前回は、「2 拠点間を VPN で常時接続する 必要なモノ」を書きました。
今回は、具体的に VPN をどう構築するかを順を追って書きますが、その中でまずは NGN IPV6 に接続して自拠点の IPV6 アドレスをどう知るかを書きます。
拠点間の VPN を構築( VPN を張るなんて言ったりします)するには、どこと接続するのかを設定する必要がります。相手の住所を知る必要があると言うことです。
フレッツ光ネクストの乗換や新規申し込みは ↓↓↓ こちらからどうぞ。
フレッツ光ネクストの IPV6 アドレスの割り当てについて
NGN網での住所は IPV6 になっていまして、そのアドレスは自分で決めるわけでも、NTTに申請するわけでもありません。 IPV6 の RA(Router Advertisement)と言う仕組みを使って割り当てられます。割り当てられると言っても、 IPV6 のアドレス長 128bit がすべて割り当てられるのではなく、上位 64bit が割り当てられ、残り64bit は、MACアドレス(48bit)をベースに組み立てられます。ん? なんか足りない。
128bit-64bit-48bit=16bit
16bit 足りないのですが、そこは RFC でどう足りない16bit を作成するのか定義されています。ここでは詳細説明は割愛します。
とにかく、NGN網からは、RA と言う仕組みで IPV6 アドレスが接続時に動的に配布/設定されると言うことを覚えてください。
IPV6 を使いたいと言うのは、フレッツ光ネクストのオプション契約(無料)でしますが、実際のアドレスは動的に配布されます。
DNSサーバの割り当て
つづいいては DNS のお話です。自分の IPV6 アドレスはわかったとして、今度は相手のアドレスをどう知るかと言うことです。 Internet の世界であれば、ネームサービスとか DNS(Domain Name Service)とか名前解決とか言うものです。これは、NGN網の中でも同じです。今回の VPN 設定例では名前解決を必要としないのですが、NGN網の疎通確認としてDNSを使うことにします。
NGN網内の DNSサーバは、RAでも受け取る仕組みがあるのですが、 NVR500 では実装されていないと思います。たぶん。それで、DHCP で DNS サーバを受け取るこのにします。
|
実際の設定はこのようにします。
ipv6 lan2 address auto ipv6 lan2 address dhcp ipv6 lan2 dhcp service client ir=on ngn type lan2 ntt
ここで横道にそれますが、lan2 と言う単語が例に出ていますが、これが悪者です YAMAHAさん!。
機器のポートには WAN と表記されているのに、機器内部のファームウェアとしては lan2 なんです。最初 lan2 は、機器の LANポート4つあるうちの2番目か3番目のポートかと勘違いしました。この業界はよくインド人ではないですが、0から番号を振ることがあるので、2は3番目を指すこともあります。それで3番目かなとも思いました。しかし、結局は、WAN ポートのことじゃないですか。紛らわしい!
本筋に戻って3行について解説します。
1行目:WANポートの IPV6 のアドレスを RA で設定するというものです。auto と書いてありますが、良きにはからえと言う意味ではありません。マニュアルを見ると「RA で取得したプレフィックスとインタフェースのMAC アドレスからIPv6 アドレスを生成することを示すキーワード」と書かれてます。ログで IPV6 アドレスがRAで設定されていることを確認できます。下のログを見てください。このログは、debug ログですので、デフォルトの設定では確認できません。
[IPv6] prefix 2400:xxxx:yyyy:zzzz::/64 (vlife: 2592000, plife: 604800) is assigned from LAN2 (RA)
管理用WEBで[トップ] > [詳細設定と情報] > [本製品のログ(Syslog)のレポート作成]と辿ってSyslogの設定をデバッグモードも出力するようにすると確認できます。2400:xxxx:yyyy:zzzz::/64はプレフィックス部分だけを示しています。x、y、zは実際には16進の値です。LAN2の実際のアドレス128bitは、先に説明したとおりMACアドレスをベースに64bitが負荷されて生成されます。実際のアドレスは、管理用WEBで[トップ] > [詳細設定と情報] > [システム情報のレポート作成]で見ることができます。表示するとこんな感じです。x~z、a~dは、16進の値が入ります。
【 IPv6情報 】 # show ipv6 address : 割愛 : LAN2 scope-id 2 [up] Received: 864 packets 121219 octets Transmitted: 6423 packets 896009 octets グローバル 2422:xxxx:yyyy:zzzz:aaaa:bbbb:cccc:dddd/64 (lifetime: 604628/2591828)
2行目:ipv6 lan2 address dhcp は、マニュアルによればdhcpは「DHCPv6 で取得したプレフィックスとインタフェースのMAC アドレスからIPv6 アドレスを生成することを示すキーワード」と記述されていますが、ここでは IPV6 アドレスを取得する目的では使っていません。DNSサーバを知るために設定しています。実際のDNSサーバの情報は、ssh等で NVR500 に入り、show status ipv6 dhcpコマンドで確認できます。
# show status ipv6 dhcp
DHCPv6 status
LAN2 [client]
state: established
server:
DNS server[1]: 2404:1a8:7f01:b::3
DNS server[2]: 2404:1a8:7f01:a::3
Domain name[1]: flets-east.jp
Domain name[2]: iptvf.jp
SNTP server[1]: 2404:1a8:1102::b
SNTP server[2]: 2404:1a8:1102::a
IPV6 アドレスは、 DHCPV6 サーバから取得しないと言う話は、次の3行目になります。
3行目:ipv6 lan2 dhcp service client ir=on これは、 DHCPV6 クライアントとして動作するときに、自アドレスの割り当て要求をしないというものです。1行目で、RAでアドレスを取得することになっているので、2行目の DHCPV6 ではアドレスを要求したくないわけです。それで、アドレス以外の情報をもらいたいという設定になります。ir=off(デフォルト)にするとアドレスも要求するようになります。
4行目:マニュアルには、この設定で「NTT 東日本またはNTT 西日本が提供するNGN 網を使用する」とあります。また、色々なサイトでひかり電話の契約がある/なしで、この設定もある/なしにするようなことが書かれていますが、正直この設定の有無で何が違うのかわかりません。今回の例では、拠点Aではひかり電話契約あり、拠点Bではひかり電話契約なしですが、両拠点ともこの設定がありでうまく行っています。
|
ここまでで、NGN網から IPV6 アドレスとDNSサーバ情報を取得設定は終わりです。本日は、ここまです。
フレッツ光ネクストの乗換や新規申し込みは ↓↓↓ こちらからどうぞ。
次回は、 VPN を設定といきたいところですが、 VPN を設定する前にさらに設定すべき項目について書いていきます。