RTX1200でDS-Liteの高速接続と自宅サーバ接続を共存させる

DS-LiteでIPv4 over IPv6のインターネット接続設定を行うと自宅サーバの公開に支障をきたすが、フィルタ型ルーティング（ポリシーベースルーティング）で自宅サーバ関連の通信経路をPPPoE接続の方に振り分ければ、DS-Liteを使いつつ自宅サーバ公開も行えるよというお話。

• RTX1200 Rev.10.01.65
• IIJmioひかり + IPoEオプション

DS-Liteを使うとNTTのPPPoE設備輻輳による/-ファッキン-/速度低下を避け、高速なインターネットアクセスを享受できる。その一方、インターネット側から自宅ネットワークへのアクセスは行えなくなる。つまり自宅サーバを公開してると困った事になるが、DS-Liteの仕組み上これはどうしようもない。DS-Lite（厳密にはIPv6 IPoE）接続と従来のPPPoE接続は同時に行えるので、インターネット⇔自宅サーバの通信をPPPoE経路で行うようにしてやれば、DS-Liteの高速性と自宅サーバ公開を共存出来るというわけ。

通信経路の振り分けは、ポリシーベースルーティング──ヤマハルータ的にはフィルタ型ルーティングで行う。

DS-Liteがtunnel 1, PPPoEがpp1で繋がっているとして、サーバ(192.168.0.1)のsshサービスをPPPoE側に振り分けるには以下のようにする。

ip filter 500001 pass 192.168.0.1 * tcp 22 *
ip route default gateway tunnel 1 gateway pp 1 filter 500001

DS-Lite導入以前からサーバ公開している場合、何もしなければDS-Liteを設定してもPPPoEのコネクションは活きたままなので、実際のところインターネット側からサーバへのパケットは変わらず飛んできてるんですな。でも、サーバ→インターネットの経路がDS-Lite側になっちゃってるもんだから、応答パケットがクライアントに到達できない。なので、IPアドレス/ポートを指定して明示的にPPPoE側に振り分けるようにする。ip filter 500001 pass * * tcp 22と送信元を指定しなくても効果は一緒だけど、送信元ポート22の通信が無差別にPPPoE経路になるのは何となく誤爆しそうな気がしなくもないので、送信元ホストを絞っといた方が罠にハマらなくていいのかなと。

なお、ヤマハルータの場合、IPフィルタの処理はNAT処理の後で行われる。ポート番号の指定はその辺も踏まえて行うこと。

• YAMAHA RTX1210 で用途に応じてインターネット回線を使い分ける | yuu26-memo
• フィルタ型ルーティング
• IPパケット・フィルタリング機能のインタフェースへの適用位置
• 9.1.10 IP パケットのフィルタの設定