IPoEでのネットワークカメラへの外部からのアクセス（静的IPマスカレード機能）

さて、前回は、IPoEとPPPoEを併用した場合の外部からの
ネットワークカメラへのアクセスの設定例をご案内したが、今回は
PPPoEの接続なしに、IPoEプランだけで外部からアクセスする例を
ご紹介したと思う。構成例は以下のようになる。

IPoEプランでは、基本的にIPv4のグローバルIPアドレスは、アドレスシェアしていて、複数の契約者が共有して使っている。
そのためIPv4 over IPv6のMAP-E方式で使えるポート番号は限られている。

なので、まず使えるポート番号がないかを調べる必要がある。
ヤマハルータで以下のコマンドを入力すると
show nat descriptor address
使用できるポート番号を確認できる。以下実行例

外側アドレス　map-e というところに表示されているIPアドレスが
グローバルIPv4アドレスということになる。
そして、ポート範囲と書かれているところが使えるポート番号の一覧ということになる。

このなかから、ネットワークカメラへのアクセスのためのポート番号を
選び静的IPマスカレード設定を行う。
例えば、ポート番号61296を使用するとする。

外部からのアクセスは、IPv4のグローバルIPアドレス（114.xxx.xxx.9）
ポート番号61296をめがけてやってくる。
それを内部のネットワークカメラのアドレスとポートに転送する
設定をしてあげれば良いことになる。

114.xxx.xxx.9:61296→192.168.10.100:80

ポイントになる設定を以下に抜粋します。
＃MAP-Eのトンネルにフィルタを適用
tunnel select 1
tunnel encapsulation map-e
tunnel map-e type ocn
ip tunnel mtu 1460
ip tunnel secure filter in 300030 400100 300039

＃フィルター設定
ip filter 300030 pass * 192.168.10.0/24 icmp * *
ip filter 300039 reject * *
ip filter 400100 pass * 192.168.10.100 tcp * www

＃nat設定
nat descriptor masquerade static 1200 1 192.168.10.100 tcp 61296=www

フィルタの適用順番には意味があるので注意が必要です。
ip tunnel secure filter in 300030 400100 300039
が
ip tunnel secure filter in 300030 300039 400100
となると、アクセスがうまく行かない。
どうも前から順番に処理されるようで、フィルタ番号300039
は、すべてをreject(拒否する)という設定のため、先にその処理が
されてしまうとアクセスが拒否されてしまう。

設定手順を動画にしました。設定のほとんどは、WebGUIでやっています。

IPoEとPPPoEの併用。ネットワークカメラへの外部からのアクセス（静的IPマスカレード機能）

IPoEプランでは、IPv4のグローバルIPアドレスは、複数の契約者で
共有しているので、OCNなどで利用されるMAP-E方式では、利用できるポート番号に制限がある。そのため、PPPoEと併用することで、ポート番号の制限を
気にせず設定可能となる。

上記のようなネットワーク構成例で、具体的な設定を考えていってみよう。

IPoEやPPPoE、そしてネットボランチDNSの設定などについては、
別のブログに書いているので、そちらを参考にしてほしい。
そこまで設定できているとして、外部からのアクセスをネットワークカメラに
転送（ポートフォワーディング）する設定を紹介したい。

ポートフォワーディングの設定とは、いわゆる静的IPマスカレード設定となる。
ポイントとしては、詳細設定のNAT設定より設定を行うが、
IPoEのNAT設定ではなく、PPPoE側のNAT設定を選んで設定する。

静的IPマスカレード設定にて、内側アドレスをネットワークカメラのIPアドレスにし、ポート番号は、カメラにアクセスするときに使用するポート番号を入力する。

通常は、これで準備完了だが、IPoEと併用しているため、
ここでもまた、フィルタ型ルーティングの設定が必要となる。
リモートアクセスVPNや拠点間VPNの時は、
プロトコルによって接続先を変える設定にしたが、
今回は、ホストによって接続先を変えるという設定を行う。

ネットワークカメラのIPアドレスが192.168.10.100として、
以下のような設定となる。

ip filter 500020 pass 192.168.10.100 * tcp * *
ip route default gateway tunnel 1 gateway pp 1 filter 500020

IPoEとPPPoEの併用。PPTPを使用したVPN拠点間接続とL2TP/IPSecリモートアクセスの設定手順③

前回の続きになるが、以下のような構成の構築をしていく。

前回までで、RTX830のIPoE設定が終わったので、
PPPoE接続設定をしていく。

ウェブブラウザ―より、RTX830のWeb GUI設定画面にログインし、

かんたん設定のプロバイダー接続より、新規でPPPoE接続の設定を行う。

基本的には、プロバイダから通知された接続IDと接続パスワードを設定するだけ
なので、この後の手順は割愛する。

PPPoEの接続まで出来たら、次はネットボランチDNSの設定を行う。

かんたん設定からネットボランチDNSを選択し、設定ボタンを押す。

インターフェイスで、先ほど設定したPPPoEの接続名を選択し、
ホスト名を入力する。このホスト名は、すでに他の利用者が使用している
ホスト名は利用できない。オリジナルなホスト名である必要がある。

後は、表示される情報に従って進めていけば完了する。

nslookup などで、設定したホスト名で名前解決ができるか試してみよう。

実行例
C:\Users>nslookup xxxx830.aa0.netvolante.jp
サーバー: UnKnown
Address: 2400:XXXX:XXXX:7700::777

権限のない回答:
名前: xxxx830.aa0.netvolante.jp
Address: 153.xxx.xxx.36

と表示される。

この時、表示されるIPv4アドレスは、ヤマハルータでのコマンド

show status pp 1を実行して表示されたIPv4アドレス（PP IP Address Local）と同一になればダイナミックDNSサービスが機能しているということになる。

show status pp 1の実行結果抜粋
PP IP Address Local: 153.xxx.xxx.36, Remote: 118.23.9.241

ここまで確認できれば、Netvolante DNSサービスの設定は終わりだ。

次回は、拠点間VPNおよびリモートアクセスVPNの設定手順を行う。

手順を動画でまとめています。

IPoEとPPPoEの併用。PPTPを使用したVPN拠点間接続とL2TP/IPSecリモートアクセスの設定手順②

前回の続きを書いていこうと思う。

RTX830にコンソールケーブルを接続し、Teratermからログイン

管理者モードに移行し、初期化（cold start）

>administrator
Password:
#cold start
Password:
RTFS formatting……….. Done.
Restarting …

再起動後、デフォルト設定を確認。
#show config
ip lan1 address 192.168.100.1/24
telnetd host lan
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.191/24

RTX830は、デフォルトではこの5行の設定しかないということだ。
さらに、この5行の設定を削除

no ip lan1 address 192.168.100.1/24
no telnetd host lan
no dhcp service server
no dhcp server rfc2131 compliant except remain-silent
no dhcp scope 1 192.168.100.2-192.168.100.191/24

これで、設定行はすべてなくなり、空の設定になる。

ここに、OCNのIPoE設定をコマンドで入力していく。

設定値は、以下のヤマハルータのサイトの情報をマネする。

http://www.rtpro.yamaha.co.jp/RT/docs/ocn_map_e/index.html

基本的には、設定例をそのまま打ち込んでいけば動く。

#IPv6関連設定(RAプロキシの場合)
ipv6 prefix 1 ra-prefix@lan2::/64
ipv6 lan1 address ra-prefix@lan2::1/64
ipv6 lan1 rtadv send 1 o_flag=on
ipv6 lan1 dhcp service server
ipv6 lan2 dhcp service client ir=on
dns server dhcp lan2

#IPv4関連設定
ip route default gateway tunnel 1
ip lan1 address 192.168.100.1/24
tunnel select 1
tunnel encapsulation map-e
tunnel map-e type ocn
ip tunnel mtu 1460
ip tunnel nat descriptor 1000
tunnel enable 1
nat descriptor type 1000 masquerade
nat descriptor address outer 1000 map-e
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.191/24

#IPv4フィルター関連設定
ip tunnel secure filter in 200030 200039
ip tunnel secure filter out 200097 200098 200099 dynamic 200080 200082 200083 200084 200098 200099
ip filter 200030 pass * 192.168.100.0/24 icmp * *
ip filter 200039 reject *
ip filter 200097 pass * * icmp * *
ip filter 200098 pass * * tcp * *
ip filter 200099 pass * * udp * *
ip filter dynamic 200080 * * ftp
ip filter dynamic 200082 * * www
ip filter dynamic 200083 * * smtp
ip filter dynamic 200084 * * pop3
ip filter dynamic 200098 * * tcp
ip filter dynamic 200099 * * udp

#IPv6フィルター関連設定
ipv6 lan2 secure filter in 200030 200031 200038 200039
ipv6 lan2 secure filter out 200099 dynamic 200080 200081 200082 200083 200084 200098 200099
ipv6 filter 200030 pass * * icmp6 * *
ipv6 filter 200031 pass * * 4
ipv6 filter 200038 pass * * udp * 546
ipv6 filter 200039 reject *
ipv6 filter 200099 pass * * * * *
ipv6 filter dynamic 200080 * * ftp
ipv6 filter dynamic 200081 * * domain
ipv6 filter dynamic 200082 * * www
ipv6 filter dynamic 200083 * * smtp
ipv6 filter dynamic 200084 * * pop3
ipv6 filter dynamic 200098 * * tcp
ipv6 filter dynamic 200099 * * udp

ただ、これだと、後からWeb GUI設定でPPPoEの設定などを
加えた時に、設定が上書きされたり、入力したものが消えてしまったりする。
そこで一工夫。
NAT設定とフィルタ設定の番号を書き換えてやる。

いったんメモ帳などに張り付けて、置換などを活用すると楽だろう。
また、IPアドレスなども変更する場合は、それも編集すると良いだろう。

以下、編集後の設定例。書き換えたところの文字の色を変えている。

IPv6関連設定(RAプロキシの場合)
ipv6 prefix 1 ra-prefix@lan2::/64
ipv6 lan1 address ra-prefix@lan2::777/64
ipv6 lan1 rtadv send 1 o_flag=on
ipv6 lan1 dhcp service server
ipv6 lan2 dhcp service client ir=on
dns server dhcp lan2

#IPv4関連設定
ip route default gateway tunnel 1
ip lan1 address 192.168.1.30/24
tunnel select 1
tunnel encapsulation map-e
tunnel map-e type ocn
ip tunnel mtu 1460
ip tunnel nat descriptor 1200
tunnel enable 1
nat descriptor type 1200 masquerade
nat descriptor address outer 1200 map-e
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.1.100-192.168.1.149/24

#IPv4フィルター関連設定
ip tunnel secure filter in 300030 300039
ip tunnel secure filter out 300097 300098 300099 dynamic 300080 300082 300083 300084 300098 300099
ip filter 300030 pass * 192.168.1.0/24 icmp * *
ip filter 300039 reject *
ip filter 300097 pass * * icmp * *
ip filter 300098 pass * * tcp * *
ip filter 300099 pass * * udp * *
ip filter dynamic 300080 * * ftp
ip filter dynamic 300082 * * www
ip filter dynamic 300083 * * smtp
ip filter dynamic 300084 * * pop3
ip filter dynamic 300098 * * tcp
ip filter dynamic 300099 * * udp

#IPv6フィルター関連設定
ipv6 lan2 secure filter in 300030 300031 300038 300039
ipv6 lan2 secure filter out 300099 dynamic 300080 300081 300082 300083 300084 300098 300099
ipv6 filter 300030 pass * * icmp6 * *
ipv6 filter 300031 pass * * 4
ipv6 filter 300038 pass * * udp * 546
ipv6 filter 300039 reject *
ipv6 filter 300099 pass * * * * *
ipv6 filter dynamic 300080 * * ftp
ipv6 filter dynamic 300081 * * domain
ipv6 filter dynamic 300082 * * www
ipv6 filter dynamic 300083 * * smtp
ipv6 filter dynamic 300084 * * pop3
ipv6 filter dynamic 300098 * * tcp
ipv6 filter dynamic 300099 * * udp

saveコマンドで設定を保存

設定後、show ipv6 addressコマンドでIPv6アドレスを確認。

# show ipv6 address
LAN1 scope-id 1 [down]
Received: 0 packet 0 octet
Transmitted: 0 packet 0 octet

グローバル 2400:XXXX:XXXX:7700::777/64 (lifetime: 12543/14343)
グローバル 2400:XXXX:XXXX:7700:72:94a1:900:3700/64 (lifetime: INFINITY)
リンクローカル ff02::1/64
リンクローカル ff02::2/64
リンクローカル ff02::1:2/64
リンクローカル ff02::1:ff00:777/64
リンクローカル ff02::1:ff00:3700/64

IPv4 over IPv6のトンネルも動作していることを確認。
# show status tunnel 1
TUNNEL[1]:
説明:
インタフェースの種類: MAP-E
IPv6: 2400:XXXX::XXXX:72:94a1:900:3700
トンネルインタフェースは接続されています
開始: 2020/08/17 21:24:40
通信時間: 3分5秒
受信: (IPv4) 0 パケット [0 オクテット]
(IPv6) 0 パケット [0 オクテット]
送信: (IPv4) 0 パケット [0 オクテット]
(IPv6) 0 パケット [0 オクテット]

IPv4でインターネットと通信できることを確認。
# ping 8.8.8.8
8.8.8.8から受信: シーケンス番号=0 ttl=115 時間=28.226ミリ秒
8.8.8.8から受信: シーケンス番号=1 ttl=115 時間=22.758ミリ秒
8.8.8.8から受信: シーケンス番号=2 ttl=115 時間=22.983ミリ秒

#show nat descriptor address
を実行すると、割り当てられたIPv4アドレスおよび使用可能なポート番号が確認できる。

これで、コマンドによるOCN のIPoE設定は 完了となる。

OCN　接続確認サイトにアクセスしてみる。
https://v6test.ocn.ne.jp/

次回のブログではPPPoE設定、Netvolante DNS設定をしていこうと思う。

手順を動画でまとめました。

IPoEプランとダイナミックDNSサービス

「ダイナミックDNSサービス」とは、
グローバルIPアドレスとホスト名を紐づけるサービスだが、

通常のPPPoEプランで、インターネットに接続した場合、
ルータに割り当てられるグローバルIPアドレスは、
接続するたびに別のグローバルIPアドレスが割り当てられます。

外部からのリモートアクセスや拠点間でのVPN設定時に
IPアドレスの指定をして設定しても値がコロコロ変わってしまうと
運用が難しいので、ホスト名を設定して、
そのホスト名に紐づいたIPアドレスがなにかを問い合わせできる
サービスが「ダイナミックDNSサービス」だ。

なんとなく、IPoEプランでも別にできるかなと思っていたが、
実際にIPoEの設定をしたヤマハルータで、Netvolante DNSサービスの設定をしようとしたところ設定できない。

netvolante-dns hostname host コマンドで設定試みるが、
host の後に入力できるのは、lan やpp などしか選択肢がない。

# netvolante-dns hostname host ?
? lan1 lan1.1 lan1.2 lan1.3 lan1.4 lan1/<1-32> lan2 lan2/<1-32> pp vlan1 vlan2 vlan3 vlan4 wan1

よくよく考えてみると、
IPoEの動的IPプランとは、複数の契約者で、同一のグローバルIPアドレス（IPv4）を共有して利用するものなので、
もし仮に、ダイナミックDNSサービスの設定ができたとしても、なにかしらの弊害が発生すると考えている。

＜2020/8/23追記＞
と、思っていたが、よくよく考えてみると、
それぞれの契約者が、割り当てられたIPv4アドレスに対して
ダイナミックDNSサービスを利用したとして、
１つのIPv4アドレスに対して、それぞれ別々のホスト名を付ける
という話なわけだから、案外問題ないのかも！？
１つのホスト名に複数のIPv4が割当たるのは問題だが、
逆は、ポート番号さえ気を付ければ実質問題ないかもですね。

では、ネットワークカメラなどを外部からアクセスしたい場合、
なにがなんでもIPoE（固定IPプラン）にしなければならないかと言うと、
そうでもなく、ごくまれに起こるかもしれない不都合時は、
まあその時対応するからいいよ。ということであれば、
IPoE（動的IPプラン）でも、基本問題ないかなと思う。

IPoEのIPv4 over IPv6で利用されるグローバルIPアドレス（IPv4）は、
PPPoEのように、接続のたびに別のアドレスになってしまうわけではなく
基本的には通常変わらないと考えられるからだ。よって、ホスト名ではなく、IPアドレスにて設定をしておけば良いという話になる。

あくまで、動的IPプランなので、IPアドレスが変わらないことを
保障する契約ではないものの実質、固定IPプランのようなものだと思う。
ただし、ポート番号は自由には使えませんので、ご注意くださいね。