いぬちゃんからのお知らせ
Thank you for visiting my blog site, but most of the entries are written in Japanese. If you have any question, please leave your message by clicking 'コメント' located in bottom of each entry.
「いぬちゃん」 は、かとうけんそう先生が生んだ、どうぶつアイドル!
∥HOME∥
次のページ ≫
UNIVERGE IX3110 IX2215 IX2105 3拠点 (フレッツひかり電話あり・なし・auひかり 混在環境) における IPsec IPv4 over IPv6 トンネリング & L2TP 設定ファイル
下記の設定ファイルは、いぬちゃんがマニュアル等を参考にしながら適当に作成したため、脆弱性や不具合を含んでいる可能性があります。
第三者によるチェック等は全く行われていませんので、実際の環境で設定の一部/全部を使用する場合は、十分お気を付けください。わんわん
目的
・ 3拠点すべてにおけるIPv6環境
・ 3拠点を常時VPN接続(IPsec IPv4 over IPv6 トンネリング)
・ ある拠点から別拠点の各種サーバーにNetBIOSネーム(=Windowsのコンピューター名)でアクセス(要WINSサーバー)
・ ある拠点から別拠点のプリンタへの印刷
・ 各拠点にノートパソコン・スマホ等で外部からPPTP接続(IPv4 最大2接続/拠点)
インフラ
拠点A: フレッツ東 ギガファミリー・スマートタイプ (v6オプション, ひかり電話あり) + @NIFTY (IPv6接続オプション)
拠点B: auひかり ホーム (IPv6アドレス自動配布) + @NIFTY
拠点C: フレッツ東 マンション・ハイスピードタイプ (v6オプション, ひかり電話なし) + @NIFTY (IPv6接続オプション)
機器
拠点A: 壁 - GE-PON-ONUタイプD - VG430i - IX3110 (LAN:192.168.0.1) - 色々
拠点B: 壁 - ONU (機種失念) - BL190HW (LAN:192.168.100.1) - IX2105 (WAN:192.168.100.2/LAN:192.168.1.1) - 色々
拠点C: 壁 - ONU (機種失念) - IX2215 (LAN:192.168.2.1) - 色々
拠点B: BL190HW の設定 繋いでおかないと、auひかりが24時間ごとに行っているIEEE802.1X認証で蹴られてしまう (>_<)
IPv4 → DHCP無効 DMZホストのIPアドレス:192.168.100.2 (あらゆるパケットが IX2105 に到達する設定)
IPv6 → RA:プレフィックス配布 DHCPv6:プレフィックス配布
IPv6 アドレス
IX3110:
IX2105:
IX2215:
DDNS: MyDNS.JP
IX3110:
IX2105:
IX2215:
IX ファームウェア
ver.8.11.11
設定ファイル 拠点A: IX3110 フレッツ(ひかり電話あり) @NIFTY
設定ファイル 拠点B: IX2105 auひかり
設定ファイル 拠点C: IX2215 フレッツ(ひかり電話なし) @NIFTY
第三者によるチェック等は全く行われていませんので、実際の環境で設定の一部/全部を使用する場合は、十分お気を付けください。わんわん
目的
・ 3拠点すべてにおけるIPv6環境
・ 3拠点を常時VPN接続(IPsec IPv4 over IPv6 トンネリング)
・ ある拠点から別拠点の各種サーバーにNetBIOSネーム(=Windowsのコンピューター名)でアクセス(要WINSサーバー)
・ ある拠点から別拠点のプリンタへの印刷
・ 各拠点にノートパソコン・スマホ等で外部からPPTP接続(IPv4 最大2接続/拠点)
インフラ
拠点A: フレッツ東 ギガファミリー・スマートタイプ (v6オプション, ひかり電話あり) + @NIFTY (IPv6接続オプション)
拠点B: auひかり ホーム (IPv6アドレス自動配布) + @NIFTY
拠点C: フレッツ東 マンション・ハイスピードタイプ (v6オプション, ひかり電話なし) + @NIFTY (IPv6接続オプション)
機器
拠点A: 壁 - GE-PON-ONUタイプD - VG430i - IX3110 (LAN:192.168.0.1) - 色々
拠点B: 壁 - ONU (機種失念) - BL190HW (LAN:192.168.100.1) - IX2105 (WAN:192.168.100.2/LAN:192.168.1.1) - 色々
拠点C: 壁 - ONU (機種失念) - IX2215 (LAN:192.168.2.1) - 色々
拠点B: BL190HW の設定 繋いでおかないと、auひかりが24時間ごとに行っているIEEE802.1X認証で蹴られてしまう (>_<)
IPv4 → DHCP無効 DMZホストのIPアドレス:192.168.100.2 (あらゆるパケットが IX2105 に到達する設定)
IPv6 → RA:プレフィックス配布 DHCPv6:プレフィックス配布
IPv6 アドレス
IX3110:
ZONE:AAAA:IPV6:ADDR::1 (@NIFTY 固定)IX2105:
ZONE:BBBB:IPV6:ADDR::1 (auひかり 固定と思われるが、念のためDDNS使用)IX2215:
ZONE:CCCC:IPV6:ADDR::1 (@NIFTY 固定)DDNS: MyDNS.JP
IX3110:
AA.XX.mydns.jpIX2105:
BB.XX.mydns.jpIX2215:
CC.XX.mydns.jpIX ファームウェア
ver.8.11.11
設定ファイル 拠点A: IX3110 フレッツ(ひかり電話あり) @NIFTY
hostname IX3110-Zone-A
timezone +09 00
!
syslog ip host SYSLOG_HOST_ADDR
syslog timestamp datetime
!
username USER_NAME_FOR_IX3110_ZONE_A password plain PASSWORD_FOR_IX3110_ZONE_A administrator
!
ntp ipv6 enable
ntp server 2001:3a0:0:2001::27:123 ! ntp1.v6.mfeed.ad.jp
ntp server 2001:3a0:0:2005::57:123 ! ntp2.v6.mfeed.ad.jp
ntp server 2001:3a0:0:2006::87:123 ! ntp3.v6.mfeed.ad.jp
ntp interval 7200
!
logging buffered 2097152
logging subsystem all warn
logging timestamp datetime
!
ids ip type all action detect ! fimware version 8.10 or later required
ids ip type ip-header action discard
ids ip type icmp action discard
!
ip ufs-cache enable
ip route default GigaEthernet0.1
ip route 192.168.1.0/24 Tunnel1.0
ip route 192.168.2.0/24 Tunnel2.0
ip route 192.168.100.0/24 Tunnel1.0 ! to access BL190HW at Zone B
ip dhcp enable
ip access-list block-list deny ip src any dest any
ip access-list l2tp-list permit udp src any sport any dest any dport eq 500
ip access-list l2tp-list permit udp src any sport any dest any dport eq 4500
ip access-list permit-list permit ip src any dest any
ip access-list console-list permit ip src 192.168.0.0/24 dest 192.168.0.1/32
ip access-list console-list permit ip src 192.168.1.0/24 dest 192.168.0.1/32
ip access-list console-list permit ip src 192.168.2.0/24 dest 192.168.0.1/32
ip access-list dynamic dflt-list access permit-list
!
ipv6 ufs-cache enable
ipv6 dhcp enable
ipv6 access-list block-list deny ip src any dest any
ipv6 access-list console-list permit ip src ZONE:AAAA:IPV6:AD00::/56 dest ZONE:AAAA:IPV6:ADDR::1/128
ipv6 access-list dhcpv6-list permit udp src any sport eq 547 dest any dport eq 546
ipv6 access-list dhcpv6-list permit udp src any sport eq 546 dest any dport eq 547
ipv6 access-list icmpv6-list permit icmp src any dest any
ipv6 access-list permit-list permit ip src any dest any
ipv6 access-list zone-list permit ip src ZONE:CCCC:IPV6:ADDR::1/128 dest ZONE:AAAA:IPV6:ADDR::1/128
ipv6 access-list zone-list permit ip src-domain BB.XX.mydns.jp dest ZONE:AAAA:IPV6:ADDR::1/128
ipv6 access-list dynamic dflt-list access permit-list
!
ike nat-traversal
!
ike proposal ike-l2tp-1 encryption aes-256 hash sha group 1024-bit
ike proposal ike-l2tp-2 encryption aes hash sha group 1024-bit
ike proposal ike-l2tp-3 encryption 3des hash sha group 1024-bit
ike proposal ike-prop encryption aes-256 hash sha2-256 group 1024-bit
!
ike policy ike-policy-1 peer-fqdn-ipv6 BB.XX.mydns.jp key AUTH_KEY_FOR_TUNNEL_ZONE_A-B ike-prop
!
ike policy ike-policy-2 peer ZONE:CCCC:IPV6:ADDR::1 key AUTH_KEY_FOR_TUNNEL_ZONE_A-C ike-prop
!
ike policy ike-l2tp peer any key AUTH_KEY_FOR_L2TP_ZONE_A ike-l2tp-1,ike-l2tp-2,ike-l2tp-3
!
ipsec autokey-proposal ipsec-l2tp-1 esp-aes-256 esp-sha
ipsec autokey-proposal ipsec-l2tp-2 esp-aes esp-sha
ipsec autokey-proposal ipsec-l2tp-3 esp-3des esp-sha
ipsec autokey-proposal ipsec-prop esp-aes-256 esp-sha2-256
!
ipsec autokey-map ipsec-map-1 permit-list peer-fqdn-ipv6 BB.XX.mydns.jp ipsec-prop pfs 1024-bit
ipsec local-id ipsec-map-1 192.168.0.0/24
ipsec remote-id ipsec-map-1 192.168.1.0/24
!
ipsec autokey-map ipsec-map-2 permit-list peer ZONE:CCCC:IPV6:ADDR::1 ipsec-prop pfs 1024-bit
ipsec local-id ipsec-map-2 192.168.0.0/24
ipsec remote-id ipsec-map-2 192.168.2.0/24
!
ipsec dynamic-map ipsec-map permit-list ipsec-l2tp-1,ipsec-l2tp-2,ipsec-l2tp-3
!
ipv6 name-server 2404:1a8:7f01:a::3 ! Flets IPv6 DNS Primary
ipv6 name-server 2404:1a8:7f01:b::3 ! Flets IPv6 DNS Secondary
ip name-server 202.248.175.138 ! @NIFTY IPv4 DNS Primary for IPv6 option user
ip name-server 202.248.20.157 ! @NIFTY IPv4 DNS Secondary for IPv6 option user
dns cache enable
dns cache max-records 2048
!
proxy-dns ip enable
proxy-dns ip query-interval 1
proxy-dns ipv6 enable
proxy-dns ipv6 query-interval 1
!
ssh-server ip enable
ssh-server ip access-list console-list
ssh-server ipv6 enable
ssh-server ipv6 access-list console-list
!
http-server username USER_NAME_FOR_IX3110_ZONE_A
http-server ip access-list console-list
http-server ip enable
!
ddns enable
!
ppp profile @nifty-ipv4
authentication myname NIFTY_ID_FOR_ZONE_A
authentication password NIFTY_ID_FOR_ZONE_A NIFTY_PASSWORD_FOR_ZONE_A
!
ppp profile l2tp-ipsec
authentication request chap
authentication password L2TP_ID_FOR_ZONE_A L2TP_PASSWORD_FOR_ZONE_A
lcp pfc
lcp acfc
ipcp ip-compression
ipcp provide-remote-dns 202.248.175.138 202.248.20.157 ! useful from a certain country ;-)
ipcp provide-ip-address range 192.168.0.241 192.168.0.245
!
ip dhcp profile dhcpv4-sv
assignable-range 192.168.0.101 192.168.0.199
default-gateway 192.168.0.1
dns-server 192.168.0.1
option 44 ip WINS_SVR_ADDR_1 WINS_SVR_ADDR_2 ! to resolve NetBIOS name
!
ipv6 dhcp client-profile dhcpv6-cl
option-request dns-servers
ia-pd subscriber GigaEthernet1.0
!
ipv6 dhcp server-profile dhcpv6-sv
dns-server dhcp
!
ddns profile MyDNS-IPv4 ! MyDNS account required, visit http://www.mydns.jp for details.
url http://ipv4.mydns.jp/login.html
account MYDNS_ID_FOR_ZONE_A
password plain MYDNS_PASSWORD_FOR_ZONE_A
transport ip
source GigaEthernet0.1
update-interval 12
!
ddns profile MyDNS-IPv6
url http://ipv6.mydns.jp/login.html
account MYDNS_ID_FOR_ZONE_A
password plain MYDNS_PASSWORD_FOR_ZONE_A
transport ipv6
source GigaEthernet0.0
update-interval 12
!
device GigaEthernet0
!
device GigaEthernet1
!
device GigaEthernet2
shutdown
!
device GigaEthernet3
shutdown
!
interface GigaEthernet0.0
description IPv6 IPoE via flets
no ip address
ipv6 enable
ipv6 interface-identifier 00:00:00:00:00:00:00:01 ! to force addressed ::1
ipv6 address autoconfig receive-default
ipv6 dhcp client dhcpv6-cl
ipv6 tcp adjust-mss auto
ipv6 filter dhcpv6-list 1 in
ipv6 filter icmpv6-list 2 in
ipv6 filter zone-list 3 in
ipv6 filter block-list 100 in
ipv6 filter dhcpv6-list 1 out
ipv6 filter icmpv6-list 2 out
ipv6 filter dflt-list 100 out
no shutdown
!
interface GigaEthernet1.0
description IX3110 Zone A Intra
ip address 192.168.0.1/24
ip proxy-arp
ip dhcp binding dhcpv4-sv
ipv6 enable
ipv6 interface-identifier 00:00:00:00:00:00:00:01
ipv6 dhcp server dhcpv6-sv
ipv6 nd ra enable
ipv6 nd ra other-config-flag
no shutdown
!
interface GigaEthernet2.0
no ip address
shutdown
!
interface GigaEthernet3.0
no ip address
shutdown
!
interface GigaEthernet0.1
description @NIFTY IPv4 PPPoE via flets
encapsulation pppoe
auto-connect
ppp binding @nifty-ipv4
ip address ipcp
ip tcp adjust-mss auto
ip nat enable
ip nat translation max-entries 65535
ip napt enable
ip napt translation max-entries 65535
ip napt static GigaEthernet0.1 udp 500
ip napt static GigaEthernet0.1 udp 4500
ip filter l2tp-list 1 in
ip filter block-list 100 in
ip filter dflt-list 100 out
no shutdown
!
interface Loopback0.0
no ip address
!
interface Loopback1.0
no ip address
!
interface Null0.0
no ip address
!
interface Null1.0
no ip address
!
interface Tunnel1.0
description Tunnel to IX2105 Zone B
tunnel mode ipsec
ip unnumbered GigaEthernet1.0
ip tcp adjust-mss auto
ipsec policy tunnel ipsec-map-1 df-bit ignore out
no shutdown
!
interface Tunnel2.0
description Tunnel to IX2215 Zone C
tunnel mode ipsec
ip unnumbered GigaEthernet1.0
ip tcp adjust-mss auto
ipsec policy tunnel ipsec-map-2 df-bit ignore out
no shutdown
!
interface Tunnel10.0
description L2TP/IPsec 0
ppp binding l2tp-ipsec
tunnel mode l2tp ipsec ! fimware version 8.10 or later required
ip unnumbered GigaEthernet1.0
ip tcp adjust-mss auto
ipsec policy transport ipsec-map
no shutdown
!
interface Tunnel11.0
description L2TP/IPsec 1
ppp binding l2tp-ipsec
tunnel mode l2tp ipsec
ip unnumbered GigaEthernet1.0
ip tcp adjust-mss auto
ipsec policy transport ipsec-map
no shutdown
設定ファイル 拠点B: IX2105 auひかり
hostname IX2105-Zone-B
timezone +09 00
!
syslog ip host SYSLOG_HOST_ADDR
syslog timestamp datetime
!
username USER_NAME_FOR_IX2105_ZONE_B password plain PASSWORD_FOR_IX2105_ZONE_B administrator
!
ntp ipv6 enable
ntp server 2001:3a0:0:2001::27:123
ntp server 2001:3a0:0:2005::57:123
ntp server 2001:3a0:0:2006::87:123
ntp interval 7200
!
logging buffered 2097152
logging subsystem all warn
logging timestamp datetime
!
ids ip type all action detect
ids ip type ip-header action discard
ids ip type icmp action discard
!
ip ufs-cache enable
ip route default 192.168.100.1 GigaEthernet0.0 ! routing to the Internet via BL190HW
ip route 192.168.0.0/24 Tunnel0.0
ip route 192.168.2.0/24 Tunnel2.0
ip dhcp enable
ip access-list block-list deny ip src any dest any
ip access-list l2tp-list permit udp src any sport any dest any dport eq 500
ip access-list l2tp-list permit udp src any sport any dest any dport eq 4500
ip access-list permit-list permit ip src any dest any
ip access-list console-list permit ip src 192.168.0.0/24 dest 192.168.1.1/32
ip access-list console-list permit ip src 192.168.1.0/24 dest 192.168.1.1/32
ip access-list console-list permit ip src 192.168.2.0/24 dest 192.168.1.1/32
ip access-list dynamic dflt-list access permit-list
!
ipv6 ufs-cache enable
ipv6 dhcp enable
ipv6 access-list block-list deny ip src any dest any
ipv6 access-list console-list permit ip src ZONE:BBBB:IPV6:ADDY::/64 dest ZONE:BBBB:IPV6:ADDR::1/128
ipv6 access-list console-list permit ip src ZONE:BBBB:IPV6:ADDZ::/64 dest ZONE:BBBB:IPV6:ADDR::1/128
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 547
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 546
ipv6 access-list icmpv6-list permit icmp src any dest any
ipv6 access-list permit-list permit ip src any dest any
ipv6 access-list zone-list permit ip src ZONE:AAAA:IPV6:ADDR::1/128 dest-domain BB.XX.mydns.jp
ipv6 access-list zone-list permit ip src ZONE:CCCC:IPV6:ADDR::1/128 dest-domain BB.XX.mydns.jp
ipv6 access-list dynamic dflt-list access permit-list
!
ike nat-traversal
!
ike proposal ike-l2tp-1 encryption aes-256 hash sha group 1024-bit
ike proposal ike-l2tp-2 encryption aes hash sha group 1024-bit
ike proposal ike-l2tp-3 encryption 3des hash sha group 1024-bit
ike proposal ike-prop encryption aes-256 hash sha2-256 group 1024-bit
!
ike policy ike-policy-0 peer ZONE:AAAA:IPV6:ADDR::1 key AUTH_KEY_FOR_TUNNEL_ZONE_A-B ike-prop
!
ike policy ike-policy-2 peer ZONE:CCCC:IPV6:ADDR::1 key AUTH_KEY_FOR_TUNNEL_ZONE_B-C ike-prop
!
ike policy ike-l2tp peer any key AUTH_KEY_FOR_L2TP_ZONE_B ike-l2tp-1,ike-l2tp-2,ike-l2tp-3
!
ipsec autokey-proposal ipsec-l2tp-1 esp-aes-256 esp-sha
ipsec autokey-proposal ipsec-l2tp-2 esp-aes esp-sha
ipsec autokey-proposal ipsec-l2tp-3 esp-3des esp-sha
ipsec autokey-proposal ipsec-prop esp-aes-256 esp-sha2-256
!
ipsec autokey-map ipsec-map-0 permit-list peer ZONE:AAAA:IPV6:ADDR::1 ipsec-prop pfs 1024-bit
ipsec local-id ipsec-map-0 192.168.1.0/24
ipsec remote-id ipsec-map-0 192.168.0.0/24
!
ipsec autokey-map ipsec-map-2 permit-list peer ZONE:CCCC:IPV6:ADDR::1 ipsec-prop pfs 1024-bit
ipsec local-id ipsec-map-2 192.168.1.0/24
ipsec remote-id ipsec-map-2 192.168.2.0/24
!
ipsec dynamic-map ipsec-map permit-list ipsec-l2tp-1,ipsec-l2tp-2,ipsec-l2tp-3
!
ipv6 name-server 2001:268:fd07:4::1 ! cdns01.kddi.ne.jp
ipv6 name-server 2001:268:fd08:4::1 ! cdns02.kddi.ne.jp
ip name-server 106.187.2.33 ! cdns01.kddi.ne.jp
ip name-server 106.187.2.41 ! cdns02.kddi.ne.jp
dns cache enable
dns cache max-records 2048
!
proxy-dns ip enable
proxy-dns ip query-interval 1
proxy-dns ipv6 enable
proxy-dns ipv6 query-interval 1
!
ssh-server ip enable
ssh-server ip access-list console-list
ssh-server ipv6 enable
ssh-server ipv6 access-list console-list
!
http-server username USER_NAME_FOR_IX2105_ZONE_B
http-server ip access-list console-list
http-server ip enable
!
ddns enable
!
! check tunnel connections alive to recconect if dead
watch-group zone-a 10
event 10 ip unreach-route 192.168.0.0/24 Tunnel0.0
action 10 ipsec clear-sa Tunnel0.0
!
network-monitor zone-a enable
network-monitor zone-a startup-delay 180
!
watch-group zone-c 10
event 10 ip unreach-route 192.168.2.0/24 Tunnel2.0
action 10 ipsec clear-sa Tunnel2.0
!
network-monitor zone-c enable
network-monitor zone-c startup-delay 180
!
ppp profile l2tp-ipsec
authentication request chap
authentication password L2TP_ID_FOR_ZONE_B L2TP_PASSWORD_FOR_ZONE_B
lcp pfc
lcp acfc
ipcp ip-compression
ipcp provide-remote-dns 106.187.2.33 106.187.2.41
ipcp provide-ip-address range 192.168.1.211 192.168.1.215
!
ip dhcp profile dhcpv4-sv
assignable-range 192.168.1.101 192.168.1.199
default-gateway 192.168.1.1
dns-server 106.187.2.33 106.187.2.41
option 44 ip WINS_SVR_ADDR_1 WINS_SVR_ADDR_2
!
ipv6 dhcp client-profile dhcpv6-cl
option-request dns-servers
ia-pd subscriber GigaEthernet1.0
!
ipv6 dhcp server-profile dhcpv6-sv
dns-server dhcp
!
ddns profile MyDNS-IPv4
url http://ipv4.mydns.jp/login.html
account MYDNS_ID_FOR_ZONE_B
password plain MYDNS_PASSWORD_FOR_ZONE_B
transport ip
source GigaEthernet0.0
update-interval 12
!
ddns profile MyDNS-IPv6
url http://ipv6.mydns.jp/login.html
account MYDNS_ID_FOR_ZONE_B
password plain MYDNS_PASSWORD_FOR_ZONE_B
transport ipv6
source GigaEthernet0.0
update-interval 12
!
device GigaEthernet0
!
device GigaEthernet1
!
interface GigaEthernet0.0 ! no authentication required for IPv4, thanks to BL190HW ;-)
description AU HIKARI
ip address 192.168.100.2/24 ! to belong to BL190HW's world
ip tcp adjust-mss auto
ip napt enable
ip filter camera 1 in
ip filter l2tp-list 2 in
ip filter block-list 100 in
ip filter dflt-list 100 out
ipv6 enable
ipv6 interface-identifier 00:00:00:00:00:00:00:01
ipv6 address autoconfig receive-default
ipv6 dhcp client dhcpv6-cl
ipv6 tcp adjust-mss auto
ipv6 filter dhcpv6-list 1 in
ipv6 filter icmpv6-list 2 in
ipv6 filter zone-list 3 in
ipv6 filter block-list 100 in
ipv6 filter dhcpv6-list 1 out
ipv6 filter icmpv6-list 2 out
ipv6 filter dflt-list 100 out
no shutdown
!
interface GigaEthernet1.0
description IX2105 Zone B Intra
ip address 192.168.1.1/24
ip proxy-arp
ip dhcp binding dhcpv4-sv
ipv6 enable
ipv6 interface-identifier 00:00:00:00:00:00:00:01
ipv6 dhcp server dhcpv6-sv
ipv6 nd ra enable
ipv6 nd ra other-config-flag
no shutdown
!
interface Loopback0.0
no ip address
!
interface Null0.0
no ip address
!
interface Null1.0
no ip address
!
interface Tunnel0.0
description Tunnel to IX3110 Zone A
tunnel mode ipsec
ip unnumbered GigaEthernet1.0
ip tcp adjust-mss auto
ipsec policy tunnel ipsec-map-0 df-bit ignore out
no shutdown
!
interface Tunnel2.0
description Tunnel to IX2215 Zone C
tunnel mode ipsec
ip unnumbered GigaEthernet1.0
ip tcp adjust-mss auto
ipsec policy tunnel ipsec-map-2 df-bit ignore out
no shutdown
!
interface Tunnel10.0
description L2TP/IPsec 0
ppp binding l2tp-ipsec
tunnel mode l2tp ipsec
ip unnumbered GigaEthernet1.0
ip tcp adjust-mss auto
ipsec policy transport ipsec-map
no shutdown
!
interface Tunnel11.0
description L2TP/IPsec 1
ppp binding l2tp-ipsec
tunnel mode l2tp ipsec
ip unnumbered GigaEthernet1.0
ip tcp adjust-mss auto
ipsec policy transport ipsec-map
no shutdown
設定ファイル 拠点C: IX2215 フレッツ(ひかり電話なし) @NIFTY
hostname IX2215-Zone-C
timezone +09 00
!
syslog ip host SYSLOG_HOST_ADDR
syslog timestamp datetime
!
username USER_NAME_FOR_IX2215_ZONE_C password plain PASSWORD_FOR_IX2215_ZONE_C administrator
!
ntp ipv6 enable
ntp server 2001:3a0:0:2001::27:123
ntp server 2001:3a0:0:2005::57:123
ntp server 2001:3a0:0:2006::87:123
ntp interval 7200
!
logging buffered 2097152
logging subsystem all warn
logging timestamp datetime
!
! MAC filter for IPv6 bridging
access-list mflt-list permit src any dest any type ipv6
access-list mflt-list permit src any dest any type ip ! once make IPv4 permitted here and...
!
ids ip type all action detect
ids ip type ip-header action discard
ids ip type icmp action discard
!
ip ufs-cache enable
ip route default GigaEthernet0.1
ip route 192.168.0.0/24 Tunnel0.0
ip route 192.168.1.0/24 Tunnel1.0
ip route 192.168.100.0/24 Tunnel1.0
ip dhcp enable
ip access-list block-list deny ip src any dest any
ip access-list l2tp-list permit udp src any sport any dest any dport eq 500
ip access-list l2tp-list permit udp src any sport any dest any dport eq 4500
ip access-list permit-list permit ip src any dest any
ip access-list console-list permit ip src 192.168.0.0/24 dest 192.168.2.1/32
ip access-list console-list permit ip src 192.168.1.0/24 dest 192.168.2.1/32
ip access-list console-list permit ip src 192.168.2.0/24 dest 192.168.2.1/32
ip access-list dynamic dflt-list access permit-list
!
ipv6 ufs-cache enable
ipv6 access-list block-list deny ip src any dest any
ipv6 access-list icmpv6-list permit icmp src any dest any
ipv6 access-list permit-list permit ip src any dest any
ipv6 access-list zone-list permit ip src ZONE:AAAA:IPV6:ADDR::1/128 dest ZONE:CCCC:IPV6:ADDR::1/128
ipv6 access-list zone-list permit ip src-domain BB.XX.mydns.jp dest ZONE:CCCC:IPV6:ADDR::1/128
ipv6 access-list dynamic dflt-list access permit-list
!
ike nat-traversal
!
ike proposal ike-l2tp-1 encryption aes-256 hash sha group 1024-bit
ike proposal ike-l2tp-2 encryption aes hash sha group 1024-bit
ike proposal ike-l2tp-3 encryption 3des hash sha group 1024-bit
ike proposal ike-prop encryption aes-256 hash sha2-256 group 1024-bit
!
ike policy ike-policy-0 peer ZONE:AAAA:IPV6:ADDR::1 key AUTH_KEY_FOR_TUNNEL_ZONE_A-C ike-prop
!
ike policy ike-policy-1 peer-fqdn-ipv6 BB.XX.mydns.jp key AUTH_KEY_FOR_TUNNEL_ZONE_B-C ike-prop
!
ike policy ike-l2tp peer any key AUTH_KEY_FOR_L2TP_ZONE_C ike-l2tp-1,ike-l2tp-2,ike-l2tp-3
!
ipsec autokey-proposal ipsec-l2tp-1 esp-aes-256 esp-sha
ipsec autokey-proposal ipsec-l2tp-2 esp-aes esp-sha
ipsec autokey-proposal ipsec-l2tp-3 esp-3des esp-sha
ipsec autokey-proposal ipsec-prop esp-aes-256 esp-sha2-256
!
ipsec autokey-map ipsec-map-0 permit-list peer ZONE:AAAA:IPV6:ADDR::1 ipsec-prop pfs 1024-bit
ipsec local-id ipsec-map-0 192.168.2.0/24
ipsec remote-id ipsec-map-0 192.168.0.0/24
!
ipsec autokey-map ipsec-map-1 permit-list peer-fqdn-ipv6 BB.XX.mydns.jp ipsec-prop pfs 1024-bit
ipsec local-id ipsec-map-1 192.168.2.0/24
ipsec remote-id ipsec-map-1 192.168.1.0/24
!
ipsec dynamic-map ipsec-map permit-list ipsec-l2tp-1,ipsec-l2tp-2,ipsec-l2tp-3
!
bridge irb enable ! IPv6 bridging configuration
no bridge 1 bridge ip ! ...and make IPv4 not to be bridged
!
ipv6 name-server 2404:1a8:7f01:a::3
ipv6 name-server 2404:1a8:7f01:b::3
ip name-server 202.248.175.138
ip name-server 202.248.20.157
dns cache enable
dns cache max-records 2048
!
proxy-dns ip enable
proxy-dns ip query-interval 1
proxy-dns ipv6 enable
proxy-dns ipv6 query-interval 1
!
ssh-server ip enable
ssh-server ip access-list console-list
!
http-server username USER_NAME_FOR_IX2215_ZONE_C
http-server ip access-list console-list
http-server ip enable
!
ddns enable
!
ppp profile @nifty-ipv4
authentication myname NIFTY_ID_FOR_ZONE_C
authentication password NIFTY_ID_FOR_ZONE_C NIFTY_PASSWORD_FOR_ZONE_C
!
ppp profile l2tp-ipsec
authentication request chap
authentication password L2TP_ID_FOR_ZONE_C L2TP_PASSWORD_FOR_ZONE_C
lcp pfc
lcp acfc
ipcp ip-compression
ipcp provide-remote-dns 202.248.175.138 202.248.20.157
ipcp provide-ip-address range 192.168.2.201 192.168.2.205
!
ip dhcp profile dhcpv4-sv
assignable-range 192.168.2.101 192.168.2.199
dns-server 192.168.2.1
option 44 ip WINS_SVR_ADDR_1 WINS_SVR_ADDR_2
!
ddns profile MyDNS-IPv4
url http://ipv4.mydns.jp/login.html
account MYDNS_ID_FOR_ZONE_C
password plain MYDNS_PASSWORD_FOR_ZONE_C
transport ip
source GigaEthernet0.1
update-interval 12
!
ddns profile MyDNS-IPv6
url http://ipv6.mydns.jp/login.html
account MYDNS_ID_FOR_ZONE_C
password plain MYDNS_PASSWORD_FOR_ZONE_C
transport ipv6
source GigaEthernet0.0
update-interval 12
!
device GigaEthernet0
!
device GigaEthernet1
shutdown
!
device GigaEthernet2
!
device BRI0 ! cannot be shutdowned physically...
isdn switch-type hsd128k
!
device USB0
shutdown
!
interface GigaEthernet0.0
description IPv6 IPoE via flets
filter mflt-list 1 in
no ip address
ipv6 enable
ipv6 interface-identifier 00:00:00:00:00:00:00:01
ipv6 address autoconfig receive-default
ipv6 tcp adjust-mss auto
ipv6 filter icmpv6-list 1 in
ipv6 filter flt-list 2 in
ipv6 filter block-list 100 in
ipv6 filter icmpv6-list 1 out
ipv6 filter dflt-list 100 out
bridge-group 1 ! IPv6 bridging configuration
no shutdown
!
interface GigaEthernet1.0
no ip address
shutdown
!
interface GigaEthernet2.0 ! GigaEthernet1 is usually used for local network.
description IX2215 Zone C Intra
filter mflt-list 1 in
ip address 192.168.2.1/24
ip proxy-arp
ip dhcp binding dhcpv4-sv
bridge-group 1 ! IPv6 bridging configuration
no shutdown
!
interface BRI0.0
encapsulation ppp
no auto-connect
no ip address
shutdown
!
interface USB-Serial0.0
encapsulation ppp
no auto-connect
no ip address
shutdown
!
interface GigaEthernet0.1
description @NIFTY IPv4 PPPoE via flets
encapsulation pppoe
auto-connect
ppp binding @nifty-ipv4
ip address ipcp
ip tcp adjust-mss auto
ip napt enable
ip napt static GigaEthernet0.1 udp 500
ip napt static GigaEthernet0.1 udp 4500
ip filter l2tp-list 1 in
ip filter block-list 100 in
ip filter dflt-list 100 out
no shutdown
!
interface Loopback0.0
no ip address
!
interface Null0.0
no ip address
!
interface Null1.0
no ip address
!
interface Tunnel0.0
description Tunnel to IX3110 Zone A
tunnel mode ipsec
ip unnumbered GigaEthernet2.0
ip tcp adjust-mss auto
ipsec policy tunnel ipsec-map-0 df-bit ignore out
no shutdown
!
interface Tunnel1.0
description Tunnel to IX2105 Zone B
tunnel mode ipsec
ip unnumbered GigaEthernet2.0
ip tcp adjust-mss auto
ipsec policy tunnel ipsec-map-1 df-bit ignore out
no shutdown
!
interface Tunnel10.0
description L2TP/IPsec 0
ppp binding l2tp-ipsec
tunnel mode l2tp ipsec
ip unnumbered GigaEthernet2.0
ip tcp adjust-mss auto
ipsec policy transport ipsec-map
no shutdown
!
interface Tunnel11.0
description L2TP/IPsec 1
ppp binding l2tp-ipsec
tunnel mode l2tp ipsec
ip unnumbered GigaEthernet2.0
ip tcp adjust-mss auto
ipsec policy transport ipsec-map
no shutdown
スポンサーサイト
苹果 iPhone 3G 坏啦!
好久不见啦!我是いぬちゃん啊!
我的公司有两个iPhone 3G, 那一个刚刚坏啦!那么不好的样子啊,是不是!?
上午同事去了旁边的Softbank店问问,他们判断次品!但他们不会安排,因为已经没有了新货。他们叫他去涩谷,青山或六本木的让他们看一下。太不好啦!
我的公司有两个iPhone 3G, 那一个刚刚坏啦!那么不好的样子啊,是不是!?
上午同事去了旁边的Softbank店问问,他们判断次品!但他们不会安排,因为已经没有了新货。他们叫他去涩谷,青山或六本木的让他们看一下。太不好啦!
携帯の背比べ i450 X02NK E51 NM705i + α
皆様お久しぶりです。さぼりまくりいぬです。m(__)m
とりあえず、最近入手した手机たちを背の順に並べてみたり。。
※註 画面ははめ込み合成では*ありません* (;´∀`)
そして最後は、謎のミニミニ携帯 (^^;
i450 は S60 3rd なんだけど、アプリが入ったり入らなかったり。。。現状、Nokia じゃなきゃダメ! ってアプリが結構あるので、せっかくの S60 を生かせてない感じ。ちなみに松茸もインストールできません (^◇^;)
X02NK は今日入手したんでよくわかんない (^^; とりあえず、*普通の*アプリはインストールできるし、定額データ通信もできるし(高いけど)、現状を考えると、日本国内で使用するなら一番良い選択なのかな。
E51 は小さいのにWiFiも使えて超便利。E90と共に最近のお気に入り。
E90 - QWERTY - GPS = E51 って感じ。背は 6120 より高いけど厚みは薄い。
持ってるのを忘れちゃうくらい小さいから、なくさないようにしないと…
NM705i は・・・ まあ、こんな感じなのです。。。iアプリ使エマスw
最後は匿名希望の HSDPA モデムフォンの ES。
HSDPA モデムにおまけで通話機能もつけましたって感じかな?
小さいことが、とりえです (;・∀・)
黄金周快乐!
とりあえず、最近入手した手机たちを背の順に並べてみたり。。
※註 画面ははめ込み合成では*ありません* (;´∀`)
そして最後は、謎のミニミニ携帯 (^^;
i450 は S60 3rd なんだけど、アプリが入ったり入らなかったり。。。現状、Nokia じゃなきゃダメ! ってアプリが結構あるので、せっかくの S60 を生かせてない感じ。ちなみに松茸もインストールできません (^◇^;)
X02NK は今日入手したんでよくわかんない (^^; とりあえず、*普通の*アプリはインストールできるし、定額データ通信もできるし(高いけど)、現状を考えると、日本国内で使用するなら一番良い選択なのかな。
E51 は小さいのにWiFiも使えて超便利。E90と共に最近のお気に入り。
E90 - QWERTY - GPS = E51 って感じ。背は 6120 より高いけど厚みは薄い。
持ってるのを忘れちゃうくらい小さいから、なくさないようにしないと…
NM705i は・・・ まあ、こんな感じなのです。。。iアプリ使エマスw
最後は匿名希望の HSDPA モデムフォンの ES。
HSDPA モデムにおまけで通話機能もつけましたって感じかな?
小さいことが、とりえです (;・∀・)
黄金周快乐!
華南地方の天気が異常です・・・
なぜか香港にいる小狗です。
さっきコメントにも書いたけど、せっかくなんでこちらにも。
えっと、現在華南地方が有り得ないくらい寒いです。。
東京に比べれば寒くないんだけど、こっちにはヒーターがないので、屋内の体感温度は間違いなく香港の方が寒い!しかも、こんなに寒いのに狂ったようにクーラー入れてる店も多々あるし。。。(^◇^;
中国大陸では、場所によっては大雪が降っていて、中長距離列車の多くがキャンセル。今日の深圳駅 (深圳火车站) は列車待ちの人で溢れてます。ニュースによると、緊急食料・飲料水の配布も準備し始めているらしい・・・
道路も凍結しているらしく、政府が 「今年の春節は今いる場所で迎えましょう♪」 と呼びかけてます。
ということで、春節を中国で迎えようとしている方はご注意下さいませ。
それでは皆様、小狗は今から深圳に出発しまーす (・o・)
罗湖站 (≒深圳火车站) からはタクシーだから大丈夫!きっと・・・
でも、タクシー待ち凄い混んでるんだろうなぁ。。
あとは中国人の友達だけが頼り・・・
スゥッ・・・(ーoー)y゚゚゚
我该走啦!
さっきコメントにも書いたけど、せっかくなんでこちらにも。
えっと、現在華南地方が有り得ないくらい寒いです。。
東京に比べれば寒くないんだけど、こっちにはヒーターがないので、屋内の体感温度は間違いなく香港の方が寒い!しかも、こんなに寒いのに狂ったようにクーラー入れてる店も多々あるし。。。(^◇^;
中国大陸では、場所によっては大雪が降っていて、中長距離列車の多くがキャンセル。今日の深圳駅 (深圳火车站) は列車待ちの人で溢れてます。ニュースによると、緊急食料・飲料水の配布も準備し始めているらしい・・・
道路も凍結しているらしく、政府が 「今年の春節は今いる場所で迎えましょう♪」 と呼びかけてます。
ということで、春節を中国で迎えようとしている方はご注意下さいませ。
それでは皆様、小狗は今から深圳に出発しまーす (・o・)
罗湖站 (≒深圳火车站) からはタクシーだから大丈夫!きっと・・・
でも、タクシー待ち凄い混んでるんだろうなぁ。。
あとは中国人の友達だけが頼り・・・
スゥッ・・・(ーoー)y゚゚゚
我该走啦!
香港なのに普通话で诺基亚手机 (Nokia ケータイ) を漁るいぬちゃん♪
いぬちゃんが小狗にパワーアップして再び香港へやってきたのだ!
いきなり香港空港で中国人 (たぶん) の方に話しかけられたたよ。
中国人: 「你有没有笔?」 (ペン持ってる?) 多分そういったと思う・・・
小いぬ: 「没有!」 (ないよぉ!)
しまった、持ってたのに元気に 「没有!」・・・
突然の出来事に動揺してしまったのだ (T_T)
貸してあげれば少は話も弾んだろうに・・・
しかし、前回までの旅と絶対的に変わったことが!
今まで中国で一番話した言葉は
いぬちゃん: 「Sorry, I don't speak Chinese, sorry... .」
間違いなくこのフレーズ。みなさん何のためらいもなく中国語で話しかけてくるので、これの連発。
「我不說中国話!」 or 「我不说中国话!」 ってプリントした T シャツ作って着てようかと思ったくらいこの一言を言ってました。(__;)
しかし、今回は・・・
小いぬ: 「我不说广东话!」 (広東語を話しません!)
に変更!
もちろん、その後は普通话のマシンガン攻撃が待ってます・・・
小いぬ: 「可以试这个手机吗?」 (このケータイさわらせて♪)
香港人: 「可以。这个什么什么好的什么什么諾基亞的什么什么什么!」 超早口 σ(--#)
(はいよ。これえうhgば;良くてぬえうノキアいえhgに;あえwんgいぇでっせ!)
小いぬ: 「哎呀,我能说汉语一下!」 (わ~、中国語は少ししか話せませ~ん!)
この後は、親切な人や暇な人ならいぬちゃんのカタコト普通话につきあってくれます。
普通话でお話してくれた人に
小いぬ: 「我学习了汉语两个星期。」 (二週間中国語を勉強しました。)
と言うと、みなさん漏れなく驚いてくれます \(^o^)/
香港でこんな感じなら、深圳に行ってからがもっと楽しみ♪
ということで、例によってチョットだけ写真を撮ってきたよ。
香港といえば、ここでしょう!
スゥッ・・・(ーoー)y゚゚゚
さて・・・
本邦初公開、これが小狗の主食だ!
正式名称は 「和風牛肉飯大餐2」 あれ、大塚愛の歌みたい σ(^◇^;)
って、すみません、吉牛です・・・ 香港・深圳では大変お世話になっております m(__)m
このセット、牛丼大盛り・味噌汁・キムチ・飲み物・ゼリー で、HK$34 也。
たぶん、味は日本と変わらないと思う。
中国の吉牛はファーストフード店みたいになっていて、基本的に日本みたいなカウンター席はありません (マクドにあるようなカウンター席はある)。家族やカップル、男女問わず小狗みたいに一匹で座って食べてる人もたくさんいます。
日本の旅館で良く出てくるような、固形燃料でぐつぐつ煮る牛肉小鍋メニューもあったりします。
深圳のセットは、味噌汁が飲み物の選択肢の中にあって、漬け物は日本風・中国風・韓国風の中から選べます。日本風は、どの辺りが日本風なのかよく分からない上にあんまり美味しくないです (>_<)
あれ、ゼリーもなかったかな?
日本ではほとんど食べない吉牛だけど、中国に来たら大事な小狗の主食! だって、中国のご飯 (お米) 美味しくないんだもん (ごめんね・・・)。
小狗は、めちゃくちゃ美味しい中国料理屋&料理はまあまあだけど日本のご飯を出すレストランが並んでたら、迷わず後者を選ぶ特殊な犬種なのです・・・
手機 (手机、ケータイ) でおなじみ先達廣場前の歩道で。。。
ぬお、N73 の空箱一式ではないか!
深圳では頻繁に見かけます (¨;)
街のケータイ屋さん (先達廣場ではない) の店先に置いてある Nokia のディスプレイ (モック)
N81, N82, N95-8GB, 5610 あたりも普通に売ってます (^u^)
値段は先達価格で
N81-2GB: HK$3,150 前後
N81-8GB: HK$3,550 前後
N82 : HK$5,000 前後
N95-8GB: HK$6,000 前後
香港に到着した頃にはまだ見かけなかった Sony Ericsson W960 も続々入荷中。値段は HK$5,000 前後。
携帯屋さんの数は旺角の方が多いけど、深水埗の方が新製品の入荷が早い気がする。屋台でパーツ類たくさん売ってるのも楽しい♪
あと、iPhone 3G もチラッと見かけたけど値段は謎・・・
(^0^)/~~
明天我去深圳。在那儿我想说更加普通话!
いきなり香港空港で中国人 (たぶん) の方に話しかけられたたよ。
中国人: 「你有没有笔?」 (ペン持ってる?) 多分そういったと思う・・・
小いぬ: 「没有!」 (ないよぉ!)
しまった、持ってたのに元気に 「没有!」・・・
突然の出来事に動揺してしまったのだ (T_T)
貸してあげれば少は話も弾んだろうに・・・
しかし、前回までの旅と絶対的に変わったことが!
今まで中国で一番話した言葉は
いぬちゃん: 「Sorry, I don't speak Chinese, sorry... .」
間違いなくこのフレーズ。みなさん何のためらいもなく中国語で話しかけてくるので、これの連発。
「我不說中国話!」 or 「我不说中国话!」 ってプリントした T シャツ作って着てようかと思ったくらいこの一言を言ってました。(__;)
しかし、今回は・・・
小いぬ: 「我不说广东话!」 (広東語を話しません!)
に変更!
もちろん、その後は普通话のマシンガン攻撃が待ってます・・・
小いぬ: 「可以试这个手机吗?」 (このケータイさわらせて♪)
香港人: 「可以。这个什么什么好的什么什么諾基亞的什么什么什么!」 超早口 σ(--#)
(はいよ。これえうhgば;良くてぬえうノキアいえhgに;あえwんgいぇでっせ!)
小いぬ: 「哎呀,我能说汉语一下!」 (わ~、中国語は少ししか話せませ~ん!)
この後は、親切な人や暇な人ならいぬちゃんのカタコト普通话につきあってくれます。
普通话でお話してくれた人に
小いぬ: 「我学习了汉语两个星期。」 (二週間中国語を勉強しました。)
と言うと、みなさん漏れなく驚いてくれます \(^o^)/
香港でこんな感じなら、深圳に行ってからがもっと楽しみ♪
ということで、例によってチョットだけ写真を撮ってきたよ。
香港といえば、ここでしょう!
スゥッ・・・(ーoー)y゚゚゚
さて・・・
本邦初公開、これが小狗の主食だ!
正式名称は 「和風牛肉飯大餐2」 あれ、大塚愛の歌みたい σ(^◇^;)
って、すみません、吉牛です・・・ 香港・深圳では大変お世話になっております m(__)m
このセット、牛丼大盛り・味噌汁・キムチ・飲み物・ゼリー で、HK$34 也。
たぶん、味は日本と変わらないと思う。
中国の吉牛はファーストフード店みたいになっていて、基本的に日本みたいなカウンター席はありません (マクドにあるようなカウンター席はある)。家族やカップル、男女問わず小狗みたいに一匹で座って食べてる人もたくさんいます。
日本の旅館で良く出てくるような、固形燃料でぐつぐつ煮る牛肉小鍋メニューもあったりします。
深圳のセットは、味噌汁が飲み物の選択肢の中にあって、漬け物は日本風・中国風・韓国風の中から選べます。日本風は、どの辺りが日本風なのかよく分からない上にあんまり美味しくないです (>_<)
あれ、ゼリーもなかったかな?
日本ではほとんど食べない吉牛だけど、中国に来たら大事な小狗の主食! だって、中国のご飯 (お米) 美味しくないんだもん (ごめんね・・・)。
小狗は、めちゃくちゃ美味しい中国料理屋&料理はまあまあだけど日本のご飯を出すレストランが並んでたら、迷わず後者を選ぶ特殊な犬種なのです・・・
手機 (手机、ケータイ) でおなじみ先達廣場前の歩道で。。。
ぬお、N73 の空箱一式ではないか!
深圳では頻繁に見かけます (¨;)
街のケータイ屋さん (先達廣場ではない) の店先に置いてある Nokia のディスプレイ (モック)
N81, N82, N95-8GB, 5610 あたりも普通に売ってます (^u^)
値段は先達価格で
N81-2GB: HK$3,150 前後
N81-8GB: HK$3,550 前後
N82 : HK$5,000 前後
N95-8GB: HK$6,000 前後
香港に到着した頃にはまだ見かけなかった Sony Ericsson W960 も続々入荷中。値段は HK$5,000 前後。
携帯屋さんの数は旺角の方が多いけど、深水埗の方が新製品の入荷が早い気がする。屋台でパーツ類たくさん売ってるのも楽しい♪
あと、iPhone 3G もチラッと見かけたけど値段は謎・・・
(^0^)/~~
明天我去深圳。在那儿我想说更加普通话!