手当たり次第に書くんだ

飽きっぽいのは本能

VyOS tunnel interface – GRE などのトンネルを経路設計に組み込む

作者: si62512548投稿日: カテゴリー: VyOSタグ: , , , , , , , VyOS tunnel interface – GRE などのトンネルを経路設計に組み込む へのコメントはまだありません

VyOS で拠点間接続や仮想的な経路を作る場合、OpenVPN とは別に tunnel interface を使う構成があります。GRE や IP6GRE のようなトンネルは、単なる暗号化 VPN ではなく、経路設計に組み込むための仮想インターフェイスとして扱うのが重要です。

この記事では、VyOS 1.5 を前提に、tunnel interface を経路設計の部品として整理します。実際のアドレスやホスト名は公開用の例に置き換えています。

tunnel interface は経路を載せるための仮想リンクである

トンネルは、離れたネットワーク間に仮想的なリンクを作る仕組みです。物理インターフェイスのように IP アドレスを持たせ、OSPF / OSPFv3 や static route の経路先として扱えます。

  • 拠点間の経路を仮想リンクとして扱う
  • OSPF / OSPFv3 の隣接や経路広報に使う
  • MTU / MSS を調整してカプセル化の影響を吸収する
  • OpenVPN などの下位トンネルの上に GRE を重ねる構成もあり得る

IP6GRE トンネルの設定例

IPv6 を下位経路として GRE を張る場合、ip6gre を使います。トンネル自体には IPv4 / IPv6 のアドレスを持たせ、上位の経路制御に使えるようにします。

設定例

set interfaces tunnel tun1000 description 'site-to-site-routing-link'
set interfaces tunnel tun1000 encapsulation 'ip6gre'
set interfaces tunnel tun1000 source-address 'fd00::2'
set interfaces tunnel tun1000 remote 'fd00::1'
set interfaces tunnel tun1000 address '192.0.2.2/30'
set interfaces tunnel tun1000 address 'fd00:1000::2/64'

ここでは、トンネルの外側は IPv6、トンネル上で扱うアドレスは IPv4 / IPv6 の両方を持たせる例にしています。実際には、アドレス設計と経路設計に合わせて決めます。

MTU と MSS を調整する

トンネルではカプセル化によりヘッダ分のオーバーヘッドが増えます。そのため、物理インターフェイスと同じ MTU の感覚で扱うと、フラグメントや PMTUD の問題が出ることがあります。

設定例

set interfaces tunnel tun1000 mtu '1376'
set interfaces tunnel tun1000 ip adjust-mss '1336'
set interfaces tunnel tun1000 ipv6 adjust-mss '1316'

MTU と MSS は環境によって変わります。PPPoE、OpenVPN、GRE、IPv6 などを重ねる場合、どの層で何バイトのオーバーヘッドがあるかを意識して調整します。

OSPF / OSPFv3 に組み込む

tunnel interface は、単に疎通させるだけでなく、動的ルーティングの隣接や経路広報のために使えます。拠点間接続では、トンネルを area 0 などに入れてバックボーン的に扱う設計もあります。

set protocols ospf area 0 network '192.0.2.0/30'
set protocols ospfv3 interface tun1000 area '0'

OSPF と OSPFv3 は別設定です。IPv4 の OSPF に入れただけでは IPv6 の経路は流れません。デュアルスタックのトンネルでは、両方の経路制御を確認します。

確認コマンド

show interfaces tunnel
show ip route
show ipv6 route
show ip ospf neighbor
show ipv6 ospfv3 neighbor

トンネルは、リンク自体の状態、経路、OSPF 隣接、MTU / MSS の影響を分けて確認します。疎通しない場合、トンネルの外側、トンネル内アドレス、経路制御、Firewall のどこで止まっているかを切り分けます。

まとめ

VyOS の tunnel interface は、単なる接続補助ではなく、経路設計に組み込むための仮想リンクです。アドレス、MTU、MSS、OSPF / OSPFv3、Firewall を合わせて考えることで、拠点間経路を説明しやすくなります。

GRE 系トンネルは暗号化そのものを提供するものではありません。必要に応じて、OpenVPN などの保護された経路と組み合わせ、トンネルの役割を明確に分けることが重要です。

関連する記事

次に進む

参考書籍

参考書籍
参考書籍
マスタリングTCP/IP ルーティング編

ルーティング、トンネル、QoS などネットワーク設計の前提を体系的に確認したい場合の参考書籍です。

Amazon で見る

このリンクは Amazon アソシエイトリンクです。

VyOS tunnel interface – GRE などのトンネルを経路設計に組み込む

関連記事

VyOS Firewall group 設計 – address-group / port-group / interface-group を整理する VyOS TCP MSS 調整 – PPPoE / VPN 経路で考える VyOS PPPoE 利用時の MTU と MSS VyOS OpenVPN Site-to-Site TLS 設定 – MTU / MSS / ルーティングを合わせて考える VyOS OSPF / OSPFv3 設定 – IPv4 / IPv6 の動的ルーティングを分けて考える VyOS VRF 設計 – 経路表を分ける意味を整理する VyOS route-map 設計 – 経路をどう選別するか VyOS static route と prefix-list – 経路制御の部品を整理する

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)

トップへ戻る