法人のネット回線をIPv6化

IPv6の基本仕様が決まったのが1995年。あのWindows95が発売された年と同じです。ちょっと驚きますね。未だに一般的に広まったとは言えない状況がとても残念です。やらなければいけない事だと分かっていても、個々にメリットがないのが進まない理由なのでしょう。

ところが「たなぼた」ではありませんが近年フレッツ網がPPPoEの輻輳によって速度低下を招くという事態を発生し、IPoEへの切り替え(IPv6での接続)をすることによって混雑を回避できるというユーザー側のメリット？が生まれたようです。IPv6への移行の相談が増えています。

個人的には大手検索サイトさんがIPv6対応サイトを検索上位に表示させるような方向性を見せれば、とっくにIPv6の世界になっていた気もしますが素人考えでしょうか。検索サイト側にメリットがないか。

雑談が長すぎました。今回の依頼はオフィス移転に合わせてインターネットを高速化するという案件のお手伝いです。YAMAHAのルーターでIPv6系の設定は初めてだったので記事にしておきます。

ヒアリングの内容

• ひかり電話オフィスと光回線を共有
• プロバイダは特定のところを希望
• NTTの光回線は移転としてオーダー
• LAN側に設置するUTMがIPv6非対応
• カメラ用にポート開放依頼
• リモートアクセスも希望

機器構成

• NTTフレッツ光ネクスト＋ひかり電話オフィス
• OKI CrosCore
• OKI IPHO-02A
• YMAHA RTX1210
• SAXA SS7000

この構成は依頼を受けた時点で決まっていました。

おおまかな設計

• ひかり電話契約があるのでPBXはDHCPv6-PDでプレフィックス/56をもらう
• PBXはRTX1210へDHCPv6-PDでプレフィックスを払い出しRAは無し
• RTX1210のWAN側は上位PBXからDHCPv6-PDでプレフィックス/60をもらう
• RTX1210のLAN側はプレフィックス:x:x:x:x/64とIPv4アドレスを設定
• PBXへのIPv4接続が必要なのでWAN側にもIPv4プライベートアドレスを設定
• LAN側のUTMがIPv6非対応なのでRAを止めてIPv4のみで運用
• 希望のプロバイダを調べるとIPv4overIPv6はDS-Lite(transix)方式
• 念のためDS-Lite経路にもパケットフィルタを充てる
• ポート開放があるのでPPPoEv4のセッションも同時に張る
• IPv4宛ての方路が２つあるのでフィルタで方向を決める
• リモートアクセスは念のためv4宛てとv6宛てで接続できるようにしておく

依頼があった時点ではエンドユーザーに希望のプロバイダがあると知らず、PBXメーカーがAsahiNetとRTX1210で接続検証が済んでいると資料にあったので、弊社もAsahiNetのプロバイダ契約とDS-Liteを追加しIPoE切り替えを実施。契約を急がないと検証が間に合わないと思い慌てたのが運の尽きでした。

AsahiNetにはIPv4overIPv6のプランが2種類存在しDS-LiteとIPIP接続があるようでPBXメーカーはIPIP接続しか検証していないとのこと。さらにAsahiNetのDS-LiteはV6コネクトなのでRTX1210は非対応と。私としたことが期限が迫っているとは言え調査不足でした。

ここでエンドユーザーに希望のプロバイダがあると知ります。さすがに今から弊社のプロバイダを切り替えるのは間に合わないのでこのまま社内検証をすることに。PBXが間に嚙んでいようとRTX1210がDHCPv6-PDで委任された時点でプロバイダとルーターとの問題と判断することにします。

検証は可能な限り実運用と同じ環境でしたいのですが、今回はPBX配下にDS-LiteとPPPoEを張るという技術的な環境の一致ということで我慢します。AsahiNetのDS-LiteにRTX1210が非対応という点はAFTRを自分で調べて接続検証します。希望プロバイダのIPv4overIPv6がDS-Liteのtransixだったのは助かりました(RTX1210が検証済みという点で)。

検証結果

設定をひと通り終えて連続運用試験を導入日まで実施。PBXは2時間置きに[WAN側DHCP取得成功]のログを吐いているだけで異常は見られません。PBX配下のIP多機能電話機も発着信ともに問題なく、音声パケットも受話送話とも問題なく流れています。

インターネットへの接続はDS-Lite方向もPPPoE方向も問題なく接続できています。試しに既存のPPPoEも同時に接続させてみるとそちらも問題なく接続できてしまいました。たしか２セッションがデフォルトの上限だったと思うのですがIPoE接続はセッション数に数えられていないのでしょうか。脱線ですね、またゆっくり調べてみます。

肝心のスピードテストはGoogleで実行しました。結果PPPoE側のダウンロードが50Mbps前後でDS-Lite側は400Mbps前後でした。

悩んだのがIPv6アドレス宛のリモートアクセス。L2TP/IPsecで設定しPPPoEv4とIPv6それぞれのDDNSも問題なく登録できました。リモートアクセスも接続は問題なし。ただIPv6宛ての受信側のフィルタをどう書くべきかで少し悩みました。IPv6で払い出されるプレフィックスが絶対に変わらないとは言えず、かと言って送信先を全部許容するのも気持ち悪い。

結果的にこうしてみました。

ipv6 lan1 address dhcp-prefix@lan2::1/64　と設定した場合

ipv6 filter 101900 pass * dhcp-prefix@lan2::1 udp * 500
ipv6 filter 101901 pass * dhcp-prefix@lan2::1 udp * 4500
ipv6 filter 101902 pass * dhcp-prefix@lan2::1 esp
ipv6 filter 101903 pass * dhcp-prefix@lan2::1 udp * 1701

ipv6 lan2 secure filter in ・・・・ 101900 101901 101902 101903

試しに入力したら設定を受け入れてくれました。まあLAN側はIPv4での運用ですしUTMまで噛んでいるのでそこまで神経質にならなくても良かった気はしますが、使いまわせる書き方としてはありかもです。YAMAHAに確認したわけではないので参考にする場合は自己責任で。

ちなみにインターフェースに設定したアドレス以外を dhcp-prefix@lan2:x:x:x:x と記述するとエラーで弾かれました。変数として扱っているわけではなさそうです。

あと新たに発見がありました。わたしが無知なだけかもしれませんがDS-Liteの内側からPPTPでの接続ができませんでした。L2TPは内側からでも接続できています。今どきPPTPも無いだろうと思われますが、リモートアクセスの設定を決まってPPTPで設定するエンジニアもいます。PPTP接続の必要性がある場合は気を付けたいところです。

いざ導入です。PPPoEの認証情報と接続先のAFTRを変更するだけなので大丈夫だと願いつつ。なにかトラブルがあったら続きを書きます。本日はここまで。

transix

さっそく追記することに。

光回線を移転し同時にDS-Liteの開通をお願いしていたのですが、プロバイダから連絡があり信号を確認してからでないと開通できないとの返答があったようです。最終的に土日を挟んで5日後に開通の連絡をもらいました。

RTX1210側でIPoEとDS-Lite開通までの間LAN側からの通信をPPPoE側に通す対応を取ります。開通したらtransixへのトンネルを有効にしルーティングを元に戻すだけと踏んでいました。ところが有効にしてステータスを確認するも未接続のまま。どうやら[gw.transix.jp]の名前解決ができていない様子。transixのIPアドレス宛てにはpingも返ってくるので開通はしています。

結論としては端末用にパブリックDNSだけを設定した単純なコンフィグだったのが原因でした。検証時はAFTRのIPアドレス宛てで設定していたので接続できてしまったようです。AFTRのIPアドレスが変わるという前提で名前による接続ができるように変更します。

ルーターが[gw.transix.jp]の名前解決をできればいいのでこうしてみました。

dns server select 500000 dhcp lan2 any .transix.jp
dns server select 500001 [PublicDNS1] [PublicDNS2] any .

何度もプロバイダのDNS落ちを経験しているのでついついパブリックを設定してしまいます。

ネットワーク寄りの記事だったのでPBX側の内容はまた別の記事として書こうと思います。