NVR-500のかんたん設定とリカーシブDNS

PR-S300SEとNVR-500でIPv4 PPPoEとIPv6PPPoEとフレッツ情報サイトへの同時接続するための設定時にIPv6サイトの名前解決が出来ないトラブルが発生した。NVR-500のDNS設定（config）を確認してみた（緑は宅内のネットワーク機器をgacyapinドメインでアクセスするための追加設定で、青はNVR-500「かんたん設定」の項目、黒はフレッツ情報サイト用追加設定）。
#----------------------------
#
# DNS configuration
#
dns service fallback on
dns server pp 1
dns server select 100002 fe80::225:dcff:fe23:1234%2 any flets-east.jp
dns server select 100003 fe80::225:dcff:fe23:1234%2 any iptvf.jp
dns server select 100010 2400:7800:0:3001::1:1 2400:7800:0:3001::2:1 any .
#------
dns server select 500001 pp 1 any . restrict pp 1
dns server select 500002 pp 2 any . restrict pp 2
#------
dns domain gacyapin
dns private address spoof on
ip host gs116e.gacyapin 192.168.11.249
ip host mx850.gacyapin 192.168.11.10
ip host nvr500.gacyapin 192.168.11.250
ip host nvr500-lan2.gacyapin 192.168.1.2
ip host prs300se.gacyapin 192.168.1.1
ip host sx2000u2.gacyapin 192.168.11.11
ip host wlan2.gacyapin 192.168.11.12
ip host wlan3.gacyapin 192.168.11.13
dns private name nvr500.gacyapin
#----------------------------
「かんたん設定」でIPv4PPPoE接続設定(pp 1)、IPv6PPPoE接続設定(PP 2)の順で設定すると上記のようにIPv4PPPoE接続先のdnsが優先して利用される設定になる（青文字部）。PlalaのIPv4サイトdnsサーバでIPv6フィルタが施された結果IPv6アドレスの解決が出来ない。

「かんたん設定」が設定した「dns server select 500002 pp 2 any . restrict pp 2」の「500002」をPP01で定義したIPv4接続の「500001」より若い番号に修正するか、IPv6PPPoE接続設定を先に実施してからIPv4PPPoE接続設定を行えば良いはずである。
PR-S300SEのRAでIPv6接続定義していた時はdns selectの優先順位を代えるだけでうまく機能していたが、DHCPv6-PDでIPv6接続を定義したら動作しなくなった。原因や理由が判らないが、「dns select」でPPエントリーを使わずPP02で得たdns情報を直接使うと機能する（赤文字部）。
とりあえず、「dns server select 100010 2400:7800:0:3001::1:1 2400:7800:0:3001::2:1 any .」で対応することとした。

PR-S300SEとNVR-500のフレッツ情報サイトIPv6常時接続方法を変更する

PR-S300SEとNVR-500のIPv6接続は、フレッツ情報サイトやウィルスクリアサーバへの接続とPlala IPv6 PPPoEによるインターネット接続を同時に利用できるよう構成し、IPv4 PPPoEも同時利用できるよう設定する。
今までは、PR-S300SEのlan側に広告（RA）されるprefixをNVR-500のlan2で受け、lan1側へ広告（RA）していた。この接続方法だとNVR-500は、IPv6ルータとして機能せず、ブリッジのような接続となっている。NVR-500ルータ本来の機能を発揮させるため、PR-S300SEのlan側でDHCPv6-PDによるprefix delegation配布を行う下記のような設定構成とした。

①でPR-S300SEは、フレッツ網からDHCPv6でprefixを取得する
下記は、NVR-500をPR-S300SEのONU部に接続してDHCPv6で取得した情報で、同じ情報をPR-S300SEが取得していると推定される（実際にはsipサーバに関する情報も取得している）

# show status ipv6 dhcp

DHCPv6 status

LAN2 [client]
state: established
server:
address: ::
preference: 0
prefix: 2408:XXXX:YYYY:100::/56
duration: 14400
T1: 7200
T2: 10800
preferred lifetime: 12600
valid lifetime: 14400
DNS server[1]: 2404:1a8:7f01:a::3
DNS server[2]: 2404:1a8:7f01:b::3
Domain name[1]: flets-east.jp
Domain name[2]: iptvf.jp
SNTP server[1]: 2404:1a8:1102::a
SNTP server[2]: 2404:1a8:1102::b

このとき、PR-S300SEのlan側に「2404:XXXX:YYYY:100::/64」のprefixが広告（RA）される。
②でPR-S300SEのlan側に接続されたNVR-500のlan2でDHCPv6-PDを実行すると

# show status ipv6 dhcp

DHCPv6 status

LAN2 [client]
state: established
server:
address: ::
preference: 0
prefix: 2408:XXXX:YYYY:110::/60
duration: 14400
T1: 7200
T2: 12600
preferred lifetime: 14400
valid lifetime: 14400
DNS server[1]: 2408:XXXX:YYYY:100:225:dcff:fe23:1234
Domain name[1]: flets-east.jp
Domain name[2]: iptvf.jp
SNTP server[1]: 2404:1a8:1102::a
SNTP server[2]: 2404:1a8:1102::b

「2408:XXXX:YYYY:110::/60」のprefixが得られる。
「DNS server[1]」は、PR-S300SEのlan側のIPv6アドレスが設定されている。
このとき、PR-S300SEのDHCPv6サーバ払い出し状況を確認してみると

「1/15」となっており最大15個の異なるprefix delegationを得られそうだ。家庭では使いきれない。。。
結果、③でNVR-500のlan2側で「2408:XXXX:YYYY:100::/64」、lan1側で「2408:XXXX:YYYY:110::/64」のprefixで運用することができる。PR-S300SEのOUI部にNVR-500を接続するような面倒をすることなくPR-S300SEのlan側swポートの1つに接続して使える（PR-S300SEのIPv6ルートテーブルにルート情報を追加する方法を考える必要も無くなった）。
市販のブロードバンドルータ（WZR-HP-G300やPA-WR-8700N-HPなど）のWAN側がDHCPv6-PDに対応しているかは不明。そもそもPR-S300SEのルータ能力が高いので無線LANアクセスポイントあるいはPPTPサーバ機能を追加する以外無用と思える。
フレッツネクスト対応を先に実施していたらNVR-500を購入しなかったかもしれない。。。
Linuxサーバ機などもこの方法が使える。

PR-S300SEのフレッツ情報サイトIPv6関連設定
・「詳細設定」「セキュリティ設定」「IPv6パケットフィルタ設定」の「IPv6セキュリティレベル：高度」
（フレッツ網内の折り返し接続をしないため許可フィルタの設定なし）
・「詳細設定」「高度な設定」「ブリッジ設定」の「PPPoEブリッジを使用する」

NVR-500のフレッツ情報サイトIPv6関連設定
--- IPv4PPPoEとフレッツ情報サイト同時接続 ---
「ひかりネクスト用PR-S300SEとNVR-500の設定」のIPv6関連設定を以下のように変更する

ipv6 route default gateway 2408:XXXX:YYYY:100:225:dcff:fe23:1234
(or ipv6 route default gateway fe80::100:225:dcff:fe23:1234%2 )
ゲートウェイアドレスは、PR-S300SEのlan側リンクローカルIPv6アドレスとインターフェイスIDで指定するのが良い
ipv6 lan2 dhcp service client
ipv6 prefix 1 dhcp-prefix@lan2::/64
ipv6 lan1 address dhcp-prefix@lan2::1/64
ipv6 lan1 rtadv send 1 o_flag=on
ipv6 lan1 dhcp service server
dns server select 100001 fe80::100:225:dcff:fe23:1234%2 any flets-east.jp
dns server select 100002 fe80::100:225:dcff:fe23:1234%2 any iptvf.jp

--- IPv4PPPoE、IPv6PPPoEとフレッツ情報サイト同時接続 ---
「NVR-500でIPv6 PPPoE接続」、
「NVR-500でIPv6 PPPoEインターネットとフレッツ情報サイトへの同時接続」の設定でpp3がIPv6PPPoEのインターネット接続設定に加えIPv6関連設定を以下のように変更する

ipv6 lan2 dhcp service client
ipv6 prefix 1 dhcp-prefix@lan2::/64
ipv6 prefix 3 dhcp-prefix@pp3::/64
ipv6 lan1 address dhcp-prefix@lan2::1/64
ipv6 lan1 address dhcp-prefix@pp3::1/64
ipv6 lan1 rtadv send 1 3 o_flag=on
ipv6 lan1 dhcp service server
ipv6 route default gateway pp3
ipv6 route 2001:c90::/32 gateway fe80::225:dcff:fe23:1234%2
ipv6 route 2404:1a8::/32 gateway fe80::225:dcff:fe23:1234%2
ipv6 route 2408::/22 gateway fe80::225:dcff:fe23:1234%2
ipv6 route 2001:d70::/30 gateway fe80::225:dcff:fe23:1234%2
ipv6 route 2001:a000::/21 gateway fe80::225:dcff:fe23:1234%2
dns server select 100001 fe80::100:225:dcff:fe23:1234%2 any flets-east.jp
dns server select 100002 fe80::100:225:dcff:fe23:1234%2 any iptvf.jp
dns server select 500000 pp 3 any . restrict pp 3

ただし、「ipv6 lan1 rtadv send 1 3」のようにproxyで定義されたprefixを同時に広告することができない（ヤマハNVR-500 Rev.11.00.19仕様確認済み）。
IPv6PPPoEインターネット接続かフレッツ情報サイトへの同時接続かを選択する必要がある。
そこで、配布されるprefixが変化することが殆ど無いため、一度取得したprefixをメモし、静的なprefixとしてlan1側に広告（RA）する
「詳細設定と情報」「システム情報のレポート作成」で「IPv6情報」セクションのLAN1のグローバル記載のprefixを使用する
ipv6 prefix 10 2408:XXXX:YYYY:110::/64
ipv6 prefix 30 2400:AAAA:BBBB:CCCC::/64
ipv6 lan1 rtadv send 10 30 o_flag=on mtu=1280

この設定で概ねうまく動作する。dhcpやraで取得したprefixを動的に広告するとmtu=1280でRouterAdvertisementされるが静的に定義したprefixで広告するとmtu=1500となり、「ipv6 interface rtadv send」でmtuを指定しても変化しない。
(追記）wiresharkで確認してみたらmtu=1280で広告されていた。どういう条件で変化するのか良く判らない。今後の確認事項の一つとする。

ぷららのIPv6 launch対応

ぷららのIPv6対応がアナウンスされていた。
IPv4によるDNS queryでは、IPv6アドレスが返されなくなった。
IPv6で接続するときは、IPv6のDNSを使用することが必要となった。

2400:7800:0:3001::1:1
2400:7800:0:3001::2:1

Windows XPのnslookupでは、IPv6でのqueryができない。

NVR500でIPv6利用の問題点

NVR500でIPv6PPPoE接続する設定で概ねうまく接続できる。
幾つかの問題点があることがわかった。
・ＲＡの問題
フレッツ網からのＲＡで広告されているPrefixとPPPoEのDHCPで取得されたPrefixをproxyキーワードを使った定義で同時に広告することが出来ない。暫定策としてprefixの変化が殆ど無いであろうという推測で静的にprefixを定義し広告している。

RAを設定するコマンド「ipv6 lan1 rtadv send 1 2 o_flag=on mtu=1454」でprefixをRAで、DNSをDHCPV6でクライアントに設定させるよう設定しているがDHCPV6がうまく動作しない（DNS情報を渡せない）。設定が悪いのか？（ヤマハに問い合わせ中）。

ＲＡをパケットキャプチャするとPrefixとMTUを広告している。mtu=offとかmtu=1454などの設定が出来るはずだが、何を設定してもRAのMTUは1500になっている。
この結果かどうか不明だが、Windowsで「netsh interface ipv6 set interface mtu=1454」とすると設定直後は1454となるがしばらくすると1500に戻っている。
PMTUDブラックホールから抜け出せない。（ヤマハに問い合わせ中）

これらが解決すればIPv4とIPv6の同時利用が可能となるのだが、IPv6 Launchまでに間に合いそうにない。。。

光ネクストの経路情報提供サービスとPR-S300SE

フレッツ光ネクスト(技術参考資料）のIP通信サービスのインターフェースを観て「経路情報提供サーバ」の存在を知った。
アクセス方法が記載されているのでフレッツの経路情報を取得してみた。ブラウザやwshの「MSXML2.XMLHTTP」オブジェクトでアクセスすると400エラーとなる。

Set oHttp=Wscript.CreateObject("MSXML2.XMLHTTP")
Call oHttp.Open("GET","http://route-info.flets-east.jp:49881/v6/route-info",False)
Call oHttp.setRequestHeader("Host","route-info.flets-east.jp:49881")
Call oHttp.setRequestHeader("Accept","*/*")
Call oHttp.setRequestHeader("Connection","close")
Call oHttp.send()
WScript.Echo(oHttp.status)
WScript.Echo(oHttp.responseText)

そこで、「telnet」を使って手入力でhttpアクセスを行ってみた。初め、GETに続くConnectionヘッダー情報を「Close」するとエラーになるが「close」にすると、インターフェース定義書の通り経路情報が返された。「MSXML2.XMLHTTP」オブジェクトの場合は、ユーザエージェントヘッダーも付加されるので、サーバのチェックが厳格だとエラーになってしまうのかもしれない。

telnet route-info.flets-east.jp 49881

GET /v6/route-info HTTP/1.1
Host: route-info.flets-east.jp:49881
Accept: */*
Connection: close


HTTP/1.1 200 OK
Date: Sat, 05 May 2012 02:27:11 GMT
Content-Type: text/plain;charset=EUC-JP
Content-Length: 320
Connection: close

0000,2011/01/14 12:59:13
1111,2404:01a8:7e00:0000:0000:0000:0000:0000/40
1211,2404:01a8:0000:0000:0000:0000:0000:0000/32
1311,2408:0200:0000:0000:0000:0000:0000:0000/23
1411,2400:2400:0000:0000:0000:0000:0000:0000/23
1412,2409:0000:0000:0000:0000:0000:0000:0000/23
1413,240b:0000:0000:0000:0000:0000:0000:0000/23

返された経路情報を観ると、「2001:c90::/32」のプレフィックス情報が無い。
「2404:1a8:7e00::/40」は、「2404:1a8::/32」に包含されいるのでは？
「2408:200::/23」だと「2408:10::」が含まれないと思うが、V6オプション申し込み前の「2408:10:c840::」が含まれないと思う。「2409::/23」は、IPv6(IPoE)時に振られるプレフィックス。多分「2400:2400::/23」「240b::/23」もIPv6(IPoE)用のプレフィックスと思われる。
これらの経路情報は、2011年1月14日12時59分13秒に定義されている。
PR-S300SEの経路情報バージョンと一致する。