はじめに
予てより準備していた ASAHI ネットの固定 IPv4 接続方式を既存の PPPoE から IPIP (IPv4 over IPv6) に変更が完了。
各種移行設定及び動作確認も完了した。
設定上、ハマったところ
前回の記事にルーターである IX2106 の設定を書いてみたが、それを投入してすんなり OK とは行かなかった。
具体的には IPIP トンネル掘りは正常、IPv4 アドレスも割り当てられているが、パケットが一向に受信されないという事があった。
原因はもちろん設定ミスな訳だけど、ちょっとこれ見落としそうだなと思ったので書き残してみる。
パケットが受信できない
設定ミスの原因は “インターフェイス ID” の記述ミス。
ISP から案内されたインターフェイス ID は “0000:0000:0000:0000:0000:89AB:CDEF:0000” のような感じの 128bit 表記。
しかし、IX2106 の ipv6 interface-identifier コマンドに与える引数はそこから下位 64bit を切り取って 8bit で区切った物になる。
当初は次のようにコピペで済ませていたが、これは大きな間違い。
ipv6 interface-identifier 0000:0000:0000:0000:0000:89AB:CDEF:0000正解はこれ。
ipv6 interface-identifier 00:00:89:AB:CD:EF:00正しく設定したらパケット送受信も問題無く、インターネットアクセス出来るようになった。
DDNS プロファイルの記述ミスも
ddns profile コマンドで与える情報に query があるんだけど、この文字列が契約している ISP によって変わってくるのも当然有りということで、違う query を書いていたから間違えていたという事になる。
正しいものがこちら。
!
ddns profile d-dns-update
url アップデートサーバーURL
query key=認証用ユーザーID&pass=認証用パスワード
transport ipv6
source-interface GigaEthernet1.0
!不要な DNS 広告の除外
ひかり電話有りの契約で ONU 直に IX2106 を繋ぐと、DHCPv6-PD による IPv6 アドレスの割り当てや DNS 広告が行われる。
これ自体は PD/RA 自動判別設定を組み込んだので問題無くアドレスの割り当ては行われたが、DNS サーバーは自前で運用しているものを使いたい。広告される DNS サーバーアドレスの情報を適用されてしまうと、そちらが優先されがちになって思うような動作をしてくれない。
だから広告された DNS を使わないようにするにはどうしたら―― とちょっと考えてしまった。
これに関しては
!
ipv6 dhcp client-profile dhcpv6-cl
no option-request dns-servers
ia-pd subscriber GigaEthernet1.0 ::/64 eui-64
! という感じに DNS サーバーアドレスのリクエストを意図して行わない事で解決出来た。
しかし、今度は IX2106 自体が名前解決を出来なくなるので、以下の 1 行をグローバル設定に追記した。
IX2106 に使わせる DNS は自前の DNS サーバーに割り当てられた LLA を割り当てた。
ipv6 name-server fe80::20c:29ff:fe29:9b35%GigaEthernet1.0新しい構成図
今回、IPIP 方式への移行が完了したことで、別途 PPPoE 用のルーターとして ASUS RT-AX3000 があったが、そちらは以降 AP モード利用となった。
既に AP モードで動いていた Aterm WG2600HP3 はお役御免となり撤去。
IX2106 が ONU 直の接続となったことと、RT-AX3000 が HGW から離れたことで 5port L2 スイッチが撤去可能になった。
より簡素なネットワーク構成にすることが出来た。
IX2106 1 台で IPv4 固定 IP も IPv6 アドレス周りも処理出来て本当に楽。
おわりに
2026/05/19 あたりから断続的にこのブログへのアクセスも止まっていたわけだけど、現状、殆どは回復したと思われるログの流れ方だったもんで一安心。
久しぶりにネットワーク周りを弄り倒していたけどなかなかに楽しめた。
Appendix
一部を伏せたり削ったりした筆者宅の IX2106 設定をペタリ。
何かの参考になれば幸い。
! NEC Portable Internetwork Core Operating System Software
! IX Series IX2106 (magellan-sec) Software, Version 10.9.26, RELEASE SOFTWARE
! Compiled Aug 22-Fri-2025 15:23:55 JST #2
! Last updated Dec 03-Wed-2025 13:37:18 JST
!
!
!
hostname IX2106
timezone +09 00
!
logging buffered 131072
logging subsystem all warn
logging timestamp datetime
!
username admin password hash XXXXXXXX administrator
!
!
ip ufs-cache max-entries 20000
ip ufs-cache enable
ip route default Tunnel0.0
ip access-list web-http-acl permit ip src any dest 192.168.1.1/32
ip access-list permit-list4 permit ip src any dest any
ip access-list block-list4 deny ip src any dest any
! 開放ポート以外へのパケットは明示的に遮断する運用
ip access-list serv permit udp src any sport any dest 192.168.1.56/32 dport eq 53
ip access-list serv permit tcp src any sport any dest 192.168.1.56/32 dport eq 53
ip access-list serv-web permit tcp src any sport any dest 192.168.1.56/32 dport eq 80
ip access-list serv-web permit udp src any sport any dest 192.168.1.56/32 dport eq 443
ip access-list serv-web permit tcp src any sport any dest 192.168.1.56/32 dport eq 443
ip access-list dynamic cache 65535
ip access-list dynamic dflt-list4 access permit-list4
!
!
ipv6 ufs-cache max-entries 10000
ipv6 ufs-cache enable
ipv6 dhcp enable
ipv6 access-list block-list deny ip src any dest any
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 546
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 547
ipv6 access-list icmpv6-list permit icmp src any dest any
ipv6 access-list tunnel-list permit 4 src any dest any
ipv6 access-list other-list permit ip src any dest any
ipv6 access-list web-list permit tcp src any sport any dest 2405:6581:1a80::beef:cafe/128 dport eq 80
ipv6 access-list web-list permit tcp src any sport any dest 2405:6581:1a80::beef:cafe/128 dport eq 443
ipv6 access-list web-list permit udp src any sport any dest 2405:6581:1a80::beef:cafe/128 dport eq 443
ipv6 access-list dynamic cache 65535
ipv6 access-list dynamic dflt-list access other-list
!
!
!
!
!
!
!
!
! IX2106 が使う DNS を指定した
ipv6 name-server fe80::20c:29ff:fe29:9b35%GigaEthernet1.0
no dns fqdn-database roundrobin
!
proxy-dns ip enable
proxy-dns ip request both
proxy-dns ip query-interval 1
proxy-dns interface GigaEthernet0.0 ignore ! WAN 側から DNS を拾ってこないようにする
proxy-dns interface Tunnel0.0 ignore
proxy-dns server 192.168.1.56 priority 200
proxy-dns server 192.168.1.7 priority 200
proxy-dns ipv6 enable
proxy-dns ipv6 request both
proxy-dns ipv6 query-interval 1
proxy-dns server fe80::20c:29ff:fe29:9b35%GigaEthernet1.0 priority 200
proxy-dns server fe80::ba27:ebff:fe25:3105%GigaEthernet1.0 priority 200
!
ddns enable
!
ssh-server ip enable
!
http-server authentication-method digest
http-server username admin secret-password XXXXXXXXXXXX
http-server ip access-list web-http-acl
http-server ip enable
!
!
!
!
ipv6 dhcp client-profile dhcpv6-cl
no option-request dns-servers ! DHCPv6-PD で広告される DNS サーバーを使いたくない
ia-pd subscriber GigaEthernet1.0 ::/64 eui-64
!
ipv6 dhcp server-profile dhcpv6-sv
dns-server fe80::20c:29ff:fe29:9b35
dns-server fe80::ba27:ebff:fe25:3105
!
ddns profile d-dns-update
url UPDATE-URL
query key=USERNAME&pass=PASSWORD
transport ipv6
source-interface GigaEthernet1.0
!
device GigaEthernet0
!
device GigaEthernet1
!
interface GigaEthernet0.0
no ip address
ipv6 enable
ipv6 autoselect enable ! PD/RA 自動判別有効化
ipv6 autoselect ra-delay 0
ipv6 dhcp client dhcpv6-cl
ipv6 nd proxy GigaEthernet1.0
ipv6 filter dhcpv6-list 10 in
ipv6 filter icmpv6-list 20 in
ipv6 filter tunnel-list 30 in
ipv6 filter web-list 40 in
ipv6 filter block-list 100 in
ipv6 filter dhcpv6-list 10 out
ipv6 filter icmpv6-list 20 out
ipv6 filter tunnel-list 30 out
ipv6 filter dflt-list 100 out
no shutdown
!
interface GigaEthernet1.0
ip address 192.168.1.1/24
ipv6 enable
ipv6 interface-identifier IF-ID
ipv6 dhcp server dhcpv6-sv
ipv6 nd ra enable
ipv6 nd ra dns-server fe80::20c:29ff:fe29:9b35 fe80::ba27:ebff:fe25:3105 86400
no shutdown
!
interface Loopback0.0
no ip address
!
interface Null0.0
no ip address
!
interface Tunnel0.0
tunnel mode 4-over-6
tunnel destination PEER-IP-ADDRESS
tunnel source GigaEthernet1.0
ip address IPv4-ADDRESS/32
ip tcp adjust-mss auto
ip napt enable
! 運用上必要なポートのみ開放していく
ip napt service dns-udp 192.168.1.56 none udp 53
ip napt service dns-tcp 192.168.1.56 none tcp 53
ip napt service http 192.168.1.56 none tcp 80
ip napt service https 192.168.1.56 none tcp 443
ip napt service https3 192.168.1.56 none udp 443
ip filter serv 10 in
ip filter serv-mail 20 in
ip filter serv-web 30 in
ip filter serv-vpn 40 in
ip filter block-list4 100 in
ip filter dflt-list4 100 out
no shutdown
コメント