IPv6 IPoE+MAP-E+ 이중 라우터 환경에서의 OpenVPN
1. 시작
이는 IPv6 IPoE 연결에 있는 MAP-E 기반 IPv4 통신에서 HGW(PR-500KI) 산하에 YAMAHA RTX1210이 있는 환경에서 OpenVPN을 사용하는 설정이다.
인증서 등의 제작 절차는 생략되고 주로 네트워크 설정을 기술했다.
2. 네트워크 구성
YAMAHA RTX1210에서 L2 TPv3/IPsec 및 L2 TP/IPsec(불안정)-Qita 동시 사용의 거점1과 마찬가지로 IPv6 IPoE 연결과 IPv4 PPOE 연결이 있습니다.IPv6 IPoE의 MAP-E(IPv4 over IPv6)를 통해 OpenVPN의 통신을 수신합니다.
YAMAHA RTX1210에서 L2 TPv3/IPsec 및 L2 TP/IPsec(불안정)-Qita 동시 사용의 거점1과 마찬가지로 IPv6 IPoE 연결과 IPv4 PPOE 연결이 있습니다.IPv6 IPoE의 MAP-E(IPv4 over IPv6)를 통해 OpenVPN의 통신을 수신합니다.
컨텐트
192.168.1.1
PR-500KI
192.168.1.254
RTX1210 LAN2
192.168.2.1
RTX1210 LAN1
3. 서버측 프로파일
당사의 환경에서 TAP(브리지 방식)가 순조롭게 진행될 수 없기 때문에 당사는 TUN(루트 방식)을 채택했습니다.주소 공간은 192.168.3.0/255.255.0입니다.
발송된 통신사 소프트웨어에서 IPv4에서 사용할 수 있는 포트를 확인했습니다. 우리측은 2224가 비어 있기 때문에 사용하고 있습니다.
server.ovpnport 22240
proto udp
dev tun
dev-node MyTap
ca ca.crt
cert server.crt
key server.key # This file should be kept secret
dh dh2048.pem
server 192.168.3.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.2.0 255.255.255.0"
push "redirect-gateway def1 bypass-dhcp"
keepalive 10 120
tls-auth ta.key 0 # This file is secret
cipher AES-256-CBC
persist-key
persist-tun
status openvpn-status.log
verb 3
explicit-exit-notify 1
tun-mtu 1280
fragment 1280
mssfix 1240
4. 클라이언트 설정 파일
서버 측과 함께 KAT-TUN, UDP, 포트 번호 2224, 타.key에 있습니다.\n서버 IPv4 주소는 MAP-E의 IPv4 주소로 발송된 통신사 소프트웨어 일람http://192.168.1.1:8888/t에서 확인할 수 있습니다.
client.ovpnclient
dev tun
dev-node MyTap
proto udp
remote <サーバIPv4アドレス> 22240
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
remote-cert-tls server
tls-auth ta.key 1
cipher AES-256-CBC
verb 3
tun-mtu 1280
fragment 1280
mssfix 1240
5. 서버 클라이언트 설정 파일의 특수 사항
다음 섹션은 MTU 등을 축소하는 우리측 통신 환경에 맞는 설정입니다.이거 없으면 연결이 안돼.L2 TPv3/IPsec 연결도 진행되고 있는데 그 터널은 MTU=1280입니다. 그게 영향을 미칠 수 있습니다.조정이 안 됐기 때문에 좀 더 큰 값이라도 괜찮을 수 있어요.MTU 및 fragment 값은 같고 MSS는 MTU-40입니다.tun-mtu 1280
fragment 1280
mssfix 1240
6. 증명서 등의 작성
이지-SRSA2 등으로 제작이 가능합니다.
7.등록표 설정
서버 OS가 Windows에서 KAT-TUN인 경우 레지스트리\HKEYLOCAL_MACHINE\SYSTEM\현재 ControlSet\Services\Tcpip\Parameters의 IPEnable Router를 1로 설정하고 Windows를 다시 시작해야 합니다.
8.PR-500KI 설정
port 22240
proto udp
dev tun
dev-node MyTap
ca ca.crt
cert server.crt
key server.key # This file should be kept secret
dh dh2048.pem
server 192.168.3.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.2.0 255.255.255.0"
push "redirect-gateway def1 bypass-dhcp"
keepalive 10 120
tls-auth ta.key 0 # This file is secret
cipher AES-256-CBC
persist-key
persist-tun
status openvpn-status.log
verb 3
explicit-exit-notify 1
tun-mtu 1280
fragment 1280
mssfix 1240
서버 측과 함께 KAT-TUN, UDP, 포트 번호 2224, 타.key에 있습니다.\n서버 IPv4 주소는 MAP-E의 IPv4 주소로 발송된 통신사 소프트웨어 일람http://192.168.1.1:8888/t에서 확인할 수 있습니다.
client.ovpn
client
dev tun
dev-node MyTap
proto udp
remote <サーバIPv4アドレス> 22240
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
remote-cert-tls server
tls-auth ta.key 1
cipher AES-256-CBC
verb 3
tun-mtu 1280
fragment 1280
mssfix 1240
5. 서버 클라이언트 설정 파일의 특수 사항
다음 섹션은 MTU 등을 축소하는 우리측 통신 환경에 맞는 설정입니다.이거 없으면 연결이 안돼.L2 TPv3/IPsec 연결도 진행되고 있는데 그 터널은 MTU=1280입니다. 그게 영향을 미칠 수 있습니다.조정이 안 됐기 때문에 좀 더 큰 값이라도 괜찮을 수 있어요.MTU 및 fragment 값은 같고 MSS는 MTU-40입니다.tun-mtu 1280
fragment 1280
mssfix 1240
6. 증명서 등의 작성
이지-SRSA2 등으로 제작이 가능합니다.
7.등록표 설정
서버 OS가 Windows에서 KAT-TUN인 경우 레지스트리\HKEYLOCAL_MACHINE\SYSTEM\현재 ControlSet\Services\Tcpip\Parameters의 IPEnable Router를 1로 설정하고 Windows를 다시 시작해야 합니다.
8.PR-500KI 설정
tun-mtu 1280
fragment 1280
mssfix 1240
이지-SRSA2 등으로 제작이 가능합니다.
7.등록표 설정
서버 OS가 Windows에서 KAT-TUN인 경우 레지스트리\HKEYLOCAL_MACHINE\SYSTEM\현재 ControlSet\Services\Tcpip\Parameters의 IPEnable Router를 1로 설정하고 Windows를 다시 시작해야 합니다.
8.PR-500KI 설정
값
IPv6 방화벽 기능
사용 안 함
공개 개체 포트
목적 주소
목적 포트
UDP
22240
192.168.1.254
22240
UDP 포트 2224를 RTX1210에 전달합니다.
9. RTX1210 설정
YAMAHA RTX1210에서 L2 TPv3/IPsec 및 L2 TP/IPsec(불안정)-Qita 동시 사용 거점 1과 동일한 구성으로 IPv6 IPoE 연결의nat descriptor는 다음과 같습니다.L2 TPv3 및 IPsec 관련 설정을 수행합니다.ip lan2 nat descriptor 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 primary
nat descriptor address inner 1 auto
nat descriptor masquerade static 1 1 192.168.2.1 esp
nat descriptor masquerade static 1 2 192.168.2.1 udp 500
nat descriptor masquerade static 1 3 192.168.2.1 udp 1701
nat descriptor masquerade static 1 4 192.168.2.1 udp 4500
여기서 OpenVPN 서버의 LAN 내 주소가 192.168.2.100인 경우 다음 설정을 추가해 UDP 포트 2224를 OpenVPN 서버에 전달한다.nat descriptor masquerade static 1 5 192.168.2.100 udp 22240
10.기타
거점2에서도 같은 설정(환경별로 포트 번호 변경)이 이뤄져 일시적으로 접속이 가능하지만 L2 TP/IPsec 설정 과정에서 왠지 접속이 되지 않는다.
11. 참조
Windows를 OpenVPN 서버로 설정 – 비어 있음☆
Reference
이 문제에 관하여(IPv6 IPoE+MAP-E+ 이중 라우터 환경에서의 OpenVPN), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://qiita.com/mayo00/items/b936317372437e8f66a9
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
ip lan2 nat descriptor 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 primary
nat descriptor address inner 1 auto
nat descriptor masquerade static 1 1 192.168.2.1 esp
nat descriptor masquerade static 1 2 192.168.2.1 udp 500
nat descriptor masquerade static 1 3 192.168.2.1 udp 1701
nat descriptor masquerade static 1 4 192.168.2.1 udp 4500
nat descriptor masquerade static 1 5 192.168.2.100 udp 22240
거점2에서도 같은 설정(환경별로 포트 번호 변경)이 이뤄져 일시적으로 접속이 가능하지만 L2 TP/IPsec 설정 과정에서 왠지 접속이 되지 않는다.
11. 참조
Windows를 OpenVPN 서버로 설정 – 비어 있음☆
Reference
이 문제에 관하여(IPv6 IPoE+MAP-E+ 이중 라우터 환경에서의 OpenVPN), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://qiita.com/mayo00/items/b936317372437e8f66a9
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
Reference
이 문제에 관하여(IPv6 IPoE+MAP-E+ 이중 라우터 환경에서의 OpenVPN), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/mayo00/items/b936317372437e8f66a9텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)