SF-Z会OBの工作な日々

「ip6_tunnelが定期的にdownする現象」が、見られた。

https://qiita.com/YasuhiroABE/items/977096d4a1672378dd57
を参考に"/etc/sysctl.conf"に以下の行を挿入

net.ipv6.conf.ip6tnl1.accept_ra = 0

以後、問題ない様です。

https://qiita.com/kakinaguru_zo/items/2764dd8e83e54a6605f2
https://qiita.com/nishio-dens/items/4bb28574b7d43fd2b3bf
を参考に、iptablesを設定するスクリプトを作成。

systemdに登録して、起動時にキックするように設定。

setup_iptable.sh

#!/bin/bash 
#set -x
# Refer : https://qiita.com/kakinaguru_zo/items/2764dd8e83e54a6605f2
BR='スクショのoption peeraddrのアドレスをそのまま書く'
CE='スクショのCEを書く'
IP4='スクショのIPv4アドレスを書く'
PSID='スクショのPSIDを書く'
WAN_DEVICE='｀OCUに接続されたネットワークのインターフェース名｀
LAN_DEVICE='ローカル・ネットワークのインターフェース名｀
LOCAL_SOURCE='fd00::/64' # ローカル・ネットワークのインターフェースのGlobal scope IPv6アドレス
TUNDEV='ip6tnl1'	# 新たに作り出すインターフェース名をは好きなように決める
IP4_LOCAL='192.168.X.YY' # ローカル・ネットワークのインターフェースのIPv4アドレス
BK_NUM=63
IP6_MARK='1000'

set_tunnel(){
  ip -6 addr add $CE dev $WAN_DEVICE
  ip -6 tunnel add $TUNDEV mode ip4ip6 remote $BR local $CE dev $WAN_DEVICE encaplimit none
  ip link set dev $TUNDEV mtu 1460
  ip link set dev $TUNDEV up

  ip -4 route delete default
  ip -4 route add default dev $TUNDEV
}

set_iptables_ip4_output(){
  iptables -t nat -F

  for rule in $( seq 1 ${BK_NUM} ) ; do
    mark=$(( $rule + 16 ))
    pn=$(( $rule - 1))
    portl=$(( $rule * 1024 + $PSID * 16 ))
    portr=$(( $portl + 15 ))
    iptables -t nat -A PREROUTING -m statistic --mode nth --every $BK_NUM --packet $pn  -j MARK --set-mark $mark
    iptables -t nat -A OUTPUT     -m statistic --mode nth --every $BK_NUM --packet $pn -j MARK --set-mark $mark
    iptables -t nat -A POSTROUTING -p icmp -o $TUNDEV -m mark --mark $mark -j SNAT --to $IP4:$portl-$portr
    iptables -t nat -A POSTROUTING -p tcp  -o $TUNDEV -m mark --mark $mark -j SNAT --to $IP4:$portl-$portr
    iptables -t nat -A POSTROUTING -p udp  -o $TUNDEV -m mark --mark $mark -j SNAT --to $IP4:$portl-$portr
  done

  iptables -t mangle -o $TUNDEV --insert FORWARD 1 -p tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu

}


set_iptables_ip6_output(){
    ip6tables -F

    # すべての通信を素通りだと怖いので MARKをつけてLAN内のものからのみ許可する
    ip6tables -t nat -A PREROUTING -i $LAN_DEVICE -j MARK --set-mark $IP6_MARK
    ip6tables -t filter -A FORWARD -p tcp -m mark --mark $IP6_MARK -j ACCEPT
    ip6tables -t filter -A FORWARD -p udp -m mark --mark $IP6_MARK -j ACCEPT
    ip6tables -t filter -A FORWARD -m mark --mark $IP6_MARK -j ACCEPT

    # SSHはローカルネットワークからのみ許可
    ip6tables -A INPUT -p tcp -s $LOCAL_SOURCE --dport 22 -j ACCEPT
    ip6tables -A INPUT -p tcp --dport 22 -j DROP

    # fd00::/64 宛の通信は全部WANに流す
    ip6tables -t nat -A POSTROUTING -s $LOCAL_SOURCE -o $WAN_DEVICE -j MASQUERADE
}

set_iptables_input(){
    iptables -t nat -I PREROUTING -i $TUNDEV -p tcp --dport 1504 -j DNAT --to-destination ${IP4_LOCAL}:22
}

set_tunnel
set_iptables_ip4_output
set_iptables_ip6_output

#set_iptables_input

Niftyから二月の終わりに、「＠nifty v6サービス」に変更するとのメールが来た。
「移行したくなければ、三月頭までに連絡を」との事。
IPv6が使えるようになるだけかと考え、放置。
最近流行りのIPoEの知識が十分なく、判断が出来なかったのが実情。

3/13に開通の連絡があった。
自宅からネットサーフィンする分には、影響には気が付かない。

ただ、古いWi-Fiルータを利用した二重NAT構成になったいる為に、PCからIPv6でインターネットにアクセスはできない。
それと、自宅のOpenVPNサーバに外部から接続できない事が判明。

Wi-Fiルータは、IPv6に対応したものを調達するにしても、OpenVPNはどうするか検討が必要です。
調査してみると、HGW (PR-S300NE)で以前はPPPoE接続していたのを、IPoE接続にしてるようだ。
http://192.168.X.1:8888/t に接続して、ポートのフォワーディングの設定ができるか確認。
Niftyの配信済業者ソフトウェアでは、一切の設定ができない。

切り戻しも視野に、Niftyのサービスに電話で、相談。
PPPoEに戻して、「IPv6接続オプション」が設定できるとの事。

取り敢えず、変更の工事を依頼する。
一週間もしないうちに、工事がされた。
素早い工事は、好ましいが、工事日程の予告/確認が無いのはどうなんだろう。
まあ、影響は無かったのだが。

これで、OpenVPNの接続は、出来る様になりました。
次は、IPoE接続です。
IPoE対応のWi-Fiルータを検討していましたが、
国産のルータが主なものです。
IPoEが必要になった背景は、日本独自の環境なので仕方がありません。

調べてゆくと、IPoEルータは、Linuxシステムで構成可能との事。
ESXi上に一台サーバを作って、実験の開始です。