NEC IXルータ(IX2310,IX2235,IX2215,IX2107)を使って、OCNバーチャルコネクトIPoE(IP8:map-e)の接続設定を行う機会がありましたので、備忘録として記事にします。
※OCNバーチャルコネクト:OCN IPoE回線(IPv6 map-e)の商品名です。
※回線契約について:物理回線にNTTフレッツ光IPoE、プロバイダにOCNという形で契約するとOCNバーチャルコネクト(IPoE map-e)になります。OCN契約時にNTTフレッツ光を別契約を選択した場合はIPv4のPPPoEも使えますが、本記事ではIPv6 IPoEのみの場合ついて解説します。
※map-e:OCN IPoEにおける接続方式の俗称です。動的IP契約の場合にマッピングによってポートが間引きされることから一般的にmap-eと呼ばれているようです。
環境条件等
設定対象機器
- ルータ機種:NEC IX2310, IX2230, IX2215, IX2107, IX2106
- ファームバージョン:10.9.11
以前使っていたIX2105は、map-e IP8/16には対応しておらず設定はできませんでした。IX2105は動的IPとIP1までとなります。
システム構成
IXルーター配下にProxmoxで組まれたサーバーを設置しています。
AD, DHCPサーバー, Webサーバー, VPNサーバーの連携・接続設定も行います。
- Active Directory:アカウント管理用のいわゆるローカルAD。内部DNS, NTPサーバーとしても機能する。
- 公開Webサーバー(apache):111.111.111.114に割り付け
- SoftEther VPNサーバー(VPNazure, L2TP, OpenVPN):ポート開放 udp 50,4500,1701,1191 tcp 443
OCNバーチャルコネクト 固定IP8 契約仕様
- OCNバーチャルコネクトIP8(ひかり電話なし):IPv6 IPoE網からは「RA(Router Advertisement)」によりIPv6プレフィックスの払い出し
- OCNから取得したIPアドレス:111.111.111.110~111.111.111.117
固定IPの制約について
OCN IPoE(IP8)は、ネットワークアドレスで1個割り当てられるため、サーバへ個別割り当て可能なアドレスは7個になる制約があります。
また、この制約はmap-eの制御方法により、ルーターメーカーによって若干変わるようです。YAMAHAの場合は、自由に使えるアドレスは6個になります。
- 111.111.111.110:ネットワークアドレス。ONU接続時にWANポート(GE0)に割り当てられるアドレスになります。特段の設定がない場合、本アドレスがLAN内の端末が外部アドレスになります。
- 111.111.111.111:利用可能(サーバ割当可)
- 111.111.111.112:利用可能(サーバ割当可)
- 111.111.111.113:利用可能(サーバ割当可)
- 111.111.111.114:利用可能(サーバ割当可)
- 111.111.111.115:利用可能(サーバ割当可)
- 111.111.111.116:利用可能(サーバ割当可)
- 111.111.111.117:ブロードキャストアドレス。DMZに割り当てはできません。ポート変換によりのLAN内PC公開には使えます。
IXの設定
以下設定例は、IX2310のGE0をWAN側、GE3をLAN側、GE1,GE2については未使用とした場合の設定です。
IX2215(GE0/1/2)やIX2107(GE0/1)の場合は、ハード仕様に従って振り替えてください。
またサーバ類はすべてLAN側に設置としており、DMZ領域にはおいていません。
設定コンフィグ例
ntp ip enable ntp server dhcpv6 ! ! ip ufs-cache max-entries 20000 ip ufs-cache enable ip route default Tunnel0.0 ! ! ipv6 dhcp enable ipv6 access-list deny-any deny ip src any dest any ipv6 access-list permit-any permit ip src any dest any ipv6 access-list permit-dhcpv6 permit udp src any sport any dest any dport eq 546 ipv6 access-list permit-dhcpv6 permit udp src any sport any dest any dport eq 547 ipv6 access-list permit-icmpv6 permit icmp src any dest any ipv6 access-list permit-ipinip permit 4 src any dest any ipv6 access-list dynamic cache 65535 ipv6 access-list dynamic dyn-filter access permit-any ! ! dns cache enable dns cache max-records 1024 ! proxy-dns ip enable proxy-dns ip request both proxy-dns interface GigaEthernet0.0 priority 200 proxy-dns ipv6 enable proxy-dns ipv6 request both ! ! ssh-server ip enable ! http-server authentication-method digest http-server username admin secret-password 4LOS7SC3wVlv http-server ip enable ! ! ipv6 dhcp client-profile dhcpv6-cl information-request option-request dns-servers ! ipv6 dhcp server-profile dhcpv6-sv dns-server autoconfig ! ! interface GigaEthernet0.0 no ip address ipv6 enable ipv6 dhcp client dhcpv6-cl ipv6 nd proxy GigaEthernet3.0 ipv6 filter permit-icmpv6 20 in ipv6 filter permit-dhcpv6 30 in ipv6 filter deny-any 99 in ipv6 filter permit-icmpv6 20 out ipv6 filter permit-dhcpv6 30 out ipv6 filter dyn-filter 99 out ipv6 filter permit-ipinip 10 in ipv6 filter permit-ipinip 10 out no shutdown ! interface GigaEthernet1.0 no ip address shutdown ! interface GigaEthernet2.0 no ip address shutdown ! interface GigaEthernet3.0 ip address 192.168.0.254/24 ipv6 enable ipv6 dhcp server dhcpv6-sv ipv6 nd ra enable ipv6 nd ra other-config-flag no shutdown ! interface Tunnel0.0 tunnel mode map-e ocn-fixed ip unnumbered GigaEthernet3.0 ip tcp adjust-mss auto ip nat enable ip nat static 192.168.0.50 111.111.111.114 ip napt enable ip napt address 111.111.111.111 ip napt static 192.168.0.60 udp 500 ip napt static 192.168.0.60 udp 4500 ip napt static 192.168.0.60 udp 1701 ip napt static 192.168.0.60 udp 1194 ip napt static 192.168.0.60 tcp 443 no shutdown
設定の解説
LAN側設定
LAN側(GE3)の基本的な設定です。
ルータにLAN側のIPアドレスを割り振ります。
interface GigaEthernet3.0 ip address 192.168.21.254/24 no shutdown
IPv6
インターネット回線は、OCN光のIPv6 IPoE IP8 光電話契約なしのRA方式です。
クライアントのDNSサーバをIXにするため、dns-serverをautoconfigにしています。
この設定でないとIXをDNSサーバーとしたLAN内機器に対する名前解決ができません。
ipv6 dhcp enable ! ipv6 dhcp client-profile dhcpv6-cl information-request option-request dns-servers ! ipv6 dhcp server-profile dhcpv6-sv dns-server autoconfig interface GigaEthernet0.0 no ip address ipv6 enable ipv6 dhcp client dhcpv6-cl ipv6 nd proxy GigaEthernet3.0 no shutdown ! interface GigaEthernet3.0 ip address 192.168.21.254/24 ipv6 enable ipv6 dhcp server dhcpv6-sv ipv6 nd ra enable ipv6 nd ra other-config-flag no shutdown
このままでは外部から直接アクセスできてしまうため、フィルター設定も必須です。
内容はIXのWeb設定(かんたん設定)と一緒です。
ipv6 access-list deny-any deny ip src any dest any ipv6 access-list permit-any permit ip src any dest any ipv6 access-list permit-dhcpv6 permit udp src any sport any dest any dport eq 546 ipv6 access-list permit-dhcpv6 permit udp src any sport any dest any dport eq 547 ipv6 access-list permit-icmpv6 permit icmp src any dest any ipv6 access-list dynamic cache 65535 ipv6 access-list dynamic dyn-filter access permit-any ! interface GigaEthernet0.0 ipv6 filter permit-icmpv6 20 in ipv6 filter permit-dhcpv6 30 in ipv6 filter deny-any 99 in ipv6 filter permit-icmpv6 20 out ipv6 filter permit-dhcpv6 30 out ipv6 filter dyn-filter 99 out no shutdown
IPv4 (IPv4 over IPv6 for OCN map-e-fixed)
IPv4設定はすべてTunnelへ設定します。(PPPoEはGE0.1でのインタフェース経由でした)
今回は、固定IP契約ですので「tunnel mode」は「ocn-fixed」になります。
IPv6トンネル(プロトコル番号4 IP in IP)も通しておきます。(必要になることは無いと思いますが)
ip route default Tunnel0.0 ! interface Tunnel0.0 tunnel mode map-e ocn-fixed ip unnumbered GigaEthernet3.0 ip tcp adjust-mss auto no shutdown ! ipv6 access-list permit-ipinip permit 4 src any dest any ! interface GigaEthernet0.0 ipv6 filter permit-ipinip 10 in ipv6 filter permit-ipinip 10 out
NTP設定
NTPサーバーアドレスは、IPv6網から受け取っているため、IXに設定します。
同時にIPv4側のNTPサーバーとしても機能するようにします。
ntp ip enable ntp server dhcpv6
DNS設定
LAN内のDNS問い合わせ先をIXに設定します。
ただし、LAN内にDNS(Active Directory)が存在しているため、LAN内DNSの追加設定も行います。
AD管理下ではない端末も存在している環境ですので、IX側のプライオリティ値を高めに設定しています。
dns cache enable dns cache max-records 1024 ! proxy-dns ip enable proxy-dns ip request both proxy-dns interface GigaEthernet0.0 priority 100 proxy-dns ipv6 enable proxy-dns ipv6 request both ! dns host falcon.local.org ip 192.168.0.220 dns host falcon.local.org ipv6 192.168.0.220 dns host server ip 192.168.0.220 dns host server ipv6 192.168.0.220
Webサーバー公開
apacheで組まれたWebサーバーを外部に公開する設定です。
Webサーバー側にfirewallを設定しているため、IXでは特段のフィルタリングはしていません。
interface Tunnel0.0 ip nat enable ip nat static 192.168.21.50 111.111.111.114
VPNサーバーの穴あけ
VPNサーバー(SoftEther)のポート通信を許可します。
naptでIPアドレス(例:111.111.111.111)でVPN接続できるように設定します。
SoftEtherはDDNSをサポートしますので、naptでIPアドレスを割り振らなくても、ネットワークアドレスで接続はできます。
- L2TP:udp 500,4500,1701
- OpenVPN:udp 1191, tcp443
interface Tunnel0.0 ip napt enable ip napt address 111.111.111.111 ip napt static 192.168.21.60 udp 500 ip napt static 192.168.21.60 udp 4500 ip napt static 192.168.21.60 udp 1701 ip napt static 192.168.21.60 udp 1194 ip napt static 192.168.21.60 tcp 443 no shutdown
DHCPサーバがない場合
内部にDHCPサーバーが存在しない場合は、以下設定を投入することで、IXがDHCPサーバーとして機能します。
一般事務所など接続端末数が多い場合は、リースタイムを4時間に設定し、アドレス枯渇しないように配慮します。
ip dhcp profile dhcpv4-sv assignable-range 192.168.0.10 192.168.0.99 subnet-mask 255.255.255.0 default-gateway 192.168.0.254 dns-server 192.168.0.254 lease-time 14400 ! interface GigaEthernet3.0 ip dhcp binding dhcpv4-sv
IPv6の接続確認
IXのCLIから「show map-e status」で確認できます。
Status: active となっていればIPoE接続ができています。
IX2310(config)# show map-e status Tunnel interface: Tunnel0.0 Vendor Name: OCN Status: active Transport information: CE IPv4 address is 111.111.***.***/32 CE IPv6 address is 2400:4050:****:****:****:****:****:****/64
OCNサイトで接続確認もしておきます。
※以下は自宅(eo光)から接続ましたので「map-e接続ではない」となっています。
OCN IPoE IP固定(IP1/IP8/IP16)は、ポートセービングされないため、従来のPPPoEと同じように使うことができ、ちょっとしたネット環境をもつ事務所用途としては最適です。
デメリットとしては月額費用が少し高額という点です。概算費用としては、IP1で11,000円/month、IP8で35,000円/month程度ですので、個人用途ではなかなか手が届かないです。