IP1/IP8/IP16を手動で設定する方法を紹介します。WebGUIに対応した機種もIP8/IP16には対応していませんのでこの手順で設定します。
シリアルケーブルでルータと接続して設定します。
回線にクロスパスのIPv6を開通させてください。
回線IDとアクセスキーを用意して、ルータの型番とともにびわこインターネットにお申し込みください。回線IDとアクセスキーは、フレッツ光の開通時に封筒でご自宅に届いている書類をご覧ください。 お手元に見当たらない場合はNTT116番にお電話して回線IDとアクセスキーの再送を依頼します。(手元に書類がない場合でも回線お名義と設置場所ご住所から開通することもできます。)
弊社で登録処理をすると、回線でクロスパスのIPv6が開通します。同時に弊社から固定IP接続の設定情報をメールでお送りします。
回線にヤマハルータのLAN2ポートを接続します。
光ネクスト回線でひかり電話契約がないとき ONUにヤマハルータを直結 >ルータはRA方式で設定
光ネクスト回線でひかり電話契約があるとき ホームゲートウェイにヤマハルータを接続 >ルータはRA方式で設定
光クロス回線ではひかり電話契約に関係なく ONUにヤマハルータを直結 >ルータはDHCP-pd方式で設定
ホームゲートウェイにヤマハルータを接続 >ルータはRA方式で設定
設定したい内容を整理します。
IP8/16のグローバルアドレスをRTX1210/RTX1220/RTX1300の場合はLAN3に、RTX830/NVR510/NVR700Wの場合はLAN3が無いのでVLANインタフェースを作るなどして割り当てます。IP8/16の契約では先頭はネットワークアドレス、2つ目はルータアドレス、末尾はブロードキャストアドレスとして3つシステムが使いますので、サーバなどに割当できるアドレスはIP8では5個、IP16では13個になります。
例 グローバルアドレスがIP8契約でネットワークアドレスが 111.111.111.0/29 の場合
111.111.111.0 ネットワークアドレス。NATマスカレードでLAN内のPCがインターネットアクセスするIPにすることもできます。
111.111.111.1 ルータのアドレス。NATマスカレードでLAN内のPCがインターネットアクセスするIPに使います。
111.111.111.2 サーバなどに割当のできるIP (*1)
111.111.111.3 サーバなどに割当のできるIP (*1)
111.111.111.4 サーバなどに割当のできるIP (*1)
111.111.111.5 サーバなどに割当のできるIP (*1)
111.111.111.6 サーバなどに割当のできるIP (*1)
111.111.111.7 ブロードキャストアドレス。DMZに割り当てはできませんがポート変換でのLAN内PC公開には使えます。RTX1210/RTX1220/RTX1300などLAN1、LAN2、LAN3インタフェースがある機種はこのようにします。
ip lan3 address 111.111.111.1/29RTX830/NVR510/NVR700WなどLAN1、LAN2インタフェースだけがある機種は、VLANインタフェースを作ります。
vlan lan1/2 802.1q vid=2000
ip lan1/2 address 111.111.111.1/29シリアルケーブルでCONFIGを流し込みます
フレッツ光では契約と接続方法によって回線に降ってくるIPv6には2つの方式があります。ここでは一番多いと思われるRA方式でCONFIG例を書いています。DHCP-pd方式での例も書いていますのでCONFIGのコメント部分を見てください。
契約者にお送りしている内容
TUNNEL-DESTINATION-ADDRESS トンネル宛先アドレス。例では2001::1としています。
IP-ADDRESS 割り当てられた固定IP 例ではIP8で 111.111.111.0/29 が割り当てられたとします
FQDN 契約者のダイナミックDNSのFQDN。httpsから入力します。
DDNS-ID 契約者のダイナミックDNSの認証ID(たいていFQDNと同じです)
DDNS-PASSWORD 契約者のダイナミックDNSの認証パスワード
Basic-ID ダイナミックDNSのBASIC認証ID
Basic-PASS ダイナミックDNSのBASIC認証パスワード
UPDATE-SERVER-URL ダイナミックDNSサービスのサーバアドレス流し込むCONFIG内容 IP8/IP16
先頭の#の行はオプションです。また行途中の#から右はコピペしても無視されますのでコメントを書いています。説明は不要かと思いますがネットマスクはIP8では/29になりますが、IP16では/28です。
ご自分の契約に合わせた8箇所と、先の(*1)のグローバルアドレスを並べたものの1つをあわせた、合計9箇所を置き換えてコピペしてください。
DHCP-pdとRAの違いは3か所です。
console character en.ascii
console columns 200
ip route default gateway tunnel 1
#ipv6 route default gateway dhcp lan2 #DHCP-pdでは必要。 RA方式では不要。
ipv6 prefix 1 ra-prefix@lan2::/64 #DHCP-pdでは ipv6 prefix 1 dhcp-prefix@lan2::/64
ip lan1 address 192.168.100.1/24
ip lan3 address 111.111.111.1/29
ipv6 lan1 address ra-prefix@lan2::1/64 #DHCP-pdでは ipv6 lan1 address dhcp-prefix@lan2::1/64
ipv6 lan1 prefix change log on
ipv6 lan1 rtadv send 1 o_flag=on
ipv6 lan2 secure filter in 1030 1031 1032 1033 1034 1035 2000
ipv6 lan2 secure filter out 1010 1011 1012 1013 3000 dynamic 100 101 102 103 104 105 106 107
ipv6 lan2 dhcp service client ir=on
ngn type lan2 ntt
tunnel select 1
tunnel encapsulation ipip
tunnel endpoint address 2001:x:x:1
ip tunnel mtu 1460
ip tunnel secure filter in 1030 1031 1032 1033 1034 1035 1036 2000
ip tunnel secure filter out 1010 1011 1012 1013 3000 dynamic 100 101 102 103 104 105 106 107
ip tunnel nat descriptor 1
ip tunnel tcp mss limit auto
tunnel enable 1
ip filter 1010 reject * * tcp,udp * 135,netbios_ns-netbios_ssn,445
ip filter 1011 reject * * tcp,udp 135,netbios_ns-netbios_ssn,445 *
ip filter 1012 restrict * * tcpfin * www,21,nntp
ip filter 1013 restrict * * tcprst * www,21,nntp
ip filter 1030 pass * 192.168.100.0/24 icmp
ip filter 1031 pass * 192.168.100.0/24 tcp * ident
#ip filter 1032 pass * 192.168.100.1 udp * 500,4500,1701
#ip filter 1033 pass * 192.168.100.1 esp
#ip filter 1034 pass * 192.168.100.0/24 gre
#ip filter 1035 pass * 192.168.100.1 tcp * 1723
ip filter 1036 pass * 111.111.111.2,111.111.111.3,111.111.111.4,111.111.111.5,111.111.111.6 #DMZでサーバ公開するIPを並べる
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * domain
ip filter dynamic 102 * * www
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * submission
ip filter dynamic 106 * * tcp
ip filter dynamic 107 * * udp
nat descriptor type 1 masquerade
nat descriptor timer 1 protocol=tcp port=22 3600
nat descriptor timer 1 protocol=tcp port=telnet 3600
nat descriptor timer 1 protocol=tcp port=imap2 3600
nat descriptor timer 1 protocol=tcp port=https 1800
nat descriptor timer 1 protocol=tcp port=993 3600
nat descriptor address outer 1 111.111.111.0
#nat descriptor sip 1 on
#nat descriptor masquerade static 1 1 192.168.100.1 udp 500
#nat descriptor masquerade static 1 2 192.168.100.1 esp
#nat descriptor masquerade static 1 3 192.168.100.1 tcp 1723
#nat descriptor masquerade static 1 4 192.168.100.1 gre
#nat descriptor masquerade static 1 5 192.168.100.1 udp 4500
ipv6 filter 1010 reject * * tcp,udp * 135,netbios_ns-netbios_ssn,445
ipv6 filter 1011 reject * * tcp,udp 135,netbios_ns-netbios_ssn,445 *
ipv6 filter 1012 restrict * * tcpfin * www,21,nntp
ipv6 filter 1013 restrict * * tcprst * www,21,nntp
ipv6 filter 1030 pass * * icmp6 * *
ipv6 filter 1031 pass * * tcp * ident
ipv6 filter 1032 pass * * 4
ipv6 filter 1033 pass * * udp * 546
#ipv6 filter 1034 pass * * udp * 500,4500
#ipv6 filter 1035 pass * * esp
ipv6 filter 2000 reject * * * * *
ipv6 filter 3000 pass * *
ipv6 filter dynamic 100 * * ftp
ipv6 filter dynamic 101 * * domain
ipv6 filter dynamic 102 * * www
ipv6 filter dynamic 103 * * smtp
ipv6 filter dynamic 104 * * pop3
ipv6 filter dynamic 105 * * submission
ipv6 filter dynamic 106 * * tcp
ipv6 filter dynamic 107 * * udp
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.100-192.168.100.250/24
dns host lan
dns service fallback on
#NTT-WEST(NTT西日本エリアの場合)
dns server 2001:a7ff:5f01::a 2001:a7ff:5f01:1::a
#NTT-EAST(NTT東日本エリアの場合)
#dns server 2404:1a8:7f01:a::3 2404:1a8:7f01:b::3
dns domain contoso.com
dns private address spoof on
schedule at 1 */* *:10,40 * lua emfs:/xpass-kotei.lua
schedule at 2 */* 00:13 * ntpdate ntp.nict.jp
statistics traffic on
statistics nat on
embedded file xpass-kotei.lua <<EOF
UPD_SV = "https://dynamic.hogehoge.com/"
FQDN = "duser1.hoge.xpass.jp"
DUSER = "duser1.hoge.xpass.jp"
DPASS = "duser1pass"
WAN_IF = "LAN1"
LOG_LEVEL = "info"
LOG_PFX = "[xpass]"
FAIL_MSG = "Failed to notify IPv6 address to the update server. (remaining retry: %d time(s))"
function logger(msg)
rt.syslog(LOG_LEVEL, string.format("%s %s", LOG_PFX, msg))
end
function get_ipv6_adr()
local ipv6adr, s0, s1, e, rtn, str
rtn,str=rt.command("show ipv6 address " .. WAN_IF)
s0,s1=str:find("global%s+",0)
s2=str:find("%x+",s1)
e=str:find("%/",s2)
ipv6adr=str:sub(s2,e-1)
return ipv6adr
end
local rtn, count, log, result, adr1, err, str
adr1 = get_ipv6_adr()
local req_t = {}
local res_t
req_t.url = string.format("%s?d=%s&p=%s&a=%s&u=%s", UPD_SV, FQDN, DPASS, adr1, DUSER)
req_t.method = "GET"
req_t.auth_type = "BASIC"
req_t.auth_name = "basicuser1"
req_t.auth_pass = "basicuser1pass"
res_t = rt.httprequest(req_t)
if res_t.rtn1 then
logger("Notified IPv6 address to the update server.")
if res_t.code == 200 then
result = "Succeeded"
else
result = "Failed"
end
log = string.format("%s to update IPv6 address. (code=%d, body=%s)", result, res_t.code, res_t.body)
logger(log)
end
EOF
流し込むCONFIG内容 IP1
ご自分の契約に合わせた8箇所を置き換えてコピペしてください。
console character en.ascii
console columns 200
ip route default gateway tunnel 1
#ipv6 route default gateway dhcp lan2 #DHCP-pdでは必要。 RA方式では不要。
ipv6 route default gateway dhcp lan2
ipv6 prefix 1 ra-prefix@lan2::/64 #DHCP-pdでは ipv6 prefix 1 dhcp-prefix@lan2::/64
ip lan1 address 192.168.100.1/24
ipv6 lan1 address ra-prefix@lan2::1/64 #DHCP-pdでは ipv6 lan1 address dhcp-prefix@lan2::1/64
ipv6 lan1 prefix change log on
ipv6 lan1 rtadv send 1 o_flag=on
ipv6 lan2 secure filter in 1030 1031 1032 1033 1034 1035 2000
ipv6 lan2 secure filter out 1010 1011 1012 1013 3000 dynamic 100 101 102 103 104 105 106 107
ipv6 lan2 dhcp service client ir=on
ngn type lan2 ntt
tunnel select 1
tunnel encapsulation ipip
tunnel endpoint address 2001:x:x:1
ip tunnel mtu 1460
ip tunnel secure filter in 1030 1031 1032 1033 1034 1035 2000
ip tunnel secure filter out 1010 1011 1012 1013 3000 dynamic 100 101 102 103 104 105 106 107
ip tunnel nat descriptor 1
ip tunnel tcp mss limit auto
tunnel enable 1
ip filter 1010 reject * * tcp,udp * 135,netbios_ns-netbios_ssn,445
ip filter 1011 reject * * tcp,udp 135,netbios_ns-netbios_ssn,445 *
ip filter 1012 restrict * * tcpfin * www,21,nntp
ip filter 1013 restrict * * tcprst * www,21,nntp
ip filter 1030 pass * 192.168.100.0/24 icmp
ip filter 1031 pass * 192.168.100.0/24 tcp * ident
#ip filter 1032 pass * 192.168.100.1 udp * 500,4500,1701
#ip filter 1033 pass * 192.168.100.1 esp
#ip filter 1034 pass * 192.168.100.0/24 gre
#ip filter 1035 pass * 192.168.100.1 tcp * 1723
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * domain
ip filter dynamic 102 * * www
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * submission
ip filter dynamic 106 * * tcp
ip filter dynamic 107 * * udp
nat descriptor type 1 masquerade
nat descriptor timer 1 protocol=tcp port=22 3600
nat descriptor timer 1 protocol=tcp port=telnet 3600
nat descriptor timer 1 protocol=tcp port=imap2 3600
nat descriptor timer 1 protocol=tcp port=https 1800
nat descriptor timer 1 protocol=tcp port=993 3600
nat descriptor address outer 1 111.111.111.0
#nat descriptor sip 1 on
#nat descriptor masquerade static 1 1 192.168.100.1 udp 500
#nat descriptor masquerade static 1 2 192.168.100.1 esp
#nat descriptor masquerade static 1 3 192.168.100.1 tcp 1723
#nat descriptor masquerade static 1 4 192.168.100.1 gre
#nat descriptor masquerade static 1 5 192.168.100.1 udp 4500
ipv6 filter 1010 reject * * tcp,udp * 135,netbios_ns-netbios_ssn,445
ipv6 filter 1011 reject * * tcp,udp 135,netbios_ns-netbios_ssn,445 *
ipv6 filter 1012 restrict * * tcpfin * www,21,nntp
ipv6 filter 1013 restrict * * tcprst * www,21,nntp
ipv6 filter 1030 pass * * icmp6 * *
ipv6 filter 1031 pass * * tcp * ident
ipv6 filter 1032 pass * * 4
ipv6 filter 1033 pass * * udp * 546
#ipv6 filter 1034 pass * * udp * 500,4500
#ipv6 filter 1035 pass * * esp
ipv6 filter 2000 reject * * * * *
ipv6 filter 3000 pass * *
ipv6 filter dynamic 100 * * ftp
ipv6 filter dynamic 101 * * domain
ipv6 filter dynamic 102 * * www
ipv6 filter dynamic 103 * * smtp
ipv6 filter dynamic 104 * * pop3
ipv6 filter dynamic 105 * * submission
ipv6 filter dynamic 106 * * tcp
ipv6 filter dynamic 107 * * udp
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.100-192.168.100.250/24
dns host lan
dns service fallback on
#NTT-WEST(NTT西日本エリアの場合)
dns server 2001:a7ff:5f01::a 2001:a7ff:5f01:1::a
#NTT-EAST(NTT東日本エリアの場合)
#dns server 2404:1a8:7f01:a::3 2404:1a8:7f01:b::3
dns domain contoso.com
dns private address spoof on
schedule at 1 */* *:10,40 * lua emfs:/xpass-kotei.lua
schedule at 2 */* 00:13 * ntpdate ntp.nict.jp
statistics traffic on
statistics nat on
embedded file xpass-kotei.lua <<EOF
UPD_SV = "https://dynamic.hogehoge.com/"
FQDN = "duser1.hoge.xpass.jp"
DUSER = "duser1.hoge.xpass.jp"
DPASS = "duser1pass"
WAN_IF = "LAN1"
LOG_LEVEL = "info"
LOG_PFX = "[xpass]"
FAIL_MSG = "Failed to notify IPv6 address to the update server. (remaining retry: %d time(s))"
function logger(msg)
rt.syslog(LOG_LEVEL, string.format("%s %s", LOG_PFX, msg))
end
function get_ipv6_adr()
local ipv6adr, s0, s1, e, rtn, str
rtn,str=rt.command("show ipv6 address " .. WAN_IF)
s0,s1=str:find("global%s+",0)
s2=str:find("%x+",s1)
e=str:find("%/",s2)
ipv6adr=str:sub(s2,e-1)
return ipv6adr
end
local rtn, count, log, result, adr1, err, str
adr1 = get_ipv6_adr()
local req_t = {}
local res_t
req_t.url = string.format("%s?d=%s&p=%s&a=%s&u=%s", UPD_SV, FQDN, DPASS, adr1, DUSER)
req_t.method = "GET"
req_t.auth_type = "BASIC"
req_t.auth_name = "basicuser1"
req_t.auth_pass = "basicuser1pass"
res_t = rt.httprequest(req_t)
if res_t.rtn1 then
logger("Notified IPv6 address to the update server.")
if res_t.code == 200 then
result = "Succeeded"
else
result = "Failed"
end
log = string.format("%s to update IPv6 address. (code=%d, body=%s)", result, res_t.code, res_t.body)
logger(log)
end
EOFビジネス利用でLAN内のPCにIPv6アドレスを配布したくないとき
上記のCONFIGやヤマハのGUIではLAN内のPCにIPv6アドレスが配布されます。ビジネス利用でセキュリティ面からLAN内にはIPv6アドレスを配布したくないときもあるかと思います。その場合は次の内容をコピペしてください。
no ipv6 lan1 dhcp service server
no ipv6 lan1 rtadv send 1 o_flag=on
no ipv6 prefix 1 dhcp-prefix@lan2::/64
no ipv6 prefix 1 ra-prefix@lan2::/64CONFIGの説明
DNS
ルータで使うDNSサーバは最も近いNTT東西のDNSサーバを使用します。
#NTT西日本エリアにルータを設置する場合はこちら
dns server 2001:a7ff:5f01::a 2001:a7ff:5f01:1::a
#NTT東日本エリアにルータを設置する場合はこちら
dns server 2404:1a8:7f01:a::3 2404:1a8:7f01:b::3参考です。ホームゲートウェイ配下にルータを接続しているとき自動取得ではルータはホームゲートウェイのIPがDNSサーバだとこのように認識します。それなりの負荷がかかるヤマハルータでホームゲートウェイのDNSサーバを使うのはちょっと心配ですね。
#参考に設定ウィザードで設定されるDNSの指定です。HGW配下だとHGWのアドレスをDNSとして取得してしまいます。
dns server select 500000 dhcp lan2 any .
# show status ipv6 dhcp
LAN2 [client]
state: established
server:
DNS server[1]: 2001:f77:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx ←HGWのIPv6アドレス
Domain name[1]: flets-west.jp
Domain name[2]: iptvf.jp
SNTP server[1]: 2001:a7ff:102::b
SNTP server[2]: 2001:a7ff:102::aVPN用のフィルタとNAT変換
上記CONFIGではコメントしていますが必要な場合は次をコメントアウトします。リモートアクセスサーバにしたり、拠点間VPNを張るときに次の行を使います。
IPv4のフィルタ
ipsec-VPN (拠点間)接続に使用するポート
#ip filter 1032 pass x.x.x.x 192.168.100.1 udp * 500
#ip filter 1033 pass x.x.x.x 192.168.100.1 esp
L2tp/ipsec (リモートアクセス)接続に使用するポート
#ip filter 1032 pass * 192.168.100.1 udp * 500,1701,4500
#ip filter 1033 pass * 192.168.100.1 esp
PPTP (リモートアクセス)接続に使用するポート
#ip filter 1034 pass * 192.168.100.0/24 gre
#ip filter 1035 pass * 192.168.100.1 tcp * 1723
IPv4のNAT
ipsecVPNで使うポート
#nat descriptor masquerade static 1 1 192.168.100.1 udp 500
#nat descriptor masquerade static 1 2 192.168.100.1 esp
PPTPで使うポート
#nat descriptor masquerade static 1 3 192.168.100.1 tcp 1723
#nat descriptor masquerade static 1 4 192.168.100.0/24 gre
ipsec NATトラバーサルで使うポート。クライアントPCがNATの裏側から使うときなどに必要
#nat descriptor masquerade static 1 5 192.168.100.1 udp 4500IPv6で直接NTT網内VPNするときのフィルタ
ipv6 filter 1034 pass * * udp * 500,4500
ipv6 filter 1035 pass * * espDMZのサーバ公開のフィルタ
上記CONFIGでは次のように何もフィルタしていません。必要なポートだけ開けるようにしても良いかと思います。
上記設定例 すべてのサービスを公開
ip filter 1036 pass * 111.111.111.2,111.111.111.3,111.111.111.4,111.111.111.5,111.111.111.6
TCP 80/443だけを公開するときの例
ip filter 1036 pass * 111.111.111.2,111.111.111.3,111.111.111.4,111.111.111.5,111.111.111.6 tcp * 80,443補足説明
- クロスパス固定IPは、アルテリアネットワーク側に、ユーザ側のIPv6アドレスをダイナミックDNSを利用して通知することでIPIPトンネルが張れる仕組みです。
- 30分毎にダイナミックDNS登録をスケジュールで実行しています。
- ルータのインタフェースにヤマハの例ではたいてい::1 を割り当てていますが、::1でなければいけないわけではありません。
- 上でも説明していますがこの例ではIP8契約でCONFIG例ではわかりやすくするため割り当てられたアドレス範囲を 111.111.111.0/29 としています。0,1,2,3,4,5,6,7 の8個になりますが1をルータのDMZインタフェースに。2-6がDMZとして自由に5台分のサーバに割当できるアドレスとしました。DMZに配置するPCやサーバはゲートウェイアドレスに1を指定します。通常先頭0はネットワークアドレスで最後の7はブロードキャストアドレスで使わないことも多いのですが、先頭の0はLAN内のPCがインターネットアクセスに使うNATマスカレードアドレスに使用できます。最後の7は使っていませんがスタティックNAT変換でポート指定して公開することもできます。
動作確認
ログ確認 # show log reverse 2021/02/25 10:15:00: [xpass] Succeeded to update IPv6 address. (code=200, body=<HTML><BODY><H1>DDNS API</H1><HR><H2>* Query parameter check : OK</H2>・・・・・・ 2021/02/25 10:15:00: [xpass] Notified IPv6 address to the update server. 2021/02/25 10:15:00: [SCHEDULE] lua emfs:/xpass-kotei.lua 2021/02/25 10:04:35: Add IPv6 prefix 2001:*********::/64 (Lifetime: 2592000) via LAN1 by RA luaスクリプトの動作確認 # show status lua # show status lua running luaスクリプト停止 # terminate lua all luaスクリプト手動実行 # lua emfs:/xpass-kotei.lua インタフェースへのIPv6アドレス割当確認 # show ipv6 address 回線から受け取ったIPv6のDNSなどの確認 # show status ipv6 dhcp 疎通確認 IPv6 # ping6 2001:F60:0:206::1 (dgw.xpass.jp アルテリア・ネットワークスの動的トンネル先サーバ) # ping6 2001:4860:4860::8888 (Google DNS) 疎通確認 IPv4 (トンネルが通っているか) # ping 8.8.8.8
接続テスト
こちらのページにアクセスして確認していただけます。IPv4アドレスの次の行のホスト名に、****.west.xps.vectant.ne.jp または ****.east.xps.vectant.ne.jp と表示されればOKです。
