NTT機器を使うと超簡単にIP電話環境が手に入るplalaで
あえてICOM製のVoIPアダプターや、
yamahaのRTV700とかVoIP積んでいるRTを使いたい人向けです。

下に書いてあることが面倒なら悪いことは言いません。
自動設定対応機種を買いましょう。

MacOSX10.6 Firefox3.5でアクセスして確認しています。
InternetExplorerで出来るのかは分かりません。

まずplalaのマイページにログインします。

ページ下部の「オプション」から「ぷららフォン for フレッツ（サービスセンタ）」を選択。

下記画面になっていなければ登録申請をして番号を取得してください。
有効になるまで最大で３０分ぐらい掛かるようです。

番号が取得できているのならばページ中程の「IP電話対応機器設定」に進みます。

で、番号を選び、VoIPアダプターを選択してOK

IPアドレスを聞いてくる画面がありますが、そのままOK
この画面になったら、いきなり ipphone〜 に飛ばされるかもしれませんが
読み込み中止を押すなり、戻るなりしてこのページに留まってソースを読んでください。

<input type=”hidden” name=”sipsv_port” value=”SIPサーバーポート番号”>
<input type=”hidden” name=”regsv_addr” value=”REGサーバーアドレス”>
<input type=”hidden” name=”regsv_port” value=”REGサーバーポート”>
<input type=”hidden” name=”sip_domain” value=”SIPドメイン”>

<input type=”hidden” name=”username” value=”ユーザー名”>
<input type=”hidden” name=”password” value=”パスワード”>
<input type=”hidden” name=”ip_tel_num” value=”IP電話番号”>
<input type=”hidden” name=”area_code” value=”市外局番”>
<input type=”hidden” name=”url_update” value=”機器アップデート確認用URL”>

上記ソースから必要なことが総て分かりますね。

対地２拠点のVPNをIPSecで構築したものの、
速度が800kb/s位しか出ない。
ピークで2MB/sは出て良いはずだ。

なんとファーストパスが掛かっていないっぽい。

ipsec ike esp-encapsulation 1 on
で、espをカプセル化した。

これをtunnel設定に入れることでスループット改善。
もっと無いものかなと欲が出て

ipsec ipcomp type deflate
でパケット圧縮を掛けてみた。

してみたら対地2拠点の事務所RTX1100のCPU負荷が95%に。
めちゃめちゃVPNが遅くなった。
どうもRTX1100のipcompはソフト処理のようね。

http://www.rtpro.yamaha.co.jp/RT/docs/ipsec/ipcomp.html

ここに
＞必ずしもセキュリティゲートウェイの両方にこのコマンドを設定する必要はない。片側にのみ設定した場合には、そのセキュリティゲートウェイから送信されるIPパケットのみが圧縮される。

とあるから事務所RTX1100のIPcomp設定をけしたら対地のRTXのパスワード入力までは表示されるものの、その先はすすまず全てのVPN通信がとまるトラブルが・・・違うじゃーん。
RTX1100にIPCompの設定を戻し、
対地のRTX1000のIPCompを消してから1100の設定を消して回復。

RTX1000をRTX1100にアップグレードしたので、netvolante-dnsのアドレスも移動した。
個体毎に発行されているので、前のRTX1000からはdeleteしないとならない。
RTX1000にadministratorでログインして

netvolante-dns delete go pp 1 いまのあどれす.aa0.netvolante.jp

そしてちゃんと消えているか確認。

netvolante-dns get hostname list all

何も出てこなければOK。exitしていい。（NVRAMへの書き込みは聞かれない）
そして新しい方、RTX1100に入れ替える。
RTX1000でpp disable allしてから入れ替えた方が良い。
フレッツ網は突然の切るとなかなか繋がらない。

PPPoEしているpp1にnetvolante-dnsを割り当てるので、

pp select 1
netvolante-dns hostname host pp 前のRTX1000につけていたあどれす(.aa0.netvolante.jpは不要)
netvolante-dns go pp 1

（Netvolante DNS server 1）
[取得しなおしたアドレス.aa0.netvolante.jp] を登録しました
新しい設定を保存しますか? (Y/N)Yセーブ中… CONFIG0 終了

Yをおしてsave。これで成功。
.aa0.netvolante.jpがとれると思うが、もしとれなかったら残念。
VPNで使用している場合はi-revoなどの固定IPが貰えるISPへの乗り換えをお勧めする。

RTX1000でなんでもやろう。と。
「業務用機だし、仕事が出来ればよくね？」というやる気のない人嫌いですｗ

手元にあるんだしｗなんでもやらせようｗ貧乏だしｗｗｗ
せっかく買ったRTX1000使い切るZE!と言う熱い諸氏に俺のConfigをプレゼント。

これをブチこんでHeaven気分に。

でもうまくいかなくても責任もたんよ。

設定は
192.168.11.1がLAN1(宅内LAN側)
LAN2がWAN側(ONUなりCTUなりADSLモデムへ)
LAN3は何も使っていない。
PPTP1接続とIPsec1接続。
VPNまわりは斜体にしておいたので要らなければ抜いて。

フレッツスクエア http://www.flets/ も当然見れる。
IPv6も通す設定になっているので、
フレッツスクエアv6 http://www.flets-v6.jp/ も見れる。

UPnPもサポート！

ip filter 101091 pass * 192.168.11.150 tcp * www
ip filter 101092 pass * 192.168.11.150 tcp * 21
ip filter 101093 pass * 192.168.11.150 tcp * 22
ip filter 101094 pass * 192.168.11.150 tcp * 5900
nat descriptor masquerade static 1 1 192.168.11.150 tcp 21
nat descriptor masquerade static 1 2 192.168.11.150 tcp www
nat descriptor masquerade static 1 3 192.168.11.150 tcp 22
nat descriptor masquerade static 1 4 192.168.11.150 tcp 5900
上記設定はこの192.168.11.150でサーバーを立てているから。
フィルタに穴を空けて静的IPマスカレードしている。不要な場合は削除してくれ。

Netvolante-DNSサービスの設定はこちら
中古でゲロ安で買ったユーザーにもサービスを提供してくれるヤマハは神だと思う。
ニコン羊羹を送りたいよ。

起動した後の流れとして

１．まずPPPoEをして接続し

２．Netvolante-DNSサービスでダイナミックDNSにIPアドレスを申告。
以後*****netvolante.jpアドレスでアクセスできるようになる。

３．PPTPサービスをtunnel1で開始。

４．IPsec接続を相手様に向かって開始。
相手様が192.168.1.xxxアドレス体系なのでデフォルトルートに
ip route 192.168.1.0/24 gateway tunnel 2
を追加。192.168.1.xxx宛の通信をtunnel2経由とする。
相手様のRTXも同じ設定してこちらのDDNSアドレスに設定すればIPsecめでたく接続。

注、ip routeの220.210〜アドレスはフレッツスクエア(みかか東日本)用。
当該地域以外は適宜変更よろしく。

# RTX1000 Rev.8.01.28 (Mon Aug 4 17:13:15 2008)
# MAC Address :
# Memory 16Mbytes, 3LAN, 1BRI
# main: RTX1000 ver=b0 serial=
#

# If you want to clear ALL configuration to default,
# remove `#’ of next line.

clear configuration

#
# System configuration
#

login password ログインパスワード
administrator password 管理者パスワード
security class 2 on on

#
# IP configuration
#

ip route default gateway pp 1
ip route 192.168.1.0/24 gateway tunnel 2
ip route 220.210.194.0/25 gateway pp 2
ip route 220.210.195.0/26 gateway pp 2
ip route 220.210.195.64/26 gateway pp 2
ip route 220.210.196.0/25 gateway pp 2
ip route 220.210.196.128/26 gateway pp 2
ip route 220.210.197.0/25 gateway pp 2
ip route 220.210.198.0/26 gateway pp 2
ip route 220.210.199.32/27 gateway pp 2
ip route 220.210.199.64/28 gateway pp 2
ip route 220.210.199.144/28 gateway pp 2
ip route 220.210.199.160/27 gateway pp 2
ip route 220.210.199.192/27 gateway pp 2
ip route 220.210.199.200/29 gateway pp 2
ip route 192.168.1.0/24 gateway tunnel 2（ここで192.168.1.xxxな要求はtunnel2に流れるようにしている）

#
# IPv6 configuration
#

ipv6 prefix 1 ra-prefix@lan2::/64

#
# LAN configuration
#

ip lan1 address 192.168.11.1/24
ip lan1 proxyarp on
ipv6 lan1 address ra-prefix@lan2::1/64
ipv6 lan1 rtadv send 1
ipv6 lan1 mld router
ipv6 lan2 mld host

#
# ISDN configuration
#

### BRI 1 ###

#
# PP configuration
#

pp disable all

### PP 1 ###

pp select 1
pp keepalive use lcp-echo
pp always-on on
pppoe use lan2
pppoe auto connect on
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname 接続ID パスワード
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ppp ipv6cp use off
ip pp mtu 1454
ip pp secure filter in 1 101000 101001 101002 101003 101020 101021 101022 101023 101024 101025 101030 101032 101080 101081 101082 101083 101091 101092 101093 101094
ip pp secure filter out 101010 101011 101012 101013 101020 101021 101022 101023 101024 101025 101099 101080 101081 101082 101083 dynamic 101190 101191 101192 101193 101194 101195 101196
ip pp intrusion detection in on reject=on
ip pp nat descriptor 1
netvolante-dns hostname host pp 取得してね.aa0.netvolante.jp
pp enable 1

### PP 2 ###

pp select 2
pp always-on on
pppoe use lan2
pppoe auto connect on
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname guest@flets guest
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
ip pp nat descriptor 2
pp enable 2

### PP anonymous ###

pp select anonymous
pp bind tunnel1
pp auth request mschap
pp auth username PPTP接続ユーザー名 パスワード（任意）
ppp ccp type mppe-any
ip pp remote address pool 192.168.11.160-192.168.11.170
pptp service type server
pp enable anonymous

#
# TUNNEL configuration
#

tunnel disable all

### TUNNEL 1 ###

tunnel select 1
tunnel encapsulation pptp
pptp tunnel disconnect time 1200
pptp keepalive use off
tunnel enable 1

### TUNNEL 2 ###

tunnel select 2
tunnel name IPsec-ydc
ipsec tunnel 101
ipsec sa policy 101 1 esp 3des-cbc sha-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on icmp-echo 相手様ルーターローカルアドレス 5 3
ipsec ike always-on 1 on
ipsec ike local address 1 ipcp pp 1
ipsec ike pre-shared-key 1 text パスワード、事前共有鍵ってやつです。
ipsec ike remote address 1 相手様.aa0.netvolante.jp
ip tunnel tcp mss limit auto
tunnel enable 2

#
# IP filter configuration
#

ip filter 1 pass * * udp * 5004-5060
ip filter 100000 reject * * udp,tcp 135 *
ip filter 100001 reject * * udp,tcp * 135
ip filter 100002 reject * * udp,tcp netbios_ns-netbios_dgm *
ip filter 100003 reject * * udp,tcp * netbios_ns-netbios_dgm
ip filter 100004 reject * * udp,tcp netbios_ssn *
ip filter 100005 reject * * udp,tcp * netbios_ssn
ip filter 100006 pass * * udp,tcp 445 *
ip filter 100007 pass * * udp,tcp * 445
ip filter 100099 pass * * * * *
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.10.0/24 * * * *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.10.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101032 pass * * tcp * ident
ip filter 101034 pass * * tcp,udp * domain
ip filter 101080 pass * * tcp * 1723
ip filter 101081 pass * * gre * *
ip filter 101082 pass * * udp * 500
ip filter 101083 pass * * esp * *
ip filter 101091 pass * 192.168.11.150 tcp * www
ip filter 101092 pass * 192.168.11.150 tcp * 21
ip filter 101093 pass * 192.168.11.150 tcp * 22
ip filter 101094 pass * 192.168.11.150 tcp * 5900
ip filter 101099 pass * * * * *

#
# IP dynamic filter configuration
#

ip filter dynamic 101190 * * ftp
ip filter dynamic 101191 * * domain
ip filter dynamic 101192 * * www
ip filter dynamic 101193 * * smtp
ip filter dynamic 101194 * * pop3
ip filter dynamic 101195 * * tcp
ip filter dynamic 101196 * * udp

#
# NAT Descriptor configuration
#

nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.11.150 tcp 21
nat descriptor masquerade static 1 2 192.168.11.150 tcp www
nat descriptor masquerade static 1 3 192.168.11.150 tcp 22
nat descriptor masquerade static 1 4 192.168.11.150 tcp 5900
nat descriptor masquerade static 1 6 192.168.11.1 tcp 1723
nat descriptor masquerade static 1 7 192.168.11.1 gre
nat descriptor masquerade static 1 8 192.168.11.1 esp
nat descriptor masquerade static 1 9 192.168.11.1 udp 500

#
# IPSEC configuration
#

ipsec auto refresh on

#
# IPv6 filter configuration
#

#
# IPv6 dynamic filter configuration
#

#
# Queueing configuration
#

#
# SYSLOG configuration
#

#
# TFTP configuration
#

tftp host any

#
# TELNETD configuration
#

#
# DHCP configuration
#

dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.11.100-192.168.11.149/24

#
# DHCPC configuration
#

#
# DNS configuration
#

dns service recursive
dns server pp 2
dns server select 100001 pp 2 any flets
dns server select 500001 pp 1 any . restrict pp 1
dns server select 500002 pp 2 any . restrict pp 2
dns private address spoof on

#
# WINS configuration
#

#
# SNMP configuration
#

#
# Schedule configuration
#

#
# TCP configuration
#

pptp service on

#
# HTTPD configuration
#

#
# Netvolante DNS configuration
#

#
# UPnP configuration
#

upnp use on
upnp external address refer pp 1

#
# Status Notify configuration
#

# If you want to save configuration to Nonvolatile memory,
# remove `#’ of next line.

save

はい。ここまで。

※使用した子機がもう古めなので11n対応ならば良いのかも知れない。
親機のマルチキャストレートを54Mbpsにしたことで安定したという書き込みもある。

無線LAN親機
WZR2-G300N

子機
WLI3-TX1-AMG54

通常の使用においては全く問題ない。
でもひかりTVのテレビサービス（IPv6マルチキャスト）を視聴しようとするとパケットロストが多いらしく絵や音が破綻しまくる。
ビデオサービスは8Mbpsでもとても安定していた。

1FにONUと無線ルーター、2Fに自室なので無線で実現したかったが、コレでは無理。

幸いながら自室に1Fへつながる電話配管をみつけそこにLANケーブルを通して配線に成功。
ONU直下のハブに接続し2Fに配線できた。

こうすると安定して視聴できている。

ひかりカエサルに誘惑されたわけでもなんでもなく、
ディスカバリーチャンネルがHD放送だという110度CSを視聴している者として
あり得ない事態を目にしたので電光石火で申し込んでみた。

こんな箱到着。わかりやすー。
(続きを読む…)

タイトでキュートなヒップがシュールなジョークとムードでテレフォンナンバー

みたいなタイトルですが。
こういう事例さがしても全然無いので書いてみます。

本店は固定IPを取る金もない零細企業(でもRTX1000)なのでネットボランチDNS。
営業マン一人がGeekでPPTP接続したがる。
無理して支店をつくったのでIPsecで繋ぎたい熱き思いが湧いた。

まずは本支店接続のネットワーク概念図。

本店ネットワークのRTX1000にPPTPserverとIPsec受け入れを用意しておく
ネットボランチDNSサービスでDDNSアドレスを取得しておくと便利。

まずは本店のConfigを

ip route default gateway pp 1
ip route 192.168.20.0/24 gateway tunnel 2

ip lan1 address 192.168.200.1/24
ip lan1 proxyarp on
pp select 1
pp keepalive use lcp-echo
pp always-on on
pppoe use lan2
pppoe auto connect on
pppoe auto disconnect off
pp auth accept pap chap

pp auth myname　*****
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ppp ipv6cp use off
ip pp mtu 1280
ip pp nat descriptor 1
netvolante-dns use pp auto

netvolante-dns hostname host pp ***.***.netvolante.jp
pp enable 1
pp select anonymous
pp bind tunnel1
pp auth request mschap
pp auth username PPTPユーザーID パスワード
ppp ccp type mppe-any
ip pp remote address pool 192.168.200.150-192.168.200.200

pptp service type server
pp enable anonymous
tunnel select 1
tunnel encapsulation pptp
pptp tunnel disconnect time 1200
pptp keepalive use off
tunnel enable 1
tunnel select 2
ipsec tunnel 101

ipsec sa policy 101 1 esp 3des-cbc sha-hmac
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.200.1
ipsec ike pre-shared-key 1 text 事前共有鍵
ipsec ike remote address 1 any
ipsec ike remote name 1 ろーかるねーむ
ip tunnel tcp mss limit auto
tunnel enable 2

nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.200.50 tcp www
nat descriptor masquerade static 1 2 192.168.200.50 tcp ftpdata-21
nat descriptor masquerade static 1 3 192.168.200.50 tcp 5900
nat descriptor masquerade static 1 4 192.168.200.50 tcp 22
nat descriptor masquerade static 1 5 192.168.200.50 tcp https
nat descriptor masquerade static 1 6 192.168.200.50 tcp 10000
nat descriptor masquerade static 1 7 192.168.200.1 esp
nat descriptor masquerade static 1 8 192.168.200.1 udp 500

nat descriptor masquerade static 1 20 192.168.200.1 tcp 1723
nat descriptor masquerade static 1 23 192.168.200.1 gre
syslog notice on
syslog debug on
tftp host 192.168.200.50
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.200.100-192.168.200.149/24
dns server pp 1

pptp service on
upnp use on
upnp external address refer pp 1

masqueradeは20,23以外、趣味趣向の現れるところなので無視して欲しいｗ
ipsec ike local addressがローカルを見ている件についてはここを参照して欲しい。

続いて支店側。

ip route default gateway 192.168.11.1
ip route 192.168.200.0/24 gateway tunnel 1

ip lan1 address 192.168.20.1/24
ip lan2 address 192.168.11.250/24
ip lan2 nat descriptor 1
tunnel select 1
ipsec tunnel 101
ipsec sa policy 101 1 esp 3des-cbc sha-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.20.1

ipsec ike local name 1 ろーかるねーむ key-id
ipsec ike pre-shared-key 1 text 事前共有鍵
ipsec ike remote address 1 ***.***.netvolante.jp
ip tunnel tcp mss limit auto
tunnel enable 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 primary

nat descriptor address inner 1 auto
nat descriptor masquerade incoming 1 reject
nat descriptor masquerade static 1 1 192.168.20.1 esp
nat descriptor masquerade static 1 2 192.168.20.1 udp 500
ipsec auto refresh on
syslog notice on
tftp host 192.168.20.2
dhcp service server
dhcp server rfc2131 compliant except remain-silent

dhcp scope 1 192.168.20.100-192.168.20.149/24
dns server 192.168.11.1
dns private address spoof on

ローカルネームと事前共有鍵は同じにしよう。

あとはこれで社内アレゲWeb鯖には
本店G4サーバーで立ち上げたBINDがご案内。
クライアントのDNS参照に192.168.200.50を追加しておこう。

PPTP接続したMacBookからtelnetで本店のRTX1000を見てそのまま支店のRTX1000も見ちゃっている絵。
変態ですね〜笑

でも最初重かった。

ipsec sa policy 101 1 esp aes-cbc sha-hmac

これが重いこと。全然バイナリー転送できない。

テキストは大丈夫。

ipsec sa policy 101 1 esp 3des-cbc sha-hmac

にすると絶好調。
VPN先のBINDでおったてたDNSサーバーもバッチリ参照。
キター。