解決済み: NTT東西フレッツv6オプションのIPv6アドレスを用いた拠点間IPsecのコンフィグについて

cja56910tf · ‎2021-05-31

NTT東西フレッツv6オプションのIPv6アドレスを用いた拠点間IPsecのコンフィグについて、機能とコンフィグ例のご教授・ご指南をお願いしたく投稿しました。

まず、現在の環境は下記の通りです。

・本社～(複数)支社間でハブ＆スポーク型のIPsec VPNを形成している。

・各拠点はIPv4 のPPPoE接続を利用している。

・割り当てられるグローバルIPはどの拠点もIPv4固定IPアドレスを保有している。

・使用している機種はISR4K/1K、892FSP

・IPse VPNにはStatic VTI 機能を使用している。

・IPsecトンネル内にEIGRPパケットを流し、本社～(複数)支社間でEIGRPネイバーを張っている。

フレッツ網TNEの品質問題を解消するため、フレッツ回線(ひかり電話なし)のv6オプションを契約し、IPv6アドレス払い出しとIPv6通信が可能になるようにしました。

ここからが本題ですが、現在IPv4アドレスで形成しているIPsecトンネルをIPv6アドレスを用いたIPsecトンネルに変更したいと考えています。

割り当てられるIPv6アドレスは半固定アドレスなので、各拠点に割り当てられたIPv6 FQDN を使ってIPsecを張る必要があります。※NTTから指定されるIPv6 DNSサーバを用いて各拠点ルータが名前解決します。

しかし、上記を実現するためにはどのような機能を用いれば良いかが分からず困っております。

使用する機能をそのコンフィグ例と共にご教授・ご指南をお願い出来ませんでしょうか。

有識者・経験者の皆様のご回答をお待ち申し上げております。

Rend-S27 · ‎2023-08-31

お世話になります。

シスコルーター等にて、フレッツV6オプションのIPV6グローバルアドレス同士のメインモードIPSEC接続をする構成の件ですが、

シスコルーター系の仕様ですと、デフォルトでIPV6グローバルアドレスの名称解決・FQDNルーティング処理については、不得意なメーカー（遅れている）状況でしたので、下記のような方法をしています。

　・　フレッツV6オプションの取得IPV6アドレスが半固定ですが、変更にならないものでは無いので、フレッツV6オプションの名称解決（DDNS監視機能）にて、OpenIPV6-DDNSサービスの設定をして、イベントマネージャー機能にDDNSの監視エージェントサービスの設定を行う

　・上記の設定をして、IPV6グローバルアドレスを取得するインターフェイス（GE0）に対して、IPV6取得の設定を行う

　　シスコルーターのIOSでは、ND-Proxyなどの機能には対応しておりませんので、IPV6自動判別取得の設定と、RAプレフィックスの設定をGE0インターフェイスに設定し、端末やサーバの接続インターフェイス（VLAN1、BVI1等の側）は、GE0から取得しRA広告のLAN側の指定設定を行い（IPV6自動判別取得、RA広告のデフォルトルート広告の設定、RA取得の設定）を行う

　・　上記のままですと、IPV6グローバルアドレスのルーティング処理がされないので、IPV6ユニキャストルーティングの設定を行う。

　上記の条件下にて、

　・シスコルーターのFQDNルーティング処理は、どちらかと言いましたら、不得手のメーカー仕様の部分が御座いますので、設定をして、ドメインのDNS応答解決の部分にかなりタイムロスする部分は有るかと思いますが、ip domain list　に　対向先のOpenIPV6-DDNS設定を登録をする。　ip name-serverに、PPPOEセッションのネームサーバが登録されているかと思いますが、フレッツV6回線網からのネームサーバも登録をする

　・　Ikev1-IPSECの場合には、ISAKMPプロポーサル、Crypt-IKEプロファイル、Crypt-IPSEC等の設定を確認する。（それぞれのピアアドレスに、OpenIPV6-DDNSアドレスを指定する

　というような流れになるかと思います。

　それぞれのIPSECトンネルのモードですが、諸般の仕様にて、IPアンナンバード運用にて、トンネルモードをIPV6、トンネルソースをLAN側インターフェイス（BVI等）、トンネル宛先に対向先のOpenIPV6-DDNSアドレスを指定、トンネルのプロファイルの設定も確認するかたちになるかと思いますが。

元の投稿で解決策を見る

Rend-S27 · ‎2023-08-31

先ほどの補足ですが、

　IPV6グローバルアドレスの取得の部分ですが、ユニキャストルーティング以外にですが、DHCPv6-PD運用の取得の設定、そのDHCPv6-PD取得の項目内にて、IPV6用のDNSサーバ取得の部分の設定の確認も必要です。

　GE0からDHCPv6-PD運用取得をされた場合にですが、DNSサーバの取得も、明示的に自動取得（import dns-server、 import domain-name)の設定の確認にて、IPV6-DNS名称解決がされる部分はあるのですが、DDNS設定の際に参照先のDNSサーバエントリーの捕捉になりますので、ご確認ください。

元の投稿で解決策を見る

Rend-S27 · ‎2023-08-31

お世話になります、承知致しました。

シスコ系ですが、自己解決をされていたとのことですね。

ご指定のサンプルですが、

①　OpenIPV6-DDNS（事前のユーザー登録が必要ですが）　→　https://i.open.ad.jp/

event manager applet OPEN-IPV6-DDNS
event timer cron name OPEN-IPV6-DDNS cron-entry "* * * * *"
action 1.0 cli command "enable"
action 1.1 cli command "ping update-（登録ユーザーID）.i.open.ad.jp"

②　IPV6ドメイン名称解決のためのリスト登録、ネームサーバ登録

ip domain list （対向先IPV6-DDNSドメイン）

ip name-server （NTT閉域網より取得しました、IPV6-DNSサーバアドレス）

③　IKEv2プロポーサル、プリシェアードキー、IPSECトンネル情報

crypto ikev2 proposal IKEV2-SEC
encryption aes-cbc-256
integrity sha256
group 14
!
crypto ikev2 policy IKEV2-SEC2
proposal IKEV2-SEC

crypto ikev2 keyring test-Keys
peer （対向先IPV6-DDNSサーバアドレス）
hostname （対向先IPV6-DDNSホストアドレス）
pre-shared-key ************

crypto ikev2 profile test-IPSEC2
match identity remote fqdn （対向先IPV6-DDNSアドレス）
identity local fqdn （自局IPV6-DDNSアドレス）
authentication local pre-share
authentication remote pre-share
keyring local Test-Keys
lifetime 28800

dpd 30 3 periodic

crypto ipsec transform-set IKEV2-SEC3 esp-aes 256 esp-sha256-hmac
mode tunnel

crypto ipsec profile IPS-IPSEC
set security-association lifetime seconds 86400
set transform-set IKEV2-SEC3

interface Tunnel1
ip unnumbered BVI1
ip access-group （プライベートIPからのフィルタリング許可）
ip access-group （自局プライベートIPからの対向先フィルタリング許可）
ip mtu 1280
ip tcp adjust-mss 1240
tunnel source （GE0、IPV6アドレス取得インターフェイス）
tunnel mode ipsec ipv6
tunnel destination （対向先IPV6-DDNSアドレス）
tunnel protection ipsec profile IPS-IPSEC ikev2-profile test-IPSEC2

interface GigabitEthernet0/9
description *****************no ip address
ip nbar protocol-discovery
ip tcp adjust-mss 1412
duplex auto
speed auto
ipv6 address autoconfig
ipv6 nd autoconfig default-route
ipv6 nd ra suppress all

interface BVI1
ip address 192.168.***.1 255.255.255.0
ip access-group LAN-IN in
ip access-group LAN-OUT out
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1414
ipv6 address ***************************
ipv6 address autoconfig
ipv6 enable
ipv6 nd autoconfig default-route
ipv6 nd ra suppress all
ipv6 nd ra dns server ***************
ipv6 nd ra dns server ***************
ipv6 dhcp server STATELESS

IPSECトンネル内のフィルタアクセスリスト

ip access-list extended VPN-ACL1
permit ip 192.168.AAA.0 0.0.0.255 192.168.BBB.0 0.0.0.255
ip access-list extended VPN-ACL1-1
permit ip 192.168.BBB.0 0.0.0.255 192.168.AAA.0 0.0.0.255

対向先の静的経路設定

ip route 192.168.BBB.0 255.255.255.0 Tunnel1

上記のようなかたちになりますが、私個人としては、インターフェイスのバーチャルテンプレートを極力利用せず、

IPSECトンネル内のIPSECの仮想IPアドレス周りについては、アンナンバード運用の設定をよく多用しております。

元の投稿で解決策を見る

Rend-S27 · ‎2023-08-31

あと、IPSECトンネルにですが、peerアドレスにFQDN指定をされた場合にですが、本来DDNSの接続でのメインモード対応（dynamicエントリー）ですが、本体機能のDDNSを運用している訳では御座いませんので、peerアドレスとIPV6アドレスの名称解決には、モニタリング機能を併用しませんとうまく動作しないケースが御座います。

イベントマネージャー設定例

event manager applet IPSEC-SA-DDNS-UPDATE
event timer cron name TAC cron-entry "* * * * *"
action 1.0 cli command "enable"
action 1.1 cli command "configure terminal"
action 1.2 cli command "interface tunnel1"
action 1.3 cli command "tunnel destination （対向先IPV6-DDNSアドレス）"

元の投稿で解決策を見る

Rend-S27 · ‎2023-09-01

承知致しました。

関西地区ということで、DDNS運用の場合にですが、MyDNSも対応は可能ですが、対象のインターフェイスは、

WAN回線接続しています物理インターフェイスを指定することで、DDNSの名称解決は可能かと思いますが、

MyDNSの場合にですが、ご利用の拠点・接続のプロバイダ等により、即時DDNS名称解決は難しいかもしれません。

NTT閉域アドレス網対応のDDNSでなければいけない条件も御座いますので、MyDNSの場合には、

DDNSの捕捉に、一端インターネット経由でのDDNS解決になる機能だったかと思います。

そのインターネット機能が、PPPOEセッションの場合には、その輻輳遅延も御座いますので、

出来ましたら、IPV4-Over-IPV6・固定IP系のプロバイダ、NURO-Biz系のプロバイダ等の方が良いかもしれません。

シスコのルーターの機種・グレード（iOS、iOS-XE）によっても、IPV6などの性能は変わりますので、

個人的には、非常に面倒でしたので、あまりシスコ系は運用して居らず、

他社製品にて運用中でした。

サンプルコンフィグも、その他社製品イメージのクセかもしれません。

元の投稿で解決策を見る

Rend-S27 · ‎2023-08-31

お世話になります。

シスコルーター等にて、フレッツV6オプションのIPV6グローバルアドレス同士のメインモードIPSEC接続をする構成の件ですが、

シスコルーター系の仕様ですと、デフォルトでIPV6グローバルアドレスの名称解決・FQDNルーティング処理については、不得意なメーカー（遅れている）状況でしたので、下記のような方法をしています。

　・　フレッツV6オプションの取得IPV6アドレスが半固定ですが、変更にならないものでは無いので、フレッツV6オプションの名称解決（DDNS監視機能）にて、OpenIPV6-DDNSサービスの設定をして、イベントマネージャー機能にDDNSの監視エージェントサービスの設定を行う

　・上記の設定をして、IPV6グローバルアドレスを取得するインターフェイス（GE0）に対して、IPV6取得の設定を行う

　　シスコルーターのIOSでは、ND-Proxyなどの機能には対応しておりませんので、IPV6自動判別取得の設定と、RAプレフィックスの設定をGE0インターフェイスに設定し、端末やサーバの接続インターフェイス（VLAN1、BVI1等の側）は、GE0から取得しRA広告のLAN側の指定設定を行い（IPV6自動判別取得、RA広告のデフォルトルート広告の設定、RA取得の設定）を行う

　・　上記のままですと、IPV6グローバルアドレスのルーティング処理がされないので、IPV6ユニキャストルーティングの設定を行う。

　上記の条件下にて、

　・シスコルーターのFQDNルーティング処理は、どちらかと言いましたら、不得手のメーカー仕様の部分が御座いますので、設定をして、ドメインのDNS応答解決の部分にかなりタイムロスする部分は有るかと思いますが、ip domain list　に　対向先のOpenIPV6-DDNS設定を登録をする。　ip name-serverに、PPPOEセッションのネームサーバが登録されているかと思いますが、フレッツV6回線網からのネームサーバも登録をする

　・　Ikev1-IPSECの場合には、ISAKMPプロポーサル、Crypt-IKEプロファイル、Crypt-IPSEC等の設定を確認する。（それぞれのピアアドレスに、OpenIPV6-DDNSアドレスを指定する

　というような流れになるかと思います。

　それぞれのIPSECトンネルのモードですが、諸般の仕様にて、IPアンナンバード運用にて、トンネルモードをIPV6、トンネルソースをLAN側インターフェイス（BVI等）、トンネル宛先に対向先のOpenIPV6-DDNSアドレスを指定、トンネルのプロファイルの設定も確認するかたちになるかと思いますが。

Rend-S27 · ‎2023-08-31

先ほどの補足ですが、

　IPV6グローバルアドレスの取得の部分ですが、ユニキャストルーティング以外にですが、DHCPv6-PD運用の取得の設定、そのDHCPv6-PD取得の項目内にて、IPV6用のDNSサーバ取得の部分の設定の確認も必要です。

　GE0からDHCPv6-PD運用取得をされた場合にですが、DNSサーバの取得も、明示的に自動取得（import dns-server、 import domain-name)の設定の確認にて、IPV6-DNS名称解決がされる部分はあるのですが、DDNS設定の際に参照先のDNSサーバエントリーの捕捉になりますので、ご確認ください。

cja56910tf · ‎2023-08-31

こんにちは。

2021年の古い投稿にも関わらず、回答をいただきまして誠にありがとうございます。

当時は回答が得られなかったので、自分でIKEv2、FlexVPN、Virtual-Template、EEMなどの各機能を多用・連携して検証し、NGN網におけるIPv6トンネルの形成に成功しています。(2年以上安定稼働しています）

実現出来た今であれば、Steck18様が記載されている文面の内容や懸念点などが理解出来ますが、当時の自分ではチンプンカンプンだったと思います。とても貴重な情報のご提供、ありがとうございます。

もし可能であればサンプルコンフィグをご提供いただけると、同じように困っている方が本投稿に辿り着いた時に助かるのではないかと思いますので、ご検討いただければ幸いです。

Rend-S27 · ‎2023-08-31

お世話になります、承知致しました。

シスコ系ですが、自己解決をされていたとのことですね。

ご指定のサンプルですが、

①　OpenIPV6-DDNS（事前のユーザー登録が必要ですが）　→　https://i.open.ad.jp/

event manager applet OPEN-IPV6-DDNS
event timer cron name OPEN-IPV6-DDNS cron-entry "* * * * *"
action 1.0 cli command "enable"
action 1.1 cli command "ping update-（登録ユーザーID）.i.open.ad.jp"

②　IPV6ドメイン名称解決のためのリスト登録、ネームサーバ登録

ip domain list （対向先IPV6-DDNSドメイン）

ip name-server （NTT閉域網より取得しました、IPV6-DNSサーバアドレス）

③　IKEv2プロポーサル、プリシェアードキー、IPSECトンネル情報

crypto ikev2 proposal IKEV2-SEC
encryption aes-cbc-256
integrity sha256
group 14
!
crypto ikev2 policy IKEV2-SEC2
proposal IKEV2-SEC

crypto ikev2 keyring test-Keys
peer （対向先IPV6-DDNSサーバアドレス）
hostname （対向先IPV6-DDNSホストアドレス）
pre-shared-key ************

crypto ikev2 profile test-IPSEC2
match identity remote fqdn （対向先IPV6-DDNSアドレス）
identity local fqdn （自局IPV6-DDNSアドレス）
authentication local pre-share
authentication remote pre-share
keyring local Test-Keys
lifetime 28800

dpd 30 3 periodic

crypto ipsec transform-set IKEV2-SEC3 esp-aes 256 esp-sha256-hmac
mode tunnel

crypto ipsec profile IPS-IPSEC
set security-association lifetime seconds 86400
set transform-set IKEV2-SEC3

interface Tunnel1
ip unnumbered BVI1
ip access-group （プライベートIPからのフィルタリング許可）
ip access-group （自局プライベートIPからの対向先フィルタリング許可）
ip mtu 1280
ip tcp adjust-mss 1240
tunnel source （GE0、IPV6アドレス取得インターフェイス）
tunnel mode ipsec ipv6
tunnel destination （対向先IPV6-DDNSアドレス）
tunnel protection ipsec profile IPS-IPSEC ikev2-profile test-IPSEC2

interface GigabitEthernet0/9
description *****************no ip address
ip nbar protocol-discovery
ip tcp adjust-mss 1412
duplex auto
speed auto
ipv6 address autoconfig
ipv6 nd autoconfig default-route
ipv6 nd ra suppress all

interface BVI1
ip address 192.168.***.1 255.255.255.0
ip access-group LAN-IN in
ip access-group LAN-OUT out
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1414
ipv6 address ***************************
ipv6 address autoconfig
ipv6 enable
ipv6 nd autoconfig default-route
ipv6 nd ra suppress all
ipv6 nd ra dns server ***************
ipv6 nd ra dns server ***************
ipv6 dhcp server STATELESS

IPSECトンネル内のフィルタアクセスリスト

ip access-list extended VPN-ACL1
permit ip 192.168.AAA.0 0.0.0.255 192.168.BBB.0 0.0.0.255
ip access-list extended VPN-ACL1-1
permit ip 192.168.BBB.0 0.0.0.255 192.168.AAA.0 0.0.0.255

対向先の静的経路設定

ip route 192.168.BBB.0 255.255.255.0 Tunnel1

上記のようなかたちになりますが、私個人としては、インターフェイスのバーチャルテンプレートを極力利用せず、

IPSECトンネル内のIPSECの仮想IPアドレス周りについては、アンナンバード運用の設定をよく多用しております。

Rend-S27 · ‎2023-08-31

あと、IPSECトンネルにですが、peerアドレスにFQDN指定をされた場合にですが、本来DDNSの接続でのメインモード対応（dynamicエントリー）ですが、本体機能のDDNSを運用している訳では御座いませんので、peerアドレスとIPV6アドレスの名称解決には、モニタリング機能を併用しませんとうまく動作しないケースが御座います。

イベントマネージャー設定例

event manager applet IPSEC-SA-DDNS-UPDATE
event timer cron name TAC cron-entry "* * * * *"
action 1.0 cli command "enable"
action 1.1 cli command "configure terminal"
action 1.2 cli command "interface tunnel1"
action 1.3 cli command "tunnel destination （対向先IPV6-DDNSアドレス）"

cja56910tf · ‎2023-09-01

こんにちは。

コンフィグサンプルのご提供、誠にありがとうございます。

当方の地区は西日本なのでOpenIPV6-DDNSは使っていませんが、記載のサイトをベースにコンフィグを作ったので、現在運用中の装置のコンフィグとご提供いただいたコンフィグはEEMも含めてほぼ同じです。違う箇所はBVIを使っていなところやVirtual-Templateのところでしょうか。

自分が作成したコンフィグが適切であったと自信を深める事が出来ました。ご教授ありがとうございました。

Rend-S27 · ‎2023-09-01

承知致しました。

関西地区ということで、DDNS運用の場合にですが、MyDNSも対応は可能ですが、対象のインターフェイスは、

WAN回線接続しています物理インターフェイスを指定することで、DDNSの名称解決は可能かと思いますが、

MyDNSの場合にですが、ご利用の拠点・接続のプロバイダ等により、即時DDNS名称解決は難しいかもしれません。

NTT閉域アドレス網対応のDDNSでなければいけない条件も御座いますので、MyDNSの場合には、

DDNSの捕捉に、一端インターネット経由でのDDNS解決になる機能だったかと思います。

そのインターネット機能が、PPPOEセッションの場合には、その輻輳遅延も御座いますので、

出来ましたら、IPV4-Over-IPV6・固定IP系のプロバイダ、NURO-Biz系のプロバイダ等の方が良いかもしれません。

シスコのルーターの機種・グレード（iOS、iOS-XE）によっても、IPV6などの性能は変わりますので、

個人的には、非常に面倒でしたので、あまりシスコ系は運用して居らず、

他社製品にて運用中でした。

サンプルコンフィグも、その他社製品イメージのクセかもしれません。