とりあえずトンネル生活できるかどうかのテストで、IX2015は「Bflets回線にぶら下げただけ」で他にはどこにもつなげていない。 Loopbackインターフェースが存在しているし、pingの時にソースアドレスも書けるので余計な線をつなげんでもテスト可能。 とはいえtcpdumpが使えないとトラブル時の調査に難儀したが…
ポイントとしては
トンネルは少なくとも128個までは定義可能なのでこのクラスのルータとしては問題なかろう。
唯一の不満はコマンドラインインターフェースでCtrl-U(行消去)が使えないところ。 単にEmacsなキーバインド(ていうかreadline?)なのでCtrl-A Ctrl-Kすればいいんだけど、頭がルータ設定モードだとCtrl-Uを多用してしまう。 それ以外はほぼCisco流儀だと思ってかかれば比較的素直な設定だった。
hostname ix2015 username root password hash ******** administrator ipv6 route 2001:c90::0/32 fe80::xxxx:xxxx:xxxx:xxxx%FastEthernet1/0.0 ipv6 prefix-list tako-only 5 deny 2001:c90::0/32 max 64 ipv6 prefix-list tako-only 10 permit 2001:218:45e::0/48 max 64 ipv6 prefix-list tako-only 15 deny any telnet-server ipv6 enable ip router ospf 100 area 0 network Tunnel1.0 area 0 network 192.168.201.0/25 area 0 ipv6 router rip interface FastEthernet1/0.0 no ip address ipv6 enable ipv6 address 2001:c90:xxxx:xxxx::2/64 no shutdown interface Loopback0.0 ip address 127.0.0.1/8 ip address 192.168.201.1/25 secondary ipv6 address 2001:218:45e:zzzz::zzzz/64 interface Tunnel1.0 tunnel mode 4-over-6 tunnel destination 2001:c90:yyyy:yyyy::1 tunnel source 2001:c90:xxxx:xxxx::2 ip address 192.168.201.254/30 ip ospf network point-to-point no shutdown interface Tunnel2.0 tunnel mode 6-over-6 tunnel destination 2001:c90:yyyy:yyyy::1 tunnel source 2001:c90:xxxx:xxxx::2 no ip address ipv6 enable ipv6 unnumbered Loopback0.0 ipv6 rip enable ipv6 rip distribute-list prefix tako-only in ipv6 rip distribute-list prefix tako-only out no shutdown
全然関係なくはまったポイントは、RTX1000側で ospf configure refresh しないでOSPFが隣り見つけてくれないなーと悩んだところ。RTX1000の
ファームウェアを7.01.34に上げて
リブートしたら突然OSPFが見えるようになって合点が行った。
次は余裕できたら(FreeBSDで失敗した)IPSec-over-IPv6トンネルに挑戦。しかし同じルータがないとハードウェア暗号化の恩恵を調べるのは難しそうだ。 あとRTX1000同様 x509な証明書認証はできなさそう。
OpenSSLだけで発行する手順の解説。 僕は怠惰なのでWindows2000Serverの証明機関にやらせちゃってるけど。
Windows2000Serverの証明機関で発行した証明書を全然関係ないFreeBSD上のApache2での認証に使う場合、WindowsServerのCALが必要なのかどうかは要調査。
しかしこれだけ決まった作業だったらクライアント証明書(PKCS#12)発行用GUIの一つもへろりんと作れそうだ。