:53 UDP bomb 202.101.42.30 ***.***.***.35

2012/10/16 10:13:00 UDP bomb 202.101.42.30 ***.***.***.39

2012/10/16 10:13:59 UDP bomb 202.101.42.30 ***.***.***.35

2012/10/16 10:17:41 UDP bomb 202.101.42.30 ***.***.***.33

2012/10/16 10:21:52 UDP bomb 202.101.42.30 ***.***.***.35

2012/10/16 10:31:11 UDP bomb 202.101.42.30 ***.***.***.39

2012/10/16 10:34:46 UDP bomb 61.129.88.186 ***.***.***.38

2012/10/16 11:19:39 UDP bomb 61.129.88.186 ***.***.***.39

2012/10/16 11:19:43 UDP bomb 61.129.88.186 ***.***.***.38

2012/10/16 11:27:26 UDP bomb 61.129.88.186 ***.***.***.39

2012/10/16 11:56:43 UDP bomb 61.129.88.186 ***.***.***.33

2012/10/16 12:05:08 UDP bomb 61.129.88.186 ***.***.***.33

Rebooted by XTLB unmatch [load/fetch](19)

RTX-1200がときどきREBOOTしている。

理由は分からないが、必ずこのログが残っています。

Rebooted by XTLB unmatch [load/fetch](19)

ググっても情報が得られずそのままになってましたが、IPv6のプロバイダ変更した際

いろいろいじってみたところ確証は無いがnatの設定の変更でREBOOTが減ったようです。

もう少し様子を見る必要がありますが・・・

LAN2にppインターフェースを2つ設定し(pp1:IPv4固定8IP pp2:IPv6)pp1に対し2つの

natディスクリプタ(lan1⇒pp1とlan2⇒pp1)をセットしていましたが、この内ひとつを

削除したところREBOOTの回数が減ったようです。

もう2、3日様子を見てから結論を出したいと思います。

突然のIPV6 PPPOEサービス停止であたふた・・・

我が家のIPv6化につきましては、旧ブログに掲載しましたが、問題発生。

現在のネットワーク設定は当時と変更し、RTX-1200でPPPoEをIPv4固定8IP、IPv6

固定アドレスの2セッション張り、デュアルスタックを実現しておりました。

IPv6のPPPoE接続は、21ip様の今月まで無料のサービスを利用してました。

来月からは、課金されるのだろうと思っていましたところ、思わぬメールが届きました。

以下引用——————————————————————————

-IPv6トンネリング方式ご利用の皆様へ21ipではIPv6の方式を無償で二つご提供させて頂いておりますがこの度、IPv6トンネリング方式は利用者が極めて少なく採算性の観点から提供する事を断念する運びとなりました。ご利用の皆様には大変ご迷惑をお掛けしますがご理解とご協力の程を何卒、宜しくお願いいたします。IPoE方式IPv6提供は引き続き当面の間は無償にてご利用頂けます。つきましては引き続きIPv6環境での接続をご希望の皆様は本メールのリプライでご指示を頂きたく何卒、宜しくお願いいたします。引き続き無償でご利用できるアカウントを即日で発行させて頂きます。後略—————————————————————————————

PPPoEでIPv4セッションを張りIPoEネイティブでIPv6を使用するには大幅な変更が必要になります。新しくIPv6用のプロバイダを探さなくてはなりません。どうしたものかと迷いましたが、とりあえず間に合わせに固定IPサービスではありませんが、プロバイダ契約の有るぷらら様のIPv6接続を設定してみました。 ルータの設定は、IPv6インターフェースのIDとパスワードを書き換えるだけで動作しましたが。DNSサーバのIPv6アドレスの変更とウェブサーバApacheの設定変更が必要でした。IPv6IPが頻繁に変わるようであれば、真剣にプロバイダ選びをしなくてはなりませんが、今までのところ配布されるIPv6IPの変更はありません。dnsサーバとapacheウェブサーバの変更覚書は、後ほど整理して記しておきます。