愚者の経験

「また今度」はほとんどこない

[Network][YAMAHA][Router]v6オプションでVPNを組む

東西フレッツで「v6オプション」というものがあります。これを使うと「網内折り返し」が利用できるようになります。
無料で拠点間VPNしようというケチくさい考えで勉強がてらルーターを触ってみます。

まずオークションで「RTX1500」を購入(\6,000円也)
…これでルーター3台目…IX2025×2とこれ。

参考URL:http://orangesooda.com/no/2013/09/ipv4-over-ipv6-ipsec-vpnyamahartx.html

上記のURLを参考に拠点間をつなげ、インターネットを拠点1のみ契約し
拠点2は拠点1を経由してインターネットをするようにします。
拠点1:RTX1500、ISP契約あり
拠点2:RTX810、ISP契約なし

最終的に設定が完了し、ほとんど無料で拠点間接続できたのですが
速度に若干不満があります。ウチ環境だと5mbpsが限界でした。
暗号化の方法とか変えれば速度出るんでしょうか?

拠点1設定

#インターネット出口
ip route default gateway pp 1
#拠点2の範囲をVPNトンネルへルーティングする
ip route 192.168.1.0/24 gateway tunnel 1
#ipv6関連設定(光電話ありでもこれでOKでした)
ipv6 prefix 1 ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1 o_flag=on
ipv6 lan1 dhcp service server
ipv6 lan1 address ra-prefix@lan2::1/64
ipv6 lan2 dhcp service client ir=on
#拠点1ルーター(RTX1500)のプライベートアドレス
ip lan1 address 192.168.0.1/24
#pp1(ISP設定)
pp select 1
 pp always-on on
 pppoe use lan2
 pppoe auto disconnect off
 pp auth accept pap chap
 pp auth myname <ISPユーザー名> <ISPパスワード>
 ppp lcp mru on 1454
 ppp ipcp ipaddress on
 ppp ipcp msext on
 ip pp mtu 1454
 ip pp nat descriptor 1
 pp enable 1
#VPN(ルーターtoルーターipsecトンネル)
tunnel select 1
 ipsec tunnel 1
  ipsec sa policy 1 1 esp aes-cbc sha-hmac
  ipsec ike keepalive log 1 off
  ipsec ike pre-shared-key 1 text <VPNパスワード>
  ipsec ike remote address 1 <対向ルーター(RTX810)のLAN1にあたっているIPv6アドレス>
 ip tunnel tcp mss limit auto
 tunnel enable 1
#NAT,NAPT設定(pp1が使用する)
nat descriptor type 1 masquerade
nat descriptor timer 1 300
nat descriptor timer 1 protocol=tcp port=22 3600
nat descriptor timer 1 protocol=tcp port=telnet 3600
nat descriptor timer 1 protocol=tcp port=imap2 3600
nat descriptor timer 1 protocol=tcp port=https 1800
nat descriptor timer 1 protocol=tcp port=993 3600
nat descriptor address outer 1 ipcp
nat descriptor address inner 1 auto
nat descriptor masquerade incoming 1 reject
nat descriptor masquerade rlogin 1 on
nat descriptor masquerade static 1 1 192.168.0.1 udp 500
nat descriptor masquerade static 1 2 192.168.0.1 esp
nat descriptor masquerade static 1 3 192.168.0.1 gre
nat descriptor masquerade static 1 4 192.168.0.1 tcp 1723
nat descriptor masquerade session limit 1 1 500
#ipsecリフレッシュ
ipsec auto refresh on
#dhcp設定
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.0.101-192.168.0.200/24
#dnsサーバ
dns server 8.8.8.8 8.8.4.4
dns server dhcp lan2
dns private address spoof on
schedule at 1 */* 01:35 * ntpdate ntp.jst.mfeed.ad.jp
httpd service on
upnp use on

拠点2設定

#インターネット出口を対向ルーター(RTX1500)に設定
ip route default gateway 192.168.0.1
#拠点1の範囲をVPNトンネルへルーティングする
ip route 192.168.0.0/24 gateway tunnel 1
ipv6 prefix 1 ra-prefix@lan2::/64
ip lan1 address 192.168.1.1/24
ipv6 lan1 address ra-prefix@lan2::1/64
ipv6 lan1 rtadv send 1 o_flag=on
ipv6 lan1 dhcp service server
ipv6 lan2 dhcp service client ir=on
tunnel select 1
 ipsec tunnel 1
  ipsec sa policy 1 1 esp aes-cbc sha-hmac
  ipsec ike keepalive log 1 off
  ipsec ike pre-shared-key 1 text <VPNパスワード>
  ipsec ike remote address 1 <対向ルーター(RTX1500)のipv6アドレス>
 ip tunnel tcp mss limit auto
 tunnel enable 1
ipsec auto refresh on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.1.200-192.168.1.240/24
dns server 192.168.0.1
dns server dhcp lan2
dns private address spoof on
schedule at 1 */* 01:35 * ntpdate ntp.jst.mfeed.ad.jp
httpd service on
upnp use on

v6オプションの「ネーム機能」を利用したかったのですが登録してもなぜか
トンネルが接続できなかったので現在は断念しています。
また「ネーム機能」は「v6アドレス」と「ネーム」を両方登録する仕様のため現状では

1.フレッツ側が半固定アドレス変更

2.トンネル切断

3.つながらないことに気づきv6アドレスを調べて設定変更

この流れは変えられません。設定変更の方法が
・ネームに紐つくv6アドレスを変更する
・ルーターの設定を変更する
のどちらかというだけです。

広告

[Network][YAMAHA][Router]v6オプションでVPNを組む」への4件のフィードバック

  1. ix2000 12月 8, 2014 4:46 pm

    NTT西日本のホームページには「なお、弊社都合によりIPv6アドレスが変更になった場合、ネームの設定変更は必要ありません。」と書いてありますのでネームで登録しておくとIPv6アドレスが変わったとしても設定を変更しなくてもよいかもしれません。
    速度についてはひかり電話を契約されているとのことですがHGWかビジネスフォンの装置がはいっていますでしょうか?現状、特定の機種のHGWを除いてひかり電話がある環境でIPSecのVPNを構築すると速度が劇的に低下してしまうようです・・・。(自分調べですが!)

    なんとか回避方法を探っているのですがなかなか・・・

    • rsskkr 12月 9, 2014 9:46 pm

      ix2000様、はじめまして。
      ブログにコメントいただきありがとうございます。
      ひかり電話は入っていますが普通の家庭なのでもちろんPBXの類は入っていません…
      ルーターはRTX1500とPR-400NEだけですのでHGWも入っていません。
      ix2000様の速度低下要件には完璧に引っかかっていますね(笑)
      ちなみにRTX1500をRTX1200に変更すると若干の速度改善が見られました。それでも20mbpsでしたが。
      ネームは設定変更は必要なくなってるといいですね~、それなら最初からヤマハのネットボランチみたいにネームだけ取得する方法にしてもらったほうがわかりやすいなぁとか思ったり(笑)

      • 通りすがりのおじさん 1月 16, 2015 10:34 pm

        通りすがりですこんにちは、速度の件ですが、
        ビジネスフォン下にNECのIXルータ入れた場合にも同じく速度が出ませんでした。
        この件で1年ぐらい前からずっと悩んでたのですが(笑)、試しにBIGLOBEのv6プラスを申し込んで
        配布されたプレフィックスを使うとVPNで納得の速度が出るようになりました。
        IPoEを提供しているプロバイダを一度試されてはどうですか?

        ちなみにNTT払い出しのプレフィックスで、
        オフィスAのOGはVPN速度×、オフィスタイプのVGはVPN速度○でした。
        この内容が正しいのかは分かりませんが、参考ということで。

      • rsskkr 1月 18, 2015 11:54 pm

        通りすがりのおじさん様
        はじめまして、rsskkrです。コメントいただきありがとうございます。
        IPoEですか~プロバイダがぷららなので時間があったら試して見たい…のですが
        自宅と会社でやってるので自宅はできますが会社はきつそうです。できるタイミングがあったらやってみます笑

        オフィスAのOG、オフィスタイプのVGというのはVoIPルーター、VoIPアダプタのことを指してらっしゃると
        いう理解でよろしいですか?とりあえず情報感謝します。参考にさせて頂きます。

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト /  変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト /  変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト /  変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト /  変更 )

%s と連携中

%d人のブロガーが「いいね」をつけました。