今日は一工夫必要なIPoE環境のVPN構築について書きます。
構築環境
- プロバイダ OCN IPoE(動的IP契約)
- HGW RT-500KI
- ひかり電話 あり
- VPNサーバー 宅内に構築したOpenVPNサーバー
IPoE環境でIPv4通信を行う技術(IPv4 over IPv6)はいくつかあって、今回の記事ではMAP-E(バーチャルコネクト)という技術が前提となります。
また、VPNサーバーはルーターではなく宅内に用意したVPNサーバーが前提です。VPNサーバー構築については過去記事をご参照ください。
なお、以前ご紹介したとおりLAN側の構成はこんな感じです。
IPoEでVPN構築(またはポート開放)が難しい理由
PPPoEではルーターに割り当てられたWAN側IPv4アドレスだけで通信先を特定することが可能でした。しかし、IPoEは複数のユーザーで1つのIPv4アドレスを共有するため、IPアドレスだけで通信先を特定することができません(IPv4アドレスの枯渇問題を思えばこの仕組みは合理的ではあります)。
IPアドレスを共有するということはポートも共有することになるため、自由にポートを開放することができなくなってしまったのでした。
ではどうする?使えるポートもあります
しかし、一切ダメかというとそうではありません(注:DS-Liteは不可です)。利用できるポートはRTX1210で調べることができます。「管理」→「保守」→「コマンドの実行」で下記コマンドを入力します。
show nat descriptor address
「実行」をクリックすると結果が表示されます。
# show nat descriptor address
NAT/IPマスカレード 動作タイプ : 2
参照NATディスクリプタ : 20000, 適用インタフェース : TUNNEL[1](1)
Masqueradeテーブル
外側アドレス: map-e/aaa.bbb.ccc.ddd
ポート範囲: ここに利用できるポートが列挙されます
例)10000-12000, 13500-14000ここの「外側アドレス」が現在WAN側に割り当てられているIPv4アドレスで、その下「ポート範囲」が利用できるポートです。つまり、この例ではポート 10000は開放可能ということになりますので、OpenVPNのプロトコルにUDPを指定している場合は
- RTX1210のNAT設定で内側アドレスにOpenVPNサーバーを指定(UDP 10000)
- OpenVPNのserver.confでUDP 10000を指定
- OpenVPNのクライアント設定(.ovpn)でaaa.bbb.ccc.ddd UDP 10000を指定
こうすることでVPN構築が可能です!
コメント