RTX1210でOCNバーチャルコネクト ポート開放

仕事場のインターネット回線はドコモ光で、プロバイダにはDTIを使っています。DTIのIPv6(IPoE)接続サービスを使っており、OCNバーチャルコネクトによるIPv4 over IPv6をRTX1210で快適に利用できていますが、OCNバーチャルコネクト(MAP-E)は制限ありながらポート開放できるということで、ちょっとした興味から試してみました。

開放可能なポート番号を調べる

OCNバーチャルコネクトを利用したIPv4 over IPv6はYamahaの「OCNバーチャルコネクトサービス対応機能」の設定例を参照すれば簡単に設定できます。私の環境ではフィルタ部分を除くと関連するconfigは以下のようになっています。

ip route default gateway tunnel 100
tunnel select 100
 tunnel encapsulation map-e
 tunnel map-e type ocn
 ip tunnel mtu 1460
 ip tunnel secure filter in 2000
 ip tunnel secure filter out 3000 dynamic 101 102 103 104 105 106
 ip tunnel nat descriptor 1000
 tunnel enable 100
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * tcp
ip filter dynamic 106 * * udp
nat descriptor type 1000 masquerade
nat descriptor address outer 1000 map-e

外部公開IPv4アドレスと開放可能なポート番号は以下のコマンドで表示可能です。

# show nat descriptor address 1000 
NAT/IPマスカレード 動作タイプ : 2
参照NATディスクリプタ : 1000, 適用インタフェース : TUNNEL[100](1)
Masqueradeテーブル
    外側アドレス: map-e/153.242.xxx.xxx
    ポート範囲: 1264-1279, 2288-2303, 3312-3327, 4336-4351, 5360-5375, 6384-639
9, 7408-7423, 8432-8447, 9456-9471, 10480-10495, 11504-11519, 12528-12543, 1355
2-13567, 14576-14591, 15600-15615, 16624-16639, 17648-17663, 18672-18687, 19696
-19711, 20720-20735, 21744-21759, 22768-22783, 23792-23807, 24816-24831, 25840-
25855, 26864-26879, 27888-27903, 28912-28927, 29936-29951, 30960-30975, 31984-3
1999, 33008-33023, 34032-34047, 35056-35071, 36080-36095, 37104-37119, 38128-38
143, 39152-39167, 40176-40191, 41200-41215, 42224-42239, 43248-43263, 44272-442
87, 45296-45311, 46320-46335, 47344-47359, 48368-48383, 49392-49407, 50416-5043
1, 51440-51455, 52464-52479, 53488-53503, 54512-54527, 55536-55551, 56560-56575
, 57584-57599, 58608-58623, 59632-59647, 60656-60671, 61680-61695, 62704-62719,
 63728-63743, 64752-64767   25 セッション

MAP-Eだと240ポートだそうですが、OCNバーチャルコネクトの場合63ブロック×16ポート=1008ポートとポート数が多いのが強みです。なお、とある有志の方が作成されたページ

http://ipv4.web.fc2.com/map-e.html

でもIPoEで割り当てれたIPv6プレフィックスからIPv4アドレスや利用可能ポートを確認できます。実際に自分の環境で試してみたところ、RTX1210のshow nat descriptor addressで表示される内容と同じであることが確認できました。

ポート開放設定

利用可能なポートが分かれば後は静的IPマスカレードを設定するだけです。ポート47344へのアクセスをLAN内のサーバー 192.168.100.10のポート80(www)に通すには、上記設定に加えて以下の設定を入れます。

nat descriptor masquerade static 1000 1 192.168.100.10 tcp 47344=www
ip filter 1050 pass * 192.168.100.10 tcp * www
tunnel select 100
 ip tunnel secure filter in 1050 2000

これで、インターネット側から

http://153.242.xxx.xxx:47344

でアクセスすれば192.168.100.10で稼働しているWebサーバーにアクセス可能となりました。

ただし、アクセス元のインターネット環境によってはアクセス不能なこともあるようです。自宅のインターネット環境はつなぐネットコミュニケーションズのe-mansionなのですが、この環境からはOCNバーチャルコネクトでポート開放したサーバーにはアクセス出来ませんでした。よって、OCNバーチャルコネクト利用時のポート開放は出来るけど、ポート番号に制約がある以外にも、アクセス元の環境によってはアクセスできない制約が課される模様です。

 

 

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です