実家への引っ越しに伴い、IPv4からIPv6に完全移行。だからなんだという話なんだが、ハマったこと。
- NASのインタフェースをBondingにしていたら何故かIPv6のアドレスが渡らない。
もうBondingは止める。SMB3のマルチチャンネルが動作するか?(Bondingと違うからダメか?)そもそもHDDなNASなので、スピードをいくら上げてもディスクが足を引っ張るのでなくても構わない。
- Nutanix CEではIPv6が有効だとクラスタをつくれない。
クラスタを作った後に有効にしたら問題なかった。ESXの上で無効にしたからいいが、ベアメタルだとどうにもならなかった。(IPv6が使えないSwitchをかますか?一回だけそんなSwitchに遭遇したことがあるが。)
- NUROのF660Aのファイヤーウォールの利用を止める。
これのせいで、EdgeRouterの設定をいくらいじっても外からアクセスができなかった。つまり、F660Aに接続しちゃった機材は、IPv6からは丸見え。なのでファイヤーウォールはEdgeRouterに任せることにした。
閑話休題
EdgeRouterのFirewallの設定
デフォルトの設定
ちなみに、
WANv6_INは、WANからLANに入ってくるパケットの定義
WANv6_INは、WANからEdgeRouterに入ってくるパケットの定義
となる。これ、EdgeRouterのGUIからは操作できないので注意。
set firewall ipv6-name WANv6_IN default-action drop
set firewall ipv6-name WANv6_IN description 'WAN to LAN'
set firewall ipv6-name WANv6_IN enable-default-log
set firewall ipv6-name WANv6_IN rule 10 action accept
set firewall ipv6-name WANv6_IN rule 10 description 'Allow established/related'
set firewall ipv6-name WANv6_IN rule 10 state established enable
set firewall ipv6-name WANv6_IN rule 10 state related enable
set firewall ipv6-name WANv6_IN rule 15 protocol tcp
set firewall ipv6-name WANv6_IN rule 20 action accept
set firewall ipv6-name WANv6_IN rule 20 description 'Allow IPv6 ICMP'
set firewall ipv6-name WANv6_IN rule 20 protocol ipv6-icmp
set firewall ipv6-name WANv6_IN rule 50 action drop
set firewall ipv6-name WANv6_IN rule 50 description 'Drop invalid state'
set firewall ipv6-name WANv6_IN rule 50 state invalid enable
set firewall ipv6-name WANv6_LOCAL default-action drop
set firewall ipv6-name WANv6_LOCAL description 'WAN to Router'
set firewall ipv6-name WANv6_LOCAL enable-default-log
set firewall ipv6-name WANv6_LOCAL rule 10 action accept
set firewall ipv6-name WANv6_LOCAL rule 10 description 'Allow established/related'
set firewall ipv6-name WANv6_LOCAL rule 10 state established enable
set firewall ipv6-name WANv6_LOCAL rule 10 state related enable
set firewall ipv6-name WANv6_LOCAL rule 20 action drop
set firewall ipv6-name WANv6_LOCAL rule 20 description 'Drop invalid state'
set firewall ipv6-name WANv6_LOCAL rule 20 state invalid enable
set firewall ipv6-name WANv6_LOCAL rule 30 action accept
set firewall ipv6-name WANv6_LOCAL rule 30 description 'Allow IPv6 ICMP'
set firewall ipv6-name WANv6_LOCAL rule 30 protocol ipv6-icmp
set firewall ipv6-name WANv6_LOCAL rule 40 action accept
set firewall ipv6-name WANv6_LOCAL rule 40 description 'Allow DHCPv6'
set firewall ipv6-name WANv6_LOCAL rule 40 destination port 546
set firewall ipv6-name WANv6_LOCAL rule 40 protocol udp
set firewall ipv6-name WANv6_LOCAL rule 40 source port 547
set interfaces ethernet eth0 firewall in ipv6-name WANv6_IN
set interfaces ethernet eth0 firewall local ipv6-name WANv6_LOCAL
LAN内にWebサーバを建てる。
IPv6アドレスは、240d:XXXXXXXXXXXXXXXXXXXXXXac/64
以下を追加で設定する。
set firewall ipv6-name WANv6_IN rule 15 action accept
set firewall ipv6-name WANv6_IN rule 15 description IPv’6_test
set firewall ipv6-name WANv6_IN rule 15 destination address 240d:XXXXXXXXXXXXXXXXXXXXXXac/64
set firewall ipv6-name WANv6_IN rule 15 destination port 80,443
set firewall ipv6-name WANv6_IN rule 15 protocol tcp
ブラウザでhttp://[240d:XXXXXXXXXXXXXXXXXXXXXXac]にアクセスしてみた。
以下のようになった。
IPv6は特定できるIPアドレスなので、ほんとキャプチャが怖い。
240d:XXXXacは、Webサーバ
240d:xxxxcbは、LAN内の自端末
240a:xxxxxxは、DOCOMOのテザリングの時に降ってきたアドレス。
ザルで通っていたら怖いので、オープンしていないSSHでもアクセスしてみる。
ssh 240d:XXXXXXXXXXXXXXXXXXXXXXac
やはり通らない。
ちなみに、Webで指定するときのIPv6とSSHで指定する時のIPv6の書き方が異なることに注意
NATを使わなくていいのは便利?かもしれない。(NATの変わりにファイヤーウォールを設定しなきゃならない。)
VPNを使わなくていいのか?(携帯からだとソースのIPv6が固定てできない。)
どうなんだろうか?IPv6に一番移行したかった理由は。。。。IPv4の値段がかかるようになってきたから。
さらにDocomoの携帯がIPv6になって、気軽にIPv6アドレスが使えるのも大きい。FletsはもともとIPv6は使えるし。ダメなのは、古きネットワークで構築されているオフィス環境だけだ。
ログをみててもIPアドレスがぱっと見ではわからない。なんかしらかの名前解決が必要かもしれない。いや、もう人がログをガン見することはないのでいいのか?
少なくともLABのWindowsマシンがADにこっそりIPv6アドレスを登録しにいっている。
これで、IPv4の機能を一つ止められた。色々やめてばっかりでこの勢いで会社とか辞めそうだが。まぁ「やめそう」って、「やめられるからやめちゃう」わけで。いずれにせよ、止めるときは、先を見て止めなければ。自分は大丈夫だか、今年の新卒の人は大丈夫なのだろうか。