「VPN」カテゴリーアーカイブ

RTX1200 1台で欲張り設定 IPSECトンネル・ぷららIPoE・DS-Liteもすべて

前回まででルーター2台+HGWでで来た事

・IPoEによるIPv6-何の設定も必要ない 笑

・IPSECトンネル

・DS-Lite IPv4 over IPv6

これを一台のルーターで処理したい・・・

そして以下のような構成になった

IPSECトンネルは基本デフォルトゲートウェイに向かうようです。

しかしPC等からのインターネットアクセスは、

DS-Lite(IPv4 over IPv6トンネル)を使いたい。

そこでデフォルトゲートウェイ1をPP1(DHCP Lan2 Lan3でも可)

デフォルトゲートウェイ2を始点フィルタリングで、トンネル1(IPv4 over IPv6)に向ける。

始点フィルタリングは、DHCPで割り当てる範囲に指定すれば、PCやスマホはDS-Liteへ向ける事が出来ました。

設定IPv6関係

lan2をトンネル1に使用しています

IPSECトンネル(lan3にdhcpでアドレスを割り当てIPSECトンネルをこちらに向けています。)

ip route default gateway dhcp lan3 gateway tunnel 1 filter 4 3
ip filter 3 reject-nolog * * * * *
ip filter 4 pass 192.168.100.2-192.168.100.80 * * * *

これでDHCPで割り当てられるPCはトンネル(DS-Lite)へIPSECトンネルはlan3へと振り分けられます。

IPSECトンネルは、lan3を利用したPPPoEでも動作確認いたしましたが。
セッションを2つ消費するのはもったいないので、HGWに任せています。
 そのかわりRTX1200のlan3をDMZとする設定が必要でした。
HGWからDHCPで固定のアドレスを(IPv4)をlan3に振っています。

わたしのHGWは、NTTのPR-500KIです。
他のHGWでも同様の設定ができると思います。
今後の課題としてはWiFiノードとその他のノードを同一セグメントとして使う事でしょうか?

追加情報速度テストしてみました。

=== Radish Network Speed Testing Ver.5.3.5.0 β - Test Report ===
使用回線: NTT東 フレッツ 光ネクスト ギガファミリー・スマートタイプ
プロバイダ: ぷらら
測定地: **************市
-----------------------------------------------------------------
測定条件
 精度: 高 接続数: 1-16 RTT測定: 速度測定前後/速度測定中
 データタイプ: 圧縮可能性低 測定クライアント: JavaScript
下り回線
 速度: 193.1Mbps (24.13MByte/sec) 測定品質: 93.7 接続数: 16
 測定前RTT: 11.5ms (10.8ms - 12.6ms)
 測定中RTT: 11.9ms (10.1ms - 16.6ms)
上り回線
 速度: 421.8Mbps (52.72MByte/sec) 測定品質: 98.4 接続数: 16
 測定前RTT: 11.1ms (10.9ms - 11.4ms)
 測定中RTT: 18.8ms (13.4ms - 76.1ms)
測定者ホスト: **.***.**.***.shared.user.transix.jp
測定時刻: 2018/8/4 17:39:19
-----------------------------------------------------------------
測定サイト http://netspeed.studio-radish.com/
=================================================================

	

RTX-1200でIPv4 over IPv6・ぷららIPoEネイティブ接続に変更覚書

前回の投稿で、RTX-1200でぷららのIPv4 over IPv6接続がうまくいきませんでしたが、ググると接続できるようです。

元の設定は、PPPoE IPv4 と PPPoE IPv6 の2セッションをRTX-1200で張りそこにIPSECトンネル10本・L2TPトンネル3本で運用していた。

IPSECトンネルを、手持ちのRTX-1500に移し、RTX-1200をコールドスタートして

http://www.mfeed.ad.jp/transix/ds-lite/contents/yamaha_nvr500.html

この設定をコピー&ペーストしたところ難なく接続できた。

前回は、ipip(IPv4 over IPv6)トンネルを追加してデフォルトゲートウェイをこのトンネルに向けてテストしたので、既存の設定が干渉してたのかもしれません。

ルーター2台体制ですが、IPSECトンネルとDS-Lite接続を両方使う事が出来るようになりました。

構成は、以下のようになりました。

WiFi接続は、HGW直下の別セグメントになってしまいましたが、スマートフォンとタブレットなので問題は少ないと思われます。

HGW下にルーター一台ですましたいのですが、DS-LiteはIPIPトンネルをデフォルトルートにするのは必須、1台のルータで済ませるのは難しそうです。

 

 

ぷららIPoEネイティブ接続に変更覚書・DS-Lite (IPv4 over IPv6)も その2

URLが間違っていたのを修正しました。2018/07/13

YAMAHARTX-1200がDS-LITEに対応していると聞いて

まずRTX-1200に以下のページを参照して ip  ip(IPv4 over IPv6)トンネルを設定

http://www.mfeed.ad.jp/transix/ds-lite/contents/yamaha_nvr500.html

デフォルトゲートウェイをトンネルに向けたが何のパケットも帰ってこない、やはりドコモ光ルーターが必要なようです。

ドコモ光ルーター01 ブラックを入手

自動設定であっさりDS-Liteに接続、あっけないくらい 笑

ドコモ光ルーター無のテスト結果

IPv4のISPはぷらら IPv6のISPはMf-transix-eとなっています。

ドコモ光ルーターありの結果

IPv4のISPはMf-native6-eと変化しました。

ちなみにホスト名は、(ipaddress).shared.user.transix.jp となります

まあIPv4 over IPv6 なのでIPv6接続のスピードがMAXでしょう。

試しにドコモ光ルーターのWiFi5GにiPhone7Plusで接続しスピードを計測しました。

ドコモ光ルーターをHGWに直接つないでいないので何とも言えませんが、十分なスピードが出ていると思います。

今後どのような形でDS-Liteを使用するか検討しています。、

ぷららIPoEネイティブ接続に変更覚書・DS-Lite (IPv4 over IPv6)も その1

何気にぷららマイページへログインしたら、IPoE接続の申し込みが出来るようになっていた。

現在2セッションをIPv4(PPPoE)とIPv6(PPPoE)で使い果たしていて、ルーターのテストもままならないので、早速申し込みました。

以前問い合わせたらセッションプラスは取り扱っていないとのお話だったのであきらめていたのですが・・・・

現在のネットワーク構成はこんな感じです。

そして以下のように変更しました。

ぷららからの開通メールが届いたので早速IPv6セッションを切断

まずPCから速度テスト

まずまずですが、物足りないですね。(笑)

ハブを2つ経由してるのでどこかにボトルネックがあるかPCのせいか?

次にHGWのSC-40NE 2へ5Gで接続したiPhone7Plusで計測

下り200Mbps上り400Mbpsはできすぎの感じがしますがさすがにHGW直のSC-40NE 2はボトルネックもなく高速

次はDS-Liteをいじってみようと思います。

ぷららでは、ドコモ光ルーターのみ動作保証との事なので

まずはルーターを入手しなくちゃ 笑

 

 

 

ソフトバンクiPhone5でのテザリング&VPN接続

ルーター(RTX1200)のPPTP,L2TP設定はこちらを参照してください。

docomoスマホSPモードでテザリングVPN接続

今日からソフトバンクiPhone5のテザリング接続サービスが、開始しました。

待ちきれず早速テストしてみました。

設定⇒一般⇒モバイルデータ通信とたどってインターネット共有をオンにします。

その後は設定⇒インターネット共有でオン・オフが出来ます。

インターネット共有をオンにして、iPadの設定⇒Wi-Fiとたどると一覧にiPhone5の名前が

表示されます。WiFiマークではなく、くさりのマークです。

これを選択するとiPhone5側に”インターネット共有:1台接続中”の表示が出ます。

この状態でiphone5でPPTPの接続をしてみました。

結果は問題なく、SPモードのような事はないようです、ホット一安心!

次にiPadでのVPN接続のテストをしました。

PPTP、L2TPともに問題なく接続できます。

VPN接続時には、iPadの左上にくさりのマークとVPNの文字が出ますので一目瞭然です。

それぞれの状態でENV確認サイトでHOST名の確認をして見ました。

http://www.cybersyndrome.net/evc.html

問題ないようです。

感想:

LTEサービスエリアの境界のロケーションなので、2階ではLTE、1階では3Gでの接続環境です。

LTE接続時は、フレッツネクストとのスピード差は、感じられませんでした。

自宅でテザリングすることはないので、支障はありませんが3Gの遅さを改めて感じました。

現在契約している光ポータブル+ぷららモバイルは解約することになりますが、

契約解除料15,750円(税込)が痛い!!。

 

 

ソフトバンクiPhone5キャリアアップデート開始(forテザリング)

本日iPhone5にキャリアアップデートの通知がありました。

これを適用すると、13.1⇒13.2にアップデートされます。

12月15日にならないと使用できないようですが。

PPTPによるVPN接続が出来るか?テザリング接続した端末からも同様のことが出来るのか

興味津々ですが・・・・

docomoスマホSPモードでテザリングVPN接続

iPhoneを使用してPPTPで自社ネットワークに接続していた方が、docomoのスマホに変えたら

接続が出来なくなったとのお話で、調べてみたらdocomoのSPモードではPPTPは使用できないらしい。

docomoのテザリングで旧iPhoneもVPNで使用する意向なのにこれでは何にもならない。

調べたところ。spモードでもL2TPならVPN接続が出来るらしい。

幸いなことにL2TPに対応しているRTX1200を使用しているので早速チャレンジしてみました。

YAMAHAのサイトを参考にして設定してみましたがどうもうまくいきません。

はまったのは、トンネルの暗号アルゴリズムと認証アルゴリズムの設定、上記サイトには複数のプロトコル

に対応しているとありましたが、成功したのは1組だけでした。

RTX1200のスマホ対応のL2TP設定は、以下です

RTX1200コンフィグ抜粋

pp select anonymous

pp bind tunnel20-tunnel22 トンネルは、同時接続するユーザー分必要なようです。

pp auth request mschap-v2  iPhone アンドロイドどちらもmschap-v2で認証できました。

pp auth username ユーザー1 パスワード

pp auth username ユーザー2 パスワード

pp auth username ユーザー3 パスワード

ppp ipcp ipaddress on

ppp ipcp msext on

ppp ccp type mppe-40  “mppe-any”ではNGでした

ppp ipv6cp use off

ip pp remote address pool 192.168.*.30-192.168.*.35

ip pp mtu 1258

pptp service type server

pp enable anonymous

トンネルコンフィグPPTPとL2TP両方使用するため混在してます。

PPTPトンネル

tunnel select 20

tunnel encapsulation pptp

tunnel enable 20

L2TPトンネル1

tunnel select 21

tunnel encapsulation l2tp

ipsec tunnel 101

ipsec sa policy 101 21 esp aes-cbc sha-hmac   この組み合わせでiPhone アンドロイドともOK

ipsec ike keepalive use 21 off

ipsec ike local address 21 192.168.*.1

ipsec ike nat-traversal 21 on

ipsec ike pre-shared-key 21 text パスワードL2TPトンネルでは同じ共有キーにする

ipsec ike remote address 21 any

l2tp tunnel disconnect time off

l2tp keepalive use on 10 3

l2tp keepalive log on

l2tp syslog on

ip tunnel tcp mss limit auto

tunnel enable 21

L2TPトンネル2

tunnel select 22

tunnel encapsulation l2tp

ipsec tunnel 102

ipsec sa policy 102 22 esp aes-cbc sha-hmac

ipsec ike keepalive use 22 off

ipsec ike local address 22 192.168.*.1

ipsec ike nat-traversal 22 on

ipsec ike pre-shared-key 22 text トンネル1と同じキー

ipsec ike remote address 22 any

l2tp tunnel disconnect time off

l2tp keepalive use on 10 3

l2tp keepalive log on

l2tp syslog on

tunnel enable 22

トランスポート設定

ipsec transport 1 101 udp 1701

ipsec transport 2 102 udp 1701

サービス開始

pptp service on

l2tp service on

別途静的NATの設定が必要(上記YAMAHAのサイトを参照)

例:ご自分の環境に読み替えてください

nat descriptor masquerade static 1 1 192.168.100.1 esp

nat descriptor masquerade static 1 2 192.168.100.1 udp 500

nat descriptor masquerade static 1 3 192.168.100.1 tcp 1723

nat descriptor masquerade static 1 4 192.168.100.1 gre

フィルターを通す設定

例:ご自分の環境に読み替えてください

ip filter 200080 pass * 192.168.100.1 esp * *

ip filter 200081 pass * 192.168.100.1 udp * 500

ip filter 200082 pass * 192.168.100.1 udp * 1701

RTX1200側の設定は以上です。

次にdocomoのスマホの設定をします。

YAMAHAのサイトにアンドロイドの設定法がありますのでこれを参考にします。

L2TP/IPsec PSK VPNを追加を選択します。

L2TPセキュリティ保護云々はスルーします。

説明どおりに進めます。これでSPモードのスマホからVPN接続が出来ます。

おめでとう!

次にこのスマホのテザリング機能を使用してiPhoneでVPN接続をします。

テザリングで使用できていれば

YAMAHAのサイトの方法で問題なく使用できました。

わたしのソフトバンクiPhone5のテザリング機能は来月15日にならなければ使用できないので

検証できませんが、PPTPが使えなくてもL2TPで使用できることがわかって安心しました。

後日検証出来たら報告したいと思います。