オレンジのトップページ

2013年9月4日水曜日

ネクストでIPv4 over IPv6 IPsec/IPIP VPNをYAMAHAのRTXで張ってみる。

(2015/10/6 更新)

(注)IPv4 over IPv6 IPsec VPN と IPv4 over IPv6 IPIP の違いと使い分けについて

暗号化されたIPv4 over IPv6 IPsec VPNではRTX1200以降を使うと、通常の IPv4 ipsec VPNと同程度の140Mbps程度の速度が出て実用的です。それ以前のモデルだと速度が全く出ませんが、pingの数値は良いのでちょっとしたIP電話など低遅延が求められる用途にはいいかもしれません。

暗号化されない IPv4 over IPv6 IPIP だとRTX1100でもそこそこの90Mbps程度の速度が出ます。RTX1200/RTX3000を使うと300Mbps超えと速いです。
VPNを設定するときIPIPではホスト名(v6ネーム)が指定できずIPアドレス指定なのことに注意します。

RTX1500はIPv6をVPNに使うとどうやっても全く速度が出ません。やはり速度が出ないだけでpingの数値は良いのでIP電話程度には平気そうです。このモデルは歴代のRTXシリーズの中でも構造が違い、IPv6のファストパスに対応していないのが原因なのではないかと思います。IPv4ショートパケットの性能が良いことで定評があるのでIPv4用と割り切って使うのが良いかなと思います。

ファストパス
http://www.rtpro.yamaha.co.jp/RT/docs/fastpath/



RTXシリーズの違いによるCPU負荷
RTX1200はipsecで100M超え、IPIPで200M超えの通信を行うとCPUが100%に張り付きやすく、ちょっとした負荷を足すと数値もバラつくのでパワー不足になるようです。大容量のファイル通信を長時間行うには向きません。
RTX3000はIPIPに限りますがピーク速度でRTX1200に負けますがCPU負荷が張り付きません。設計は古いものの基本的なCPUパワーがあるようです。大容量のファイル通信を長時間行っても平気です。



IPIPの暗号化しないことによる不安について
IPv6通信は東西NTTフレッツ網内限定なので構わないし、気になるなら相手先IPv6アドレスのみフィルタ許可してもいい。
インターネットリーチャブルなIPをもらっていてもHGWのある環境だと、HGWのデフォルトがIPv6パケットフィルタ設定(IPoE)が[有効[/[セキュリティレベル標準]で、網内折り返しのみ許可、インターネット側からの着信が拒否になっているのでRTXでフィルタしなくても問題なさそうです。



iperfを使ったテスト結果
パケットサイズはiperfデフォルトの64K。もちろんサイズを増やすと上がるが目安になると思います。拠点はすべてフレッツネクスト隼でIPv4のプロバイダはすべてインターリンク1Gで、両端の拠点にはi5-760のLinuxサーバを置いています。
■サーバ側
iperf -s
■クライアント側
iperf -c 192.168.x.y

**** IPv4 over IPv6 IPIP
相手先 RTX1200 <-> こちら RTX1200/3000  速度390-260M。
相手先 RTX3000 <-> こちら RTX3000  速度300M。
相手先 RTX1100/1200/3000 <-> こちら RTX1100  速度85-90M。
相手先 RTX1100/1200 <-> こちら RTX1500  速度15M。

**** IPv4 over IPv6 ipsec(暗号化は3des-cbc md5-hmac)
相手先 RTX1200 <-> こちら RTX1200  速度130-150M。
相手先 RTX1200 <-> こちら RTX3000  速度15M。
相手先 RTX1100/1200 <-> こちら RTX1100  速度14-15M。
相手先 RTX1100/RTX1500 <-> こちら RTX3000  速度10M。
相手先 RTX1100/RTX1200/RTX1500 <-> こちら RTX1500  速度7-9M。

**** IPv4 over IPv6 ipsec(暗号化はaes-cbc sha-hmac)
相手先 RTX1100 <-> こちら RTX1100  速度14-15M。
相手先 RTX1100/RTX1200/RTX1500 <-> こちら RTX1500  速度4-5M。

**** 通常のIPv4-IPv4 ipsec(暗号化は3des-cbc md5-hmac)
相手先 RTX3000(eo光1G) <-> こちら RTX3000  (インターリンク1G) 速度140M。
相手先 RTX1200 <-> こちら RTX1200/3000  速度120-140M。(以下両拠点インターリンク)
相手先 RTX1200/1500 <-> こちら RTX1500  速度85-90M。
相手先 RTX1200 <-> こちら RTX1100  速度78M。


*単位Mbits/sec




というわけで気を取り直して、

ネクストの網内折り返し通信ができるIPv6アドレスを使って高速なIPv4のVPNを張ります。
(手っ取り早く設定を見るには「RTXの設定例」までスクロール)

ネクストではV6オプションを申し込むと、半固定で割り当てられるIPv6アドレスの網内折り返し通信が可能です。西日本ではオプションですが東日本ではデフォルト有効になったようです。無料で網内折り返しができるってイイんじゃないの?このIPv6アドレスを使ってIPv4-VPN組んじゃえば高速だしプロバイダーの通信帯域を使わないし。って考えるのは当然で、ネクストのサービスが出た当時から有料無料のソリューションも結構あったりする。

しかしネクストでもらえるIPv6アドレスは半固定というのが問題で、どう乗り越えるかが鍵となります。
V6オプションで網内だけ通信できるIPv6アドレスが割り当てられる時も、そこからさらにプロバイダに申し込んでインターネットリーチャブルなIPv6アドレスが割り当てられるときも同様に半固定。IPv6アドレスが変わるたびにtelnetログオンしてパラメータ書き換えるって、、、、そんなことやりたいSIerはいないよ。ってことでこれはネクスト網内でだけ使えるIPv6ネームを使ってクリアするのが簡単で確実っぽい。
(追記: IPv6ネームが使えるのはIPsecの時だけ。IPIPではネームは使えないから、IPv6アドレスが変わったらあきらめよう。)


さすがに有料のソリューションはIPv6アドレスが半固定の問題をクリアしているようですが、無料のソリューションのうちいくつかは、クリアしていません。

有料のソリューション
「IPv6を利用してインターネットVPNを効率化」(大塚商会。ルータはYAMAHA)
http://www.otsuka-shokai.co.jp/corporate/release/2012/120126.html

「IIJが新インターネットVPN、NGNのIPv6活用で回線料金を節約」(ルータは当然自社のSEIL) 2012/04/24
http://itpro.nikkeibp.co.jp/article/NEWS/20120424/393108/

「 NTT のフレッツ・サービスの網内 IPv6 通信のサポート」(softether社なのでルータはやっぱりソフトウェアか。)
http://www.softether.co.jp/en/vpn3/vpn4beta/5.aspx


無料のソリューション
古河電工 FITELnet を対向で使える。(IPv6アドレスが変わってもネームを使うので安心)
http://www.furukawa.co.jp/fitelnet/product/f200/setting/detail/square_next_ipv6_ipsec.html

富士通 Si-R Gを対向で。(IPv6半固定なのを解決する提案はなし)
http://fenics.fujitsu.com/products/technical/example/internet-vpn/internet-vpn16.html

NEC UNIVERGE IX2000/IX3000シリーズ(やっぱりNECの設定例も、IPv6半固定なのを解決する提案はなし)
フレッツ 光ネクスト向け IPv6 VPN接続 設定ガイド(IPv6 IPoE)
http://jpn.nec.com/univerge/ix/Support/ipv6/native/ipv6-vpn_r.html
http://jpn.nec.com/univerge/ix/Support/ipv6/native/ipv6-vpn_d.html


YAMAHAを使ってIPv6でVPNを張ってIPv4通信してみる
設定例は本家サイトに出てないけれど、ググると早くも2011年12月にやっている人がいたので、基本的に手順をそのままなぞって先月うまくいったので記録しておく。
記事:「IPv6 IPsec」
http://seiyan.asablo.jp/blog/2011/12/13/


主な仕様はこのとおり
 ・ひかり電話なしでONU直下にRTXを設置する場合 / ひかり電話ありでHGWの下にRTXを設置も設定は同じ。
・ひかり電話ありでONU直下にRTXをHGWと並列に設置する場合はipv6の設定の仕方がちょっと違う、下の方に追記します。
・動作確認はRTX1100/RTX1500/RTX1200/RTX3000。
・IPv6アドレスはIPで指定しなくても、MLでヤマハさんがv6ネームでできるよって教えてくれた。ipsecでは IPv6アドレスの代わりにネームをこのように指定できる。繰り返すけれどIPIPではネームは使えないのでIPv6アドレス指定する。
ipsec ike remote address xxx.p-ns.flets-west.jp


ほか細かな点

・IPv6オプションだけの網内IPv6アドレスの拠点と、プロバイダからIPoEでもらった正式なグローバルなIPv6アドレスの拠点同士も問題なく通信できる。
・IPv6アドレスは YAMAHAで show ipv6 address で確認できる。
・ipsec sa policy は3des-cbc md5-hmacを使う。ファストパスのページには、3desもaesもハードウェア実装していてどっちもファストパスに入ると書いてはあるが、IPv4 over IPv6 ipsecがノーマルパスになってただでさえ遅いRTX1500ではaes-cbc sha-hmac だとさらに遅くなる。早い話CPU処理になるとaesの負荷は3desよりも高いんだろう。ヤマハの2015/Jul/23に更新されたFAQページには今でも「基本的には、3DES-CBCの利用をお勧めします。」となっている。

YAMAHA|ファストパス
http://www.rtpro.yamaha.co.jp/RT/docs/fastpath/

YAMAHA FAQ|暗号アルゴリズムには何を用いたら良いですか? (2015/Jul/23)
http://www.rtpro.yamaha.co.jp/RT/FAQ/IPsec/normal-encryption-algorithm.html


それからほんとに細かいことだけど
・切れた時メンテのためにtelnetを互いに許可しておく。
・例ではVPN間はフィルタしてない。NetBIOSのフィルタが必要なら入れたりする。
・natタイマーのデフォルトが長いので短くしている。


RTXの設定例
対向拠点の設定は192.168.1を192.168.0に入れ替えるだけで同じ。
show configで出てくる順をちょっと見やすく項目別に並べ替えた。

<IPv4LAN関係>
ip route default gateway pp 1
ip lan1 address 192.168.1.1/24
ip filter source-route on
ip filter directed-broadcast on
ip route 192.168.0.0/24 gateway tunnel 1

<トンネル1とトンネル2を自動切替する場合。IPIPは一度切れるとなかなかトンネル回復しないので必須の設定。例えばどちらかの拠点のルータを再起動するとIPIPトンネルは数分切れたままになってこわい。この設定を入れておくことで5秒おきにpingをとばして5回切れていればトンネル2に切り換わり、トンネル1が復帰すれば数秒でトンネル1に戻るので、何かの理由で切れても最大30秒程度にできる。>
ip route 192.168.0.0/24 gateway tunnel 1 keepalive 1 gateway tunnel 2 weight 0
ip keepalive 1 icmp-echo 5 5 192.168.0.1

<IPv6関係>
念のためLAN2側にフィルタ入れてあります。インターネットリーチャブルなIPv6をもらっていなければ省略してもいい、スループットは1割ほど上る。
ipv6 prefix 1 ra-prefix@lan2::/64
ipv6 lan1 address ra-prefix@lan2::1/64
ipv6 lan1 rtadv send 1 o_flag=on
ipv6 lan1 dhcp service server
ipv6 lan2 secure filter in 1030 1031 1032 1033 1034 1035 2000
ipv6 lan2 secure filter out 3000 dynamic 100 101 102 103 104 105 106
ipv6 lan2 dhcp service client ir=on

<IPv4プロバイダ認証>
pp select 1
 pp always-on on
 pppoe use lan2
 pppoe auto disconnect off
 pp auth accept pap chap
 pp auth myname USER PASSWORD(プロバイダーの認証IDとパス)
 ppp lcp mru on 1454
 ppp ipcp ipaddress on
 ppp ipcp msext on
 ip pp mtu 1454
 ip pp secure filter in 1020 1030 1031 1040 1041 1042 1050 2000
 ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106
 ip pp nat descriptor 1
 pp enable 1

<トンネル1  メインで使う。IPv6-ipsecの場合>
tunnel select 1
 ipsec tunnel 1
  ipsec sa policy 1 1 esp 3des-cbc md5-hmac
  ipsec ike keepalive log 1 off
  ipsec ike pre-shared-key 1 naishonokey
  ipsec ike remote address 1 xxx.p-ns.flets-west.jp (対向ルータに割り当てられたIPv6アドレスまたはIPv6ネーム)
 ip tunnel tcp mss limit auto
 tunnel enable 1

<トンネル1  メインで使う。IPv6-IPIPの場合。>
tunnel select 1
 tunnel encapsulation ipip
 tunnel endpoint address IPv6アドレス(対向ルータに割り当てられたIPv6アドレス)
 ip tunnel tcp mss limit auto
 tunnel enable 1

<トンネル2 保険。IPV4-ipsec>
tunnel select 2
 ipsec tunnel 2
  ipsec sa policy 2 2 esp 3des-cbc md5-hmac
  ipsec ike keepalive log 2 off
  ipsec ike keepalive use 2 on
  ipsec ike local address 2 192.168.1.1
  ipsec ike pre-shared-key 2 naishonokey
  ipsec ike remote address 2 (対向拠点で契約している固定グローバルIPv4アドレス)
 ip tunnel tcp mss limit auto
 tunnel enable 6

<フィルタの定義>
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 reject 192.168.1.0/24 *
ip filter 1030 pass * 192.168.1.0/24 icmp
ip filter 1040 pass * 192.168.1.1 udp * 500
ip filter 1041 pass * 192.168.1.1 esp
ip filter 1042 pass * 192.168.1.0/24 gre
ip filter 1050 pass xxx.xxx.xxx.xxx * tcp * telnet (対向拠点で契約している固定グローバルIPv4アドレス)

ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * tcp
ip filter dynamic 106 * * udp

<NATの定義>
nat descriptor type 1 masquerade
nat descriptor timer 1 300
nat descriptor timer 1 protocol=udp port=domain 30
nat descriptor address inner 1 auto
nat descriptor masquerade incoming 1 reject
nat descriptor masquerade rlogin 1 on
nat descriptor masquerade static 1 1 192.168.1.1 udp 500
nat descriptor masquerade static 1 2 192.168.1.1 esp

nat descriptor masquerade session limit 1 1 500

<IPv6のフィルタ定義>
ipv6 filter 1010 reject * * udp,tcp 135 *
ipv6 filter 1011 reject * * udp,tcp * 135
ipv6 filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ipv6 filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ipv6 filter 1014 reject * * udp,tcp 445 *
ipv6 filter 1015 reject * * udp,tcp * 445
ipv6 filter 1030 pass * * icmp6 * *
ipv6 filter 1031 pass * * tcp * ident
ipv6 filter 1032 pass * * udp * 546
ipv6 filter 1033 pass * * esp
ipv6 filter 1034 pass * * udp 500
ipv6 filter 1035 pass * * 4       #IPIPのプロトコル4を通すフィルタ
ipv6 filter 2000 reject * * * * *
ipv6 filter 3000 pass * *
ipv6 filter dynamic 100 * * ftp
ipv6 filter dynamic 101 * * domain
ipv6 filter dynamic 102 * * www
ipv6 filter dynamic 103 * * smtp
ipv6 filter dynamic 104 * * pop3
ipv6 filter dynamic 105 * * tcp
ipv6 filter dynamic 106 * * udp

<ほか>
ipsec auto refresh on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.1.200-192.168.1.240/24
dns private address spoof on
schedule at 1 */* 01:35 * ntpdate ntp.jst.mfeed.ad.jp

<DNS>
# IPv4はプロバイダのIPv4DNS、IPv6はネクスト地域網のIPv6DNSを使う。v6オプションの申し込みだけでプロバイダからIPoEでIPv6をもらってない時はこれ。
dns server select 1 dhcp lan2 aaaa .     *
dns server select 2 pp 1 any . restrict pp 1     *

# IPv4/IPv6ともにネクスト地域網のIPv6DNSを使う。IPoE-IPv6対応プロバイダからインタネットリーチャブルなIPv6アドレスをもらっている時はこれでも良い。
dns server dhcp lan2



追記:DNS名前解決とv6ネームについて (2014/12/29)

設定例をアレンジしていると、v6ネームが引けくなる時があります。たとえば
dns server pp 1


とするとv6ネームが引けません。どうしてかというと、xxx.p-ns.flets-west.jp(西日本)なv6ネームをプロバイダーのDNSサーバは名前解決できないからです。 v6ネームの名前解決ができるのは、NTTフレッツ網が提供しているDNSサーバだけです。

niftyなんかでプロバイダーがIPv6 IPoEに対応していて、インターネットリーチャブルなIPv6をもらっている場合は
dns server dhcp lan2
で、フレッツ網から取得したIPv6のDNSが、IPv4もIPv6もフレッツ網内のホスト名もグローバルなホスト名もなんでも答えます。DNSSECにも対応しているし、ネットワーク的にも近いしでいうことなしです。

でもv6オプションを申し込んだのみでは、フレッツ網から取得したIPv6のDNSは、NTT網内ホストの名前解決するだけで、グルーバルなホスト名についてはIPv4もIPv6も答えません。フレッツ網のDNSサーバは、クライアントのIPv6アドレスを見ていて応答の仕方を変えているようです。


WEBページ見れないじゃん。と
dns server pp 1
に設定を変えると、WEBページは見れるようになりますが今度はv6ネームが引けません。


正解は、IPv6はフレッツ網のDNSを使い、IPv4はプロバイダーのDNSを使います。
http://www.rtpro.yamaha.co.jp/RT/FAQ/FLETS-HIKARI-NEXT/hikari_tv.html
 dns server select 1 dhcp lan2 aaaa .
 dns server select 2 pp 1 any . restrict pp 1

dns server selectコマンドについて詳しくはこちら。
http://www.rtpro.yamaha.co.jp/RT/manual/rt-common/dns/dns_server_select.html




追記:ひかり電話ありで、ONUの直下にHGWと並列にRTXを置きたい場合 (2015/06/23)

次のように設定を変更します。IPv6アドレスの値はRTXにログオンし show ipv6 address コマンドで確認します。
HGWのLANに最初の/60が使われるので、RTXのLANにはそれと重複しないように+10か+20します。これを忘れると最初は通信できていても途中で通信が切れます。

ONU直下に置いてもHGWの下に置いても速度差は誤差程度だったので、速度面でのメリットはないですが、どうしてもという場合はこのようにします。例では+20しています。

<IPv6関係>
ipv6 route default gateway dhcp lan2
ipv6 prefix 1 2001:xxxx:xxxx:(取得値+20)::/64

ipv6 lan1 address 2001:xxxx:xxxx:(取得値+20)::1/64
ipv6 lan1 rtadv send 3
ipv6 lan1 dhcp service server

ipv6 lan2 address dhcp
ipv6 lan2 secure filter in 1030 1031 1032 1033 1034 1035 2000
ipv6 lan2 secure filter out 3000 dynamic 100 101 102 103 104 105 106
ipv6 lan2 dhcp service client
ngn type lan2 ntt


これはどういうことかというと、
ひかり電話なし
ONU直下 /64
2001:xxxx:xxxx:1200::


ひかり電話あり
ONU直下 /56
2001:xxxx:xxxx:1200::
           |
2001:xxxx:xxxx:12ff::

HGW下 /60
2001:xxxx:xxxx:1200::
           |
2001:xxxx:xxxx:120f::

と割り当てられる。


参考
IPv6レンジ計算ツール
http://yamagata.int21h.jp/tool/cidrcalc/ipv6.cgi?

SEIL で NGN IPv6 ネイティブ (IPoE) 接続を試す
https://www.seil.jp/community/node/33
>ひかり電話がある場合、ONUの下にホームゲートウェイ(HGW)と呼ばれる機器が設置されます(ONUとホームゲートウェイが一体型の場合もあります)。この場合、ONU配下には/56のプレフィクスが配布されてきますが、さらにその先のホームゲートウェイではそれが /60 に分割されて配布されます。



追記:IPsec/IPIPトンネルでの最適なMTU (2015/10/6)

YAMAHAのトンネルのデフォルトはMTU=1260と小さめになっている。
これをその回線で使える上限まで上げることで、1割から2割ほど速度を上げられる。ルータのCPU負荷が上るしきい値が上がるようだ。たとえば1260/1460=1.16になるので比例している?

ただし回線で使えるMTUを越えて設定すると数十Mbps〜数百Kbpsに急激に下がる。NECのIX
シリーズでIPv4 over IPv6トンネルするときのトンネルのMTUは1500でいいとか書いてあったが、YAMAHAには設計の違いなのか当てはまらないので注意。しかし、たかだか1割か2割のアップのため設定をミスって逆に失敗するくらいならデフォルトの1260のままでも良いかもしれない。
以下3DESで設定して上限を調べた。IPsecトンネルの最大値は3DESとAESで違うので注意。


テスト方法(ip tunnel mtu 1500 と設定しておく)
ping -c 1 -M do -s 数値 IPアドレス
得られた数値+28が、MTU値。

最大MTU値
ネクストIPoE-IPv6回線のMTU:1500     ipv6-ipv4 over IPIPトンネルのMTU:1460    ip tunnel mtu 1460
ネクストIPv4回線のMTU:1454          IPv4 ipsec 3DES-CBCトンネルのMTU:1398     ip tunnel mtu 1398
光プレミアムIPv4回線のMTU:1438       IPv4 ipsec 3DES-CBCトンネルのMTU:1382     ip tunnel mtu 1382

*pingの対象は相手先サーバにしてテストします。pingの対象が相手ルータだと回線MTU値までトンネルでもpingが通ってしまうことがあるので注意。

*ネクストのIPv6のMTUは1500。
http://www.ntt-west.co.jp/info/katsuyo/pdf/10/tenpu20_1.pdf




まとめ

同一県内だとで7-9msのVPNが張れます。もしIPv6で作ったトンネルが切れるとき、iPv4で作ったもうひとつのトンネルのバックアップに切り替わって 30-40msになります。

pingの数値と実際の転送速度は比例していないので注意します。

拠点によってひかり電話があったりなかったり環境が違う場合、設定をアレンジしてあげればつながります。

HGWのあるなしによる速度変化について
RTXをHGWの下に置くのと、ONUの直下にHGWと並列にしても転送速度の影響はありません。

NTTフレッツ網から割り当てられる網内IPv6アドレスはひかり電話を申し込んだり解約しても、うちの環境ではマスク値が変わっただけで変わりませんでした。フレッツの速度契約を100M<->200M<->1G隼を変えてもやっぱりアドレスは変わらなかったので、v6ネームを使わずアドレス直接指定でも、トンネルの自動切替がなくても大丈夫そうです。

ルータ再起動時にv6通信がしばらく不安定になるのが気に入りません。

IPv6の時間帯による速度変化について
IPv6-IPIPのトンネルは意外と時間帯によって上下があります。ネクストのIPv6の帯域も時間帯によって変動があるようです。


今回の趣旨と違いますが、IPv4が動的な拠点はいったん切れるとすぐ再接続してくれないときがあるので、IPv4を使ってYAMAHAでVPN張るなら固定なIPv4を契約しておくのがおすすめです。

またIPv4を使ったipsec-VPNのプロバイダーとしてはインターリンクがおすすめ。センターまで行かずに県内?局内?で折り返し通信してくれますので、速度もping遅延も小さくて良いです。インターリンクを使っていればVPNを張るのにIPv6を使うのもIPv4を使うのもほとんど性能的な違いはありません。
とはいえプロバイダを使って大容量通信をすると通信規制がかかるので IPv6の折り返し通信を使うメリットはあるでしょう。

大塚商会さんはIPv6アドレスを書き換える(例のLunaスクリプトでも使ってるのかな)サービスで14,000/月もらってるんだ。販売目標初年度1000件ってどんだけ売れたんだろ。いいなぁ。。。。

ちなみにフレッツ網(西日本)のDNSサーバのアドレスは2001:a7ff:5f01::a と 2001:a7ff:5f01::a です。ONU直下だとこのアドレスが直接RTXにふってきます。HGWの下にRTXを置くとRTXにはHGWのアドレスがふってきます。