2023年03月02日
Tweet
以下の条件で利用したいと考えました。
・ IPv6 を特定の人だけで利用する
→ とりあえずは手動設定します。
※MACアドレスなどで、IPv6を個別に与える事もできるかもしれません。
・ 一部のサーバーにもIPv6を付与してアクセスできるようにする
テストしないサーバーやクライアントに対してはIPv6を利用させない
まず会社が契約しているプロバイダーは、 IPv6 が有効でした。
ただ設定は入っていないので、利用できる状態ではありませんでした。
DHCPでIPv6が利用可能になりました。
ヤマハ設定
ipv6 route default gateway dhcp lan2
ipv6 lan2 address dhcp
ipv6 lan2 dhcp service client
ipv6 lan1 address dhcp-prefix@lan2::254/64
ipv6 lan1 address fe80::1/64
ipv6 lan2 secure filter in 1 2 3 4
ipv6 lan2 secure filter out dynamic 1 2 3 98 99
ipv6 filter 1 pass * * udp domain
ipv6 filter 2 pass-log * * icmp6
ipv6 filter 3 pass * * udp 547
ipv6 filter 4 reject * * icmp-nd
ipv6 filter dynamic 1 * * domain syslog=off
ipv6 filter dynamic 2 * * www syslog=off
ipv6 filter dynamic 3 * * https syslog=off
ipv6 filter dynamic 98 * * tcp
ipv6 filter dynamic 99 * * udp
※DNSなども正しい設定を行います。 ipv4 と同じようです。
これとは別にIPv4での接続もできるような設定は既存で入っています。
lan2=wan については、プロバイダーのDHCPから ipv6 を受け取ります。
lan1 については、LAN2のアドレスをもとに、末尾254とします。
またクライアント側でデフォルトゲートウェイの設定が楽になるように、第2のIPv6 アドレス(fe80::1)を設定します。
filter で、 icmp-nd を reject します。この設定が無いと、ipv6が社内に蔓延してしまいます。
Neighbor Discovery ということで、自動でIPv6アドレスを生成するようです。これを reject して手動設定のみ利用可能にします。
yamaha から nslookup と ping を行います。
# nslookup google.co.jp
142.250.199.99
2404:6800:4004:81d::2003
# ping6 google.co.jp
2404:6800:4004:81d::2003から受信, シーケンス番号=0 hlim=116 時間=2.547ミリ秒
クライアント側に割り当てるIPアドレスを知るためにヤマハに割り当たっている ipv6 アドレスを調べます。
# show ipv6 address lan1
(略)
グローバル 240Z:ZZ:ZZ:ZZ00::254/64
(略)
config に設定したように末尾254が当たっていました。
クライアント側は、手動で ipv6 アドレスを設定します。
240Z:ZZ:ZZ:ZZ00::Z
プレフィックス
64
ゲートウエイはヤマハの ipv6 アドレスもしくは、 FE80::1 を設定します。DNSも同様です。
ping をして動作確認をします。
>ping -6 google.co.jp
google.co.jp [2404:6800:4004:80c::2003]に ping を送信しています 32 バイトのデー タ:
2404:6800:4004:80c::2003 からの応答: 時間 =2ms
これで、手動でIPv6設定をした端末のみ利用可能となりました。
・ IPv6 を特定の人だけで利用する
→ とりあえずは手動設定します。
※MACアドレスなどで、IPv6を個別に与える事もできるかもしれません。
・ 一部のサーバーにもIPv6を付与してアクセスできるようにする
テストしないサーバーやクライアントに対してはIPv6を利用させない
まず会社が契約しているプロバイダーは、 IPv6 が有効でした。
ただ設定は入っていないので、利用できる状態ではありませんでした。
DHCPでIPv6が利用可能になりました。
ヤマハ設定
ipv6 route default gateway dhcp lan2
ipv6 lan2 address dhcp
ipv6 lan2 dhcp service client
ipv6 lan1 address dhcp-prefix@lan2::254/64
ipv6 lan1 address fe80::1/64
ipv6 lan2 secure filter in 1 2 3 4
ipv6 lan2 secure filter out dynamic 1 2 3 98 99
ipv6 filter 1 pass * * udp domain
ipv6 filter 2 pass-log * * icmp6
ipv6 filter 3 pass * * udp 547
ipv6 filter 4 reject * * icmp-nd
ipv6 filter dynamic 1 * * domain syslog=off
ipv6 filter dynamic 2 * * www syslog=off
ipv6 filter dynamic 3 * * https syslog=off
ipv6 filter dynamic 98 * * tcp
ipv6 filter dynamic 99 * * udp
※DNSなども正しい設定を行います。 ipv4 と同じようです。
これとは別にIPv4での接続もできるような設定は既存で入っています。
lan2=wan については、プロバイダーのDHCPから ipv6 を受け取ります。
lan1 については、LAN2のアドレスをもとに、末尾254とします。
またクライアント側でデフォルトゲートウェイの設定が楽になるように、第2のIPv6 アドレス(fe80::1)を設定します。
filter で、 icmp-nd を reject します。この設定が無いと、ipv6が社内に蔓延してしまいます。
Neighbor Discovery ということで、自動でIPv6アドレスを生成するようです。これを reject して手動設定のみ利用可能にします。
yamaha から nslookup と ping を行います。
# nslookup google.co.jp
142.250.199.99
2404:6800:4004:81d::2003
# ping6 google.co.jp
2404:6800:4004:81d::2003から受信, シーケンス番号=0 hlim=116 時間=2.547ミリ秒
クライアント側に割り当てるIPアドレスを知るためにヤマハに割り当たっている ipv6 アドレスを調べます。
# show ipv6 address lan1
(略)
グローバル 240Z:ZZ:ZZ:ZZ00::254/64
(略)
config に設定したように末尾254が当たっていました。
クライアント側は、手動で ipv6 アドレスを設定します。
240Z:ZZ:ZZ:ZZ00::Z
プレフィックス
64
ゲートウエイはヤマハの ipv6 アドレスもしくは、 FE80::1 を設定します。DNSも同様です。
ping をして動作確認をします。
>ping -6 google.co.jp
google.co.jp [2404:6800:4004:80c::2003]に ping を送信しています 32 バイトのデー タ:
2404:6800:4004:80c::2003 からの応答: 時間 =2ms
これで、手動でIPv6設定をした端末のみ利用可能となりました。
stock_value at 15:39│Comments(0)│技術