設定例集#83: ダイナミックDNSサービスを利用したホスト名(FQDN)によるフレッツ網内VPN接続(IPv4 over IPv6 IPsecトンネルによるルーティング構成)

構成
事前設定
ルーターA(本製品)の設定
ルーターB(AR4050S)の設定
設定の保存
ファイアウォールログについて
ルーターA(本製品)のコンフィグ
ルーターB(AR4050S)のコンフィグ

設定例集#83: [ 設定例集目次 ] ページ内目次

本設定例では、ソフトイーサ社が提供する「OPEN IPv6 ダイナミック DNS for フレッツ・光ネクスト」サービスを利用して、フレッツ・光ネクスト網内のIPv6折り返し通信でIPv4 over IPv6 IPsec VPNを構築し、拠点間をレイヤー3で接続する手順を説明します。

IPv6ネットワーク上にVPNを構築するには接続先VPNルーターのグローバルIPv6アドレスを指定する必要がありますが、ダイナミックDNSサービスを利用すれば、VPNの接続先をIPv6アドレスではなく、ダイナミックDNSサービスサイトに登録したホスト名(FQDN)で指定できるようになります。これにより、すべての拠点が動的IPv6アドレスの場合でも、VPNを構築できるようになります。

ルーターは起動時に自身のWAN側インターフェース情報(IPv6アドレス)をダイナミックDNSサーバーに登録します。そして、その後IPv6アドレスが変更されたときには、自動的に登録アドレスを更新します。これにより、DNSサーバーはつねにルーターのホスト名に対応する最新のIPv6アドレスを保持することができます。

なお、ここではルーターAを本製品とし、ルーターBは弊社AT-AR4050Sを想定しています。

構成

設定例集#83: [ 設定例集目次 ] ページ内目次

 
ルーターA(本社)
(本製品)
ルーターB(支社)
(AR4050S)
ルーターの基本設定
WAN側物理インターフェース eth1 eth1
WAN側(eth1)IPv6アドレス 自動設定(SLAAC) 自動設定(SLAAC)
LAN側(eth0/vlan1)IPアドレス 192.168.10.1/24 192.168.20.1/24
IKEフェーズ1(ISAKMP)設定
IKEバージョン
IKEv2
ダイナミックDNSサービス情報
更新専用URL* http://ddnsapi-v6.open.ad.jp/api/renew/?ABCDEFGHIJKLMNOPQR http://ddnsapi-v6.open.ad.jp/api/renew/?RQPONMLKJIHGFEDCBA
ホスト名(FQDN) sample1.i.open.ad.jp sample2.i.open.ad.jp
* ルーターが取得したIPv6アドレスを「OPEN IPv6 ダイナミック DNS for フレッツ・光ネクスト」サービスに登録したホスト名(FQDN)と関連付けるには、「専用更新URL」を使用します。
* ルーターが使用するホスト名(FQDN)や専用更新URLは、あらかじめ取得してあるものとします。

[事前共有鍵]

■ ダイナミックDNSサーバーへのIPv6アドレス登録(更新)までの流れ:
  1. ルーターA、Bは、ダイナミックDNSサーバーのIPv6アドレス情報を知るため、DHCPv6で取得したDNSサーバー宛に名前解決を行います。

  2. ダイナミックDNSクライアント機能により自身のIPv6アドレスをダイナミックDNSサーバーへ通知します。

■ IPsec通信開始までの流れ:
  1. 対向機器のLAN側IPアドレス宛ての通信が発生すると、ルーターのトンネルインターフェースに設定されている宛先FQDNアドレスの名前解決をするため、DHCPv6で取得したDNSサーバー宛に問い合わせを行います。

  2. 名前解決後、取得したIPv6アドレス情報でIPsecの接続を開始します。

■ 障害 復旧時:
  1. ルーターA、Bで通信断が発生すると、IPsec DPDが動作しタイムアウト後にSAを削除します。

  2. ルーターA、BはダイナミックDNSクライアント機能により1分間隔で自身のIPv6アドレスをダイナミックDNSサーバーへ通知します。

  3. ルーターのトンネルインターフェースに設定されている宛先FQDNアドレスの名前解決をするため、DHCPv6で取得したDNSサーバー宛に問い合わせを行います。

  4. 名前解決後、取得したIPv6アドレス情報でIPsecの接続を開始します。

事前設定

設定例集#83: [ 設定例集目次 ] ページ内目次

本設定例は、あらかじめ AT-AR4000S-Cloud の仮想マシンに下記インターフェースを割り当て、管理用IPアドレスを設定していることを前提としています。
仮想マシンの設定については「環境別ガイド」をご参照ください。
インターフェース名
IPv4アドレス
備考
eth0 192.168.10.1/24 管理用IPアドレス
eth1 未設定  
Note
構成が異なる場合はインターフェース名などを適宜読み替えてください。


ルーターA(本製品)の設定

設定例集#83: [ 設定例集目次 ] ページ内目次
  1. ダイナミックDNSクライアント機能を有効にします。これには、ddns enableコマンドを使います。
    ddns enable
  2. アップデートサーバーにIPv6アドレスの更新情報を通知するためのダイナミックDNS(DDNS)サービス固有設定を作成します。
    これには、ddns-update-methodコマンドでDDNSアップデートメソッドモードに入り、update-urlupdate-intervalsuppress-ipv4-updatesの各コマンドで具体的なパラメーターを設定します。
    ダイナミックDNSクライアント機能の詳細は「IP付加機能」/「ダイナミックDNSクライアント」をご覧ください。

    ※クエリーパラメーターの開始を表す「?」をCLIから入力するには、Ctrl/V キーを入力してから ? を入力してください。単に ? を入力するとCLIヘルプが表示されてしまうためご注意ください。
    ddns-update-method openddns
 update-url http://ddnsapi-v6.open.ad.jp/api/renew/?ABCDEFGHIJKLMNOPQR
 update-interval 1
 suppress-ipv4-updates
  3. WANポートeth1でIPv6のステートレスアドレス自動設定(SLAAC)を有効にします。これにはipv6 enableコマンドを使います。
    この設定により、ルーターから受信したRAのプレフィックス情報にもとづいてeth1のIPv6アドレスが自動設定されます。
    また、DNSサーバーアドレスもDHCPv6サーバーから自動取得します。
    IPv6インターフェースの詳細は「IPv6」/「IPv6インターフェース」をご覧ください。

    さらにアップデートサーバーへのアドレス更新通知のためダイナミックDNSクライアント機能を有効にします。これには、ipv6 ddns-update-methodコマンドを使います。
    interface eth1
 ipv6 enable
 ipv6 ddns-update-method openddns
  4. LAN側インターフェースeth0のIPアドレスは、事前設定時に設定済みのため、次のコマンドを手で入力する必要はありません。
    interface eth0
 ip address 192.168.10.1/24
  5. IPv6パケット転送機能を有効化します。これにはipv6 forwardingコマンドを使います。
    ipv6 forwarding
  6. ファイアウォールやNATのルール作成時に使うエンティティー(通信主体)を定義します。
    エンティティー定義の詳細は「UTM」/「エンティティー定義」をご覧ください。

    外部ネットワークを表すゾーン「ipv6-internet」を作成します。
    これには、zonenetworkipv6 subnethostipv6 addressの各コマンドを使います。
    zone ipv6-internet
 network wan
  ipv6 subnet ::/0 interface eth1
  host eth1
   ipv6 address dynamic interface eth1
  7. 内部ネットワークを表すゾーン「ipv4-internal」を作成します。
    前記コマンドに加え、ここではip subnetコマンドも使います。
    zone ipv4-internal
 network lan
  ip subnet 172.16.0.0/30
  ip subnet 192.168.0.0/16
  8. ファイアウォールのルール作成時に通信内容を指定するために使う「アプリケーション」を定義します。
    これには、applicationprotocoldportの各コマンドを使います。
    アプリケーション定義の詳細は「UTM」/「アプリケーション定義」をご覧ください。

    DHCPv6パケットを表すカスタムアプリケーション「dhcpv6」を定義します。
    application dhcpv6
 protocol udp
 dport 546 to 547
  9. IPsecのESPパケットを表すカスタムアプリケーション「esp」を定義します。 
    application esp
 protocol 50
  10. ICMPv6パケットを表すカスタムアプリケーション「icmpv6」を定義します。 
    application icmpv6
 protocol ipv6-icmp
  11. ISAKMPパケットを表すカスタムアプリケーション「isakmp」を定義します。 
    application isakmp
 protocol udp
 dport 500
  12. 外部からの通信を遮断しつつ、内部からの通信は自由に行えるようにするファイアウォール機能の設定を行います。
    これには、firewallruleprotectの各コマンドを使います。

    ・rule 10 - 本製品のWAN側インターフェースからのIPv6通信を許可します
    ・rule 20 - ISAKMPパケットを許可します
    ・rule 30 - IPsec(ESP)パケットを許可します
    ・rule 40 - DHCPv6パケットを許可します
    ・rule 50 - ICMPv6パケットを許可します
    ・rule 100 - 内部から内部へのIPv4通信を許可します

    ファイアウォールの詳細は「UTM」/「ファイアウォール」をご覧ください。
    firewall
 rule 10 permit any from ipv6-internet.wan.eth1 to ipv6-internet
 rule 20 permit isakmp from ipv6-internet to ipv6-internet.wan.eth1
 rule 30 permit esp from ipv6-internet to ipv6-internet.wan.eth1
 rule 40 permit dhcpv6 from ipv6-internet to ipv6-internet.wan.eth1
 rule 50 permit icmpv6 from ipv6-internet to ipv6-internet.wan.eth1
 rule 100 permit any from ipv4-internal to ipv4-internal
 protect
  13. 対向ルーターとの間で使用するISAKMPの事前共有鍵を設定します。これにはcrypto isakmp keyコマンドを使います。
    crypto isakmp key secret policy tunnel0
  14. IPv4 over IPv6 IPsecトンネルインターフェースtunnel0を作成します。
    トンネルインターフェースはinterfaceコマンドで作成し、以下の設定を行います。

    ・トンネルインターフェースから送信するデリバリーパケットの始点(自装置)アドレス(tunnel source
    ・トンネルインターフェースから送信するデリバリーパケットの終点(対向装置)アドレス(tunnel destination
    ・保護対象パケット(トラフィックセレクター)のローカルアドレス(tunnel local selector
    ・保護対象パケット(トラフィックセレクター)のリモートアドレス(tunnel remote selector
    ・トンネルインターフェースに対するIPsec保護の適用(tunnel protection ipsec
    ・トンネリング方式(tunnel mode ipsec
    ・トンネルインターフェースのIPアドレス(ip address
    ・トンネルインターフェースにおけるMSS書き換え設定(ip tcp adjust-mss

    トンネルインターフェースの詳細は「VPN」/「トンネルインターフェース」を、IPsecの詳細は「VPN」/「IPsec」をご覧ください。
    interface tunnel0
 tunnel source eth1
 tunnel destination sample2.i.open.ad.jp
 tunnel local selector 1 0.0.0.0/0
 tunnel remote selector 1 0.0.0.0/0
 tunnel protection ipsec
 tunnel mode ipsec ipv6
 ip address 172.16.0.1/30
 ip tcp adjust-mss pmtu
  15. ルーターBのLAN側(192.168.20.0/24)への経路を設定します。これにはip routeコマンドを使います。
    IP経路設定の詳細は「IP」/「経路制御」をご覧ください。
    ip route 192.168.20.0/24 tunnel0
  16. 以上で設定は完了です。
    end

ルーターB(AR4050S)の設定

設定例集#83: [ 設定例集目次 ] ページ内目次
  1. LANポートにおいて初期状態で有効化されているスパニングツリープロトコル(RSTP)を無効化します。これにはspanning-tree enableコマンドをno形式で実行します。
    スパニングツリープロトコルの詳細は「L2スイッチング」/「スパニングツリープロトコル」をご覧ください。
    no spanning-tree rstp enable
  2. ダイナミックDNSクライアント機能を有効にします。これには、ddns enableコマンドを使います。
    ddns enable
  3. アップデートサーバーにIPv6アドレスの更新情報を通知するためのダイナミックDNS(DDNS)サービス固有設定を作成します。
    これには、ddns-update-methodコマンドでDDNSアップデートメソッドモードに入り、update-urlupdate-intervalsuppress-ipv4-updatesの各コマンドで具体的なパラメーターを設定します。
    ダイナミックDNSクライアント機能の詳細は「IP付加機能」/「ダイナミックDNSクライアント」をご覧ください。

    ※クエリーパラメーターの開始を表す「?」をCLIから入力するには、Ctrl/V キーを入力してから ? を入力してください。単に ? を入力するとCLIヘルプが表示されてしまうためご注意ください。
    ddns-update-method openddns
 update-url http://ddnsapi-v6.open.ad.jp/api/renew/?RQPONMLKJIHGFEDCBA
 update-interval 1
 suppress-ipv4-updates
  4. WANポートeth1でIPv6のステートレスアドレス自動設定(SLAAC)を有効にします。これにはipv6 enableコマンドを使います。
    この設定により、ルーターから受信したRAのプレフィックス情報にもとづいてeth1のIPv6アドレスが自動設定されます。
    また、DNSサーバーアドレスもDHCPv6サーバーから自動取得します。
    IPv6インターフェースの詳細は「IPv6」/「IPv6インターフェース」をご覧ください。

    さらにアップデートサーバーへのアドレス更新通知のためダイナミックDNSクライアント機能を有効にします。これには、ipv6 ddns-update-methodコマンドを使います。
    interface eth1
 ipv6 enable
 ipv6 ddns-update-method openddns
  5. LAN側インターフェースvlan1にIPアドレスを設定します。これにはip addressコマンドを使います。
    IPインターフェースの詳細は「IP」/「IPインターフェース」をご覧ください。
    interface vlan1
 ip address 192.168.20.1/24
  6. IPv6パケット転送機能を有効化します。これにはipv6 forwardingコマンドを使います。
    ipv6 forwarding
  7. ファイアウォールやNATのルール作成時に使うエンティティー(通信主体)を定義します。
    エンティティー定義の詳細は「UTM」/「エンティティー定義」をご覧ください。

    外部ネットワークを表すゾーン「ipv6-internet」を作成します。
    これには、zonenetworkipv6 subnethostipv6 addressの各コマンドを使います。
    zone ipv6-internet
 network wan
  ipv6 subnet ::/0 interface eth1
  host eth1
   ipv6 address dynamic interface eth1
  8. 内部ネットワークを表すゾーン「ipv4-internal」を作成します。
    前記コマンドに加え、ここではip subnetコマンドも使います。
    zone ipv4-internal
 network lan
  ip subnet 172.16.0.0/30
  ip subnet 192.168.0.0/16
  9. ファイアウォールのルール作成時に通信内容を指定するために使う「アプリケーション」を定義します。
    これには、applicationprotocoldportの各コマンドを使います。
    アプリケーション定義の詳細は「UTM」/「アプリケーション定義」をご覧ください。

    DHCPv6パケットを表すカスタムアプリケーション「dhcpv6」を定義します。
    application dhcpv6
 protocol udp
 dport 546 to 547
  10. IPsecのESPパケットを表すカスタムアプリケーション「esp」を定義します。 
    application esp
 protocol 50
  11. ICMPv6パケットを表すカスタムアプリケーション「icmpv6」を定義します。 
    application icmpv6
 protocol ipv6-icmp
  12. ISAKMPパケットを表すカスタムアプリケーション「isakmp」を定義します。 
    application isakmp
 protocol udp
 dport 500
  13. 外部からの通信を遮断しつつ、内部からの通信は自由に行えるようにするファイアウォール機能の設定を行います。
    これには、firewallruleprotectの各コマンドを使います。

    ・rule 10 - 本製品のWAN側インターフェースからのIPv6通信を許可します
    ・rule 20 - ISAKMPパケットを許可します
    ・rule 30 - IPsec(ESP)パケットを許可します
    ・rule 40 - DHCPv6パケットを許可します
    ・rule 50 - ICMPv6パケットを許可します
    ・rule 100 - 内部から内部へのIPv4通信を許可します

    ファイアウォールの詳細は「UTM」/「ファイアウォール」をご覧ください。
    firewall
 rule 10 permit any from ipv6-internet.wan.eth1 to ipv6-internet
 rule 20 permit isakmp from ipv6-internet to ipv6-internet.wan.eth1
 rule 30 permit esp from ipv6-internet to ipv6-internet.wan.eth1
 rule 40 permit dhcpv6 from ipv6-internet to ipv6-internet.wan.eth1
 rule 50 permit icmpv6 from ipv6-internet to ipv6-internet.wan.eth1
 rule 100 permit any from ipv4-internal to ipv4-internal
 protect
  14. 対向ルーターとの間で使用するISAKMPの事前共有鍵を設定します。これにはcrypto isakmp keyコマンドを使います。
    crypto isakmp key secret policy tunnel0
  15. IPv4 over IPv6 IPsecトンネルインターフェースtunnel0を作成します。
    トンネルインターフェースはinterfaceコマンドで作成し、以下の設定を行います。

    ・トンネルインターフェースから送信するデリバリーパケットの始点(自装置)アドレス(tunnel source
    ・トンネルインターフェースから送信するデリバリーパケットの終点(対向装置)アドレス(tunnel destination
    ・保護対象パケット(トラフィックセレクター)のローカルアドレス(tunnel local selector
    ・保護対象パケット(トラフィックセレクター)のリモートアドレス(tunnel remote selector
    ・トンネルインターフェースに対するIPsec保護の適用(tunnel protection ipsec
    ・トンネリング方式(tunnel mode ipsec
    ・トンネルインターフェースのIPアドレス(ip address
    ・トンネルインターフェースにおけるMSS書き換え設定(ip tcp adjust-mss

    トンネルインターフェースの詳細は「VPN」/「トンネルインターフェース」を、IPsecの詳細は「VPN」/「IPsec」をご覧ください。
    interface tunnel0
 tunnel source eth1
 tunnel destination sample1.i.open.ad.jp
 tunnel local selector 1 0.0.0.0/0
 tunnel remote selector 1 0.0.0.0/0
 tunnel protection ipsec
 tunnel mode ipsec ipv6
 ip address 172.16.0.2/30
 ip tcp adjust-mss pmtu
  16. ルーターAのLAN側(192.168.10.0/24)への経路を設定します。これにはip routeコマンドを使います。
    IP経路設定の詳細は「IP」/「経路制御」をご覧ください。
    ip route 192.168.10.0/24 tunnel0
  17. 以上で設定は完了です。
    end

設定の保存

設定例集#83: [ 設定例集目次 ] ページ内目次
■ 設定が完了したら、現在の設定内容を起動時コンフィグとして保存してください。これには、copyコマンドを「copy running-config startup-config」の書式で実行します。
awplus# copy running-config startup-config
Building configuration...
[OK]

また、write fileコマンド、write memoryコマンドでも同じことができます。
awplus# write memory
Building configuration...
[OK]

その他、設定保存の詳細については「運用・管理」/「コンフィグレーション」をご覧ください。

ファイアウォールログについて

■ ファイアウォールのログをとるには、次のコマンド(log(filter))を実行します。
awplus(config)# log buffered level informational facility local5

■ 記録されたログを見るには、次のコマンド(show log)を実行します。ここでは、ファイアウォールが出力したログメッセージだけを表示させています。
awplus# show log | include Firewall

ルーターA(本製品)のコンフィグ

設定例集#83: [ 設定例集目次 ] ページ内目次
!
ddns enable
!
ddns-update-method openddns
 update-url http://ddnsapi-v6.open.ad.jp/api/renew/?ABCDEFGHIJKLMNOPQR
 update-interval 1
 suppress-ipv4-updates
!
interface eth1
 ipv6 enable
 ipv6 ddns-update-method openddns
!
interface eth0
 ip address 192.168.10.1/24
!
ipv6 forwarding
!
zone ipv6-internet
 network wan
  ipv6 subnet ::/0 interface eth1
  host eth1
   ipv6 address dynamic interface eth1
!
zone ipv4-internal
 network lan
  ip subnet 172.16.0.0/30
  ip subnet 192.168.0.0/16
!
application dhcpv6
 protocol udp
 dport 546 to 547
!
application esp
 protocol 50
!
application icmpv6
 protocol ipv6-icmp
!
application isakmp
 protocol udp
 dport 500
!
firewall
 rule 10 permit any from ipv6-internet.wan.eth1 to ipv6-internet
 rule 20 permit isakmp from ipv6-internet to ipv6-internet.wan.eth1
 rule 30 permit esp from ipv6-internet to ipv6-internet.wan.eth1
 rule 40 permit dhcpv6 from ipv6-internet to ipv6-internet.wan.eth1
 rule 50 permit icmpv6 from ipv6-internet to ipv6-internet.wan.eth1
 rule 100 permit any from ipv4-internal to ipv4-internal
 protect
!
crypto isakmp key secret policy tunnel0
!
interface tunnel0
 tunnel source eth1
 tunnel destination sample2.i.open.ad.jp
 tunnel local selector 1 0.0.0.0/0
 tunnel remote selector 1 0.0.0.0/0
 tunnel protection ipsec
 tunnel mode ipsec ipv6
 ip address 172.16.0.1/30
 ip tcp adjust-mss pmtu
!
ip route 192.168.20.0/24 tunnel0
!
end

ルーターB(AR4050S)のコンフィグ

設定例集#83: [ 設定例集目次 ] ページ内目次
!
no spanning-tree rstp enable
!
ddns enable
!
ddns-update-method openddns
 update-url http://ddnsapi-v6.open.ad.jp/api/renew/?RQPONMLKJIHGFEDCBA
 update-interval 1
 suppress-ipv4-updates
!
interface eth1
 ipv6 enable
 ipv6 ddns-update-method openddns
!
interface vlan1
 ip address 192.168.20.1/24
!
ipv6 forwarding
!
zone ipv6-internet
 network wan
  ipv6 subnet ::/0 interface eth1
  host eth1
   ipv6 address dynamic interface eth1
!
zone ipv4-internal
 network lan
  ip subnet 172.16.0.0/30
  ip subnet 192.168.0.0/16
!
application dhcpv6
 protocol udp
 dport 546 to 547
!
application esp
 protocol 50
!
application icmpv6
 protocol ipv6-icmp
!
application isakmp
 protocol udp
 dport 500
!
firewall
 rule 10 permit any from ipv6-internet.wan.eth1 to ipv6-internet
 rule 20 permit isakmp from ipv6-internet to ipv6-internet.wan.eth1
 rule 30 permit esp from ipv6-internet to ipv6-internet.wan.eth1
 rule 40 permit dhcpv6 from ipv6-internet to ipv6-internet.wan.eth1
 rule 50 permit icmpv6 from ipv6-internet to ipv6-internet.wan.eth1
 rule 100 permit any from ipv4-internal to ipv4-internal
 protect
!
crypto isakmp key secret policy tunnel0
!
interface tunnel0
 tunnel source eth1
 tunnel destination sample1.i.open.ad.jp
 tunnel local selector 1 0.0.0.0/0
 tunnel remote selector 1 0.0.0.0/0
 tunnel protection ipsec
 tunnel mode ipsec ipv6
 ip address 172.16.0.2/30
 ip tcp adjust-mss pmtu
!
ip route 192.168.10.0/24 tunnel0
!
end


設定例集#83: [ 設定例集目次 ] ページ内目次

(C) 2022 - 2023 アライドテレシスホールディングス株式会社

PN: 613-003066 Rev.F