[FreeBSD-users-jp 96745] Re: 「v6プラス 固定IPサービス」でのIPIPトンネルの設定の仕方

[WATANABE Takeo]

渡部です。
お世話になります。


on Sun, 28 Mar 2021 16:13:22 +0900
Hiroo Ono <hiroo ＠ oikumene.net> wrote: 

>> ところで，gif トンネルを張っている状態で，
>>
>> dhcp6c -dD -i ixl0
>>
>> の結果が出力されないのは，おかしいことでしょうか。
> 
> DHCPv6-PD 環境をさわったことがないので質問なんですが、これで移譲される
> prefix の情報が出てこないのはそういうものなんでしょうか?
> そこが気になって、はたしてちゃんと動いているのかわからなくなってしまっ
> ています。

dhcp6c を止めると，DNS/Searh Domain/NTP の情報が得られますので，
そのような仕様なのだか考えています。

ISPの担当者曰くDHCPv6-PDは，
移譲されるアドレス情報はクライアント側から取りにいかないと，
(ISPからの設定情報を元に，ifconfig に書き込む)
取得できないそうです。

>> さて，現状をまとめますと，以下のようになっています。
>>
>> 1.  トンネルを張る前
>>     ・対向の BR には ping が通る。
> 
> ping が通りますか? ping6 でなく?

ping6 の間違いです。すみません。

>> 2.  トンネルを張り，lo0 に v4 アドレスを割り当てた後
>>     ・v4 で，8.8.8.8 に ping が通る。
> 
> これはルーターにしているホストからということであっていますか?

はい，そうです。

なお，いまはまたv4で疎通ができなくなりました。

>> 3. dhcp6c, rtarvd, unbound, dhcpd を再起動。
>>     ・ping6 www.google.com が通る。
> 
> これはルーターにしているホストからですか? LAN内のほかのホストからも通
> りますか?

はい，そうです。LAN内のほかのホストからは疎通できません。

> dhcpd は v4 の（プライベート）アドレスを配る設定ということであっていま
> すか?

はい。OpenBSD dhcpd /usr/ports/net/dhcpd というものを使っています。

>> pf は，次の行が構文エラー(?) rule expands to no valid conbinations で，
>> 起動できません。
>>
>> net log on $wan inet from ! $wan to any -> ($wan)
>>
>> これは件の記事通りなので，どう直せばよいのでしょうか。
>> また，pf が動かないと，LANへは v6 のアドレスなどが広告されないのですね。
> 
> pf は使っていないので、すみませんが全然わかりません。こ
> ipfw で良ければたぶん同等のルールをどう書けばよいかは出せると思います
> が。

現在の pf.conf の設定は添付のとおりです。
お手数をおかけしますが，ipfw の設定事例を書いて頂けませんでしょうか。

どうか，宜しくお願い致します。

---
WATANABE, Takeo
take ＠ kasaneiro.jp


-------------- next part --------------
wan = "ixl0"
lan = "ixl1"

scrub inall

# IPv4 NAT
nat on $wan inet from 192.168.131.64/27 to any -> 106.185.148.119/32

# Block and log add packets from outside
block in log all

# Allow Local loop back
set skip on lo0

# Allow DHCP6
pass in log on $wan inet6 proto udp from any to ($wan) port dhcpv6-client keep state
pass out log on $wan inet6 proto udp from any to ($wan) port dhcpv6-server keep state

pass log inet6 proto icmp6 all icmp6-type {neighbradv, neighbrsol, routersol, routeradv}

# allow DNS packets
pass in log on $wan inet6 proto tcp from any to ($wan) port 53
pass in log on $wan inet6 proto udp from any to ($wan) port 53
pass in log on $wan inet proto tcp from any to ($wan) port 53
pass in log on $wan inet proto udp from any to ($wan) port 53

# Allow all packets to go out, snd keep state of them
pass out all keep state

# Allow SSH packets
pass in log on $wan inet proto tcp from any to 106.185.148.119 port 2222 
pass out log on $lan inet proto tcp from 192.168.131.64/27 to 106.185.148.119 port 2222