はじめに
ここ 1 年くらいで固定 IP の PPPoE 接続を任せているルーター ASUS RT-AX3000 が認証エラーとかいって接続が切れる現象を見かける様になって来た。とはいえ 2~3 回程度だが見過ごせない感じ。
PPPoE で認証どうの言われるならちょっと前から ASAHI ネットの固定 IP サービスでサポートが開始された IPIP 方式に切り替えればいいんでないかなって。
これは IPv4 over IPv6 で割り当てられる IPv4 アドレスが固定 IP になるような感じなので、サーバー運用はそのまま問題無く行けるし安定性も上がるはず。
ちょうど対応ルーターの NEC UNIVERGE IX2106 を使っていると言うこともあり、ちょっと本腰を入れて移行計画を開始した。
下調べ
IX2106 で IPIP 方式で固定 IP を割り当てて貰うにはそれなりの設定が必要。
じゃぁどうやんのって調べたら、NEC にそのまんま設定テンプレみたいのが載っていたので一安心。
大元の接続自体は上記リンクに書かれている物をベースとして、どんどんカスタムしていく感じで良さげ。
あと IPv4 と言えば NAT や NAPT。
このあたりもポートフォワーディングのサンプルをひたすらググったり、コマンドリファレンスマニュアルをじっくり眺めてみたりでコマンドを羅列していく感じだ。
ひたすらググっていく過程で、proxy-dns 機能やらなにやら便利そうな機能を見つけたので組み込んでみたりと、意外と他の収穫もあったり。
IPIP の設定
NEC のテンプレみたいのをサクッとコピペだけしておいた。
大文字のやつはプレースホルダー。
ddns enable
!
ddns profile transix-update
url UPDATE-SERVER-URL
query username=USERNAME&password=PASSWORD
transport ipv6
source-interface GigaEthernet1.0
!
interface Tunnel0.0
tunnel mode 4-over-6
tunnel destination TUNNEL-PEER-ADDRESS
tunnel source GigaEthernet1.0
ip address IP-ADDRESS/32
ip tcp adjust-mss auto
ip napt enable
no shutdown
!proxy-dns
これは今回の IPIP 方式でどうのって物に直接的な関係はないけど、クライアント側から DNS サーバーアドレスを IX2106 にしてやるだけで名前解決を肩代わりして貰う為のもの。
んでもって IX2106 は設定された DNS サーバーにクエリーを投げて応答をクライアントに返してくれる。
DHCP や RA で DNS サーバーの情報を頒布すればどうでも良いような事なんだけど、なんとなく―― で設定。
proxy-dns ip enable
proxy-dns ip request both
proxy-dns ip query-interval 1
proxy-dns interface GigaEthernet0.0 ignore
proxy-dns interface Tunnel0.0 ignore
proxy-dns server 192.168.1.56 priority 200
proxy-dns server 192.168.1.7 priority 200
proxy-dns ipv6 enable
proxy-dns ipv6 request both
proxy-dns ipv6 query-interval 1
proxy-dns server fe80::20c:29ff:fe29:9b35 priority 200
proxy-dns server fe80::ba27:ebff:fe25:3105 priority 200
!
proxy-dns server で指定しているアドレスは LAN 内のみアクセス可能なアドレスなので伏せずにそのまま載せた。
自前で DNS サーバーを用意しており、ISP などの外部サーバーは使わないので、WAN から拾ってきた DNS サーバーアドレスは ignore するという設定をしている。
ひかり電話の有無に関わらない自動設定
ひかり電話の契約があると IPv6 アドレスは DHCPv6-PD で通知され /56 の範囲で割り当てられた後、更に /64 の範囲でクライアントに割り振る。
ひかり電話の契約が無い、若しくはひかり電話有りでも HGW 配下なら RA で /64 の範囲で割り当てられる。
要はひかり電話の有無によって IPv6 アドレスの割り当て方式がことなる為、設定ファイルを書き換えないといけない。
近い将来、HGW を使わず ONU 直結を目論んでいる為、この自動設定はありがたいなという事で組み込んでみた。
ipv6 dhcp client-profile dhcpv6-cl
option-request dns-servers
ia-pd subscriber GigaEthernet1.0 ::/64 eui-64
!
interface GigaEthernet0.0
no ip address
ipv6 enable
ipv6 autoselect enable
ipv6 autoselect ra-delay 0
ipv6 interface-identifier IF-ID
ipv6 dhcp client dhcpv6-cl
ipv6 nd proxy GigaEthernet1.0
ipv6 filter dhcpv6-list 10 in
ipv6 filter icmpv6-list 20 in
ipv6 filter web-list 30 in
ipv6 filter block-list 100 in
ipv6 filter dhcpv6-list 10 out
ipv6 filter icmpv6-list 20 out
ipv6 filter dflt-list 100 out
no shutdown
! ハイライトした部分がそれ。
ipv6 autoselect コマンドとか初めて知った。
この情報に関しても NEC のページにあったんで動作を期待したいところ。
v6 プラスに関するページだけど、設定内容としては関係ない部分なので大丈夫であろうと思われる。
NAPT と filter 設定
IPv4 アドレス 1 つで各種サービスを展開するなら NAPT が必須。
加えて不要なパケットは破棄するようなセキュリティ面も考慮してやる必要があるので filter を書いた。
LAN 内のサーバー IP アドレスとか知られても問題内部分なのでこれもまたそのままペタリ。
ip access-list permit-list4 permit ip src any dest any
ip access-list block-list4 deny ip src any dest any
ip access-list serv permit udp src any sport any dest 192.168.1.56/32 dport eq 53
ip access-list serv permit tcp src any sport any dest 192.168.1.56/32 dport eq 53
ip access-list serv permit udp src any sport any dest 192.168.1.56/32 dport eq 123
ip access-list serv-mail permit tcp src any sport any dest 192.168.1.56/32 dport eq 25
ip access-list serv-mail permit tcp src any sport any dest 192.168.1.56/32 dport eq 110
ip access-list serv-mail permit tcp src any sport any dest 192.168.1.56/32 dport eq 143
ip access-list serv-mail permit tcp src any sport any dest 192.168.1.56/32 dport eq 587
ip access-list serv-mail permit tcp src any sport any dest 192.168.1.56/32 dport eq 993
ip access-list serv-mail permit tcp src any sport any dest 192.168.1.56/32 dport eq 995
ip access-list serv-web permit tcp src any sport any dest 192.168.1.56/32 dport eq 80
ip access-list serv-web permit udp src any sport any dest 192.168.1.56/32 dport eq 443
ip access-list serv-web permit tcp src any sport any dest 192.168.1.56/32 dport eq 443
ip access-list serv-vpn permit udp src any sport any dest 192.168.1.56/32 dport eq 1194
ip access-list dynamic cache 65535
ip access-list dynamic dflt-list4 access permit-list4
!
interface Tunnel0.0
tunnel mode 4-over-6
tunnel destination TUNNEL-PEER-ADDRESS
tunnel source GigaEthernet1.0
ip address IP-ADDRESS/32
ip tcp adjust-mss auto
ip napt enable
ip napt service dns-udp 192.168.1.56 53 udp 53
ip napt service dns-tcp 192.168.1.56 53 tcp 53
ip napt service ntp 192.168.1.56 123 udp 123
ip napt service smtp 192.168.1.56 25 tcp 25
ip napt service http 192.168.1.56 80 tcp 80
ip napt service pop3 192.168.1.56 110 tcp 110
ip napt service imap 192.168.1.56 143 tcp 143
ip napt service https 192.168.1.56 443 tcp 443
ip napt service https3 192.168.1.56 443 udp 443
ip napt service submission 192.168.1.56 587 tcp 587
ip napt service imaps 192.168.1.56 993 tcp 993
ip napt service pop3s 192.168.1.56 995 tcp 995
ip napt service vpn 192.168.1.56 1194 udp 1194
ip filter serv 10 in
ip filter serv-mail 20 in
ip filter serv-web 30 in
ip filter serv-vpn 40 in
ip filter block-list4 100 in
ip filter dflt-list4 100 out
no shutdown
!
動作に必要な分、最低限のポート開放をする。
ip access-list に記述のないポートへの着信は全て破棄させる事で、一応のセキュリティとしている。
必要なポートへの着信は ip napt service コマンドでサーバーに向けてやる動作。
ここまでやることの利点
2026/05/17 現在稼働中の筆者宅ネットワークには gateway が 2 つある。
PPPoE 接続の固定 IPv4 用と IPoE/DS-Lite 用の 2 つ。
Windows マシンやスマートフォンは IPoE/DS-Lite 用の gateway を使い、サーバー系は固定 IPv4 用の gateway を使うとかそういう使い分け。
故にネットワークが複雑化してしまい、トラブルシュートが面倒臭いしメンテもややこしくなる。
それも今回の計画で上手いこと PPPoE 接続方式を破棄できれば IPoE/IPIP の gateway に 1 本化出来るので、ネットワークが非常に簡素化されて使い勝手も良くなる。
計画が上手く行ったときビフォーアフターな構成図がこちら。
左側が現環境、右側が環境移行後の予定図。
上手く行けば一般的な家庭のネットワークになる事ができると。
移行作業は 2026/05/18 以降に
週末は家族全員がインターネットに浸っているので、ネットワークを弄ることが不可能。
月曜日以降、自分一人になる時間があればアサヒネットのページから固定 IP アドレスの接続方式を IPIP に切り替えつつ、IP53B 解除申請をだす流れ。
この IP53B というのは ISP 側でユーザーへの 53/UDP を閉じてしまってセキュリティを確保しようという物なので、自前で DNS サーバーを表にも向けている人には解除申請してポートを開けて貰わなければならない。
解除申請が通って実際に開通するまでのタイムラグがどの程度かわからないので、一定時間このブログへのアクセスも出来ない状態になる可能性も大。その際には何卒ご容赦を。
おわりに
ということで、久々のネットワーク弄りになる感じで下準備も楽しいものだった。
まだまだ分からないことも多いもんだから、日々勉強である。
コメント