V6プラス固定IPでVPN
https://www.jpne.co.jp/service/v6plus-static/ こちらのサービスを利用してRTX1210のIPIPトンネルでVPNをしようとしてもネゴシエーションの途中で切断してしまうのでYAMAHAのサポートに連絡をして色々教えてもらいましたが、最終的には精査したところ仕様上できないことが判明しましたと返答がありました。
幸い手元にNVR500があったのでNVR500でIPIPトンネル処理をしてRTX1210でVPNサーバーとして動かせるか聞いたところ技術的には可能だと思いますが、検証はしておりませんとのことで自己責任でやってみました。
尚、HGW(PR-500KI)とひかり電話も共存させております。
あとHGWのWi-Fiも契約して同じIPv4サブネットに収容しております。
機能的には何も欠落してないけど繋がってるものが無駄に増えた気がします。
※filter等は記載しておりませんので必要な設定を追記ください。
突然ですがWAN(LAN2,LAN3)は使いません
RTX1210もNVR500もLAN1とHGWのLANポートに接続してIPv6の処理は全てHGW任せにします。
IPv4 DHCPサーバーはお好きなものから配布していただければと思います、私はRTX1210のLANマップを使いたかったのでHGWとNVR500のIPv4は固定でDHCPサーバーは無効にしておきました。
ここでは下記を例として
HGWを192.168.11.252/24
RTX1210を192.168.11.1/24 IPv4 DHCPサーバー
NVR500を192.168.11.254/24
として記載します。
RTX1210のconfig
ip route default gateway 192.168.11.254 filter (必須192.168.11.1のL2TP/IPsecはここを使うこと) gateway 192.168.11.252
ipv6 route default gateway dhcp lan1
ngn type lan1 ntt
ipv6 prefix 3 ra-prefix@lan1:3::/64
pp select anonymous
pp bind tunnel1
pp auth request chap-pap
pp auth username (name) (pass)
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
(例:ip pp remote address pool 192.168.11.193-192.168.11.220)
ip pp mtu 1258
ppp ipv6cp use on
ipv6 pp address ra-prefix@lan1:3::1/64
ipv6 pp rtadv send 3 o_flag=on
ipv6 pp dhcp service server
ipv6 pp tcp mss limit auto
pp enable anonymous
tunnel select 1
tunnel encapsulation l2tp
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac
ipsec ike keepalive use 1 off
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text (認証鍵)
ipsec ike remote address 1 any
l2tp tunnel disconnect time off
l2tp syslog on
ip tunnel tcp mss limit auto
tunnel enable 1
ipsec auto refresh on
ipsec transport 1 1 udp 1701
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 (例:192.168.11.2-192.168.11.192/24) gateway 192.168.11.252
dhcp scope 2 (例:192.168.11.221-192.168.11.254/24) gateway 192.168.11.254
dns service off
dns server (HGWに書かれているIPv6 DNSサーバー) 192.168.11.252
l2tp service on
NVR500のconfig
ip route default gateway tunnel 1
ipv6 route default gateway dhcp lan1
ip lan1 address 192.168.11.254/24
ipv6 lan1 address ra-prefix@lan1::(通知のされたインターフェースID)/64
ipv6 lan1 dhcp service client
ngn type lan1 ntt
tunnel select 1 #任意
tunnel encapsulation ipip
tunnel endpoint address (通知されたBRアドレス)
ip tunnel nat descriptor 1 #任意
ip tunnel tcp mss limit auto
tunnel enable 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 (通知された固定IPv4アドレス)
nat descriptor masquerade incoming 1 (reject や forward 192.168.11.1 等任意)
nat descriptor masquerade static 1 1 192.168.11.1 udp 500
nat descriptor masquerade static 1 2 192.168.11.1 esp
nat descriptor masquerade static 1 3 192.168.11.1 udp 4500
nat descriptor masquerade static 1 4 192.168.11.1 udp 1701
※LAN2ではなくLAN1でIPIPトンネルを掘っている
この方法を使えば一つのIPv4サブネットでLANが構築出来て、ひかり電話や内線も普通に使えます。
さらに通常のV6プラスをHGWが処理しているのでゲートウェイを変えるだけで負荷分散も可能になります。
我が家では無事、スマートフォン等からL2TP/IPsecのVPNが使えるようになりました。
あとは、RTX1210のフィルター型ルーティングでゲートウェイを変えたりしても正常に動作しますので色々出来ました。
※L2TP/IPsecでIPv6を配布する方法を試行錯誤してます。