メリークリスマスです。ライトノベル好きのツチノコです。路地裏バトルプリンセスは読んでいるものとして以下の話をすすめます。
前回の記事でIPv4 Linuxルータを作成するところまで紹介しました。これで6000万回線くらいにLinuxルータを普及できたように思います。
今回の記事ではIPv6対応の部分について進めていきます。内容はこんな感じです。
・Router Advertisementふりかえり
・デザインをどうするか考える
・パッケージのインストールと設定
設定の部分は前回の記事と同じく設定ファイルを貼り付けてあるので以下長いです。
Router Advertisementふりかえり
以降の説明で必要になるので、デザインの前にRouter Advertisementを雑にふりかえります。
上の図1のように、ルータはRouter Advertisementを用いて、各クライアント(PC1, PC2)にIPv6 prefixを配ります。今回作るルータでも当然Router Advertisementを配りたいです。
また、Flets回線においてもRouter Advertisementを用いて各家庭にIPv6 prefixを配布しています。
デザイン
IPv6対応ルータの方式は色々考えることができます。思いついたのは以下の3つでした。
構成A: IPv6パススルーを行う
構成B: IPルーティングを行う
構成C: NAPTを行う
構成A: IPv6パススルーを行う
多くのルータには、IPv4とICMPに対してはrouter(L3)として動作し、IPv6とICMPv6に対してはbridge(L2)として動作する、いわゆるIPv6パススルーが実装されています。
上の図2では、ISPのルータ(Router@ISP)からのRouter Advertisement(RA)が、家庭のルータ(Router@home)を通って、各クライアント(PC1, PC2)に届いています。
Linuxではebtablesを利用すると同様の動作が実現できます。しかし今回は以下の理由により見送ることとしました。
・Router Advertisementを自分で出したいという気持ち!(そういうお勉強のためにLinuxルータを使っている)
・IPv4とIPv6でL2セグメントの範囲が異なってしまうこと
・L2セグメントを大きくしてしまうこと(c.f. VLANで大きいL2 networkを組むことに問題があったのでNVO3技術が出てきた)
・単に他とは違うことがしたいという気持ち
ちなみに、bridgeするのではなく、Neighbor Discovery Proxyを使うという手もあります。Neighbor Discovery ProxyはRFC4389で定義されています。しかしこれもRouter Advertisementを自分で出せるわけではないので一緒です。
構成B: IPルーティングを行う
IPv6でもIPv4と同様にIPルーティングできます。
上の図3では、家庭のルータ(Router@home)がRouter Advertisementを受け取り、同じprefix(w:x:y:z::/64)をRouter Advertisementで各クライアントに配布しています(radvdはRouter Advertisementを出すためのLinuxのデーモンです)。あとはeth0とeth1の間で適当にルーティングしてやればうまくいくはずです。
しかし、意外な盲点がありました。radvdの設定ファイルにはRouter Advertisementで配るべきprefixを書かないといけません。しかし、ISPから振られるIPv6 prefixは完全に固定ではないということです(参考: フレッツ・v6オプション について(NTT東日本の場合))。
Prefixが変わる機会はそうそうなさそうですが、とりあえず今回は見送ることにします。
構成C: NAPTを行う
IPv6に対しても、IPv4と同様にNAPT(or NAT or IP masquerade)することができます。
ネットワークをフラグメント化させるので、オープンでセキュアなIPv6対応とは言い難いです。
しかし、上の2つの方式の課題は解決できます。
・自分でRouter Advertisementを出せる
・eth1のアドレスを固定にできる
何か負けた気もしますが、今回はこの実装を使います。
ごちうさのじゃんけんと同じく負けるべき時もあります。
その他考慮すべきことにDHCPv6があります。
WAN側については必須ではないもののDHCPv6 client動作することにします。
LAN側についてはIPv4と同じくDHCPv6 server動作することにします。
パッケージのインストール
今回のルータでは以下のような動作をすることになりました。
・WAN側: Router Advertisementを受信する、DHCPv6 client動作する
・LAN側: Router Advertisementを出す、DHCPv6 server動作する
・WAN側とLAN側の間はNAPTする。
パッケージをインストールします。
・wide-dhcpv6-client: WAN側でDHCPv6 client動作するためのデーモン
・radvd: LAN側でRouter Advertisementを出すためのデーモン
・git-core: DebianだとLAN側でDHCPv6 server動作するためのデーモンがパッケージ化されてないので、git経由で入れる
ちなみにWAN側でRouter Advertisementを受け取るためには特にパッケージは不要です。
設定
それでは頑張って設定していきましょう。
なお、日本語でコメント入れてあるところについて、環境によってエラーになるようなら取ってください。
kernel parameterの設定(/etc/sysctl.conf)
net.ipv4.conf.all.forwarding = 1
net.ipv4.conf.default.forwarding = 1
net.ipv4.ip_forward = 1
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
# ipv6 forwardingは有効にする
net.ipv6.conf.all.forwarding = 1
net.ipv6.conf.default.forwarding = 1
# Router Advertisementはデフォルトでは受信しない
net.ipv6.conf.all.accept_ra = 0
net.ipv6.conf.default.accept_ra = 0
# redirectは受け取らない
net.ipv6.conf.all.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0
# eth0(WAN)ではRouter Advertisementを受信する
net.ipv6.conf.eth0.accept_ra = 2
ご参考: accept_ra は以下のような設定値を取ります。
0: そのインターフェースでRouter Advertisementを受信しない。
1: そのインターフェースでforwardingが無効なら、Router Advertisementを受信する。
2: そのインターフェースでforwardingが有効でも、Router Advertisementを受信する。
インターフェースの設定(/etc/network/interfaces)
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
source /etc/network/interfaces.d/*
# The loopback network interface
auto lo
iface lo inet loopback
# wan interface
auto eth0
allow-hotplug eth0
iface eth0 inet static
address 0.0.0.0
up ifup ppp0
down ifdown ppp0
iface ppp0 inet ppp
provider dsl-provider-test
# lan interface
auto eth1
allow-hotplug eth1
iface eth1 inet static
address 192.168.1.254
netmask 255.255.255.0
iface eth1 inet6 static
address fd00:01fe:0:0:0:0:0:1
netmask 64
WAN側はRouter AdvertisementでIPv6アドレスを設定されるのでここに記述することはありません。
LAN側(eth1)にはIPv6アドレスを設定します。設定するアドレスはユニークローカルIPv6ユニキャストアドレス(ULA)を利用します(参考: インターネット10分講座:IPv6アドレス~技術解説~)。今回の例ではfd00:1fe::1/64としています。ご利用の際はランダムに生成してください(参考: Unique Local IPv6 Generator)。
DHCPv6 clientの設定(/etc/wide-dhcpv6/dhcp6c.conf)
interface eth0 {
information-only;
send rapid-commit;
send ia-pd 0;
request domain-name-servers;
request domain-name;
};
id-assoc pd 0 {
prefix-interface eth0 {
sla-id 0;
sla-len 0;
};
};
eth0からPrefix Delegation(参考: 書いて覚えるDHCPv6-PD)を要求します。不要な気もしていますが、eth0が受信しているRouter AdvertisementにOther Flagが立っているので念のため。
Router Advertisement Daemonの設定(/etc/radvd.conf)
interface eth1 {
AdvSendAdvert on;
AdvManagedFlag off;
AdvOtherConfigFlag on;
AdvLinkMTU 1394;
prefix fd00:01fe::/64 {
AdvOnLink on;
AdvAutonomous on;
AdvRouterAddr on;
};
};
eth1からRouter Advertisementを送信します。配布するprefixはfd00:01fe::/64です。
DHCPv6 serverの設定(/etc/dhcp/dhcpd6.conf)
Debianのisc-dhcp-serverパッケージはDHCP serverをインストールしてくれるものの、IPv4用のサービス登録や設定のみなので、IPv6用のサービス登録や設定を行う必要があります。設定ファイルと簡単なスクリプトを作成してありますのでそれを使います。
# cd debian-isc-dhcp-server-v6
# sh scripts/install.sh
これでisc-dhcp-server6というサービスが登録されます。あとは設定を入れるだけです。
# ddns-update-style should be none for DHCPv2
ddns-update-style none;
shared-network LAN6 {
subnet6 fd00:01fe::/64 {
range6 fd00:01fe:0:0:0:1:0:2 fd00:01fe:0:0:0:1:0:1000;
authoritative;
default-lease-time 28800;
max-lease-time 57600;
option dhcp6.name-servers fd00:1fe::1;
}
}
DNS resolverの設定(/etc/unbound/unbound.conf)
# See the unbound.conf(5) man page.
include: "/etc/unbound/unbound.conf.d/*.conf"
server:
interface: 192.168.1.254
interface: fd00:1fe::1
access-control: 192.168.1.0/24 allow
access-control: fd00:1fe::1/64 allow
unwanted-reply-threshold: 10000000
LAN側(fd00:1fe::/64)からの問い合わせに応答します。
FirewallとIP masqueradeの設定(ip6tables)
# ip6tables.sh
WAN_IF=eth0
LAN_IF=eth1
LAN_SUBNET=fd00:1fe::/64
# いったんルールをflush
ip6tables -t filter -F
ip6tables -t mangle -F
ip6tables -t nat -F
ip6tables -F
# filter tableはdefaultではINPUT, FORWARDはDROP, OUTPUTはACCEPT
ip6tables -t filter -P INPUT DROP
ip6tables -t filter -P OUTPUT ACCEPT
ip6tables -t filter -P FORWARD DROP
# loopbackはACCEPT
ip6tables -t filter -A INPUT -i lo -j ACCEPT
# LAN側はACCEPT
ip6tables -t filter -A INPUT -i $LAN_IF -j ACCEPT
# セッション確立後はACCEPT
ip6tables -t filter -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# ICMPv6は利用しないredirectだけDROPし、他はACCEPT
ip6tables -t filter -A INPUT -p ipv6-icmp -m icmp6 --icmpv6-type redirect -j DROP
ip6tables -t filter -A INPUT -p ipv6-icmp -j ACCEPT
# LAN側からWAN側にForwardされる通信はACCEPT
ip6tables -t filter -A FORWARD -s $LAN_SUBNET -o $WAN_IF -j ACCEPT
# セッション確立後はACCEPT
ip6tables -t filter -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
# ICMPv6はecho-request(ping)/echo-reply(pong)のみ許可
ip6tables -t filter -A FORWARD -p ipv6-icmp -m icmp6 --icmpv6-type echo-request -j ACCEPT
ip6tables -t filter -A FORWARD -p ipv6-icmp -m icmp6 --icmpv6-type echo-reply -j ACCEPT
# mangle tableはすべてACCEPT
ip6tables -t mangle -P PREROUTING ACCEPT
ip6tables -t mangle -P INPUT ACCEPT
ip6tables -t mangle -P FORWARD ACCEPT
ip6tables -t mangle -P OUTPUT ACCEPT
ip6tables -t mangle -P POSTROUTING ACCEPT
# TCP MSSをpMTUにclampする
ip6tables -t mangle -A FORWARD -s fd00:1fe::/64 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
# nat tableはすべてACCEPT
ip6tables -t nat -P PREROUTING ACCEPT
ip6tables -t nat -P INPUT ACCEPT
ip6tables -t nat -P OUTPUT ACCEPT
ip6tables -t nat -P POSTROUTING ACCEPT
# ipv6 masqueradeする
ip6tables -t nat -A POSTROUTING -s fd00:1fe::/64 -o eth0 -j MASQUERADE
IPv4と同じようにIPv6でもシェルスクリプトを作って、アクセス制限やmasqueradeの設定をします。
設定の反映
問題なく設定されていたら、これでデュアルスタックなルータとして動作するはずです。
PING google.com(nrt04s12-in-x05.1e100.net) 56 data bytes
64 bytes from nrt04s12-in-x05.1e100.net: icmp_seq=1 ttl=54 time=3.05 ms
64 bytes from nrt04s12-in-x05.1e100.net: icmp_seq=2 ttl=54 time=3.10 ms
わーい。IPv6はいいぞ。
おわりに
これで家庭用ルータのIPv6対応が出来ました。
世間一般の実装とは違いますが、副次的なメリットとして今回の実装は概ねIPv4と同様の動作をしています。
IPv6の勉強の一歩としてもわかりやすいのではないかと思います。
年末年始の自由工作にいかがでしょうか。
p.s. 転生従者の悪政改革録よいです。