【Network】IPv6StudyとIX3010/2015でのIPv6トンネル 
2011, July 24, Sunday, 23:06 - Other, Network
 IPv6Studyお疲れ様でした。今回の勉強会はかなり有意義でした。Twitterで一気につぶやいてしまったのでIPv6Studyに無関係なフォロワーさんのTLを埋めてしまっていたら申し訳なかったです。
 さて、勉強会に行っただけで何もしないのでは意味がないので、IPv6の大御所である難波さんのLTで発表されたHurricane ElectricのTunnelを使ったv6-Over-v4トンネルを試してみました。

 LTで使用された資料はこちら
http://negi.ipv6labs.jp/data/ipv6study/ ... 110723.pdf

 概念などは元の資料を見て頂くことにして、資料ではRTX-1000が使われていますが、自分が持っているのはIX3010とIX2015になるのでこいつでできないかどうか試してみました。




 結論から言うと簡単にできました。そのときに使ったConfigです。

interface Tunnel1.0
tunnel mode 6-over-4
tunnel destination 216.218.221.42
tunnel source 自分のIPv4
no ip address
ipv6 enable
ipv6 address HEから割り当てて貰ったIPv6/64
no shutdown
exit
ipv6 route default Tunnel1.0


 これに関しては特に説明することはないですね。最初疎通しないと悩んでいたらno shutdownを忘れていたというのはありましたが。
 もし実験でNAT下にある箱からIPIPを張る場合はtunnnel sourceを指定してはいけないです。これに気がつくのに結構時間がかかりました。一番上のルーター(IX3010)で
ip napt service static BOXADDR 94 

 とかやってIPIPプロトコル(プロトコル番号94番)をNAT下にある箱に向けたり色々やってもうまくいかないと悩みましたが、NAT下から接続を開始するときに関しては特に上のルーターで何かをする必要はないです。Firewallとかでパケットがブロックされてたら終わりですが。
 このままではIPv6の名前逆引きが出来ないので、

ipv6 name-server 2001:4860:4860::8888


 でv6用のDNSを追加します。HEから2001:470:20::2というDNSも提供されているのでこちらでも大丈夫です。
 DNSを追加したらみんな大好きnslookupで名前が引けるか確かめます。

 IX3010(config)# nslookup www.kame.net
Looking up "www.kame.net" ...Success
DNS Response
 Flags : RD RA
 Opcode: Standard query
 Status: No error occurred
Questions
 www.kame.net. ANY IN
Answers
 www.kame.net. CNAME IN ttl=84817, orange.kame.net.
 orange.kame.net. AAAA IN ttl=84817, 2001:200:dff:fff1:216:3eff:feb1:44d7
 orange.kame.net. A IN ttl=84817, 203.178.141.194


 これで名前が引ければ外との疎通はとれているので問題ないです。あとはLANインターフェースの 設定です。RAとDHCP6を有効にしてしまうとサブネットにいるマシンが全員いろんなIPを受け取ってアッー!なことになるので実験段階ではこれらを有効にはしません。

 しかし僕はここではまりました。ルーターは外部につながっているのに内部のマシンが外に出られないのです。まあその理由がしょぼいのですが。。。




  HEに登録するとこういう画面が見られるのですが、僕は何を思ったかこの画像の35の方がアサインされたIPだと思い込んでいて、WANのIPを内部で使おうとしていました。そのせいでサブネット被るからどうしようかなあ内部を/94で切るかなあとか訳のわからないことをしてしまいました。

  FFFF:FFFF:35:FFFF::1/64がHE側のルーター(こちら側のルーターのデフォルトルート)で、 FFFF:FFFF:35:FFFF::2/64がこちら側にアサインされるWAN側のIPで、FFFF:FFFF:36:FFFF::/64が自分で好きに使えるIPになると言うのに気がつくのに無駄にあれこれしてしまいました。これに気がついてからはFortigate 100Aでもセッションを張れました。
 あとはv4と同じようにipv6 address でアドレスを振ってクライアント側からそのIPにデフォゲを向けて…とやるだけです。

 そして最終的に http://www.kame.net のTOPの亀が踊りました。めでたしめでたし。

コメントを書く
必要事項とコメントを入力して下さい。









タグの挿入