====== RTX1200でDS-Liteの高速接続と自宅サーバ接続を共存させる ====== DS-LiteでIPv4 over IPv6のインターネット接続設定を行うと自宅サーバの公開に支障をきたすが、フィルタ型ルーティング(ポリシーベースルーティング)で自宅サーバ関連の通信経路をPPPoE接続の方に振り分ければ、DS-Liteを使いつつ自宅サーバ公開も行えるよというお話。 ===== 試した環境 ===== * RTX1200 Rev.10.01.65 * IIJmioひかり + IPoEオプション ===== ごたくと設定 ===== DS-Liteを使うとNTTのPPPoE設備輻輳による/-ファッキン-/速度低下を避け、高速なインターネットアクセスを享受できる。その一方、インターネット側から自宅ネットワークへのアクセスは行えなくなる。つまり自宅サーバを公開してると困った事になるが、DS-Liteの仕組み上これはどうしようもない。DS-Lite(厳密にはIPv6 IPoE)接続と従来のPPPoE接続は同時に行えるので、インターネット⇔自宅サーバの通信をPPPoE経路で行うようにしてやれば、DS-Liteの高速性と自宅サーバ公開を共存出来るというわけ。 通信経路の振り分けは、ポリシーベースルーティング──ヤマハルータ的にはフィルタ型ルーティングで行う。 DS-Liteがtunnel 1, PPPoEがpp1で繋がっているとして、サーバ(192.168.0.1)のsshサービスをPPPoE側に振り分けるには以下のようにする。 ip filter 500001 pass 192.168.0.1 * tcp 22 * ip route default gateway tunnel 1 gateway pp 1 filter 500001 DS-Lite導入以前からサーバ公開している場合、何もしなければDS-Liteを設定してもPPPoEのコネクションは活きたままなので、実際のところインターネット側からサーバへのパケットは変わらず飛んできてるんですな。でも、サーバ→インターネットの経路がDS-Lite側になっちゃってるもんだから、応答パケットがクライアントに到達できない。なので、IPアドレス/ポートを指定して明示的にPPPoE側に振り分けるようにする。''ip filter 500001 pass * * tcp 22''と送信元を指定しなくても効果は一緒だけど、送信元ポート22の通信が無差別にPPPoE経路になるのは何となく誤爆しそうな気がしなくもないので、送信元ホストを絞っといた方が罠にハマらなくていいのかなと。 なお、ヤマハルータの場合、IPフィルタの処理はNAT処理の後で行われる。ポート番号の指定はその辺も踏まえて行うこと。 ===== 参考サイト ===== * [[https://blog.yuu26.com/rtx1210-filter-routing/|YAMAHA RTX1210 で用途に応じてインターネット回線を使い分ける | yuu26-memo]] * [[http://www.rtpro.yamaha.co.jp/RT/docs/filter-routing/filter-routing.html|フィルタ型ルーティング]] * [[http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/apply-filter-to-interface.html|IPパケット・フィルタリング機能のインタフェースへの適用位置]] * [[http://www.rtpro.yamaha.co.jp/RT/manual/rt-common/ip/ip_filter.html|9.1.10 IP パケットのフィルタの設定]]