月別: 2020年8月

IPoEでのネットワークカメラへの外部からのアクセス(静的IPマスカレード機能)

さて、前回は、IPoEとPPPoEを併用した場合の外部からの
ネットワークカメラへのアクセスの設定例をご案内したが、今回は
PPPoEの接続なしに、IPoEプランだけで外部からアクセスする例を
ご紹介したと思う。構成例は以下のようになる。

IPoEプランでは、基本的にIPv4のグローバルIPアドレスは、アドレスシェアしていて、複数の契約者が共有して使っている。
そのためIPv4 over IPv6のMAP-E方式で使えるポート番号は限られている。

なので、まず使えるポート番号がないかを調べる必要がある。
ヤマハルータで以下のコマンドを入力すると
show nat descriptor address
使用できるポート番号を確認できる。以下実行例

外側アドレス map-e というところに表示されているIPアドレスが
グローバルIPv4アドレスということになる。
そして、ポート範囲と書かれているところが使えるポート番号の一覧ということになる。

このなかから、ネットワークカメラへのアクセスのためのポート番号を
選び静的IPマスカレード設定を行う。
例えば、ポート番号61296を使用するとする。

外部からのアクセスは、IPv4のグローバルIPアドレス(114.xxx.xxx.9)
ポート番号61296をめがけてやってくる。
それを内部のネットワークカメラのアドレスとポートに転送する
設定をしてあげれば良いことになる。

114.xxx.xxx.9:61296→192.168.10.100:80

ポイントになる設定を以下に抜粋します。
#MAP-Eのトンネルにフィルタを適用
tunnel select 1
tunnel encapsulation map-e
tunnel map-e type ocn
ip tunnel mtu 1460
ip tunnel secure filter in 300030 400100 300039

#フィルター設定
ip filter 300030 pass * 192.168.10.0/24 icmp * *
ip filter 300039 reject * *
ip filter 400100 pass * 192.168.10.100 tcp * www

#nat設定
nat descriptor masquerade static 1200 1 192.168.10.100 tcp 61296=www

フィルタの適用順番には意味があるので注意が必要です。
ip tunnel secure filter in 300030 400100 300039

ip tunnel secure filter in 300030 300039 400100
となると、アクセスがうまく行かない。
どうも前から順番に処理されるようで、フィルタ番号300039
は、すべてをreject(拒否する)という設定のため、先にその処理が
されてしまうとアクセスが拒否されてしまう。

設定手順を動画にしました。設定のほとんどは、WebGUIでやっています。

人生攻略ロードマップ

昨日、迫 佑樹氏の人生攻略ロードマップという本を買った。
とても読みやすく興味深い内容だったので一気に読んでしまった。

迫さんは、23歳にして年商10億越えしている実業家で、
彼の成功までの道のりを、他の人でも真似できるように、
10ステップにまとめたものだ。

とても参考になった。
今より収入を増やしたい。そのためには努力はいとわないという
人にはとても参考になると思う。

とても参考になった考え方は、身に着けるべきスキルは、
お金を払ってでも早く習得した方が、効率が良く
結果リターンも早く得られるというものだ。
まさに、その通りだなと思えた。

この本は、ほんと、買って良かった。興味ある人は、即買いをお勧めします。

読んでよかったで終わらないように実践に移していこうと思う。

IPoEとPPPoEの併用。ネットワークカメラへの外部からのアクセス(静的IPマスカレード機能)

IPoEプランでは、IPv4のグローバルIPアドレスは、複数の契約者で
共有しているので、OCNなどで利用されるMAP-E方式では、利用できるポート番号に制限がある。そのため、PPPoEと併用することで、ポート番号の制限を
気にせず設定可能となる。

上記のようなネットワーク構成例で、具体的な設定を考えていってみよう。

IPoEやPPPoE、そしてネットボランチDNSの設定などについては、
別のブログに書いているので、そちらを参考にしてほしい。
そこまで設定できているとして、外部からのアクセスをネットワークカメラに
転送(ポートフォワーディング)する設定を紹介したい。

ポートフォワーディングの設定とは、いわゆる静的IPマスカレード設定となる。
ポイントとしては、詳細設定のNAT設定より設定を行うが、
IPoEのNAT設定ではなく、PPPoE側のNAT設定を選んで設定する。

静的IPマスカレード設定にて、内側アドレスをネットワークカメラのIPアドレスにし、ポート番号は、カメラにアクセスするときに使用するポート番号を入力する。

通常は、これで準備完了だが、IPoEと併用しているため、
ここでもまた、フィルタ型ルーティングの設定が必要となる。
リモートアクセスVPNや拠点間VPNの時は、
プロトコルによって接続先を変える設定にしたが、
今回は、ホストによって接続先を変えるという設定を行う。

ネットワークカメラのIPアドレスが192.168.10.100として、
以下のような設定となる。

ip filter 500020 pass 192.168.10.100 * tcp * *
ip route default gateway tunnel 1 gateway pp 1 filter 500020


IPoEとPPPoEの併用。PPTPを使用したVPN拠点間接続とL2TP/IPSecリモートアクセスの設定手順④

前回の続きで、今回は、VPN拠点間接続設定とリモートアクセスVPN設定
のポイントをご案内しようと思う。

pptpの拠点間通信設定は、かんたん設定の拠点間接続より、
L2TP/IPSecのリモートアクセスの設定は、かんたん設定のリモートアクセスより実施する。

かんたん設定というだけあって、ここでの設定手順自体は簡単なので、ここでは細かい手順は割愛する。

ただ、単純に設定してもVPN接続はうまくいかない。
コンフィグの微調整が必要となる。

微調整とは、「フィルタ型ルーティング」が必要となる。

フィルタ型ルーティングについては、以下のヤマハのサイトに説明がある。

http://www.rtpro.yamaha.co.jp/RT/docs/filter-routing/filter-routing.html

ここまでの設定によりヤマハルータには、IPv4のインターネットに対して
IPoE のIPv4 over IPv6によるトンネルの経路と
PPPoEによる経路の2経路ができている。

そのため適切にルーティング設定をしてやらないとVPNの接続はうまく行かない。

拠点間VPNとリモートアクセスVPNに関しては、
PPPoEの経路を使うように設定する必要がある。
その設定が以下になる。

フィルタ設定
リモートアクセスVPNのためのフィルタ(2020/8/24 一部修正)
ip filter 500011 pass * * udp 500 *
ip filter 500012 pass * * udp 4500 *
ip filter 500013 pass * * udp 1701 *
ip filter 500014 pass * * esp * *

拠点間VPNのためのフィルタ
ip filter 500015 pass * * tcp 1723 *
ip filter 500016 pass * * tcp * 1723
ip filter 500017 pass * * gre

ルーティング設定
ip route default gateway tunnel 1 gateway pp 1 filter 500011 500012 500013 500014 500015 500016 500017

上記の設定をしてあげれば、拠点間VPNもリモートアクセスVPNも
正常に接続できるようになる。

次回は、IPoEとPPPoE併用時に外部からネットワークカメラにアクセス
するための静的IPマスカレード機能利用についてご紹介したいと思う。

手順を動画にまとめました。

IPoEとPPPoEの併用。PPTPを使用したVPN拠点間接続とL2TP/IPSecリモートアクセスの設定手順③

前回の続きになるが、以下のような構成の構築をしていく。

前回までで、RTX830のIPoE設定が終わったので、
PPPoE接続設定をしていく。

ウェブブラウザ―より、RTX830のWeb GUI設定画面にログインし、

かんたん設定のプロバイダー接続より、新規でPPPoE接続の設定を行う。

基本的には、プロバイダから通知された接続IDと接続パスワードを設定するだけ
なので、この後の手順は割愛する。

PPPoEの接続まで出来たら、次はネットボランチDNSの設定を行う。

かんたん設定からネットボランチDNSを選択し、設定ボタンを押す。

インターフェイスで、先ほど設定したPPPoEの接続名を選択し、
ホスト名を入力する。このホスト名は、すでに他の利用者が使用している
ホスト名は利用できない。オリジナルなホスト名である必要がある。

後は、表示される情報に従って進めていけば完了する。

nslookup などで、設定したホスト名で名前解決ができるか試してみよう。

実行例
C:\Users>nslookup xxxx830.aa0.netvolante.jp
サーバー: UnKnown
Address: 2400:XXXX:XXXX:7700::777

権限のない回答:
名前: xxxx830.aa0.netvolante.jp
Address: 153.xxx.xxx.36

と表示される。

この時、表示されるIPv4アドレスは、ヤマハルータでのコマンド

show status pp 1を実行して表示されたIPv4アドレス(PP IP Address Local)と同一になればダイナミックDNSサービスが機能しているということになる。

show status pp 1の実行結果抜粋
PP IP Address Local: 153.xxx.xxx.36, Remote: 118.23.9.241

ここまで確認できれば、Netvolante DNSサービスの設定は終わりだ。

次回は、拠点間VPNおよびリモートアクセスVPNの設定手順を行う。

手順を動画でまとめています。

IPoEとPPPoEの併用。PPTPを使用したVPN拠点間接続とL2TP/IPSecリモートアクセスの設定手順②

前回の続きを書いていこうと思う。

RTX830にコンソールケーブルを接続し、Teratermからログイン

管理者モードに移行し、初期化(cold start)

>administrator
Password:
#cold start
Password:
RTFS formatting……….. Done.
Restarting …

再起動後、デフォルト設定を確認。
#show config
ip lan1 address 192.168.100.1/24
telnetd host lan
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.191/24

RTX830は、デフォルトではこの5行の設定しかないということだ。
さらに、この5行の設定を削除

no ip lan1 address 192.168.100.1/24
no telnetd host lan
no dhcp service server
no dhcp server rfc2131 compliant except remain-silent
no dhcp scope 1 192.168.100.2-192.168.100.191/24

これで、設定行はすべてなくなり、空の設定になる。

ここに、OCNのIPoE設定をコマンドで入力していく。

設定値は、以下のヤマハルータのサイトの情報をマネする。

http://www.rtpro.yamaha.co.jp/RT/docs/ocn_map_e/index.html

基本的には、設定例をそのまま打ち込んでいけば動く。

#IPv6関連設定(RAプロキシの場合)
ipv6 prefix 1 ra-prefix@lan2::/64
ipv6 lan1 address ra-prefix@lan2::1/64
ipv6 lan1 rtadv send 1 o_flag=on
ipv6 lan1 dhcp service server
ipv6 lan2 dhcp service client ir=on
dns server dhcp lan2

#IPv4関連設定
ip route default gateway tunnel 1
ip lan1 address 192.168.100.1/24
tunnel select 1
tunnel encapsulation map-e
tunnel map-e type ocn
ip tunnel mtu 1460
ip tunnel nat descriptor 1000
tunnel enable 1
nat descriptor type 1000 masquerade
nat descriptor address outer 1000 map-e
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.191/24

#IPv4フィルター関連設定
ip tunnel secure filter in 200030 200039
ip tunnel secure filter out 200097 200098 200099 dynamic 200080 200082 200083 200084 200098 200099
ip filter 200030 pass * 192.168.100.0/24 icmp * *
ip filter 200039 reject *
ip filter 200097 pass * * icmp * *
ip filter 200098 pass * * tcp * *
ip filter 200099 pass * * udp * *
ip filter dynamic 200080 * * ftp
ip filter dynamic 200082 * * www
ip filter dynamic 200083 * * smtp
ip filter dynamic 200084 * * pop3
ip filter dynamic 200098 * * tcp
ip filter dynamic 200099 * * udp

#IPv6フィルター関連設定
ipv6 lan2 secure filter in 200030 200031 200038 200039
ipv6 lan2 secure filter out 200099 dynamic 200080 200081 200082 200083 200084 200098 200099
ipv6 filter 200030 pass * * icmp6 * *
ipv6 filter 200031 pass * * 4
ipv6 filter 200038 pass * * udp * 546
ipv6 filter 200039 reject *
ipv6 filter 200099 pass * * * * *
ipv6 filter dynamic 200080 * * ftp
ipv6 filter dynamic 200081 * * domain
ipv6 filter dynamic 200082 * * www
ipv6 filter dynamic 200083 * * smtp
ipv6 filter dynamic 200084 * * pop3
ipv6 filter dynamic 200098 * * tcp
ipv6 filter dynamic 200099 * * udp

ただ、これだと、後からWeb GUI設定でPPPoEの設定などを
加えた時に、設定が上書きされたり、入力したものが消えてしまったりする。
そこで一工夫。
NAT設定とフィルタ設定の番号を書き換えてやる。

いったんメモ帳などに張り付けて、置換などを活用すると楽だろう。
また、IPアドレスなども変更する場合は、それも編集すると良いだろう。

以下、編集後の設定例。書き換えたところの文字の色を変えている。

IPv6関連設定(RAプロキシの場合)
ipv6 prefix 1 ra-prefix@lan2::/64
ipv6 lan1 address ra-prefix@lan2::777/64
ipv6 lan1 rtadv send 1 o_flag=on
ipv6 lan1 dhcp service server
ipv6 lan2 dhcp service client ir=on
dns server dhcp lan2

#IPv4関連設定
ip route default gateway tunnel 1
ip lan1 address 192.168.1.30/24
tunnel select 1
tunnel encapsulation map-e
tunnel map-e type ocn
ip tunnel mtu 1460
ip tunnel nat descriptor 1200
tunnel enable 1
nat descriptor type 1200 masquerade
nat descriptor address outer 1200 map-e
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.1.100-192.168.1.149/24

#IPv4フィルター関連設定
ip tunnel secure filter in 300030 300039
ip tunnel secure filter out 300097 300098 300099 dynamic 300080 300082 300083 300084 300098 300099
ip filter 300030 pass * 192.168.1.0/24 icmp * *
ip filter 300039 reject *
ip filter 300097 pass * * icmp * *
ip filter 300098 pass * * tcp * *
ip filter 300099 pass * * udp * *
ip filter dynamic 300080 * * ftp
ip filter dynamic 300082 * * www
ip filter dynamic 300083 * * smtp
ip filter dynamic 300084 * * pop3
ip filter dynamic 300098 * * tcp
ip filter dynamic 300099 * * udp

#IPv6フィルター関連設定
ipv6 lan2 secure filter in 300030 300031 300038 300039
ipv6 lan2 secure filter out 300099 dynamic 300080 300081 300082 300083 300084 300098 300099
ipv6 filter 300030 pass * * icmp6 * *
ipv6 filter 300031 pass * * 4
ipv6 filter 300038 pass * * udp * 546
ipv6 filter 300039 reject *
ipv6 filter 300099 pass * * * * *
ipv6 filter dynamic 300080 * * ftp
ipv6 filter dynamic 300081 * * domain
ipv6 filter dynamic 300082 * * www
ipv6 filter dynamic 300083 * * smtp
ipv6 filter dynamic 300084 * * pop3
ipv6 filter dynamic 300098 * * tcp
ipv6 filter dynamic 300099 * * udp

saveコマンドで設定を保存

設定後、show ipv6 addressコマンドでIPv6アドレスを確認。

# show ipv6 address
LAN1 scope-id 1 [down]
Received: 0 packet 0 octet
Transmitted: 0 packet 0 octet

グローバル 2400:XXXX:XXXX:7700::777/64 (lifetime: 12543/14343)
グローバル 2400:XXXX:XXXX:7700:72:94a1:900:3700/64 (lifetime: INFINITY)
リンクローカル ff02::1/64
リンクローカル ff02::2/64
リンクローカル ff02::1:2/64
リンクローカル ff02::1:ff00:777/64
リンクローカル ff02::1:ff00:3700/64

IPv4 over IPv6のトンネルも動作していることを確認。
# show status tunnel 1
TUNNEL[1]:
説明:
インタフェースの種類: MAP-E
IPv6: 2400:XXXX::XXXX:72:94a1:900:3700
トンネルインタフェースは接続されています
開始: 2020/08/17 21:24:40
通信時間: 3分5秒
受信: (IPv4) 0 パケット [0 オクテット]
(IPv6) 0 パケット [0 オクテット]
送信: (IPv4) 0 パケット [0 オクテット]
(IPv6) 0 パケット [0 オクテット]

IPv4でインターネットと通信できることを確認。
# ping 8.8.8.8
8.8.8.8から受信: シーケンス番号=0 ttl=115 時間=28.226ミリ秒
8.8.8.8から受信: シーケンス番号=1 ttl=115 時間=22.758ミリ秒
8.8.8.8から受信: シーケンス番号=2 ttl=115 時間=22.983ミリ秒

#show nat descriptor address
を実行すると、割り当てられたIPv4アドレスおよび使用可能なポート番号が確認できる。

これで、コマンドによるOCN のIPoE設定は 完了となる。

OCN 接続確認サイトにアクセスしてみる。
https://v6test.ocn.ne.jp/

次回のブログではPPPoE設定、Netvolante DNS設定をしていこうと思う。

手順を動画でまとめました。

IPoEとPPPoEの併用。PPTPを使用したVPN拠点間接続とL2TP/IPSecリモートアクセスの設定手順①

今回、タイトルにあるような構成で、ヤマハルータの設定を行ってみたので、
設定手順を詳しくご案内したいと思う。

図では以下のような感じになる。

通常のインターネットへのアクセスは、遅延が少ないIPoEを使い
VPN拠点間接続やリモートアクセスVPNについてはPPPoE側を使う。

図のRTX830の設定は、IPoE部分はコマンドで行い。
PPPoE周りの設定はWeb設定画面にて行った。


コマンド設定とWeb設定画面での設定を混在させると
意図しない設定などが行われ、正しく設定されないことになりがちだが、
その辺は、少し工夫して行ったので、参考にしてもらえればと思う。

IPoEの契約は、OCNなので、ヤマハサイトの設定例の以下を参考にした。

http://www.rtpro.yamaha.co.jp/RT/docs/ocn_map_e/index.html

まずはRTX830にコンソールケーブルを接続し、Teratermでログインする。

ヤマハルータを扱う人は、コンソールケーブルを持っていると何かと便利だ。

Teratermでログインしたら、とりあえず初期化を行う

cold start コマンドで初期化が行える

初期化後、再起動され、show configで設定を確認すると

デフォルトの設定が何行かされているので、これもひとまず消して

いったん空にする。

既存設定を消すには、設定行にnoを頭につけて実行する。

例)

no ip lan1 address 192.168.100.1/24

具体的な設定について、次のブログに続きを書きます。

手順を動画でまとめました。

IPoEプランとダイナミックDNSサービス

「ダイナミックDNSサービス」とは、
グローバルIPアドレスとホスト名を紐づけるサービスだが、

通常のPPPoEプランで、インターネットに接続した場合、
ルータに割り当てられるグローバルIPアドレスは、
接続するたびに別のグローバルIPアドレスが割り当てられます。

外部からのリモートアクセスや拠点間でのVPN設定時に
IPアドレスの指定をして設定しても値がコロコロ変わってしまうと
運用が難しいので、ホスト名を設定して、
そのホスト名に紐づいたIPアドレスがなにかを問い合わせできる
サービスが「ダイナミックDNSサービス」だ。

なんとなく、IPoEプランでも別にできるかなと思っていたが、
実際にIPoEの設定をしたヤマハルータで、Netvolante DNSサービスの設定をしようとしたところ設定できない。

netvolante-dns hostname host コマンドで設定試みるが、
host の後に入力できるのは、lan やpp などしか選択肢がない。

# netvolante-dns hostname host ?
? lan1 lan1.1 lan1.2 lan1.3 lan1.4 lan1/<1-32> lan2 lan2/<1-32> pp vlan1 vlan2 vlan3 vlan4 wan1

よくよく考えてみると、
IPoEの動的IPプランとは、複数の契約者で、同一のグローバルIPアドレス(IPv4)を共有して利用するものなので、
もし仮に、ダイナミックDNSサービスの設定ができたとしても、なにかしらの弊害が発生すると考えている。

<2020/8/23追記>
と、思っていたが、よくよく考えてみると、
それぞれの契約者が、割り当てられたIPv4アドレスに対して
ダイナミックDNSサービスを利用したとして、
1つのIPv4アドレスに対して、それぞれ別々のホスト名を付ける
という話なわけだから、案外問題ないのかも!?
1つのホスト名に複数のIPv4が割当たるのは問題だが、
逆は、ポート番号さえ気を付ければ実質問題ないかもですね。

では、ネットワークカメラなどを外部からアクセスしたい場合、
なにがなんでもIPoE(固定IPプラン)にしなければならないかと言うと、
そうでもなく、ごくまれに起こるかもしれない不都合時は、
まあその時対応するからいいよ。ということであれば、
IPoE(動的IPプラン)でも、基本問題ないかなと思う。

IPoEのIPv4 over IPv6で利用されるグローバルIPアドレス(IPv4)は、
PPPoEのように、接続のたびに別のアドレスになってしまうわけではなく
基本的には通常変わらないと考えられるからだ。よって、ホスト名ではなく、IPアドレスにて設定をしておけば良いという話になる。


あくまで、動的IPプランなので、IPアドレスが変わらないことを
保障する契約ではないものの実質、固定IPプランのようなものだと思う。
ただし、ポート番号は自由には使えませんので、ご注意くださいね。