logo logo_atte 日記 随筆 何処
Router Setting for IPv4 over IPv6
光回線に高速接続できる固定IPが欲しい。
動機
昨今の光回線におけるPPPoEでのプロバイダー接続では時間帯によってはスピードが出ないらしい。 Googleで適当に調べたところ、プロバイダー側でIPv4網と接続する部分で輻輳が発生するそうだ。あー、なるほど、そういうことね。解決策としては、インターネットへはIPv6でネイティブ接続して、 IPv4についてはカプセル化した IPv4 over IPv6 を利用すればいいようだ。 OCN 光 with フレッツの場合、IPv4 over IPv6 は MAP-E なる方式で実現している。ところが、 MAP-E ではアドレス・ポート変換が起こるため、サーバを立てても固定のIPv4アドレスが利用できない[1]。ならば、PPPoEも併用してしまえばいい。クライアント機器からのアクセスには接続スピードを優先してMAP-Eを利用し、固定IPが必要なサーバはPPPoE接続を利用する[2]。なお、固定IPが欲しいのは自宅サーバを立てて色々遊びたいから。
接続方法
ルータを二つ使ってしまえば簡単に出来そう。
ルータを二つ
赤の矢印がPPPoE接続の経路(IPv4)、紫の矢印がIPv4 over IPv6接続の経路(IPv4)、青の矢印がIPv6接続の経路[3]。 NTTのフレッツ網はもともとIPv6で構築されているようなので[4]、 IPv6で通信する限りは特になにもしないでいい。 IPv6に関しては固定IPも自動で割り当てられる。
ただ、ルータ二台運用とか無駄だし[5]、どのみちサーバを立てるのであれば、サーバにルータの機能も持たせてやればいい。
サーバがルータを兼務
この場合、イーサネットを二つ持つPCを用意すればいい[6]。 WAN側のイーサネットには、PPPoE用のトンネル(IPv4)と、MAP-E用のトンネル(IPv6)を作成する。前者は簡単。ググればいくらでも情報はある。私はDebian使いなので、「debian pppoe」で検索したが、具体的な設定方法のページがいくつも見つかった。後者も十分に情報は揃っている。このページを参考にすれば、そのままでMAP-EによるIPv4 over IPv6接続が完了する。
今回、PPPoE接続するスクリプトと、MAP-E接続するスクリプトを作成して、 interfecesファイルに次の設定を加えて、それぞれの接続スクリプトを呼び出すようにした。
  1. # The primary network interface
  2. allow-hotplug enp1s0
  3. iface enp1s0 inet6 auto
  4. up MODE=start /root/etc/mape.sh
  5. up MODE=start /root/etc/pppoe.sh
  6. down MODE=stop /root/etc/pppoe.sh
  7. down MODE=stop /root/etc/mape.sh
  8. iface enp1s0 inet manual
/etc/network/interfaces
MAP-E接続スクリプトとPPPoE接続スクリプトは以下の通り。ファイアウォールとして機能させるために、いろいろパケット制限も付け加えています。
  1. #!/bin/sh
  3. ### parameters
  5. WANDEV='enp1s0'
  6. TUNDEV='ip6tnl1'
  8. #http://ipv4.web.fc2.com/map-e.html
  9. BR='????:????:????:????' #peeraddr
  10. CE='????:????:????:????:????:????:????:????'
  11. IP4='???.???.???.???'
  12. PSID='?'
  14. ### map stop
  16. CHAIN='MAPE'
  17. if [ "stop" = "$MODE" ]; then
  18. sysctl -w net.ipv4.ip_forward=0
  19. sysctl -w net.ipv6.conf.all.forwarding=0
  20. sysctl -w net.ipv6.conf.enp1s0.accept_ra=1
  21. sysctl -w net.ipv6.conf.wlp2s0.accept_ra=1
  22. sysctl -w net.ipv6.conf.enp3s0.accept_ra=1
  24. iptables -t mangle -L -n -v --line-numbers \
  25. | grep "TCPMSS.*$TUNDEV.*clamp" | cut -f1 -d " " \
  26. | sort -r | xargs -n1 -r iptables -t mangle -D FORWARD
  28. for i in INPUT OUTPUT FORWARD; do
  29. iptables -D $i -j ${CHAIN}$i
  30. iptables -F ${CHAIN}$i
  31. iptables -X ${CHAIN}$i
  32. done
  33. for i in OUTPUT PREROUTING POSTROUTING; do
  34. iptables -t nat -D $i -j ${CHAIN}nat$i
  35. iptables -t nat -F ${CHAIN}nat$i
  36. iptables -t nat -X ${CHAIN}nat$i
  37. done
  39. iptables -P INPUT ACCEPT
  40. iptables -P OUTPUT ACCEPT
  41. iptables -P FORWARD ACCEPT
  43. ip -4 route del default dev $TUNDEV
  44. ip -6 address del $CE dev $WANDEV
  45. ip -6 tunnel del $TUNDEV
  47. exit 0
  48. elif [ "start" = "$MODE" ]; then
  49. ip -6 address add $CE dev $WANDEV
  50. ip -6 tunnel add $TUNDEV mode ip4ip6 \
  51. remote $BR local $CE dev $WANDEV encaplimit none
  52. ip link set dev $TUNDEV mtu 1460
  53. ip link set dev $TUNDEV up
  55. ip -4 address add $IP4 dev $TUNDEV
  56. ip -4 route add default dev $TUNDEV
  58. iptables -P INPUT DROP
  59. iptables -P OUTPUT DROP
  60. iptables -P FORWARD DROP
  62. sysctl -w net.ipv4.ip_forward=1
  63. sysctl -w net.ipv6.conf.all.forwarding=1
  64. sysctl -w net.ipv6.conf.enp1s0.accept_ra=2
  65. sysctl -w net.ipv6.conf.wlp2s0.accept_ra=2
  66. sysctl -w net.ipv6.conf.enp3s0.accept_ra=2
  67. else
  68. echo unknown MODE
  69. exit 1
  70. fi
  72. ### map start
  74. iptables -N ${CHAIN}INPUT
  75. iptables -N ${CHAIN}OUTPUT
  76. iptables -N ${CHAIN}FORWARD
  78. iptables -t nat -N ${CHAIN}natOUTPUT
  79. iptables -t nat -N ${CHAIN}natPREROUTING
  80. iptables -t nat -N ${CHAIN}natPOSTROUTING
  82. # nat
  83. rule=1
  84. while [ $rule -le 63 ] ; do
  85. mark=`expr $rule + 16`
  86. pn=`expr $rule - 1`
  87. portl=`expr $rule \* 1024 + $PSID \* 16`
  88. portr=`expr $portl + 15`
  90. iptables -t mangle -L -n -v --line-numbers \
  91. | grep "TCPMSS.*$TUNDEV.*clamp" | cut -f1 -d " " \
  92. | sort -r | xargs -n1 -r iptables -t mangle -D FORWARD
  94. iptables -t nat -A ${CHAIN}natPREROUTING -m statistic \
  95. --mode nth --every 63 --packet $pn -j MARK --set-mark $mark
  96. iptables -t nat -A ${CHAIN}natOUTPUT -m statistic \
  97. --mode nth --every 63 --packet $pn -j MARK --set-mark $mark
  99. iptables -t nat -A ${CHAIN}natPOSTROUTING -p icmp \
  100. -o $TUNDEV -m mark --mark $mark -j SNAT --to $IP4:$portl-$portr
  101. iptables -t nat -A ${CHAIN}natPOSTROUTING -p tcp \
  102. -o $TUNDEV -m mark --mark $mark -j SNAT --to $IP4:$portl-$portr
  103. iptables -t nat -A ${CHAIN}natPOSTROUTING -p udp \
  104. -o $TUNDEV -m mark --mark $mark -j SNAT --to $IP4:$portl-$portr
  105. rule=`expr $rule + 1`
  106. done
  108. # for big packet
  109. iptables -t mangle -o $TUNDEV --insert FORWARD 1 \
  110. -p tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 \
  111. -j TCPMSS --clamp-mss-to-pmtu
  113. # for return packet
  114. iptables -A ${CHAIN}FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
  116. # ping
  117. iptables -A ${CHAIN}INPUT -p icmp --icmp-type echo-reply -d $IP4 -j ACCEPT
  118. iptables -A ${CHAIN}OUTPUT -p icmp --icmp-type echo-request -s $IP4 -j ACCEPT
  120. # security
  121. iptables -A ${CHAIN}INPUT -f -j DROP
  122. iptables -A ${CHAIN}INPUT -p tcp --tcp-flags ALL ALL -j DROP
  123. iptables -A ${CHAIN}INPUT -p tcp --tcp-flags ALL NONE -j DROP
  124. iptables -A ${CHAIN}INPUT -p tcp ! --syn -m state --state NEW -j DROP
  126. # SSH client
  127. iptables -A ${CHAIN}INPUT -p tcp --sport 22 \
  128. -m state --state ESTABLISHED -j ACCEPT
  129. iptables -A ${CHAIN}OUTPUT -p tcp --dport 22 \
  130. -m state --state NEW,ESTABLISHED -j ACCEPT
  132. # SMTP client
  133. iptables -A ${CHAIN}INPUT -p tcp --sport 25 \
  134. -m state --state ESTABLISHED -j ACCEPT
  135. iptables -A ${CHAIN}OUTPUT -p tcp --dport 25 \
  136. -m state --state NEW,ESTABLISHED -j ACCEPT
  138. # DNS lookup
  139. iptables -A ${CHAIN}INPUT -p tcp --sport 53 \
  140. -m state --state ESTABLISHED -j ACCEPT
  141. iptables -A ${CHAIN}OUTPUT -p tcp --dport 53 \
  142. -m state --state NEW,ESTABLISHED -j ACCEPT
  143. iptables -A ${CHAIN}INPUT -p udp --sport 53 \
  144. -m state --state ESTABLISHED -j ACCEPT
  145. iptables -A ${CHAIN}OUTPUT -p udp --dport 53 \
  146. -m state --state NEW,ESTABLISHED -j ACCEPT
  148. # HTTP client
  149. iptables -A ${CHAIN}INPUT -p tcp --sport 80 \
  150. -m state --state ESTABLISHED -j ACCEPT
  151. iptables -A ${CHAIN}OUTPUT -p tcp --dport 80 \
  152. -m state --state NEW,ESTABLISHED -j ACCEPT
  154. # HTTPS client
  155. iptables -A ${CHAIN}INPUT -p tcp --sport 443 \
  156. -m state --state ESTABLISHED -j ACCEPT
  157. iptables -A ${CHAIN}OUTPUT -p tcp --dport 443 \
  158. -m state --state NEW,ESTABLISHED -j ACCEPT
  160. # NTP query
  161. iptables -A ${CHAIN}INPUT -p udp --sport 123 \
  162. -m state --state ESTABLISHED -j ACCEPT
  163. iptables -A ${CHAIN}OUTPUT -p udp --dport 123 \
  164. -m state --state NEW,ESTABLISHED -j ACCEPT
  166. # SMB block
  167. iptables -A ${CHAIN}FORWARD -p tcp --dport 135 -j DROP
  168. iptables -A ${CHAIN}FORWARD -p udp --dport 135 -j DROP
  169. iptables -A ${CHAIN}FORWARD -p tcp --dport 137:139 -j DROP
  170. iptables -A ${CHAIN}FORWARD -p udp --dport 137:139 -j DROP
  171. iptables -A ${CHAIN}FORWARD -p tcp --dport 445 -j DROP
  172. iptables -A ${CHAIN}FORWARD -p udp --dport 445 -j DROP
  174. ###
  176. iptables -A INPUT -j ${CHAIN}INPUT
  177. iptables -A OUTPUT -j ${CHAIN}OUTPUT
  178. iptables -A FORWARD -j ${CHAIN}FORWARD
  180. iptables -t nat -A OUTPUT -j ${CHAIN}natOUTPUT
  181. iptables -t nat -A PREROUTING -j ${CHAIN}natPREROUTING
  182. iptables -t nat -A POSTROUTING -j ${CHAIN}natPOSTROUTING
  184. exit 0
/root/etc/mape.sh
  1. #!/bin/sh
  3. ### parameters
  5. WAN=${WAN:-ppp0}
  6. LAN=${LAN:-enp3s0}
  8. ### pppoe stop
  10. CHAIN='PPPOE'
  11. if [ "stop" = "$MODE" ]; then
  12. WANHOST=$(ip -4 -o address show $WAN | awk '{print $4}')
  14. poff dsl-provider
  16. iptables -D ${CHAIN}SSHCONNECT -m recent --name sshchecklist \
  17. --rcheck --seconds 60 --hitcount 5 -j ${CHAIN}SSHATTACK
  18. iptables -D ${CHAIN}INPUT -i $WAN -d $WANHOST -p tcp --dport 22 \
  19. -m state --state NEW -j ${CHAIN}SSHCONNECT
  20. iptables -F ${CHAIN}SSHCONNECT
  21. iptables -F ${CHAIN}SSHATTACK
  22. iptables -X ${CHAIN}SSHCONNECT
  23. iptables -X ${CHAIN}SSHATTACK
  25. for i in INPUT OUTPUT FORWARD; do
  26. iptables -D $i -j ${CHAIN}$i
  27. iptables -F ${CHAIN}$i
  28. iptables -X ${CHAIN}$i
  29. done
  31. ip route del default via $WANHOST table 100
  32. ip rule del from $WANHOST table 100 prio 100
  34. exit 0
  35. elif [ "start" = "$MODE" ]; then
  36. pon dsl-provider
  38. TRYNUM=0
  39. while :
  40. do
  41. TRYNUM=$(expr $TRYNUM + 1)
  42. WANHOST=$(ip -4 -o address show $WAN | awk '{print $4}')
  43. if [ -n "$WANHOST" ]; then
  44. break
  45. fi
  46. if [ 99 -le $TRYNUM ]; then
  47. exit 1
  48. fi
  49. sleep 1
  50. done
  51. else
  52. echo unknown MODE
  53. exit 1
  54. fi
  56. ### pppoe start
  58. TRYNUM=0
  59. while :
  60. do
  61. TRYNUM=$(expr $TRYNUM + 1)
  62. LANADDR=$(ip -4 -o address show $LAN | awk '{print $4}')
  63. if [ -n "$LANADDR" ]; then
  64. break
  65. fi
  66. if [ 99 -le $TRYNUM ]; then
  67. exit 1
  68. fi
  69. sleep 1
  70. done
  72. # PBR
  73. ip rule add from $WANHOST table 100 prio 100
  74. ip route add default via $WANHOST table 100
  76. ### server
  78. iptables -N ${CHAIN}INPUT
  79. iptables -N ${CHAIN}OUTPUT
  80. iptables -N ${CHAIN}FORWARD
  82. # for big packet and ident
  83. iptables -A ${CHAIN}FORWARD -o $WAN \
  84. -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
  86. iptables -A ${CHAIN}INPUT -i $WAN -d $WANHOST -p tcp --dport 113 \
  87. -j REJECT --reject-with tcp-reset
  88. iptables -A ${CHAIN}OUTPUT -o $WAN -s $WANHOST -p tcp --sport 113 -j ACCEPT
  90. # SSH
  91. iptables -N ${CHAIN}SSHATTACK
  92. iptables -A ${CHAIN}SSHATTACK -m recent --name sshblacklist \
  93. --set -j LOG --log-prefix "SSHATTACK: "
  94. iptables -A ${CHAIN}SSHATTACK -j REJECT
  96. iptables -N ${CHAIN}SSHCONNECT
  97. iptables -A ${CHAIN}SSHCONNECT -m recent --name sshblacklist \
  98. --rcheck --seconds 600 -j REJECT
  99. iptables -A ${CHAIN}SSHCONNECT -m recent --name sshchecklist \
  100. --rcheck --seconds 60 --hitcount 5 -j ${CHAIN}SSHATTACK
  101. iptables -A ${CHAIN}SSHCONNECT -m recent --name sshchecklist --set
  102. iptables -A ${CHAIN}SSHCONNECT -j ACCEPT
  104. iptables -A ${CHAIN}INPUT -i $WAN -d $WANHOST -p tcp --dport 22 \
  105. -m state --state ESTABLISHED -j ACCEPT
  106. iptables -A ${CHAIN}INPUT -i $WAN -d $WANHOST -p tcp --dport 22 \
  107. -m state --state NEW -j ${CHAIN}SSHCONNECT
  108. iptables -A ${CHAIN}OUTPUT -o $WAN -s $WANHOST -p tcp --sport 22 -j ACCEPT
  110. # SMTP
  111. iptables -A ${CHAIN}INPUT -i $WAN -d $WANHOST -p tcp --dport 25 \
  112. -m state --state NEW,ESTABLISHED -j ACCEPT
  113. iptables -A ${CHAIN}OUTPUT -o $WAN -s $WANHOST -p tcp --sport 25 -j ACCEPT
  115. # HTTP
  116. iptables -A ${CHAIN}INPUT -i $WAN -d $WANHOST -p tcp --dport 80 \
  117. -m state --state NEW,ESTABLISHED -j ACCEPT
  118. iptables -A ${CHAIN}OUTPUT -o $WAN -s $WANHOST -p tcp --sport 80 -j ACCEPT
  120. # HTTPS
  121. iptables -A ${CHAIN}INPUT -i $WAN -d $WANHOST -p tcp --dport 443 \
  122. -m state --state NEW,ESTABLISHED -j ACCEPT
  123. iptables -A ${CHAIN}OUTPUT -o $WAN -s $WANHOST -p tcp --sport 443 -j ACCEPT
  125. ###
  127. iptables -A INPUT -j ${CHAIN}INPUT
  128. iptables -A OUTPUT -j ${CHAIN}OUTPUT
  129. iptables -A FORWARD -j ${CHAIN}FORWARD
  131. exit 0
/root/etc/pppoe.sh
pppoe.shの72行目から74行目は大事。 PPPoEから入って来たパケットはPPPoEから出て行くようにしている。 MAP-E側をデフォルトゲートウェイにしているので、これがないと外部からサーバへの接続の帰りのパケットがロストしてしまう。
この他、ローカルインターフェイスは全ての通信の許可とIPマスカーレードの設定をしている。また、本来、IPv6においても通信制限が必要だが、まだやっていない。
  1. [1] 厳密には正しくない。well-known portsにこだわらなければ、固定IPでサーバ運用できる。
  2. [2] これも厳密には正しくない。PPPoEでは接続のたびにアドレスが変更される。しかし、再接続はそう頻繁には発生しないので、DynamicDNSなどで対応すればいい。
  3. [3] 簡略化した概念図です。厳密なものではありません。
  4. [4] よくよく調べてみると実態は少し違うようだ。フレッツ網はグローバルなIPv6アドレスで構築されているものの、インターネットとは直接接続されていないため、巨大なLANと言ってもよいものらしい。それでも普通にIPv6通信は出来ているので、あまり深くは考えないことにした。図のNTT NGXとIPv6との接続は正しくない可能性が高い。
  5. [5] 高価なルータであれば、MAP-EとPPPoEの同時接続も可能
  6. [6] やろうと思えばイーサネットは一つでもよい。IP Aliasingを使えば一つのNICにいくらでもIPアドレスを付与できるので、LAN側もWAN側も同じNICを共用できる。ただし、クライアントから外部に向けた全てのパケットがルータのNICを二度通るので効率が悪い。