FortiGateでDS-Lite(IPv4 over IPv6)を設定。楽天ひかりで快適インターネット。
最近リモートでの打ち合わせが増えて、ネット環境のプライオリティが上がったので固定回線を契約しました。
打ち合わせの途中で切れるとツライ・・・。
今回は固定回線(楽天ひかり)を契約し、Fortinet社のFortiGateでDS-Lite(IPv4 over IPv6)設定、インターネットを利用するまでの手順を書きたいと思います。
楽天ひかりを契約
楽天ひかりは通信速度が遅いと評判(?)でしたが、最近 IPv6(IPoE/IPv4 over IPv6)に対応して改善されたとのことで契約。
1ヶ月ほどで開通しました。
構成
構成はこんな感じです。
①ファイアウォール(FortiGate)
今回の設定対象です。
②IPv6 IPoEネットワーク
フレッツ網内のIPv6 IPoEネットワークです。通信はここを通ります。
③IPv4 over IPv6 トンネル
FortiGateとAFTR間で張ります。
トンネリングすることでIPv6ネットワークにIPv4パケットを通すことができます。
④AFTR(Address Family Transition Router)
IPv4 over IPv6カプセル化解除とグローバルIPへのNATを行います。
VNE事業者のアルテリア・ネットワークス社が提供しています(楽天ひかりでは)。
FortiGateの設定
OSは下記バージョンを利用します。
v6.2.4 build1112 (GA)
1.IPv6有効化
IPv6が有効になっていない場合は有効にします。
「システム」→「表示機能設定」→「コアフィーチャー」から「IPv6」を有効化。
2.IPv4 over IPv6トンネル設定
以下の設定を行います。
FW# config system ipv6-tunnel
FW(ipv6-tunnel) # edit <任意のtunnel名>
FW(トンネル名) # set source <wan1に割り当てられたIPv6アドレス>
FW(トンネル名) # set destination <AFTRのアドレス>
FW(トンネル名) # set interface wan1
FW(トンネル名) # end
FW# config system ipv6-tunnel
FW(ipv6-tunnel) # edit ip6gateway
FW(ip6gateway) # set source **********
FW(ip6gateway) # set destination 2001:f60:0:200::1:1
FW(ip6gateway) # set interface wan1
FW(ip6gateway) # end
●wan1に割り当てられたIPv6アドレス
1.wan1に以下の設定を行います。
FW# config system interface
FW (interface) # edit wan1
FW (wan1) # config ipv6
FW (ipv6) # set dhcp6-prefix-delegation enable
FW (ipv6) # set autoconf enable
FW(ipv6) # end
FW(wan1) # end
2.wan1にネットワークケーブル接続します。
3.以下のコマンドを実行し、払い出されるIPv6アドレスを確認しコピーします。
”dst:”の次の数字がIPv6アドレスです。
※ff02やfe80以外からはじまるIPアドレスをコピーしてください
# diagnose ipv6 route list | grep wan1
vf=0 type=01(unicast) protocol=2(kernel) flag=004c0000 prio=256 dst:********** dev=5(wan1) pmtu=1500
4.コピーしたIPv6アドレスを「set source 」の値として設定します。
●AFTRのアドレス
楽天ひかりの公式手順を見ると、設定するAFTRのアドレスは「dgw.xpass.jp」となっていますが、FortiGateはドメインでの設定ができなかったので、一度名前解決をしてIPv6アドレス(2001:f60:0:200::1:1)を設定しています。
3.ルーティング設定
「ネットワーク」→「スタティックルート」からIPv4スタティックルートを新規作成します。
宛先を「0.0.0.0/0.0.0.0(デフォルトゲートウェイ)」に設定し、インタフェースに作成した「トンネル名(ip6gateway)」を選択します。
これですべてのIPv4通信はIPv6トンネルを通ることになります。
4.ポリシー設定
「ポリシー&オブジェクト」→「IPv4ポリシー」からポリシーを新規作成します。
発信インタフェースは作成したトンネルを指定、NATを有効化します。
※NATしなくても通信できたので必須ではないかも
着信インタフェースはlanです。
その他のパラメータは任意に設定します。
5.MSS設定
以下の設定を行います。
FW# config firewall policy
FW(policy) # edit <作成したポリシーのID>
FW(ポリシーID) # set tcp-mss-sender 1420
FW(ポリシーID) # set tcp-mss-receiver 1420
インターネット宛の通信はカプセル化(IPv4 over IPv6トンネル)しているので、IPv6ヘッダーの40Byteが追加されます。
そのためMSSに1420Byteを設定します。
1500Byte - 80Byte(IPv6ヘッダー 40Byte + IPv4ヘッダー 20Byte + TCPヘッダー20Byte)
= 1420 Byte
トンネルインタフェース(ip6gateway)にMSS・MTUが設定できなかったので、ポリシーにMSSを設定しています。
おわりに
PPPoEではなくDS-Lite(IPv4 over IPv6)で接続することによって快適に使えています。
スループットは40〜60Mbps程度出ています。
参考にしたサイト
ありがとうございます!!