こちら「MAP-EでのIPsec接続」を拝見し、
ヤマハの RTX830 でなんとかできないもんかと。
条件などは同じで、
・IPoE + MAP-E な IPv4 over IPv6 な環境
・PPPoE のセッションが何等かの理由によって張れない場合
・IPsec はイニシエータ側
結果としては、ヤマハの RTX830 でも問題なくできた。
上記サイトにもあるように、重要なのは、
・NAT トラバーサルを両端で使用する。(Type は 1 でも 2 でも可)
・ipsec ike local id で IP アドレスを使用しない。
上記二点でした。
未検証ながら、DS-Lite の IPIP トンネルでも動きそう。
今から ISP の契約を DS-Lite に変えるのも面倒なので、どなたか人柱願いたい。
DS-Lite でできたら、RTX810/1200 とかの古いのとか、
L2TP/IPsec なら NVR500 とか NVR510 あたりも、
もうしばらくは延命イケるか。
検証環境のレスポンダ側の都合で、IKEv2 ではなく IKEv1。
IKEv2 の場合でも、上記原則に則る事で、接続できるのではないか。
検証環境ができたら試してみたい。
以下、設定からトンネルと NAT 部分の抜粋。
tunnel select 1
tunnel encapsulation map-e
ip tunnel nat descriptor 1
tunnel enable 1
tunnel select 2
tunnel name ipsec01
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.50.1
ipsec ike local name 1 ipsec01 key-id
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text PASSKEY
ipsec ike remote address 1 xxx.xxx.xxx.xxx
ip tunnel tcp mss limit auto
tunnel enable 2
nat descriptor type 1 masquerade
nat descriptor address outer 1 map-e
ipsec auto refresh on
もちろんメーカーが推奨する方法ではないと思うので、
自己責任&ご利用は計画的に。。。