インターネット越しなので安定しないかもと想像しましたが、設置から1ヶ月以上安定して動いています。
さらに、ルータを交換したことでネットのブラウジングのレスポンスが良くなったと体感しています。同じギガルータでも機種によって差があるとは意外でした。
構成
- EtherIP(L2VPN、Ethernet over IPv4)に対応した VPN ルータ IX2105 を自宅と実家の2カ所に対向設置し、2拠点間をブリッジ接続します。
- 拠点Aのネット回線は auひかり(上り・下りともに1Gbps)。ホームゲートウェイのルータ機能を無効にできないため、DMZ機能によりインターネット側のパケットをそのままVPNルータに届けます。
- 拠点Bのネット回線は eo光(上り・下りともに100Mbps)。IP電話ルータのルータ機能を無効にして、VPN ルータでPPPoE認証をしています。
- 2拠点ともに動的IPアドレスが割り当てられるため、ダイナミックDNSサービス(MyDNS.jp)にホスト名を登録します。
回線速度
PCから遠隔地のNASに83MBのバイナリファイルをコピーして速度を計測してみました。5回テストして速度は22.4~27.6Mbpsとなり、中央値は24.7Mbpsでした。eo光がベストエフォート100Mbps、さらにIPsecに関わる負荷もあるのでまずまずかと。
また、tracerouteの結果はこんなものでした。
VPNルータの設定
初めて設置するときは、事前に同じ場所で対向試験ができることを確認したほうが良いです。一度無駄足を踏みました。
当初、eo光では IP電話ルータで PPPoE認証させ、DMZ機能でインターネット側のパケットを VPNルータに届けようとしましたが、うまく接続できなかったので VPNルータでPPPoE認証させることにしました。
ルータの設定コマンドは次の通りですが、IPアドレス等は適当に変えてあります。また、IX2105のファームウェアバージョンが拠点A(Version 8.9.17)と拠点B(Version 9.0.14A)で違うので少しコマンドを変えてあります。中古で入手するときは、バージョンに注意です。
拠点A
hostname KYOTEN_A
timezone +09 00
!
username ADMIN_USERNAME password hash ADMIN_HASH_PASSWORD administrator
!
! NICT NTP server
ntp ip enable
ntp server 133.243.238.163
ntp retry 3
ntp interval 21600
!
logging buffered 2097152
logging subsystem all warn
logging timestamp datetime
!
ip ufs-cache max-entries 12000
ip ufs-cache enable
ip route default 192.168.1.1 GigaEthernet0.0
ip dhcp enable
ip access-list block-list deny ip src any dest any
ip access-list flt-list1 permit udp src any sport eq 500 dest any dport eq 500
ip access-list flt-list1 permit 50 src any dest any
ip access-list permit-list permit ip src any dest any
ip access-list sec-list permit ip src any dest any
ip access-list web_console permit ip src any dest 192.168.2.1/32
ip access-list dynamic ddns-flt dns src any dest any
ip access-list dynamic dflt-list access permit-list
!
arp auto-refresh
!
ike nat-traversal
!
ike proposal ike-prop encryption aes-256 hash sha
!
ike policy ike-policy_a-b peer-fqdn-ipv4 KYOTEN_B.mydns.jp key AUTH_KEY_A-B ike-prop
!
ipsec autokey-proposal ipsec-prop esp-aes-256 esp-sha
!
ipsec autokey-map ipsec-policy_a-b sec-list peer-fqdn-ipv4 KYOTEN_B.mydns.jp default
!
bridge irb enable
!
ip name-server 106.187.2.33
ip name-server 106.187.2.41
!
proxy-dns ip enable
proxy-dns ip query-interval 1
proxy-dns server 106.187.2.33 priority 254
!
ssh-server ip access-list web_console
ssh-server ip enable
!
http-server username HTTP_SERVER_USERNAME
http-server ip access-list web_console
http-server ip enable
!
ddns enable
!
ip dhcp profile web_gigaethernet1.0
assignable-range 192.168.2.2 192.168.2.99
dns-server 192.168.2.1
!
ddns profile mydns
url http://ipv4.mydns.jp/login.html
account MYDNS_ACCOUNT_KYOTEN_A
password plain MYDNS_PASSWORD_KYOTEN_A
transport ip
source GigaEthernet0.0
update-interval 3
!
device GigaEthernet0
!
device GigaEthernet1
!
interface GigaEthernet0.0
ip address 192.168.1.100/24
ip tcp adjust-mss auto
ip napt enable
ip napt static GigaEthernet0.0 udp 500
ip napt static GigaEthernet0.0 50
ip napt static GigaEthernet0.0 udp 4500
ip filter flt-list1 10 in
ip filter block-list 100 in
ip filter flt-list1 10 out
ip filter ddns-flt 20 out
ip filter dflt-list 100 out
no shutdown
!
interface GigaEthernet1.0
ip address 192.168.2.1/24
ip proxy-arp
ip dhcp binding web_gigaethernet1.0
bridge-group 1
no shutdown
!
interface Loopback0.0
no ip address
!
interface Null0.0
no ip address
!
interface Tunnel0.0
tunnel mode ether-ip ipsec
no ip address
ipsec policy transport ipsec-policy_a-b with-id-payload
bridge-group 1
bridge ip tcp adjust-mss 1334
no shutdown
拠点B
hostname KYOTEN_B
timezone +09 00
!
username ADMIN_USERNAME password hash ADMIN_HASH_PASSWORD administrator
!
! NICT NTP server
ntp ip enable
ntp server 133.243.238.163
ntp retry 3
ntp interval 21600
!
logging buffered 2097152
logging subsystem all warn
logging timestamp datetime
!
ids ip type all action detect
ids ip type ip-header action discard
ids ip type icmp action discard
!
ip ufs-cache max-entries 12000
ip ufs-cache enable
ip route default GigaEthernet0.1
ip dhcp enable
ip access-list block-list deny ip src any dest any
ip access-list flt-list1 permit udp src any sport eq 500 dest any dport eq 500
ip access-list flt-list1 permit 50 src any dest any
ip access-list permit-list permit ip src any dest any
ip access-list sec-list permit ip src any dest any
ip access-list web_console permit ip src 192.168.2.0/24 dest 192.168.2.100/32
ip access-list dynamic ddns-flt dns src any dest any
ip access-list dynamic dflt-list access permit-list
!
arp auto-refresh
!
ike nat-traversal
!
ike proposal ike-prop encryption aes-256 hash sha
!
ike policy ike-policy_b-a peer-fqdn-ipv4 KYOTEN_A.mydns.jp key AUTH_KEY_A-B ike-prop
!
ipsec autokey-proposal ipsec-prop esp-aes-256 esp-sha
!
ipsec autokey-map ipsec-policy_b-a sec-list peer-fqdn-ipv4 KYOTEN_A.mydns.jp default
!
bridge irb enable
!
ip name-server 60.56.0.135
ip name-server 218.251.89.134
!
proxy-dns ip enable
proxy-dns ip query-interval 1
proxy-dns server 60.56.0.135 priority 254
!
ssh-server ip access-list web_console
ssh-server ip enable
!
http-server username HTTP_SERVER_USERNAME
http-server ip access-list web_console
http-server ip enable
!
ddns enable
!
ppp profile eo-hikari
authentication myname PPPoE_ID
authentication password PPPoE_ID PPPoE_PASSWORD
!
ip dhcp profile web_gigaethernet1.0
assignable-range 192.168.2.101 192.168.2.150
dns-server 192.168.2.100
!
ddns profile mydns
url http://ipv4.mydns.jp/login.html
account MYDNS_ACCOUNT_KYOTEN_B
password plain MYDNS_PASSWORD_KYOTEN_B
transport ip
source GigaEthernet0.1
update-interval 3
!
device GigaEthernet0
!
device GigaEthernet1
!
interface GigaEthernet0.0
no ip address
shutdown
!
interface GigaEthernet1.0
ip address 192.168.2.100/24
ip proxy-arp
ip dhcp binding web_gigaethernet1.0
bridge-group 1
no shutdown
!
interface GigaEthernet0.1
encapsulation pppoe
auto-connect
ppp binding eo-hikari
ip address ipcp
ip tcp adjust-mss auto
ip napt enable
ip napt static GigaEthernet0.1 udp 500
ip napt static GigaEthernet0.1 50
ip napt static GigaEthernet0.1 udp 4500
ip filter flt-list1 10 in
ip filter block-list 100 in
ip filter flt-list1 10 out
ip filter ddns-flt 20 out
ip filter dflt-list 100 out
no shutdown
!
interface Loopback0.0
no ip address
!
interface Null0.0
no ip address
!
interface Tunnel0.0
tunnel mode ether-ip ipsec
ip unnumbered GigaEthernet1.0
ipsec policy transport ipsec-policy_b-a with-id-payload
bridge-group 1
bridge ip tcp adjust-mss 1334
no shutdown
!
username ADMIN_USERNAME password hash ADMIN_HASH_PASSWORD administrator
!
! NICT NTP server
ntp ip enable
ntp server 133.243.238.163
ntp retry 3
ntp interval 21600
!
logging buffered 2097152
logging subsystem all warn
logging timestamp datetime
!
ids ip type all action detect
ids ip type ip-header action discard
ids ip type icmp action discard
!
ip ufs-cache max-entries 12000
ip ufs-cache enable
ip route default GigaEthernet0.1
ip dhcp enable
ip access-list block-list deny ip src any dest any
ip access-list flt-list1 permit udp src any sport eq 500 dest any dport eq 500
ip access-list flt-list1 permit 50 src any dest any
ip access-list permit-list permit ip src any dest any
ip access-list sec-list permit ip src any dest any
ip access-list web_console permit ip src 192.168.2.0/24 dest 192.168.2.100/32
ip access-list dynamic ddns-flt dns src any dest any
ip access-list dynamic dflt-list access permit-list
!
arp auto-refresh
!
ike nat-traversal
!
ike proposal ike-prop encryption aes-256 hash sha
!
ike policy ike-policy_b-a peer-fqdn-ipv4 KYOTEN_A.mydns.jp key AUTH_KEY_A-B ike-prop
!
ipsec autokey-proposal ipsec-prop esp-aes-256 esp-sha
!
ipsec autokey-map ipsec-policy_b-a sec-list peer-fqdn-ipv4 KYOTEN_A.mydns.jp default
!
bridge irb enable
!
ip name-server 60.56.0.135
ip name-server 218.251.89.134
!
proxy-dns ip enable
proxy-dns ip query-interval 1
proxy-dns server 60.56.0.135 priority 254
!
ssh-server ip access-list web_console
ssh-server ip enable
!
http-server username HTTP_SERVER_USERNAME
http-server ip access-list web_console
http-server ip enable
!
ddns enable
!
ppp profile eo-hikari
authentication myname PPPoE_ID
authentication password PPPoE_ID PPPoE_PASSWORD
!
ip dhcp profile web_gigaethernet1.0
assignable-range 192.168.2.101 192.168.2.150
dns-server 192.168.2.100
!
ddns profile mydns
url http://ipv4.mydns.jp/login.html
account MYDNS_ACCOUNT_KYOTEN_B
password plain MYDNS_PASSWORD_KYOTEN_B
transport ip
source GigaEthernet0.1
update-interval 3
!
device GigaEthernet0
!
device GigaEthernet1
!
interface GigaEthernet0.0
no ip address
shutdown
!
interface GigaEthernet1.0
ip address 192.168.2.100/24
ip proxy-arp
ip dhcp binding web_gigaethernet1.0
bridge-group 1
no shutdown
!
interface GigaEthernet0.1
encapsulation pppoe
auto-connect
ppp binding eo-hikari
ip address ipcp
ip tcp adjust-mss auto
ip napt enable
ip napt static GigaEthernet0.1 udp 500
ip napt static GigaEthernet0.1 50
ip napt static GigaEthernet0.1 udp 4500
ip filter flt-list1 10 in
ip filter block-list 100 in
ip filter flt-list1 10 out
ip filter ddns-flt 20 out
ip filter dflt-list 100 out
no shutdown
!
interface Loopback0.0
no ip address
!
interface Null0.0
no ip address
!
interface Tunnel0.0
tunnel mode ether-ip ipsec
ip unnumbered GigaEthernet1.0
ipsec policy transport ipsec-policy_b-a with-id-payload
bridge-group 1
bridge ip tcp adjust-mss 1334
no shutdown
参考資料
・UNIVERGE IX3110 IX2215 IX2105 3拠点 (フレッツひかり電話あり・なし・auひかり 混在環境) における IPsec IPv4 over IPv6 トンネリング & L2TP 設定ファイル - いぬちゃんダイアリー
この記事のおかげで実現できました。この方が出演された番組、スペースシャワーTVでよく見てましたので感慨深いなー。
0 件のコメント:
コメントを投稿