自宅インフラ構築のメモ。
今回はインターネット接続について。
環境
全体図はこんな感じ。
今回のメモは薄黄色の丸の部分。
フレッツとひかり電話とプロバイダ契約はIIJmio光の光コラボ。HGWはPR-400KI。IPv6 IPoEオプション付き(最近無料になった)。
SIMカードを刺して色々遊んでみたいのでNVR700Wを買った。LTE機能が不要ならRTX1210やRTX830でも良い(LTE機能を抜きにしてもVPNスループット2Gbpsは魅力的)。
Cat3560はヤフオクで買った。2960同様ファンレスなので自宅に設置しやすい。リビングに設置する都合上よく家族に虐待(日光浴・コーヒーぶっかけ等)されている。すまん。
昔はNVR700Wの位置にEdgeRouter-XがいたけどVPNスループットが100-200Mbps程度だったのでリストラ。
いざ構築
HGWにどこまでの責務を持たせるか?
自前PPPoE終端ができて通話機能を持つNVR700WのようなルーターがあるとHGWにどこまでの機能を任せるのかが一つのポイントになる。
そのメリット・デメリットを書いていく。
パターン分けするとには以下のようになる
| パターン | PPPoE終端 | 通話 | IPv6PD再配布 | ||
|---|---|---|---|---|---|
| A | HGW | HGW | HGW | ||
| B | ルーター | HGW | HGW | ||
| C | ルーター | ルーター | HGW | ||
| D | ルーター | ルーター | ルーター |
A: HGWでPPPoE終端をしてルーターに静的ルーティング
HGWでNATするやつ(普通のやつ)。
LAN側でネットワークを切っている場合HGWの「LAN側静的ルーティング」からstatic routeを入れるのを忘れずに。
- 👎
- 性能が微妙なHGWに色々やらせると遊びたい時色々つらい
- ルーターでIPv4 over IPv6みたいなことをし始めるとフィルタの二重管理が始まる
B: HGWで通話のみ管理してルーターでPPPoE終端
- 👍
- パターンAと結線が変わらない
- IPv4ルーティングを一箇所で纏めて管理できる
- PPPoE経路とIPv4 over IPv6経路のフィルタ管理を共通化できる
- 👎
- 電話のトラシューはHGWと格闘することになる
- そんな事態に陥った事無いけどね
- 電話のトラシューはHGWと格闘することになる
C: ルーターでPPPoE終端も通話もやっちゃう
UNIポートを引っこ抜いてルーターにぶっ刺しちゃうやつ(参考)。
SIP対応ルーターが必要
- 👍
- パターンBのメリットと同じ
- ネットワークの殆どを自前のconfigで扱うことになるのでテンションがあがる(大切)
- 👎
- これをする場合、お問い合わせ先にご連絡くださいって書いてある
- これやってもHGW取り除けないのであまりメリットを感じない(HGW結構デカい)
- NVR700WはPD再配布できるけど他の市販ルーターでもPD再配布って普通にできるのかな・・・?
D: 小型ONU
最強
小型ONU対応ルーターが必要
- 👍
- パターンCのメリットと同じ
- HGWが物理的に要らない
- 👎
- 要NTT調整
- 工事費用別途かかる
- IIJmio光は不可
- もしかしたら他の光コラボでも無理かも
以上より
現時点ではBでええかなと思ったのでBにした。
汎用的に使える組み合わせはパターンBになるのかなと思う。CとDはハードウェア的制約が結構厳しいので選択肢が相当絞られてしまう。
てかぐぐったら出てきたこちらの記事とほぼ同じ内容になっちゃった・・・。
HGWの設定
PPPoE認証をNVR700W側でやるので以下のことを行う。
- PR-400KI側のPPPoEセッションを切断
- PPPoEブリッジ機能を有効にする
多分LAN側静的ルーティングは設定入れなくていい。
NVR700Wの設定
高度な事してないのでconfigは貼らない!
- IIJmio光のIPv6 DS-Liteはtransix IPv4接続オプションサービスより提供されるのでmultifeed社提供のドキュメントを参照する
- NVR700Wの場合
tunnel endpoint address [AFTR ADDRESS]の部分をtunnel endpoint name gw.transix.jpのようにすることで名前解決させることもできるが、この機能を使うとDNSにDHCP指定のものを使わないといけない。そのため、敢えてtunnel endpoint address [AFTR ADDRESS]にする
- NVR700Wの場合
- NTT東日本・NTT西日本それぞれで2つのAFTRのアドレスが提供されているのでそれぞれを指定したtunnel interfaceを作成しkeepaliveで冗長化させる
- ds-liteのmtuは1460byte
- IPv6のprefix周りの設定はドキュメントを参照する
- configではvlanごとにprefixを変えている
- routerの下にL3SWがいる場合、IPアドレスの範囲指定等をする必要がある(適切なフィルタがあるなら
dns host anyで良い気がする) -> ドキュメント - あんまやってる人いない気がするけどcloudflareのdns(
1.1.1.1)もgoogleのdns(8.8.8.8)もIPv6があるのでそれにした- cloudflare:
2606:4700:4700::1111,2606:4700:4700::1001 - google:
2001:4860:4860::8888,2001:4860:4860::8844
- cloudflare:
おまけ
- 以前
show configした内容をtelnetから流し込んだところ、show configした内容に改行コードが変なところに入っていて流し込んだfilterの番号が不正になった。その結果、そのフィルタ設定が含まれるinterfaceで全てのpacketがdropされ原因究明に時間がかかった。ip pp secure filter out 200013 200020 200021 200022 200023 200024 200025 200026 200027 200099 dynamic 200080 200081 200082 200083 200084 200085 200098 200099がip pp secure filter out 200013 200020 200021 200022 200023 20になっちゃうみたいな- コピペ投入はやらないようにしたほうが良い・・・
- 楽天モバイル(UN-LIMIT)のsimカードを手に入れたのでNVR700Wに入れてみたところ、IPアドレスは取得できたもののglobal通信できなかった
- IIJmioのsimカードと似たような挙動
- ファームウェアの更新を待ちたい
- 我が家の回線の速度(下り)について
- IPv4 PPPoEは深夜等の空いている時間なら400Mbpsくらい出るがヤバい時は数Mbpsくらいになる
- IPv6 IPoE/IPv4 DS-Liteはメッチャ早い。Ooklaのやつなら常時4-500Mbpsくらい。CDNとの通信は800-900Mbpsくらいまでいく。
- DS-Liteで計測するとキッチリ片系のCPU使用率が80%-90%くらいになる。公称VPNスループット2Gbpsというのは1Gbps捌けるCPUが2つ載っているのが根拠みたい(確かにそのくらい出る)。