FC2ブログ

下流ネットワークエンジニアの生活

上流工程を夢見る下流工程のネットワークエンジニアがネットワーク技術や資格、身の回りのことを情報発信! Juniper Cisco YAMAHA DELL D-Link AlaxalA F5 CCNA CCNP CCIE ネットワークスペシャリスト

YAMAHAルーター 「OPEN IPv6 ダイナミックDNS for フレッツ・光ネクスト」を使ったNGN折り返しの拠点間IPsecVPNを構築してみた

2016.06.16 (Thu)

昨日、「OPEN IPv6 ダイナミック DNS for フレッツ・光ネクスト」
について記事にしたが、早速YAMAHAルータで試してみたのでメモ




■やりたいこと

・NGN折り返しで拠点間IPsecVPNを張る(以下NGN-VPNと呼ぶ)
・NGN-VPNをプライマリ、インターネットVPNをセカンダリとして、
 VPNトンネルの冗長化(?)をする
・「OPEN IPv6 ダイナミック DNS for フレッツ・光ネクスト」
 を使ってIPv6アドレス変更時でも対応できるようにする


■環境

拠点1

回線:フレッツ光ネクストひかり電話あり
プロバイダ:OCN 200M
HGW:PR-400KI
ルーター:YAMAHA RTX1200
WAN側IP:固定
LAN側IP:192.168.10.0/24


拠点2

回線:フレッツ光ネクストひかり電話あり
プロバイダ:OCN 1G
HGW:PR-400KI
ルーター:YAMAHA RTX1200
WAN側IP:固定
LAN側IP:192.168.11.0/24





■参考) 現状のコンフィグ
*1 IPv4インターネットVPN構築済みのYAMAHAルーターのコンフィグ
*2 フィルタ部分等は省いています

拠点1
------------------------------------------------------------
login password *
administrator password *
login user ユーザID *
security class 1 on on on
console character ascii
console columns 200
console prompt kyoten1
ip route change log on
ip route default gateway pp 1
ip route 192.168.11.0/24 gateway tunnel 1
description lan1 LAN
ip lan1 address 192.168.10.1/24
description lan2 WAN
pp select 1
description pp OCN-IPv4
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname PPPoEアカウント パスワード
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp mtu 1454
ip pp nat descriptor 1
ip pp tcp mss limit auto
pp enable 1
tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha256-hmac
ipsec ike keepalive use 1 on
ipsec ike pre-shared-key 1 text 事前共有キー
ipsec ike remote address 1 拠点2のIPv4アドレス
ipsec auto refresh 1 on
ip tunnel tcp mss limit auto
tunnel enable 1
nat descriptor log off
nat descriptor type 1 masquerade
nat descriptor address outer 1 ipcp
nat descriptor address inner 1 192.168.10.0-192.168.10.255
nat descriptor masquerade incoming 1 discard
nat descriptor masquerade static 1 1 192.168.10.1 udp 500
nat descriptor masquerade static 1 2 192.168.10.1 esp
ipsec use on
ipsec auto refresh on
telnetd session 2
dns host 192.168.10.1-192.168.10.254
dns service recursive
dns cache use off
dns server pp 1
schedule at 1 */* 00:00:00 * ntpdate ntp.nict.jp syslog
------------------------------------------------------------



拠点2
------------------------------------------------------------
login password *
administrator password *
login user ユーザID *
security class 1 on on on
console character ascii
console columns 200
console prompt kyoten2
ip route change log on
ip route default gateway pp 1
ip route 192.168.10.0/24 gateway tunnel 1
description lan1 LAN
ip lan1 address 192.168.11.1/24
description lan2 WAN
pp select 1
description pp OCN-IPv4
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname PPPoEアカウント パスワード
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp mtu 1454
ip pp nat descriptor 1
ip pp tcp mss limit auto
pp enable 1
tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha256-hmac
ipsec ike keepalive use 1 on
ipsec ike pre-shared-key 1 text 事前共有キー
ipsec ike remote address 1 拠点1のIPv4アドレス
ipsec auto refresh 1 on
ip tunnel tcp mss limit auto
tunnel enable 1
nat descriptor log off
nat descriptor type 1 masquerade
nat descriptor address outer 1 ipcp
nat descriptor address inner 1 192.168.11.0-192.168.11.255
nat descriptor masquerade incoming 1 discard
nat descriptor masquerade static 1 1 192.168.11.1 udp 500
nat descriptor masquerade static 1 2 192.168.11.1 esp
ipsec use on
ipsec auto refresh on
telnetd session 2
dns host 192.168.11.1-192.168.11.254
dns service recursive
dns cache use off
dns server pp 1
schedule at 1 */* 00:00:00 * ntpdate ntp.nict.jp syslog
------------------------------------------------------------


■手順

1) ホスト名(FQDN)登録

2拠点分の登録をする。

こちらの記事を参考にしてください。
http://netwrok.blog.fc2.com/blog-entry-210.html




2) YAMAHAルーターの設定変更
*1 フィルタ部分等は省いています

拠点1
------------------------------------------------------------------------
ipv6 route default gateway dhcp lan2
ipv6 lan1 address dhcp-prefix@lan2::ffff/64
ipv6 lan2 address dhcp
ipv6 lan2 prefix change log on
ipv6 lan2 dhcp service client
tunnel select 2
ipsec tunnel 2
ipsec sa policy 2 2 esp aes-cbc sha256-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 on
ipsec ike pre-shared-key 2 text 事前共有キー
ipsec ike remote address 2 手順1)で登録した拠点2側のFQDN
ipsec auto refresh 2 on
ip tunnel mtu 1420
ip tunnel tcp mss limit auto
tunnel enable 2
dns server select 1 dhcp lan2 aaaa .open.ad.jp
schedule at 1 */* *:*:00 * ntpdate 登録後にメモした専用更新ホスト名
ip route 192.168.11.0/24 gateway tunnel 2 hide gateway tunnel 1 weight 0
------------------------------------------------------------------------


拠点2
------------------------------------------------------------------------
ipv6 route default gateway dhcp lan2
ipv6 lan1 address dhcp-prefix@lan2::ffff/64
ipv6 lan2 address dhcp
ipv6 lan2 prefix change log on
ipv6 lan2 dhcp service client
tunnel select 2
ipsec tunnel 2
ipsec sa policy 2 2 esp aes-cbc sha256-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 on
ipsec ike pre-shared-key 2 text 事前共有キー
ipsec ike remote address 2 手順1)で登録した拠点1側のFQDN
ipsec auto refresh 2 on
ip tunnel mtu 1420
ip tunnel tcp mss limit auto
tunnel enable 2
dns server select 1 dhcp lan2 aaaa .open.ad.jp
schedule at 1 */* *:*:00 * ntpdate 登録後にメモした専用更新ホスト名
ip route 192.168.10.0/24 gateway tunnel 2 hide gateway tunnel 1 weight 0
------------------------------------------------------------------------



■DDNSの動作確認

ルータにログインしてntpdateを叩いてみる

kyoten1# ntpdate XXXXXXXXXX.i.open.ad.jp
2016/06/16 9:29:16 +0second

時刻同期できた。

PCより公式ページの登録済みのホスト一覧を確認したところ、クエリ回数が増えていた。
https://i.open.ad.jp/





関連記事
スポンサーサイト



コメント


管理者のみに表示

トラックバック