network:rtx_1200_getting_along_ds_lite_and_server_connection

差分

このページの2つのバージョン間の差分を表示します。

この比較画面にリンクする

network:rtx_1200_getting_along_ds_lite_and_server_connection [2020-05-12 11:07] (現在)
Decomo 作成
行 1: 行 1:
 +====== RTX1200でDS-Liteの高速接続と自宅サーバ接続を共存させる ======
  
 +DS-LiteでIPv4 over IPv6のインターネット接続設定を行うと自宅サーバの公開に支障をきたすが、フィルタ型ルーティング(ポリシーベースルーティング)で自宅サーバ関連の通信経路をPPPoE接続の方に振り分ければ、DS-Liteを使いつつ自宅サーバ公開も行えるよというお話。
 +
 +===== 試した環境 =====
 +
 +  * RTX1200 Rev.10.01.65
 +  * IIJmioひかり + IPoEオプション
 +
 +===== ごたくと設定 =====
 +
 +DS-Liteを使うとNTTのPPPoE設備輻輳による/-ファッキン-/速度低下を避け、高速なインターネットアクセスを享受できる。その一方、インターネット側から自宅ネットワークへのアクセスは行えなくなる。つまり自宅サーバを公開してると困った事になるが、DS-Liteの仕組み上これはどうしようもない。DS-Lite(厳密にはIPv6 IPoE)接続と従来のPPPoE接続は同時に行えるので、インターネット⇔自宅サーバの通信をPPPoE経路で行うようにしてやれば、DS-Liteの高速性と自宅サーバ公開を共存出来るというわけ。
 +
 +通信経路の振り分けは、ポリシーベースルーティング──ヤマハルータ的にはフィルタ型ルーティングで行う。
 +
 +DS-Liteがtunnel 1, PPPoEがpp1で繋がっているとして、サーバ(192.168.0.1)のsshサービスをPPPoE側に振り分けるには以下のようにする。
 +<code>
 +ip filter 500001 pass 192.168.0.1 * tcp 22 *
 +ip route default gateway tunnel 1 gateway pp 1 filter 500001
 +</code>
 +
 +DS-Lite導入以前からサーバ公開している場合、何もしなければDS-Liteを設定してもPPPoEのコネクションは活きたままなので、実際のところインターネット側からサーバへのパケットは変わらず飛んできてるんですな。でも、サーバ→インターネットの経路がDS-Lite側になっちゃってるもんだから、応答パケットがクライアントに到達できない。なので、IPアドレス/ポートを指定して明示的にPPPoE側に振り分けるようにする。''ip filter 500001 pass * * tcp 22''と送信元を指定しなくても効果は一緒だけど、送信元ポート22の通信が無差別にPPPoE経路になるのは何となく誤爆しそうな気がしなくもないので、送信元ホストを絞っといた方が罠にハマらなくていいのかなと。
 +
 +なお、ヤマハルータの場合、IPフィルタの処理はNAT処理の後で行われる。ポート番号の指定はその辺も踏まえて行うこと。
 +
 +===== 参考サイト =====
 +
 +  * [[https://blog.yuu26.com/rtx1210-filter-routing/|YAMAHA RTX1210 で用途に応じてインターネット回線を使い分ける | yuu26-memo]]
 +  * [[http://www.rtpro.yamaha.co.jp/RT/docs/filter-routing/filter-routing.html|フィルタ型ルーティング]]
 +  * [[http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/apply-filter-to-interface.html|IPパケット・フィルタリング機能のインタフェースへの適用位置]]
 +  * [[http://www.rtpro.yamaha.co.jp/RT/manual/rt-common/ip/ip_filter.html|9.1.10 IP パケットのフィルタの設定]]
  • network/rtx_1200_getting_along_ds_lite_and_server_connection.txt
  • 最終更新: 2020-05-12 11:07
  • by Decomo