ヤマハルーターで、NTT東日本が提供する「フレッツ光」網内で利用可能な「IPv6 ダイナミック DNS」を使用するための設定例です。
なお、本設定例は以下の機種・ファームウェアリビジョンにより検証を実施しています。
※「IPv6 ダイナミック DNS」に関する情報および利用方法については、NTT東日本のWebサイトをご確認ください。
2台のRTX1300で「IPv6 ダイナミック DNS」を利用し、ドメインネームを用いたIPsec VPNを構成します。
ヤマハルーターで「IPv6 ダイナミック DNS」サービスを利用したIPsec VPNを構成するためには、当該サービスから提供される以下のパラメータが必要です。
[RT-1]
【IPv4の経路設定】 ip route 192.168.102.0/24 gateway tunnel 1 【IPv4のLAN設定】 ip lan1 address 192.168.101.1/24 【NGNとの接続設定 (※) 】 ipv6 prefix 1 ra-prefix@lan2::/64 ipv6 lan1 address ra-prefix@lan2::1/64 ipv6 lan1 rtadv send 1 o_flag=on ipv6 lan1 dhcp service server ipv6 lan2 address dhcp ipv6 lan2 secure filter in 1010 1011 1012 1040 1041 2000 ipv6 lan2 secure filter out 3000 dynamic 100 101 102 103 104 105 106 ipv6 lan2 dhcp service client ir=on ngn type lan2 ntt 【IPsec VPN設定】 tunnel select 1 ipsec tunnel 1 ipsec sa policy 1 1 esp aes-cbc sha-hmac ipsec ike keepalive log 1 off ipsec ike keepalive use 1 on ipsec ike pre-shared-key 1 text (事前共有鍵) ipsec ike remote address 1 (RT-2のDDNSホスト名) ip tunnel tcp mss limit auto tunnel enable 1 ipsec auto refresh on 【フィルタ設定】 ipv6 filter 1010 pass * * icmp6 * * ipv6 filter 1011 pass * * tcp * ident ipv6 filter 1012 pass * * udp * 546 ipv6 filter 1040 pass * * udp * 500 ipv6 filter 1041 pass * * esp ipv6 filter 2000 reject * * * * * ipv6 filter 3000 pass * * * * * ipv6 filter dynamic 100 * * ftp ipv6 filter dynamic 101 * * domain ipv6 filter dynamic 102 * * www ipv6 filter dynamic 103 * * smtp ipv6 filter dynamic 104 * * pop3 ipv6 filter dynamic 105 * * tcp ipv6 filter dynamic 106 * * udp 【DHCP設定】 dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.101.2-192.168.101.191/24 【DNS設定】 dns host lan1 dns server dhcp lan2 【更新用パケットの送信設定】 schedule at 1 */* *:* * lua -e "rt.command(\"ping6 -c 1 (RT-1側の専用更新ホスト名)\")" |
[RT-2]
【IPv4の経路設定】 ip route 192.168.102.0/24 gateway tunnel 1 【IPv4のLAN設定】 ip lan1 address 192.168.101.1/24 【NGNとの接続設定 (※) 】 ipv6 route default gateway dhcp lan2 ipv6 prefix 1 dhcp-prefix@lan2::/64 ip lan1 address 192.168.101.1/24 ipv6 lan1 address dhcp-prefix@lan2::1/64 ipv6 lan1 rtadv send 1 o_flag=on ipv6 lan1 dhcp service server ipv6 lan2 address dhcp ipv6 lan2 secure filter in 1010 1011 1012 1040 1041 2000 ipv6 lan2 secure filter out 3000 dynamic 100 101 102 103 104 105 106 ipv6 lan2 dhcp service client ngn type lan2 ntt 【IPsec VPN設定】 tunnel select 1 ipsec tunnel 1 ipsec sa policy 1 1 esp aes-cbc sha-hmac ipsec ike keepalive log 1 off ipsec ike keepalive use 1 on ipsec ike pre-shared-key 1 text (事前共有鍵) ipsec ike remote address 1 (RT-1のDDNSホスト名) ip tunnel tcp mss limit auto tunnel enable 1 ipsec auto refresh on 【フィルタ設定】 ipv6 filter 1010 pass * * icmp6 * * ipv6 filter 1011 pass * * tcp * ident ipv6 filter 1012 pass * * udp * 546 ipv6 filter 1040 pass * * udp * 500 ipv6 filter 1041 pass * * esp ipv6 filter 2000 reject * * * * * ipv6 filter 3000 pass * * * * * ipv6 filter dynamic 100 * * ftp ipv6 filter dynamic 101 * * domain ipv6 filter dynamic 102 * * www ipv6 filter dynamic 103 * * smtp ipv6 filter dynamic 104 * * pop3 ipv6 filter dynamic 105 * * tcp ipv6 filter dynamic 106 * * udp 【DHCP設定】 dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.101.2-192.168.101.191/24 【DNS設定】 dns host lan1 dns server dhcp lan2 【更新用パケットの送信設定】 schedule at 1 */* *:* * lua -e "rt.command(\"ping6 -c 1 (RT-2側の専用更新ホスト名)\")" |
(※)
ご利用の環境・構成により、設定内容が異なります。詳細はIPv6 IPoE 対応機能の技術資料をご確認ください。
「IPv6 ダイナミック DNS」により割り当てられたドメインネームが正常に登録・更新されていることを確認します。
"nslookup" コマンドによるドメインネームの解決結果が機器のIPv6 アドレスと一致していれば、正常に動作しています。
【nslookup コマンドの実行例】
# nslookup sample1.i.e-ntt.jp #DDNSホスト名 2001:db8:1111::1 #該当のホストに割り当てられているIPv6アドレス |
IPsec VPNが確立しているかどうかを確認します。
"show ipsec sa", "show status tunnel" コマンドの出力が以下のようであれば、対向機器とのIPsec VPNは確立しています。
【show ipsec saコマンドの実行例】
# show ipsec sa Total: isakmp:1 send:1 recv:1 sa sgw isakmp connection dir life[s] remote-id ----------------------------------------------------------------------------- 1 1 - ike - 28643 2001:db8:2222::1 #対向拠点のIPv6アドレス 2 1 1 tun[0001]esp send 28643 2001:db8:2222::1 #対向拠点のIPv6アドレス 3 1 1 tun[0001]esp recv 28643 2001:db8:2222::1 #対向拠点のIPv6アドレス |
【show status tunnelコマンドの実行例】
# show status tunnel 1
TUNNEL[1]
説明:
インタフェースの種類: IPsec
トンネルインタフェースは接続されています
開始: 20xx/xx/xx xx:xx:xx
通信時間: xx分xx秒
受信: (IPv4) 7861077 パケット [723000204 オクテット]
(IPv6) 0 パケット [0 オクテット]
送信: (IPv4) 8149817 パケット [749783164 オクテット]
(IPv6) 0 パケット [0 オクテット]
|