はじめに
FLET'S NEXTでは、NTT東日本・西日本の総合通信網であるNGN(以下NGN網)にて追加料金なしでIPv6を使用したデータ通信が可能となる。この機能を利用して、FLET'S NEXTを使用する拠点間をVPN接続する手段を模索する。
拠点間のルーターはYAMAHA RTXシリーズが入手が容易であり、また参考文献が充実しているため、これを使用する。
環境
IPアドレスは仮定とする
拠点1
回線:FLET'S ネクスト インターネットおよびひかり電話にて使用
社内LAN:IPv4 192.168.0.0/18
ルーター:
機器:RTX1200 firmware version 10.01.65
インターネット側ポート:LAN2
インターネット接続方法:PPPoE
IPv4グローバルアドレスの状態:可変アドレスをリース
IPv6グローバルアドレスの状態:NGN網より割り当て
IPv6アドレス:1111:2222:3333:4444:5555:6666:7777:8888
LAN側ポート:LAN1
IPv4アドレスの状態:固定
IPv4アドレス:192.168.1.1
拠点2
回線:FLET'S ネクスト インターネットおよびひかり電話にて使用
社内LAN:IPv4 192.168.64.0/24
ルーター:
機器:RTX810 firmware version 11.01.25
インターネット側ポート:LAN2
インターネット接続方法:PPPoE
IPv4グローバルアドレスの状態:可変アドレスをリース
IPv6グローバルアドレスの状態:9999:aaaa:bbbb:cccc:dddd:eeee:ffff:1111
LAN側ポート:LAN1
IPv4アドレスの状態:固定
IPv4アドレス:192.168.64.1
接続設定
拠点1側
IPv4のルーティングを許可し、拠点2向けの通信をトンネルに向ける
ip routing on
ip route default gateway pp 1
ip route 192.168.64.0/24 gateway tunnel 1
IPv6のルーティングも許可する
ipv6 routing on
トンネル設定として、各エンドポイントを「ipsek ike * address」を使用して設定する。
IPSecの場合、「tunnel endpoint address」コマンドは使用しない。
tunnel select 1
tunnel name [任意のテキスト]
ipsec tunnel 1
ipsec sa policy 1 1 esp aes256-cbc sha256-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 1111:2222:3333:4444:5555:6666:7777:8888
ipsec ike pre-shared-key 1 text [任意のテキスト ※1]
ipsec ike remote address 1 9999:aaaa:bbbb:cccc:dddd:eeee:ffff:1111
ip tunnel remote address 192.168.64.1
ip tunnel tcp mss limit auto
ipv6 tunnel tcp mss limit auto
tunnel enable 1
※1 共有鍵テキストは拠点で合わせること
IPSecにて必要なパケットの通過を許可する。
ip filter 200080 pass * 192.168.1.11 esp * *
ip filter 200081 pass * 192.168.1.11 udp * 500
ip filter 200082 pass * 192.168.1.11 udp * 4500
拠点2側
基本は拠点1と同様の設定となるが、例として設定内容を挙げる。
ip routing on
ip route default gateway pp 1
ip route 192.168.0.0/18 gateway tunnel 1
ipv6 routing on
tunnel select 1
tunnel name [任意のテキスト]
ipsec tunnel 1
ipsec sa policy 1 1 esp aes256-cbc sha256-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 9999:aaaa:bbbb:cccc:dddd:eeee:ffff:1111
ipsec ike pre-shared-key 1 text [任意のテキスト ※1]
ipsec ike remote address 1 1111:2222:3333:4444:5555:6666:7777:8888
ip tunnel remote address 192.168.1.1
ip tunnel tcp mss limit auto
ipv6 tunnel tcp mss limit auto
tunnel enable 1
ip filter 200080 pass * 192.168.64.1 esp * *
ip filter 200081 pass * 192.168.64.1 udp * 500
ip filter 200082 pass * 192.168.64.1 udp * 4500
まとめ
この設定で拠点間の通信がIPv4にて行うことができる。が、あくまで私の実験結果によるものであるため、不要な設定がある恐れがある。よりブラッシュアップと検証を行う必要があるだろう。