RTX1200-RTX810でVPN

RTX1200とRTX810でIPsecVPN接続したときの備忘録

NGN網内折り返しを利用

フレッツ・v6オプションを有効になっている必要がある。

RTX1200
ひかり電話契約あり(HGWなし)
HGWは使用せずONU直結構成


ipv6 route default gateway dhcp lan2
ipv6 prefix 1 dhcp-prefix@lan2::/64
ip lan1 address 192.168.20.1/24
ipv6 lan1 address dhcp-prefix@lan2::1/64
ipv6 lan1 rtadv send 1
ipv6 lan2 address dhcp
ipv6 lan2 prefix change log on
ipv6 lan2 dhcp service client
ngn type lan2 ntt

ipsec auto refresh on

ipsec ike keepalive use 1 on
ipsec ike local address 1 2001:DB8::1
ipsec ike pre-shared-key 1 text Password
ipsec ike remote address 1 2001:DB8::2
ipsec sa policy 101 1 esp aes-cbc sha-hmac
tunnel select 1
ipsec tunnel 101
ip tunnel mtu 1406
ip tunnel tcp mss limit 1366
tunnel enable 1
ip route 192.168.10.0/24 gateway tunnel 1

RTX810
ひかり電話契約あり(HGWあり)
LAN1をLAN分割してPORT4をHGWのLAN側に接続し、IPv6アドレスを取得している

HGWと並列にした場合にHGWとRTXの両者でIPv6アドレス(プレフィックス)の奪い合いになってしまうため
必然的にHGW配下に設置することになると思われる。
(※実家のため、HGWを撤去することは不可)


vlan port mapping lan1.4 vlan4
lan type lan1 port-based-option=divide-network
ipv6 route default gateway dhcp vlan4
ipv6 vlan4 address dhcp
ipv6 vlan4 address dhcp-prefix@vlan4::1/64
ipv6 vlan4 prefix change log on
ipv6 vlan4 dhcp service client
ipsec auto refresh on

ipsec ike keepalive use 1 on
ipsec ike local address 1 2001:DB8::2
ipsec ike pre-shared-key 1 text Password
ipsec ike remote address 1 2001:DB8::1
ipsec sa policy 101 1 esp aes-cbc sha-hmac
tunnel select 1
ipsec tunnel 101
ip tunnel mtu 1406
ip tunnel tcp mss limit 1366
tunnel enable 1

ip route 192.168.20.0/24 gateway tunnel 1

フレッツ光ネクストでひかり電話を契約している場合は、HGW配下にVPNルータを設置する必要があるが
HGW配下からIPsec接続で通信すると速度が低下するようです。

ONU直結:約130Mbps
HGW配下:約20~30Mbps

ただし、IPIP接続の場合はHGW配下からでも速度低下しないようです。
ONU直結:約130Mbps
HGW配下:約90Mbps

フレッツ網内とは言ってもIPsecで暗号化したい気はするんだよなぁ。

RTX1200-RTX810でVPN” への2件のコメント

  1. > ONU直結:約130Mbps
    > HGW配下:約20~30Mbps
    使用しているHGWはNEで終わる型番と思われます

    KIに変更すると、70Mbps程度の速度が出ます。
    MIに変更すると、そこそこの速度は出ますが、2日に1度程度HGWが機能停止して再起動します。

    一度、0120-000-113ないし113に電話をして、HGWの交換を打診してみてはいかがでしょう?

    • うちのHGWはHI(RT-S300HI)ですね。

      500系の型番のHGWだと、もう少しましなようですが
      それでもたしか、100Mbps以下とかしか出なかったような…気がします。
      ※まあRTXのIPsecスループットが最大100Mbpsくらいだからじゅうぶんか…

      ゴネたらかえてくれるのかなー。。。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です