さくらのvps で ipv4 over ipv6ルータの構築
TRANSCRIPT
さくらのVPSでIPv4 over IPv6ルータを作ってみた
さくらの夕べ
「さくらのVPS ユーザーミートアップ」
Tomocha
自己紹介
• 肉が主食。カレーは飲み物。
• BGP大好き
• ネットワークはおもちゃ
• 最近毎月3,4000キロのドライブ
• お家に引きこもり以外はお出かけ
• さくらのVPSはクローズドベータからのファーストユーザー
何を作ったのか、その背景
• フレッツのPPPoEが遅くて使い物にならない
• IPoEは開通してる。IPv6は早いぜ!でも、IPv4遅い…• PPPoEの網終端が混んでおり、増設には申請から結構時間がかかる
• 増設してもすぐに埋まり、間に合わない
• セッションの数で増設基準がある(帯域ベースではない)ため、増設要件がなかなか満たさない(でも、1ID当たりの帯域は増えてる)
増設基準については総務省掲載資料参照。http://www.soumu.go.jp/main_content/000478903.pdf
• 詳しくは、IIJのてくろぐを参照。http://techlog.iij.ad.jp/archives/1879
• IPv4 over IPv6 という技術があるじゃん!
http://techlog.iij.ad.jp/archives/1879
http://techlog.iij.ad.jp/archives/1879
•http://www.soumu.go.jp/main_content/000478903.pdf
何を作ったのか、その背景(つづき)
• 自宅はTransixとAsahiNetのIPoEの開通したネイティブのIPv6環境はある。また、複数契約による冗長
• 前者はDS-Liteでセッション数は1024で全然足りない。また、IPv4
アドレスは固定ではない。
• 後者は、4over6の提供は無い。
• v6プラスの固定IPは環境を選ぶ。
• 保守運用業務をしてるとIPv4の固定IP必須!
• IPv6があるのに、有効的に使えない….!
じゃあ、自前でIPv6で抜けるゲートウェイを作ろう。
さくらのVPSを1つ契約
• BIGLOBE、 TransixおよびAsahiNetはIPv6は東西適切に運用され、最も近いネットワークから出て行くよ。• (西日本では)BBIXはだめだよ。直接ピアしてないのでIPv6の
世界では遠くにまわる可能性があるよ。
• 詳細は、一番最後に!
• 西日本は大阪リージョンのVPS、東日本は東京リージョンのVPSを借りるとよいよ。
• 世の中東京なので、西日本はちゃんと大阪で繋がっているのを確認するため、traceroute/pingの結果を張っておくよ。
現在大阪リージョンは新規提供していないらしい。。。
CentOSで実装トンネル設定# modprobe ip6_tunnel# ip -6 tunnel add tun1 mode ip4ip6 remote 2409:10:xxx:xxx::beef:2 local ¥
2001:e42:102:1110:153:121:xx:xx# ip link set tun1 up# ip addr add 192.0.0.1/30 dev tun1# sysctl -w net.ipv4.conf.all.forwarding=1# sysctl -w net.ipv4.conf.eth0.rp_filter=0# sysctl -w net.ipv4.conf.tun1.rp_filter=0# sysctl -w net.nf_conntrack_max=65635
SNAT設定# iptables -t nat -F# iptables -t nat -A POSTROUTING -j MASQUERADE
ルーティング設定# route add -net 10.0.0.0/8 dev tun1# route add -net 192.168.0.0/16 dev tun1# route add -net 172.16.0.0/12 dev tun1
※ どのように設定すればよいかを紹介するものであり、設定ファイルの書き方を示す場所では無いので、揮発性の設定の紹介のみです。
ルータの設定@YAMAHA RTX
みんな大好きRTX1200での設定例。
ipv6 prefix 1 ra-prefix@lan3::/64ipv6 lan3 address ra-prefix@lan3::beef:2/64!tunnel select 1tunnel encapsulation ipiptunnel endpoint address 2001:e42:102:1110:153:121:xx:xxip tunnel address 192.0.0.2 ★ 書かなくてもOKip tunnel tcp mss limit autotunnel enable 1
制約事項• DS-Liteみたいに、どこかられも受けれるわけでは無いので、1:1の
tunnel作成が必要• 頑張りたければ、ISC Lightweight DS-Lite を使えばよいよ。• 複数トンネルしたいときも、 ISC Lightweight DS-Lite を使えばよいよ。
• フレッツ側は半固定の為、アドレスに変更があった場合は個別対処が必要。滅多に変わらないけど保証されてないよ。
• もちろん暗号化されてないよ。だって、インターネットだもん。• 古いさくらのVPSはネットワーク切り替え&収容変更されてもIPv6 に
対応してくれない。対応してください!• DS-Lite対応のルータなら一応いけるはず。実態はip-over-ip6
tunnelIO-DATA製は、gw.transix.jpのDNSを詐称すればOKのはず。
• 量販店で買える民生ルータは、SLAACによるアドレス自動生成のため、少し面倒。
性能評価• 東京某所Transix~さくらのVPS 東京リージョンで測定
• さくらのVPSは100Mbpsで制限されている• 古い旧VPSは下り1Gbpsだが、登りは100M。しかもIPv6に未対応。
• ルータ単体性能• YAMAHA RTX1200は350Mbps程度で頭打ち
• NEC IX2025はほぼ理論値に近い95Mbps程度
• Cisco 841M 40Mbps程度、CPU頭打ち
http://beta.speedtest.net/result/6650750104
まとめ
• 100Mbpsを超えることは出来ないけど超快適に使えるよ。
• さくらのVPSでIPv6を有効的に使おう!
• 申し込みは、こちらのバナーから!
ともちゃ 日記
参考(AS9371 西日本エリアIPv6ピア)
IIJ経由(トランジット)9371-2914-4713 (SAKURA-GIN-OCN)9371-2497-4713 (SAKURA-IIJ-OCN) ★ BEST
大阪2400:4150::/30AS4713OCN
JPNAP大阪大阪2405:6584::/30AS4685ASAHI-NET
BIGLOBEプライベートピア(大阪)大阪2404:7a84::/30AS2518BIGLOBE
KDDI経由(トランジット)大阪240b:0250::/30AS2516JPNE
JPNAP大阪大阪2409:0250::/30AS55392MF-TRANSIX-E
BBIX大阪(ただしhe.net 経由)大阪2400:2650::/30AS17676BBIX-IPv6
接続場所接続点NTT西PrefixAS番号VNE事業社
※ ガチで遊ぶなら、BIGLOBE、 Transix 、AsahiNet 当たりがおすすめ。
2017.09.24 現在
参考• DS-Lite: Implementation experience and Views
• https://www.prolixium.com/share/DSLite_Implementation_Experiences.pdf
• RFC6333 Dual-Stack Lite Broadband Deployments Following IPv4 Exhaustion
• https://tools.ietf.org/html/rfc6333
• ISC Lightweight DS-Lite
• https://www.isc.org/downloads/lwds-lite/
• ともちゃ日記
• http://tomocha.net/diary/?20170924 (IPoE Traceroute結果)
• http://tomocha.net/diary/?20160717#201607176 (Transix DS-Lite)