RTX1210でOCNバーチャルコネクト ポート開放
仕事場のインターネット回線はドコモ光で、プロバイダにはDTIを使っています。DTIのIPv6(IPoE)接続サービスを使っており、OCNバーチャルコネクトによるIPv4 over IPv6をRTX1210で快適に利用できていますが、OCNバーチャルコネクト(MAP-E)は制限ありながらポート開放できるということで、ちょっとした興味から試してみました。
開放可能なポート番号を調べる
OCNバーチャルコネクトを利用したIPv4 over IPv6はYamahaの「OCNバーチャルコネクトサービス対応機能」の設定例を参照すれば簡単に設定できます。私の環境ではフィルタ部分を除くと関連するconfigは以下のようになっています。
ip route default gateway tunnel 100 tunnel select 100 tunnel encapsulation map-e tunnel map-e type ocn ip tunnel mtu 1460 ip tunnel secure filter in 2000 ip tunnel secure filter out 3000 dynamic 101 102 103 104 105 106 ip tunnel nat descriptor 1000 tunnel enable 100 ip filter 2000 reject * * ip filter 3000 pass * * ip filter dynamic 101 * * www ip filter dynamic 102 * * domain ip filter dynamic 103 * * smtp ip filter dynamic 104 * * pop3 ip filter dynamic 105 * * tcp ip filter dynamic 106 * * udp nat descriptor type 1000 masquerade nat descriptor address outer 1000 map-e
外部公開IPv4アドレスと開放可能なポート番号は以下のコマンドで表示可能です。
# show nat descriptor address 1000 NAT/IPマスカレード 動作タイプ : 2 参照NATディスクリプタ : 1000, 適用インタフェース : TUNNEL[100](1) Masqueradeテーブル 外側アドレス: map-e/153.242.xxx.xxx ポート範囲: 1264-1279, 2288-2303, 3312-3327, 4336-4351, 5360-5375, 6384-639 9, 7408-7423, 8432-8447, 9456-9471, 10480-10495, 11504-11519, 12528-12543, 1355 2-13567, 14576-14591, 15600-15615, 16624-16639, 17648-17663, 18672-18687, 19696 -19711, 20720-20735, 21744-21759, 22768-22783, 23792-23807, 24816-24831, 25840- 25855, 26864-26879, 27888-27903, 28912-28927, 29936-29951, 30960-30975, 31984-3 1999, 33008-33023, 34032-34047, 35056-35071, 36080-36095, 37104-37119, 38128-38 143, 39152-39167, 40176-40191, 41200-41215, 42224-42239, 43248-43263, 44272-442 87, 45296-45311, 46320-46335, 47344-47359, 48368-48383, 49392-49407, 50416-5043 1, 51440-51455, 52464-52479, 53488-53503, 54512-54527, 55536-55551, 56560-56575 , 57584-57599, 58608-58623, 59632-59647, 60656-60671, 61680-61695, 62704-62719, 63728-63743, 64752-64767 25 セッション
MAP-Eだと240ポートだそうですが、OCNバーチャルコネクトの場合63ブロック×16ポート=1008ポートとポート数が多いのが強みです。なお、とある有志の方が作成されたページ
http://ipv4.web.fc2.com/map-e.html
でもIPoEで割り当てれたIPv6プレフィックスからIPv4アドレスや利用可能ポートを確認できます。実際に自分の環境で試してみたところ、RTX1210のshow nat descriptor addressで表示される内容と同じであることが確認できました。
ポート開放設定
利用可能なポートが分かれば後は静的IPマスカレードを設定するだけです。ポート47344へのアクセスをLAN内のサーバー 192.168.100.10のポート80(www)に通すには、上記設定に加えて以下の設定を入れます。
nat descriptor masquerade static 1000 1 192.168.100.10 tcp 47344=www ip filter 1050 pass * 192.168.100.10 tcp * www tunnel select 100 ip tunnel secure filter in 1050 2000
これで、インターネット側から
http://153.242.xxx.xxx:47344
でアクセスすれば192.168.100.10で稼働しているWebサーバーにアクセス可能となりました。
ただし、アクセス元のインターネット環境によってはアクセス不能なこともあるようです。自宅のインターネット環境はつなぐネットコミュニケーションズのe-mansionなのですが、この環境からはOCNバーチャルコネクトでポート開放したサーバーにはアクセス出来ませんでした。よって、OCNバーチャルコネクト利用時のポート開放は出来るけど、ポート番号に制約がある以外にも、アクセス元の環境によってはアクセスできない制約が課される模様です。