OpenWrtでNAT64/DNS64環境を構築する

14139 ワード

openwrt DNS64 Jool IPv6 NAT64 IPv6 テキストリンク

2021/05/26追記: OpenWrtの現在のstable release (19.07)のJoolパッケージはバージョン3.5.7ですが、次のOpenWrt 21.02では4.1.5に更新されているようです。
Jool 4.x向けに記事の内容を変更しましたが、3.5を使用する場合はこちらを参照してください。

OpenWrtのLAN側のネットワークはデフォルトではIPv4/IPv6デュアルスタックで動作するように設定されていますが、これをIPv6シングルスタックに変更するためJoolとUnboundを使ってNAT64/DNS64環境を構築しました。

環境

root@OpenWrt:~# cat /etc/openwrt_release
DISTRIB_ID='OpenWrt'
DISTRIB_RELEASE='21.02.0-rc1'
DISTRIB_REVISION='r16046-59980f7aaf'
DISTRIB_TARGET='ath79/generic'
DISTRIB_ARCH='mips_24kc'
DISTRIB_DESCRIPTION='OpenWrt 21.02.0-rc1 r16046-59980f7aaf'
DISTRIB_TAINTS=''
root@OpenWrt:~# jool --version
4.1.5.0
root@OpenWrt:~# unbound -V
Version 1.13.1

デフォルトでは以下のようなネットワーク構成になっています。

# ifstatus wan
...
        "proto": "dhcp",
        "device": "eth0.2",
        "ipv4-address": [
                {
                        "address": "10.10.10.113",
                        "mask": 24
                }
        ],
        "dns-server": [
                "10.10.10.1"
        ],
...

# ifstatus wan6
...
        "proto": "dhcpv6",
        "device": "eth0.2",
        "ipv6-prefix": [
                {
                        "address": "2001:db8:fc7e:200::",
                        "mask": 56,
                        "class": "wan6",
                        "assigned": {
                                "lan": {
                                        "address": "2001:db8:fc7e:200::",
                                        "mask": 60
                                }
                        }
                }

        ],
        "dns-server": [
                "2001:db8:fc7e::1"
        ],
...

# ifstatus lan
...
        "proto": "static",
        "device": "br-lan",
        "ipv4-address": [
                {
                        "address": "192.168.1.1",
                        "mask": 24
                }
        ],
        "ipv6-prefix-assignment": [
                {
                        "address": "2001:db8:fc7e:200::",
                        "mask": 60,
                        "local-address": {
                                "address": "2001:db8:fc7e:200::1",
                                "mask": 60
                        }
                },
                {
                        "address": "fd92:2bfc:16ee::",
                        "mask": 60,
                        "local-address": {
                                "address": "fd92:2bfc:16ee::1",
                                "mask": 60
                        }
                }
        ],
...

+------+  |
| Host +--+ LAN +---------+ WAN/ +------+
+------+  |     |         | WAN6 |      |
          +-----+ OpenWrt +------+  GW  |
+------+  |     |         |      |      |
| Host +--+     +---------+      +------+
+------+  |

<---------------- v4/v6 ---------------->

これを以下のように変更します。

+------+  |
| Host +--+ LAN +---------+ WAN/ +------+
+------+  |     |         | WAN6 |      |
          +-----+ OpenWrt +------+  GW  |
+------+  |     |         |      |      |
| Host +--+     +---------+      +------+
+------+  |

<---- v6 ----> NAT64/DNS64 <--- v4/v6 --->

NAT64/DNS64を利用してIPv4への接続性を確保しつつ、LAN側のIPv4を無効にします。

必要なパッケージのインストール

# opkg update
# opkg install unbound-daemon kmod-jool jool-tools

DNS64 (Unbound)の設定

# uci set unbound.@unbound[0].dns64='1'
# uci commit unbound

全ての名前解決を別のDNSキャッシュサーバにforwardしたい場合は以下のようにforward-zoneを設定する。

/etc/unbound/unbound_ext.conf

forward-zone:
        name: "."
        forward-addr: 10.10.10.1
        forward-addr: 2001:db8:fc7e::1

DnsmasqのDNSサーバを無効にする。

# uci set dhcp.@dnsmasq[0].port='0'
# uci commit dhcp
# service dnsmasq restart
# service unbound restart

名前解決できているか確認する。

# nslookup ipv4.google.com localhost
Server:         localhost
Address:        ::1#53

Name:      ipv4.google.com
ipv4.google.com canonical name = ipv4.l.google.com
Name:      ipv4.l.google.com
Address 1: 172.217.25.110
ipv4.google.com canonical name = ipv4.l.google.com
Address 2: 64:ff9b::acd9:196e

NAT64 (Jool)の設定

# modprobe jool
# jool instance add "example" --iptables --pool6 64:ff9b::/96
# ip6tables -t mangle -A PREROUTING -j JOOL --instance "example"
# iptables -t mangle -A PREROUTING -j JOOL --instance "example"

起動時にJoolが有効になるように、initスクリプトと設定ファイルを作成する。

# mkdir /etc/jool
# cat << "EOF" > /etc/jool/jool.conf
{
    "comment": "Configuration for the NAT64 Jool service.",

    "instance": "example",
    "framework": "iptables",

    "global": {
        "pool6": "64:ff9b::/96"
    }
}
EOF
# cat << "EOF" >> /etc/firewall.user
ip6tables -t mangle -A PREROUTING -j JOOL --instance "example"
iptables -t mangle -A PREROUTING -j JOOL --instance "example"
EOF
# cat << "EOF" >> /etc/sysupgrade.conf
/etc/init.d/jool
/etc/jool/
EOF
# wget -O /etc/init.d/jool https://gist.githubusercontent.com/konosukef/d0a3b8fa73458defd4f61c95649dd029/raw/jool
# chmod +x /etc/init.d/jool
# service jool enable
# service jool restart
# service firewall restart

LANのIPv4の設定を削除する。

# uci delete network.lan.ipaddr
# uci delete network.lan.netmask
# uci commit network
# service network restart

接続テスト

root@OpenWrt:~# jool instance display
+--------------------+-----------------+-----------+
|          Namespace |            Name | Framework |
+--------------------+-----------------+-----------+
|           8064df98 |         example |  iptables |
+--------------------+-----------------+-----------+

root@OpenWrt:~# jool --instance "example" global display
  manually-enabled: true
  pool6: 64:ff9b::/96
  lowest-ipv6-mtu: 1280
  logging-debug: false
  zeroize-traffic-class: false
  override-tos: false
  tos: 0
  mtu-plateaus: 65535,32000,17914,8166,4352,2002,1492,1006,508,296,68
  address-dependent-filtering: false
  drop-externally-initiated-tcp: false
  drop-icmpv6-info: false
  source-icmpv6-errors-better: true
  f-args: 11 (0b1011): SrcAddr:1 SrcPort:0 DstAddr:1 DstPort:1
  handle-rst-during-fin-rcv: false
  tcp-est-timeout: 2:00:00 (HH:MM:SS)
  tcp-trans-timeout: 0:04:00 (HH:MM:SS)
  udp-timeout: 0:05:00 (HH:MM:SS)
  icmp-timeout: 0:01:00 (HH:MM:SS)
  logging-bib: false
  logging-session: false
  maximum-simultaneous-opens: 10
  ss-enabled: false
  ss-flush-asap: true
  ss-flush-deadline: 2000
  ss-capacity: 512
  ss-max-payload: 1452

root@OpenWrt:~# ip6tables -t mangle -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
JOOL       all      anywhere             anywhere             instance:example
...

root@OpenWrt:~# iptables -t mangle -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
JOOL       all  --  anywhere             anywhere             instance:example
...

LAN側のホストからipv4.google.comにpingしてみます。

user@host:~$ ping6 ipv4.google.com
PING ipv4.google.com(nrt13s51-in-f14.1e100.net (64:ff9b::acd9:196e)) 56 data bytes
64 bytes from nrt13s51-in-f110.1e100.net (64:ff9b::acd9:196e): icmp_seq=1 ttl=116 time=5.18 ms
64 bytes from nrt13s51-in-f110.1e100.net (64:ff9b::acd9:196e): icmp_seq=2 ttl=116 time=5.00 ms
64 bytes from nrt13s51-in-f110.1e100.net (64:ff9b::acd9:196e): icmp_seq=3 ttl=116 time=5.20 ms
64 bytes from nrt13s51-in-f110.1e100.net (64:ff9b::acd9:196e): icmp_seq=4 ttl=116 time=5.36 ms
...

ICMPセッションテーブルを確認します。

root@OpenWrt:~# jool --instance "example" session display --icmp
---------------------------------
Expires in 0:00:49.412
Remote: nrt13s51-in-f110.1e100.net#63022 2001:db8:fc7e:200:8e3:5b48:3ed8:e40#1
Local: 10.10.10.113#63022       64:ff9b::acd9:196e#1
---------------------------------

以下のようにAndroidではclatdが動いて192.0.0.4が自動設定されているので464XLATも問題ないようです。

参考

Author And Source

この問題について(OpenWrtでNAT64/DNS64環境を構築する), 我々は、より多くの情報をここで見つけました https://qiita.com/konosuke/items/a6fcb1709f46f396544f

著者帰属：元の著者の情報は、元のURLに含まれています。著作権は原作者に属する。

Content is automatically searched and collected through network algorithms . If there is a violation . Please contact us . We will adjust (correct author information ,or delete content ) as soon as possible .