カテゴリー別アーカイブ: IPv6対応化覚書

RTX1200 1台で欲張り設定 IPSECトンネル・ぷららIPoE・DS-Liteもすべて

前回まででルーター2台+HGWでで来た事

・IPoEによるIPv6-何の設定も必要ない 笑

・IPSECトンネル

・DS-Lite IPv4 over IPv6

これを一台のルーターで処理したい・・・

そして以下のような構成になった

IPSECトンネルは基本デフォルトゲートウェイに向かうようです。

しかしPC等からのインターネットアクセスは、

DS-Lite(IPv4 over IPv6トンネル)を使いたい。

そこでデフォルトゲートウェイ1をPP1(DHCP Lan2 Lan3でも可)

デフォルトゲートウェイ2を始点フィルタリングで、トンネル1(IPv4 over IPv6)に向ける。

始点フィルタリングは、DHCPで割り当てる範囲に指定すれば、PCやスマホはDS-Liteへ向ける事が出来ました。

設定IPv6関係

lan2をトンネル1に使用しています

IPSECトンネル(lan3にdhcpでアドレスを割り当てIPSECトンネルをこちらに向けています。)

ip route default gateway dhcp lan3 gateway tunnel 1 filter 4 3
ip filter 3 reject-nolog * * * * *
ip filter 4 pass 192.168.100.2-192.168.100.80 * * * *

これでDHCPで割り当てられるPCはトンネル(DS-Lite)へIPSECトンネルはlan3へと振り分けられます。

IPSECトンネルは、lan3を利用したPPPoEでも動作確認いたしましたが。
セッションを2つ消費するのはもったいないので、HGWに任せています。
 そのかわりRTX1200のlan3をDMZとする設定が必要でした。
HGWからDHCPで固定のアドレスを(IPv4)をlan3に振っています。

わたしのHGWは、NTTのPR-500KIです。
他のHGWでも同様の設定ができると思います。
今後の課題としてはWiFiノードとその他のノードを同一セグメントとして使う事でしょうか?

追加情報速度テストしてみました。

=== Radish Network Speed Testing Ver.5.3.5.0 β - Test Report ===
使用回線: NTT東 フレッツ 光ネクスト ギガファミリー・スマートタイプ
プロバイダ: ぷらら
測定地: **************市
-----------------------------------------------------------------
測定条件
 精度: 高 接続数: 1-16 RTT測定: 速度測定前後/速度測定中
 データタイプ: 圧縮可能性低 測定クライアント: JavaScript
下り回線
 速度: 193.1Mbps (24.13MByte/sec) 測定品質: 93.7 接続数: 16
 測定前RTT: 11.5ms (10.8ms - 12.6ms)
 測定中RTT: 11.9ms (10.1ms - 16.6ms)
上り回線
 速度: 421.8Mbps (52.72MByte/sec) 測定品質: 98.4 接続数: 16
 測定前RTT: 11.1ms (10.9ms - 11.4ms)
 測定中RTT: 18.8ms (13.4ms - 76.1ms)
測定者ホスト: **.***.**.***.shared.user.transix.jp
測定時刻: 2018/8/4 17:39:19
-----------------------------------------------------------------
測定サイト http://netspeed.studio-radish.com/
=================================================================

	

RTX-1200でIPv4 over IPv6・ぷららIPoEネイティブ接続に変更覚書

前回の投稿で、RTX-1200でぷららのIPv4 over IPv6接続がうまくいきませんでしたが、ググると接続できるようです。

元の設定は、PPPoE IPv4 と PPPoE IPv6 の2セッションをRTX-1200で張りそこにIPSECトンネル10本・L2TPトンネル3本で運用していた。

IPSECトンネルを、手持ちのRTX-1500に移し、RTX-1200をコールドスタートして

http://www.mfeed.ad.jp/transix/ds-lite/contents/yamaha_nvr500.html

この設定をコピー&ペーストしたところ難なく接続できた。

前回は、ipip(IPv4 over IPv6)トンネルを追加してデフォルトゲートウェイをこのトンネルに向けてテストしたので、既存の設定が干渉してたのかもしれません。

ルーター2台体制ですが、IPSECトンネルとDS-Lite接続を両方使う事が出来るようになりました。

構成は、以下のようになりました。

WiFi接続は、HGW直下の別セグメントになってしまいましたが、スマートフォンとタブレットなので問題は少ないと思われます。

HGW下にルーター一台ですましたいのですが、DS-LiteはIPIPトンネルをデフォルトルートにするのは必須、1台のルータで済ませるのは難しそうです。

 

 

ぷららIPoEネイティブ接続に変更覚書・DS-Lite (IPv4 over IPv6)も その2

URLが間違っていたのを修正しました。2018/07/13

YAMAHARTX-1200がDS-LITEに対応していると聞いて

まずRTX-1200に以下のページを参照して ip  ip(IPv4 over IPv6)トンネルを設定

http://www.mfeed.ad.jp/transix/ds-lite/contents/yamaha_nvr500.html

デフォルトゲートウェイをトンネルに向けたが何のパケットも帰ってこない、やはりドコモ光ルーターが必要なようです。

ドコモ光ルーター01 ブラックを入手

自動設定であっさりDS-Liteに接続、あっけないくらい 笑

ドコモ光ルーター無のテスト結果

IPv4のISPはぷらら IPv6のISPはMf-transix-eとなっています。

ドコモ光ルーターありの結果

IPv4のISPはMf-native6-eと変化しました。

ちなみにホスト名は、(ipaddress).shared.user.transix.jp となります

まあIPv4 over IPv6 なのでIPv6接続のスピードがMAXでしょう。

試しにドコモ光ルーターのWiFi5GにiPhone7Plusで接続しスピードを計測しました。

ドコモ光ルーターをHGWに直接つないでいないので何とも言えませんが、十分なスピードが出ていると思います。

今後どのような形でDS-Liteを使用するか検討しています。、

ぷららIPoEネイティブ接続に変更覚書・DS-Lite (IPv4 over IPv6)も その1

何気にぷららマイページへログインしたら、IPoE接続の申し込みが出来るようになっていた。

現在2セッションをIPv4(PPPoE)とIPv6(PPPoE)で使い果たしていて、ルーターのテストもままならないので、早速申し込みました。

以前問い合わせたらセッションプラスは取り扱っていないとのお話だったのであきらめていたのですが・・・・

現在のネットワーク構成はこんな感じです。

そして以下のように変更しました。

ぷららからの開通メールが届いたので早速IPv6セッションを切断

まずPCから速度テスト

まずまずですが、物足りないですね。(笑)

ハブを2つ経由してるのでどこかにボトルネックがあるかPCのせいか?

次にHGWのSC-40NE 2へ5Gで接続したiPhone7Plusで計測

下り200Mbps上り400Mbpsはできすぎの感じがしますがさすがにHGW直のSC-40NE 2はボトルネックもなく高速

次はDS-Liteをいじってみようと思います。

ぷららでは、ドコモ光ルーターのみ動作保証との事なので

まずはルーターを入手しなくちゃ 笑

 

 

 

IPv6 PPPoE で問題発生

突然IPv6でアクセスできなくなった。

ルータ(RTX-1200)を確認したところPPPが確立していない。

RTX-1200のログはこんな感じ

RTX-1200ログ
2014/05/31 21:11:54: PPPOE[02] Connecting to PPPoE server
2014/05/31 21:11:54: PPPOE[02] PPPoE Connect
2014/05/31 21:12:24: PP[02] Give up establishing PPP/IPCP in REQSENT
2014/05/31 21:12:24: PP[02] Give up establishing PPP/IPV6CP in ACKSENT
2014/05/31 21:12:30: PPPOE[02] Disconnecting, cause [PPP: IPCP Timeout]
2014/05/31 21:12:30: PPPOE[02] Disconnected, cause [PPP: IPCP Timeout]

プロバイダはぷららさんなので、問い合わせをしたがなにぶん土曜の夜で早期の回答は望めません。

以前はユーザーの部屋というBBSが有ったのですが、いまはこちら

http://okbizcs.okwave.jp/nttplala/questiondetail/?qid=8618514

早速投稿してみました。

翌朝も同様な状態。

RTX-1200はそのほかにも2セッション張っているので下手に弄るわけにもいかず

手持ちのMA-100をPR400NE直下につなぎ監視することにする。

しかしこれはIPv6しか使えない。仕方が無いのでチェックするときだけ

直下にPCをぶら下げhttp://[fe80::1]でMA-100にアクセスして確認する。

p_big

MA-100

pr_400ne

PN400NE

MT-100 ログ

1 2014/06/02 06:38:31 PPPの認証成功[メインセッション]
2 2014/06/02 06:38:31 PPP-LCPの確立[メインセッション]
3 2014/06/02 06:38:30 PPPoE セッション開始成功[メインセッション]
4 2014/06/02 06:38:30 PPPoE AC発見成功[メインセッション]
5 2014/06/02 06:38:25 PPPoE セッション開放[メインセッション]
6 2014/06/02 06:37:43 PPPの認証成功[メインセッション]
7 2014/06/02 06:37:43 PPP-LCPの確立[メインセッション]
8 2014/06/02 06:37:42 PPPoE セッション開始成功[メインセッション]
9 2014/06/02 06:37:42 PPPoE AC発見成功[メインセッション]
10 2014/06/02 06:37:37 PPPoE セッション開放[メインセッション]

PPP認証には成功している、しかしDHCPv6アドレスの取得が出来ない。

後は回答を待つしかないので用事を済ませて戻ってみるとDHCPv6アドレスを取得していました。

ログはこんな感じでした。
1 2014/06/02 13:30:01 PPP-IPv6CPの確立[メインセッション]
2 2014/06/02 13:30:00 PPPの認証成功[メインセッション]
3 2014/06/02 13:30:00 PPP-LCPの確立[メインセッション]
4 2014/06/02 13:29:59 PPPoE セッション開始成功[メインセッション]
5 2014/06/02 13:29:59 PPPoE AC発見成功[メインセッション]
6 2014/06/02 13:28:20 PPPoE セッション開放[メインセッション]
7 2014/06/02 13:15:24 LAN4インタフェース リンクアップ
8 2014/06/02 11:31:13 ISPアドレスの取得
9 2014/06/02 11:31:10 PPP-IPv6CPの確立[メインセッション]
10 2014/06/02 11:31:09 PPPの認証成功[メインセッション]
11 2014/06/02 11:31:09 PPP-LCPの確立[メインセッション]
12 2014/06/02 11:31:08 PPPoE セッション開始成功[メインセッション]
13 2014/06/02 11:31:08 PPPoE AC発見成功[メインセッション]
14 2014/06/02 11:31:03 PPPoE セッション開放[メインセッション]
15 2014/06/02 11:31:02 PPPの認証失敗[メインセッション]

さっそくRTX-1200に切り替えました。

rtx1200_style

2014/06/02 13:39:11: PPPOE[02] Connecting to PPPoE server
2014/06/02 13:39:11: PPPOE[02] PPPoE Connect
2014/06/02 13:39:11: PP[02] PPP/IPV6CP up

もとどうり!!!・・・なんだったんでしょうか?

 

 

Rebooted by XTLB unmatch [load/fetch](19) その後

多いときは毎日”Rebooted by XTLB unmatch”というログを残してrebootしていた

RTX1200がここ数日は、安定しています。

設定変更したことといえば

1:pp2はIPv6用なのでIPv4をすべてフィルタリングした

2:pp3(PPPoE)を追加、ルーティングの設定を変更 http://www.hstech.jp/?p=390

思い当たるのはそれくらいです。

まだ5日目なのでもう少し様子を見ないと分かりませんが・・・

以前の設定変更時にも、reboot回数が減ったのですがいつの間にか元に戻ってしまったので

http://www.hstech.jp/?p=240

しかしこの情報は、ネットで検索しても少ないですね~

 

12時間続いたUDP bomb攻撃

202.101.42.30  から 自鯖宛に 15日23:37から16日12:07までおよそ2分間隔で

UDP bombパケットが送られてきました。

このIPのwhois情報は、以下 いい加減にして欲しいですね!

[whois.apnic.net]
% [whois.apnic.net node-2]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
inetnum: 202.101.0.0 – 202.101.63.255
netname: CHINANET-SH
descr: China Telecom
descr: SHANGHAI PROVINCE NETWORK
country: CN   → (中国)
admin-c: CH93-AP
tech-c: XI5-AP
mnt-by: APNIC-HM
mnt-lower: MAINT-CHINANET-SH
changed: hm-changed@apnic.net 20031104
changed: hm-changed@apnic.net 20031112
status: ALLOCATED PORTABLE
source: APNIC
person: Chinanet Hostmaster
nic-hdl: CH93-AP
e-mail: anti-spam@ns.chinanet.cn.net
address: No.31 ,jingrong street,beijing
address: 100032
phone: +86-10-58501724
fax-no: +86-10-58501724
country: CN   → (中国)
changed: dingsy@cndata.com 20070416
mnt-by: MAINT-CHINANET
source: APNIC
person: Wu Xiao Li
address: Room 805,61 North Si Chuan Road,Shanghai,200085,PRC
country: CN   → (中国)
phone: +86-21-63630562
fax-no: +86-21-63630566
e-mail: ip-admin@mail.online.sh.cn
nic-hdl: XI5-AP
mnt-by: MAINT-CHINANET-SH
changed: ip-admin@mail.online.sh.cn 20010510

ルーターログです。最後のほうは攻撃もとのIPが変わってます。

この2つのIPの共通点は

ns.yovole.com : 61.129.88.186 ns1.yovole.com : 202.101.  42.30と

どちらもyovole.comドメインのネームサーバーのようです。

日時 攻撃の名称 攻撃元アドレス 攻撃先アドレス

2012/10/16 07:22:33 UDP bomb 202.101.42.30 ***.***.***.33

2012/10/16 07:25:12 UDP bomb 202.101.42.30 ***.***.***.33

2012/10/16 07:27:19 UDP bomb 202.101.42.30 ***.***.***.35

2012/10/16 07:30:30 UDP bomb 202.101.42.30 ***.***.***.35

2012/10/16 07:33:05 UDP bomb 202.101.42.30 ***.***.***.39

2012/10/16 07:37:58 UDP bomb 202.101.42.30 ***.***.***.35

2012/10/16 07:44:23 UDP bomb 202.101.42.30 ***.***.***.33

2012/10/16 07:55:48 UDP bomb 202.101.42.30 ***.***.***.36

2012/10/16 07:56:30 UDP bomb 202.101.42.30 ***.***.***.35

2012/10/16 07:57:58 UDP bomb 202.101.42.30 ***.***.***.35

2012/10/16 08:09:46 UDP bomb 202.101.42.30 ***.***.***.33

2012/10/16 08:19:59 UDP bomb 202.101.42.30 ***.***.***.35

2012/10/16 08:20:56 UDP bomb 202.101.42.30 ***.***.***.39

2012/10/16 08:29:39 UDP bomb 202.101.42.30 ***.***.***.35

2012/10/16 08:32:43 UDP bomb 202.101.42.30 ***.***.***.33

2012/10/16 08:35:48 UDP bomb 202.101.42.30 ***.***.***.35

2012/10/16 08:54:44 UDP bomb 202.101.42.30 ***.***.***.35

2012/10/16 08:59:27 UDP bomb 202.101.42.30 ***.***.***.39

2012/10/16 09:03:50 UDP bomb 202.101.42.30 ***.***.***.35

2012/10/16 09:05:25 UDP bomb 202.101.42.30 ***.***.***.33

2012/10/16 09:06:26 UDP bomb 202.101.42.30 ***.***.***.39

2012/10/16 09:09:29 UDP bomb 202.101.42.30 ***.***.***.33

2012/10/16 09:11:37 UDP bomb 202.101.42.30 ***.***.***.35

2012/10/16 09:12:42 UDP bomb 202.101.42.30 ***.***.***.39

2012/10/16 09:15:01 UDP bomb 202.101.42.30 ***.***.***.39

2012/10/16 09:17:22 UDP bomb 202.101.42.30 ***.***.***.33

2012/10/16 09:18:36 UDP bomb 202.101.42.30 ***.***.***.35

2012/10/16 09:19:36 UDP bomb 202.101.42.30 ***.***.***.33

2012/10/16 09:24:52 UDP bomb 202.101.42.30 ***.***.***.35

2012/10/16 09:26:59 UDP bomb 202.101.42.30 ***.***.***.35

2012/10/16 09:27:28 UDP bomb 202.101.42.30 ***.***.***.33

2012/10/16 09:30:37 UDP bomb 202.101.42.30 ***.***.***.39

2012/10/16 09:31:29 UDP bomb 202.101.42.30 ***.***.***.33

2012/10/16 09:32:54 UDP bomb 202.101.42.30 ***.***.***.33

2012/10/16 09:33:17 UDP bomb 202.101.42.30 ***.***.***.39

2012/10/16 09:35:37 UDP bomb 202.101.42.30 ***.***.***.39

2012/10/16 09:39:44 UDP bomb 202.101.42.30 ***.***.***.33

2012/10/16 09:47:18 UDP bomb 202.101.42.30 ***.***.***.39

2012/10/16 10:06:53 UDP bomb 202.101.42.30 ***.***.***.35

2012/10/16 10:13:00 UDP bomb 202.101.42.30 ***.***.***.39

2012/10/16 10:13:59 UDP bomb 202.101.42.30 ***.***.***.35

2012/10/16 10:17:41 UDP bomb 202.101.42.30 ***.***.***.33

2012/10/16 10:21:52 UDP bomb 202.101.42.30 ***.***.***.35

2012/10/16 10:31:11 UDP bomb 202.101.42.30 ***.***.***.39

2012/10/16 10:34:46 UDP bomb 61.129.88.186 ***.***.***.38

2012/10/16 11:19:39 UDP bomb 61.129.88.186 ***.***.***.39

2012/10/16 11:19:43 UDP bomb 61.129.88.186 ***.***.***.38

2012/10/16 11:27:26 UDP bomb 61.129.88.186 ***.***.***.39

2012/10/16 11:56:43 UDP bomb 61.129.88.186 ***.***.***.33

2012/10/16 12:05:08 UDP bomb 61.129.88.186 ***.***.***.33

Rebooted by XTLB unmatch [load/fetch](19)

RTX-1200がときどきREBOOTしている。

理由は分からないが、必ずこのログが残っています。

Rebooted by XTLB unmatch [load/fetch](19)

ググっても情報が得られずそのままになってましたが、IPv6のプロバイダ変更した際

いろいろいじってみたところ確証は無いがnatの設定の変更でREBOOTが減ったようです。

もう少し様子を見る必要がありますが・・・

LAN2にppインターフェースを2つ設定し(pp1:IPv4固定8IP pp2:IPv6)pp1に対し2つの

natディスクリプタ(lan1⇒pp1とlan2⇒pp1)をセットしていましたが、この内ひとつを

削除したところREBOOTの回数が減ったようです。

もう2、3日様子を見てから結論を出したいと思います。

突然のIPv6 PPPoEサービス停止であたふた・・・

我が家のIPv6化につきましては、旧ブログに掲載しましたが、問題発生。

現在のネットワーク設定は当時と変更し、RTX-1200でPPPoEをIPv4固定8IP、IPv6

固定アドレスの2セッション張り、デュアルスタックを実現しておりました。

IPv6のPPPoE接続は、21ip様の今月まで無料のサービスを利用してました。

来月からは、課金されるのだろうと思っていましたところ、思わぬメールが届きました。

以下引用——————————————————————————-

IPv6トンネリング方式ご利用の皆様へ
21ipではIPv6の方式を無償で二つご提供させて頂いておりますがこの度、IPv6
トンネリング方式は利用者が極めて少なく採算性の観点から提供する事を断念す
る運びとなりました。ご利用の皆様には大変ご迷惑をお掛けしますがご理解と
ご協力の程を何卒、宜しくお願いいたします。
IPoE方式IPv6提供は引き続き当面の間は無償にてご利用頂けます。つきましては
引き続きIPv6環境での接続をご希望の皆様は本メールのリプライでご指示を頂き
たく何卒、宜しくお願いいたします。引き続き無償でご利用できるアカウントを
即日で発行させて頂きます。
後略—————————————————————————————
PPPoEでIPv4セッションを張りIPoEネイティブでIPv6を使用するには大幅な
変更が必要になります。
新しくIPv6用のプロバイダを探さなくてはなりません。
どうしたものかと迷いましたが、とりあえず間に合わせに固定IPサービスでは
ありませんが、プロバイダ契約の有るぷらら様のIPv6接続を設定してみました。
 
ルータの設定は、IPv6インターフェースのIDとパスワードを書き換えるだけで
動作しましたが。
DNSサーバのIPv6アドレスの変更とウェブサーバApacheの設定変更が必要でした。
IPv6IPが頻繁に変わるようであれば、真剣にプロバイダ選びをしなくては
なりませんが、今までのところ配布されるIPv6IPの変更はありません。
dnsサーバとapacheウェブサーバの変更覚書は、後ほど整理して記しておきます。