rabbit51

it's since Nov.30 2005
May.29 2014, transferred from broach

ひかり電話ルータ(PR-S300SE)のデフォルト・ゲートウェイ設定

2018-06-26 10:00:00 | ネットワーク
ひかり電話ルータ(PR-S300SE)のLAN側にヤマハNVR500を接続。NVR500のLAN側に宅内のネットワークを構成している。PR-S300SEのLAN側ネットワークは、メンテナンスやパケットモニタなどネットワークの管理作業時に使用している。NVR500のLAN側からPR-S300SEの管理用WEBページにアクセスするため静的経路設定を追加している。ぷららのIPv6 IPoE接続に加えDS-LiteによるIPv4overIPv6接続をNVR500で対応し、宅内ネットワークからのアクセスが可能となった。

PR-S300SEのLAN側ネットワークは、「192.168.1.0/24」としている。ここへ管理用のPC(Let's Note CF-W4 w/ Windows7)を接続するとDHCPによりPR-S300SEからIPアドレス、ゲートウェイアドレス、DNSアドレスが取得されネットワーク接続が完了する。IPv6は、IPoEになったのでPR-S300SEからDHCPv6でPrefix、DNSアドレスが取得される。この状態で、宅内側へは、PR-S300SEに設定された「LAN側静的ルーティング設定」でアクアセスが可能となっている。「デフォルトルート」を追加出来れば、DS-Lite経由でIPv4インターネット接続が可能となる。
PR-S300SEのヘルプには、「デフォルトルート」の設定方法が記載していないので、昔の記憶で「0.0.0.0/255.255.255.255」とする事でデフォルトルート設定が出来ると思い実行してみたが「エラー」。調べてみると「0.0.0.0/0」がデフォルトルートの表記のようだ。記憶違いか。。。。デフォルトルートを追加設定してみる。うまく設定出来るではないか。。。動作も問題ない。

IPv4インターネット接続も可能となった。PR-S300SEは、IPv6 IPoEに対応しているが「DS-Lite」の設定ができない。今後、バージョンアップで追加されるのか不明だが、「DS-Lite」や「V6プラス」機能を持ったWiFiルータなどが販売されているようなので、IPv4overIPv6インターネット接続が可能そうだ。V6プラスで接続した例を観るとNAT設定などに管理画面から設定するようだ。とりあえず試して観ると「豆腐」が6個表示された。。。


PR-S300SEのLAN側静的ルーティング設定」で「デフォルトルート」に整理した。


ひかり電話の契約に依存するのかもしれないが、PR-S300SEは、IPv4のDHCPクライアントとしてWAN側からネットワーク情報を取得して、WAN側インターフェースにIPv4アドレスが設定される。また、「static route」情報が取得されているので、「デフォルトルート」が設定されても問題とならない。


IPv6テストで確認してみる。IPv4もIPv6もインターネットマルチフィード経由でインターネット接続されているのが確認できた。IPv6のICMPがFilteredになっている。PR-S300SEもNVR500もICMPv6を通過させているのだが。。。要調査。


フレッツ情報サイトで速度を計測してみた。


?「67.7Mbps」。久々に見る低速度。EthernetインターフェースがCF-W4は、100Mbpsだった。


Let's Note(CF-W4)のインターフェース


Windows7のファイアウォオール設定を確認するとICMPv6がローカルだけ許可となっている。全て許可のルールを追加した。


再度、IPv6テストで確認。ICMPがReachableのグリーンとなった。


宅内側へ接続して確認OK。



コメント
 
 
 
 
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

光ネクストPR-S300SEのIPv6 IPoEにICMPv6フィルタ

2018-06-25 10:10:00 | ネットワーク
「ぷらら」サービス機能のTransix IPv6 IPoE+DS-Liteが使えるようになったが、IPv6テストでICMPv6がFilteredになる。

NVR500では、ICMPv6を通過させているので、ひかり電話ゲートウェイ(PR-S300SE)のIPv6用セキュリティフィルタを確認してみた。

「IPv6セキュリティレベル」の「高度」と「標準」では、ICMPv6遮断に無関係だった。
「IPv6ファイアウォール」を「無効」にするとICMPv6遮断がされなくなる。


ICMPv6を通過させる設定を行った。


結果ICMPv6が通過した。


IPv6のICMPv6は、MTU調整に使われるので通過させておく事にする。
PR-S300SEのIPv6ファイアウォールがどのような設定をしているのか調査が必要。

2019/04/07追記:「PR-S300SEのIPv6セキュリティフィルタを調整
コメント
 
 
 
 
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

ヤマハNVR500で「ぷらら」IPv6 IPoE接続 Transix DS-Lite

2018-06-24 09:00:00 | NVR500
「ぷらら」のIPv6 IPoE接続、5年半ほどかかったが、お願い「PlalaさんIPv6のIPoEサービスを提供してください」が実現した。IPv6 IPoE接続設定は、NVR500の簡単設定・プロバイダ情報の設定で可能だ。IPv6 IPoEによるNGNとインターネットの接続事業者は、インターネットマルチフィードTransixサービスが使われている。Transixは、IPv6インターネット接続だけでなくIPv4インターネット接続をAFTR(Address Family Translation Router)装置でNAPT接続するDS-Lite(Dual Stack-Lite : IPv4 over IPv6)オプションサービも含まれている。DS-Liteは、NAPTのためL2TP/IPSecによるVPN接続やデジタル写真データを配布するためのWebサービスを適応する事ができない。これらの機能を稼動させるため、ぷららのIPv4 PPPoEインターネット接続とDS-Liteを併用するよう設定する事にした。


NVR500でDS-LiteのAFTRに接続するには、「IPIP Tunnel」を使用する。確か、VPNもTunnelを使っている。簡単設定の「詳細設定と情報」「VPN接続の設定」「設定可能なVPN設定」でPPまたはTUNNEL表示された追加ボタンでTunnelの設定が選択できる。「IPIPトンネルを使用したネットワーク型 LAN間接続」を使用してDS-Liteの設定を試みた。




設定出来ない。。。


TUNNEL1には、VPNアカウントがbindされたL2TP/IPSecトンネル設定
TUNNEL2には、コマンド実行から「DS-Lite接続設定」がしてある。この状態でTUNNEL2の設定を開くと設定出来そうな画面となる。「設定の確定」を行うと幸いな事に「間違いがあるので登録できません」となり意図しない上書き変更されない。
この状態で、VPNアカウントを追加すると「PP Anonymous」セクションにアカウントが追加される。TUNNELへのbindも変更されている。「pp bind tunnel1-tunnel2」?TUNNEL2は、DS-Liteに使っているのだが。。。。


TUNNEL2の設定を確認してみるとコマンドの上書きと追加が行われていた。


VPNの登録された追加アカウントを削除してみた。「PP Anonymous」セクションで追加ユーザが削除されたが、bindされたTUNNELが変更されている。。。。


「TUNNEL」セクションを確認すると、TUNNEL1が削除され上書き追加されたTUNNEL2が残っている!

これは、上手くない。意図しない変更が発生しそうな予感がする。簡単設定の選択範囲外のTUNNEL番号を設定すれば、簡単設定画面に表示されない(PP番号で確認)。コマンド実行から「TUNNEL5」で設定しようとすると番号が範囲外で設定出来ない。NVR500の最大TUNNEL数が4と思われる。DS-Lite接続でTUNNELを1個使うとVPNアカウントが3個までしか設定出来なくなる。VPNアカウントが壊されてしまったので、TUNNEL1をDS-Lite接続に使用し、VPNアカウントは、TUNNEL2以降が使われるよう変更した。

TUNNEL設定は、disableを設定していないと直ぐに接続された状態になる。設定には、「ip route default」コマンドでDS-LiteへのTUNNELインターフェースを設定するので不具合を想定してdisableの状態で設定するのが良い。
セキュリティフィルターは、Plala IPv4PPPoEで設定されるPPインターフェースと同じ設定とした。L2TP/IPSecとhttp/httpsの静的IPマスカレード関連のファイアウォールフィルタ80-97を除いたフィルタを設定した。
---------------------------------------
tunnel select 1
tunnel disable 1
tunnel name "Plala Transix DS-Lite"
tunnel encapsulation ipip
tunnel endpoint address 2404:8e00::feed:100
ip tunnel secure filter in 200003 200020 200021 200022 200023 200024 200025 200030 200032
ip tunnel secure filter out 200013 200020 200021 200022 200023 200024 200025 200026 200027 200099 dynamic 200080 200081 200082 200083 200084 200085 200098 200099
---------------------------------------

このTUNNEL1をdefaultルートとして設定すれば、Transix DS-Lite経由のIPv4インターネット接続できる。
pp01にぷららのIPv4 PPPoEインターネット接続の経路設定がされている。同時に使用するにはどうしたら良いか?

---------------------------------------
ip route default gateway pp 1 filter 500000 gateway pp 1
----
ip filter 500000 restrict * * * * *
---------------------------------------

「pp 1」と「tunnel 1」でweightを設定する事にした。通常使用されるのは、Transix DS-LiteとしPlala IPv4 PPPoEは、補佐的に設定した。外部から接続されるL2TP/IPSecのVPNとhttp/httpsのwebに関しては、「pp 1」が使用されるはず。

---------------------------------------
ip route default gateway tunnel 1 weight 1000 hide gateway pp 1 weight 1 hide
---------------------------------------

コマンド実行で「tunnel enable 1」を実行し、DS-LiteへのTUNNELを有効にする。
上手く接続され、Transix DS-Liteで接続されるようになる。TUNNEL1をdisableするとpp 1が使用される。TUNNEL1が有効だとL2TP/IPSecのVPNとhttp/httpsのwebが利用できない。TUNNEL1をdisableすると利用できる。L2TP/IPSecのVPN接続は、PlalaのIPv4 PPPoE側からしか利用できないので、IPSecに関するパケットは、PP1へ送る。NVR500から接続元へ帰るIPSec関連のUDP/500, 4500とESPをPP1へ送るようにFilter経路設定を行うこととする。インターネットから接続されるhttp/httpsも同様にFilter経路設定とした。

---------------------------------------
ip route default gateway pp 1 filter 10 11 12 gateway tunnel 1 weight 1000 hide gateway pp 1 weight 1 hide
----
ip filter 10 pass 192.168.11.AAA * udp 500,4500 *
ip filter 11 pass 192.168.11.AAA * esp * *
ip filter 12 pass 192.168.11.BBB * tcp 1080,1443 *
---------------------------------------
ip filter 500000 restrict * * * * *
---------------------------------------

簡単設定が挿入する500000番のFilterを加えても良いかも。。。

Plala IPv4 PPPoE + Transix IPv6 IPoE + DS-Lite 同時接続時


Macbook proでIPv6テスト(IPv4もIPv6もインターネットマルチフィードからインターネットへ)


iPhoe6SからL2TP/IPSecのVPNで接続してIPv6テスト
OverridePrimaryがFalseなので、イントラネット宛て以外のサイトへの接続は、VPNを介さず、iPhone6SのSIMキャリア(DoCoMo MVNO IIJ/AEON)のipで接続しているのが判る。


L2TP/IPSecでイントラネット内に接続し、NVR500のトップ画面へ接続。VPN接続表示が確認できる


http/httpsサイトへの接続(VPN切断でキャリアネットワークから接続)


イントラネット内にWiFiで接続し、IPv6テスト。インターネットマルチフィードから接続されているのが判る。


-----
P.S.
メール通知機能

メール通知機能に使う、メールサーバの設定で「mailserver.plala.or.jp」の25番ポートで設定がしてあった。
Transix DS-Liteで「ぷらら」の外からsmtp 25番ポートで送信が行われることとなり、送信失敗が発生した。
pp1のぷらら経由となるようFilter経路設定を加えるか、Submission port(587)からSMTP AUTHで接続するかに変更する必要が発生した。Submission portでsmtp authが使われるよう設定変更した。


------
設定内容(NVR500)





























コメント
 
 
 
 
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

Synology DS-216JでLet's Encryptの自動更新#4

2018-06-22 18:54:13 | DS-216J
Let's Encryptからメールが届いた


自動更新が失敗したようだ。。。。
Synology DS-216JでLet's Encryptの自動更新#3」以降、http(ポート80)を閉じてLet's Encryptの自動更新がされるか待機していた。

メールで通知されたように、20日程で有効期限が切れる


Let's Encrypt発行の証明書を選択して、メニューの「追加」「証明書を更新」を実行してみる


http(ポート80)が有効でないと更新ができないようだ。


静的NATを設定して


ファイアウォールのフィルタを確認し、再度、「証明書を更新」してみた


証明書の更新に成功


Synology DS-216JでLet's Encryptの証明書を自動更新するためには、http(ポート80)が有効である事が必要。
ポート80がRedirect指定でポート443にアクセス指示されても問題ないようだ。
コメント
 
 
 
 
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

ヤマハ NVR500で「ぷらら」のIPv6 IPoE接続を行う

2018-06-21 11:00:00 | NVR500
Plala IPv6 IPoE接続が開始されていた。。。
「フレッツ光」は、NTT。ISPは、ぷらら。この契約状態は、「ぷらら光メイト」と言うらしい。IPv6 IPoE接続の対象で「マイページ」(表示は、「光セット(ホーム)」)からIPv6 IPoE接続の利用申請を申し込みをしてみた。


「ぷらら」IPv6 IPoE接続構成図


申し込みは、6月17日(日曜日)。IPv6 IPoE接続に2−3日かかる事が書かれていた。日曜日の申請出し、週半ば以降の接続と考えていた。18日の月曜日の夕方、IPv6接続がうまく動作していないようなので「マルチPrefix」でIPv6ソースアドレス選択がうまくいっていないのか確認をしていた。LUA(NgnPrefixSetting.lua)がPrefixの変更を記録していた。経路情報ID=1311(NTT East)から1412(接続事業者)に変化している。
-------------
2018/06/17 21:40:00: [SCHEDULE] lua sd1:/local/NgnPrefixSetting.lua
2018/06/17 21:40:00: [LUA] sd1:/local/NgnPrefixSetting.lua NGN Prefix=2408:210:XXXX:YY10::/60
2018/06/18 01:40:00: [SCHEDULE] lua sd1:/local/NgnPrefixSetting.lua
2018/06/18 01:40:00: [LUA] sd1:/local/NgnPrefixSetting.lua NGN Prefix=2408:210:XXXX:YY10::/60
2018/06/18 05:26:57: [DHCPv6] receive RECONFIGURE
2018/06/18 05:27:00: [DHCPv6] Renumbering start (LAN2)
2018/06/18 05:27:03: LAN1: PORT4 link down
2018/06/18 05:27:03: LAN1: link down
2018/06/18 05:27:03: [ONFS] Network configuration or status changed
2018/06/18 05:27:03: [DHCPv6] Renumbering success (LAN2)
2018/06/18 05:27:06: LAN1: PORT4 link up (1000BASE-T Full Duplex)
2018/06/18 05:27:06: LAN1: link up
2018/06/18 05:27:07: [ONFS] Network configuration or status changed
2018/06/18 05:40:00: [SCHEDULE] lua sd1:/local/NgnPrefixSetting.lua
2018/06/18 05:40:00: [LUA] sd1:/local/NgnPrefixSetting.lua NGN Prefix=2409:10:XXXX:ZZ10::/60 (changed from 2408:210:XXXX:YY10::/60)
2018/06/18 09:40:00: [SCHEDULE] lua sd1:/local/NgnPrefixSetting.lua
2018/06/18 09:40:00: [LUA] sd1:/local/NgnPrefixSetting.lua NGN Prefix=2409:10:XXXX:ZZ10::/60
-------------
申し込み翌日の午前5時半ごろ。DHCPv6のRECONFIGUREが通知されPrefixの更新が行われた。前段にあるひかり電話ルータ(PR-S300SE)のDHCPv6 もRECONFIGUREが通知されPrefixが変更されていた。この時、ひかり電話も切断される。一番利用頻度が低そうな時間帯に変更されていた。おそらく人間の手を介さない「自動変更」なのだろう。

NVR500のIPv6PPPoE接続設定の一部を変更してIPv6 IPoE接続を行なってみた。
・IPv6PPPoE接続の「切断」
・簡単設定「詳細設定と情報」
「基本接続の詳細な設定」プロバイダ設定のIPv6 IPoE「設定」「設定の確定」で再設定。
「コマンド実行」
・dns server select 100100 dhcp lan2 any .
端末機器のIPv6 PrefixをRAされたPrefixに再設定させるため、LAN接続のコネクタを外し、再度接続する。WiFiは、一度切断し、再接続する。

Macbook pro Safari 11.1.1




Windows10 IE11




iPhone6S WiFi(NVR500配下のAirMac Time Capsule)


iPhone6S 4G


開通通知が来た。
申請から変更(自動?)まで約8時間。変更から通知まで約17時間。


ぷららのマイページを確認してみた


NVR500の「ぷららIPv6 IPoE」設定
NVR500の簡単設定でひかり電話とぷららIPv4 PPPoEとIPv6 PPPoEの同時接続設定から不要な設定を排除し、NGN経路情報設定を行うLUAスクリプトは、実行させている。
System configuration


IPv6 configuration


LAN configuration


Provider type configuration


IPv6 filter/IPv6 dynamic filter Configuration


DNS configuration


Schedule configuration


簡単設定画面


ぷららにチャットでIPv6 IPoEについて確認してみた




ぷららのIPv6 IPoEの接続事業者は、「インターネットマルチフィード」「Transix
DS-Lite(Dual Stack Lite) IPv4 over IPv6が使えるようだ。ぷららのIPv4PPPoE接続と切り替えで接続できるようNVR500の設定を検討する予定。

P.S.
調べてみると、「ぷらら」のIPv6 IPoEサービスは、2017年9月頃から始めたようだこのページでは、mfeedでなくOCNだとの事

----- ぷららIPv6 IPoE関連(2019/03/12追記)
ヤマハNVR500で「ぷらら」IPv6 IPoE接続 Transix DS-Lite(2018/06/24)
光ネクストPR-S300SEのIPv6 IPoEにICMPv6フィルタ(2018/06/25)
ひかり電話ルータ(PR-S300SE)のデフォルト・ゲートウェイ設定(2018/06/26)
Synology DS-216JのWebStationを「ぷらら」IPv6 IPoEでアクセス(2018/7/1)
Synology DS-216JのDDNSでIPv6 AAAAレコードを登録する(2018/7/9)
ひかり電話ルータ(PR-S300SE)接続のMacから「ぷらら」IPv6 IPoE DS-Liteを使う(2018/07/17)
「ぷらら」のIPv6ページから「詳細」ページが消えていく。。。(2018/07/21)

「ぷらら」IPv6 IPoEからメールサーバのIPv6対応を確認する(2018/07/22)
Buffalo WZR-HP-G300NHにOpenWrtを入れ「ぷらら」のIPv6 IPoEでTransix DS-Liteを使う(2018/08/19)
ひかり電話ルータ(PR-S300SE)配下のPCからOpenWrt化WZR-HP-G300NHで「ぷらら」IPv6 IPoE Transix DS-Liteを使う(2018/08/21)
Buffalo OpenWrt化WZR-HP-G300NHでIKEv2 VPN over ぷららIPv6 IPoE接続(2019/01/25)
StrongSwan IKEv2 VPN over IPv6 with iOS/macOSX/Win10 (IKE設定)(2019/01/28)
StrongSwan IKEv2 VPN over IPv6 with Win10 (Split DNS設定)(2019/01/29)
StrongSwan IKEv2 VPN over IPv6 with iPhone(OS VPNアプリ設定接続)(2019/02/01)
StrongSwan IKEv2 VPN接続とINTERNAL_DNS_DOMAIN設定(2019/02/02)
フレッツ光NGNのIPv6(IPoE)インターネット接続業者(VNE)とIPv6 Prefix(2018/11/05)
PR-S300SEのIPv6セキュリティフィルタを調整(2019/02/08)
ぷららIPv6 IPoEでNTP同期(2019/3/1)
ぷららIPv6 IPoE環境のMTU確認(2019/03/05)
コメント (2)
 
 
 
 
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

カレンダー

2018年6月
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30

カテゴリー

アクセス状況

アクセスアクセス
訪問者 412 IP DOWN!
トータルトータル
訪問者 887,288 IP 

バックナンバー

  • RSS2.0