NEC IXのコンフィグ例
トップウイング 菅沼です。
NEC IXシリーズは、企業向けルーターらしい安定感と処理性能を持ちながら、比較的手に取りやすい価格で入手しやすいのが魅力です。オーディオ用途というとオーディオ機器を直接接続するオーディオ専用機器に目が向きがちです。一方で、大元のルーターの安定性が、音楽再生環境全体の使い勝手や音質に効いてくる場面も少なくありません。
以下動画にてNEC IXの大元ルーターとしての活用例を紹介したところ、コンフィグ例の公開を行ってほしいという要望が寄せられたため、弊社が責任を負わないこと、サポートを行わないことを前提に本記事に掲載します。
動画中でも述べておりますが、NEC IXなどの業務用ルーターは、民生用のそれとは異なり、外部からの侵入を防ぐフィルターがあらかじめ設定されていません。適切なフィルター設定を行ってはじめてルーターとして使用することができます。下記コンフィグ例ではフィルターの記載を行っておりますが、コマンドの投入ミスなどによって外部に公開されてしまう可能性があること、ご留意ください。
1.想定環境
- NTT東日本/西日本のフレッツ光ネクスト回線(光コラボレーションを含む)を前提にしています
- IPoE+PPPoEのダブルセッションを行い、普段の通信はIPoE、Roon ARC関連のものだけPPPoEを経由します
- 上流は単体ONUを想定しています。もしHGWが設置されている場合にはUNI出しで接続する必要があります。
- ひかり電話の利用を想定していますが、NTT東日本/西日本が公表している構成ではありません
- NEC IX2215、YAMAHA NVR510の利用を想定しています。ただし、他のNEC IX機種、VoIPルーターにおいても適切に読み替えることで動作します。
- NEC IX2215のファームウェアは公開時点で最新の10.11.14を想定しています。入手した個体のファームウェアが最新でない場合には、アップデートする必要があります。以前はファームウェアのダウンロードには利用申請が必要でしたが、現在は一般公開されています。ファームウェアアップデートの方法はここでは触れませんので、「NEC IX ファームウェアアップデート」などで調べてください。
- Roon CoreはDATA ISO BOX配下にあることを想定しています
また、設定には以下が必要になりますので、あらかじめメモしておくことをお勧めします。
- プロバイダが提供するIPoEの形式(map-e, DS-Lite, クロスパス, OCNバーチャルコネクトなど)
- プロバイダから提供されるPPPoEのユーザー名とパスワード
- 任意に決めるNEC IXのユーザー名とパスワード
必要に応じて以下も必要です。
- DATA ISO BOXのMACアドレス(本体底面記載、あるいはダッシュボードのROUTERポート記載のもの)
- NEC公式サービスNetMeisterのグループID、グループパスワード、拠点名(任意)、DDNS名(任意)
2.接続図
NEC IXシリーズは、各ポートごとに役割を決めることができます。ここでは、以下の接続を行います。
- GE0にONUを接続する
- GE1にVoIPルーター(YAMAHA NVR510)を接続する
- GE2にネットワーク機器に接続する
なお、本構成においてはWi-Fiアクセスポイントが存在しないため、OPT APや、市販のWi-Fiルーターをブリッジ化(単体親機化)してGE2ポートの一つに接続しないとWi-Fiを使用することができません。また、OPT APを利用する場合には、初期設定のIPアドレスのセグメントが異なりますので、設定画面よりDHCP自動取得にするか、192.168.1.20などのDHCP割り当て範囲外の固定IPアドレス設定にするのが無難です。
本コンフィグ例では、QoSを入れておりません。今回の前提ではまず経路を単純に保つ方が分かりやすく、実用上も扱いやすいからです。宅内の端末数が多くなく、IPoE側で十分な帯域と安定性が出ているなら、最初の一歩としてはこの考え方で十分だと考えています。
また、本記事ではVoIPルーター(YAMAHA NVR510)の設定については扱いません。といっても、ここについては単純で、NVR510のWAN端子とGE1を接続し、NVR510の設定画面でひかり電話の設定を行うだけです。Web-GUIで十分フォローできる範囲です。
3.最初の設定投入方法
初回の設定投入は、一番確実なコンソールケーブルで行うことをお勧めします。ルーターのコンソール(CONSOLE)ポートとPCを接続し、TeraTerm などのシリアル接続ソフトで入ります。コンソールケーブルは、Amazon等で「RJ45 USB コンソールケーブル」と検索すると見つかります。片側はUSB、片側がLAN(RJ45)のものが適合します。大体2,000円前後で入手できます。大まかな流れは以下の通りです。
- PCとNEC IXをコンソールケーブルで接続する
- PCでTeraTermなどのシリアル接続ソフトを立ち上げる
- NEC IXの電源を入れる
- 必要に応じて初期コンフィグを整理する
- 「enable-config」で設定モードに入る
- 本記事末尾のコンフィグを適宜書き換えて投入する
- 「write memory」で保存する
- 電源を切って、既存の機器と入れ替える
機種によっては、工場出荷時に初期Web設定が入っている場合があります。その場合には、以下コマンドで初期コンフィグを整理する必要があります。
1
enable-config2
erase startup-config3
exit4
default-console command-line ※注IX2107、IX2235の場合5
reload再起動後、あらためてコンソールから入り、「enable-config」で設定モードへ入って本文末尾のコンフィグを投入します。
設定は一気に全部貼り付けてもよいですが、不安ならセクションごとに分けて投入すると追いやすいです。投入後は 「show running-config」で反映を確認し、最後に「write memory」を忘れずに実行します。
4. 各コンフィグの説明
4-1. 時刻・ログ設定
1
hostname IX22152
timezone +09 003
!4
logging buffered 1310725
logging subsystem all error6
logging subsystem dh6 info7
logging subsystem dhs notice8
logging subsystem env warn9
logging subsystem flt warn10
logging subsystem mape warn11
logging subsystem nat warn12
logging subsystem nmc notice13
logging subsystem ppoe warn14
logging subsystem ppp notice15
logging timestamp datetime16
!17
ntp ip enable18
ntp ipv6 enable19
ntp server 210.173.160.2720
ntp server 210.173.160.5721
ntp server 210.173.160.8722
ntp server 2001:3a0:0:2001::27:12323
ntp server 2001:3a0:0:2005::57:12324
ntp server 2001:3a0:0:2006::87:12325
ntp interval 360026
!見た目は地味ですが、あとでトラブルを追うときにとても大事な部分です。時計がずれているとログが信用できなくなりますし、ログが少なすぎると「何が起きたか分からない」状態になります。
4-2. 家の中のネットワークを作る
家庭内で使うネットワークは「GigaEthernet2.0」にまとめます。
1
ip dhcp enable2
!3
ip dhcp profile local4
assignable-range 192.168.1.180 192.168.1.2545
subnet-mask 255.255.255.06
default-gateway 192.168.1.17
dns-server 192.168.1.18
fixed-assignment 192.168.1.10 <DATA_ISO_BOX_MAC>9
exit10
!11
ipv6 dhcp server-profile v6-ra-dns12
dns-server dhcp13
exit14
!15
interface GigaEthernet2.016
ip address 192.168.1.1/2417
ip dhcp binding local18
ip policy route-map server_list_map19
ipv6 enable20
ipv6 dhcp server v6-ra-dns21
ipv6 nd ra enable22
ipv6 nd ra other-config-flag23
no shutdown24
exit25
!ここでやっているのは、「IX を家の中の親ルーターにする」ことです。192.168.1.1を基準にして、つながった機器へDHCPでアドレスを配ります。
なお、DHCPでは192.168.1.180~254までにしています。別の機器を固定IPで指定したいときには、192.168.1.2~192.168.1.179が使えます。
DATA ISO BOXは192.168.1.10に固定しています。これは、あとで外から TCP 55000番ポートを転送するときに、毎回同じ宛先へ届けるためです。お手持ちのDATA ISO BOXのMACアドレス(機器背面に記載)を投入してください。
4.3. DNSはルーターにまとめる
家庭内の機器から見たDNSは、IXにまとめてしまう方が扱いやすいです。
1
dns cache enable2
dns cache max-records 20483
!4
proxy-dns ip enable5
proxy-dns ip request both6
proxy-dns ip query-interval 17
proxy-dns interface GigaEthernet0.0 priority 1108
proxy-dns interface Tunnel0.0 priority 1109
proxy-dns server 1.1.1.1 priority 20010
proxy-dns server 1.0.0.1 priority 20011
proxy-dns server 8.8.8.8 priority 15012
proxy-dns server 8.8.4.4 priority 15013
proxy-dns ipv6 enable14
proxy-dns ipv6 request both15
proxy-dns ipv6 query-interval 116
proxy-dns server 2606:4700:4700::1111 priority 20017
proxy-dns server 2606:4700:4700::1001 priority 20018
proxy-dns server 2001:4860:4860::8888 priority 15019
proxy-dns server 2001:4860:4860::8844 priority 150この設定を入れておくと、家の中の機器は「外のDNSサーバをそれぞれ直接知る」必要がなくなります。ルーターに聞けばよい形になるので、構成が見やすくなります。ルーター側で一度引いた名前はキャッシュされるので、同じ問い合わせが少し速く返ることもあります。
4.4. 普段使いのインターネットを作る
WAN側では、まず「GigaEthernet0.0」で IPv6 を受け、その上に「Tunnel0.0」という IPoE 用の出口を作ります。
1
ip ufs-cache max-entries 1000002
ip ufs-cache enable3
!4
ipv6 ufs-cache max-entries 655355
ipv6 ufs-cache enable6
ipv6 dhcp enable7
!8
ipv6 dhcp client-profile dhcpv6-cl9
option-request dns-servers10
ia-pd redistribute pool v6-prefix 0:0:0:40::/60 nla-length 211
ia-pd subscriber GigaEthernet2.0 ::/64 eui-6412
shutdown-delay 10013
exit14
!15
interface GigaEthernet0.016
no ip address17
ipv6 enable18
ipv6 autoselect enable19
ipv6 autoselect ra-delay 020
ipv6 dhcp client dhcpv6-cl21
ipv6 traffic-class tos 022
ipv6 nd proxy GigaEthernet2.023
bridge-group 124
no shutdown25
exit26
!27
interface Tunnel0.028
no shutdown29
exit30
!31
ip route default Tunnel0.0ここは少し分かりにくいところですが、「GigaEthernet0.0」は「回線からIPv6 を受ける口」、「Tunnel0.0」は「その上に作る普段使いの IPv4 出口」です。つまり、2つでセットになっていると考えると分かりやすいです。 この構成では、ふだんの通信は「Tunnel0.0」を使います。日常のWeb閲覧やアプリの通信は、基本的にこちらへ流れる形です。
なお、「Tunnel0.0」は設定投入を行っておりませんが、これは回線ごとに適切な設定があるためです。コンフィグ解説の最後に記載します。
4.5. Roon ARC用の別経路を作る
Roon ARCを使うために、PPPoEを追加します。
1
ppp profile pppoe-roon2
authentication myname <PPPOE_ID>3
authentication password <PPPOE_ID> <PPPOE_PASSWORD>4
exit5
!6
ip access-list server_list permit ip src 192.168.1.10/32 dest any7
!8
route-map server_list_map permit 109
match ip address access-list server_list10
set interface GigaEthernet0.111
exit12
!13
interface GigaEthernet0.114
encapsulation pppoe15
auto-connect16
ppp binding pppoe-roon17
ip address ipcp18
ip tcp adjust-mss auto19
ip napt enable20
ip napt inside list napt121
ip napt static 192.168.1.10 tcp 5500022
ip napt translation max-entries 25000023
no shutdown24
exit25
!26
ip route default GigaEthernet0.1 distance 250PPPoEの認証情報は、回線契約に合わせて投入してください。先に設定したDATA ISO BOXのIPアドレス、192.168.1.10に対して、TCP55000番ポートを転送しています。
4.6. VoIPルーターをつなぐ
「GigaEthernet1.0」は VoIPルーター側のポートです。
1
bridge irb enable2
no bridge 1 bridge ipv63
!4
ipv6 dhcp server-profile v6-prefix5
ia-pd redistribute-prefix pool v6-prefix6
shutdown-delay 1007
exit8
!9
interface GigaEthernet1.010
no ip address11
ipv6 enable12
ipv6 dhcp server v6-prefix13
bridge-group 114
no shutdown15
exit16
!ここは「家の中のLAN」ではなく、「VoIPルーターを受けるための口」です。「bridge-group 1」に入れているのは、WAN側「GigaEthernet0.0」と同じグループに置くためです。
これにより、IPv4ブリッジでVoIPルーターがONU配下に接続されます。公表されていない設定方法ではありますが、動作するようです。
4.7. セキュリティまわりを整える
外から来る通信をむやみに通さないためのフィルタを入れています。
1
ip access-list access1 permit ip src any dest any2
ip access-list deny-all deny ip src any dest any3
ip access-list napt1 permit ip src 192.168.1.0/24 dest any4
ip access-list nbt-block deny tcp src any sport any dest any dport range 135 1395
ip access-list nbt-block deny udp src any sport any dest any dport range 135 1396
ip access-list nbt-block deny tcp src any sport any dest any dport eq 4457
ip access-list nbt-block deny udp src any sport any dest any dport eq 4458
ip access-list roon-in permit tcp src any sport any dest 192.168.1.10/32 dport eq 550009
ip access-list specialuse deny ip src 0.0.0.0/8 dest any10
ip access-list specialuse deny ip src 10.0.0.0/8 dest any11
ip access-list specialuse deny ip src 100.64.0.0/10 dest any12
ip access-list specialuse deny ip src 127.0.0.0/8 dest any13
ip access-list specialuse deny ip src 169.254.0.0/16 dest any14
ip access-list specialuse deny ip src 172.16.0.0/12 dest any15
ip access-list specialuse deny ip src 192.168.0.0/16 dest any16
ip access-list specialuse deny ip src 192.0.2.0/24 dest any17
ip access-list specialuse deny ip src 198.18.0.0/15 dest any18
ip access-list specialuse deny ip src 198.51.100.0/24 dest any19
ip access-list specialuse deny ip src 203.0.113.0/24 dest any20
ip access-list specialuse deny ip src 224.0.0.0/4 dest any21
ip access-list specialuse deny ip src 240.0.0.0/4 dest any22
ip access-list dynamic cache 10000023
ip access-list dynamic dyn-access access access124
!25
ipv6 access-list block-list deny ip src any dest any26
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 54627
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 54728
ipv6 access-list icmpv6-list permit icmp src any dest any29
ipv6 access-list tunnel-list permit 4 src any dest any30
ipv6 access-list permit-list permit ip src any dest any31
ipv6 access-list dynamic cache 6553532
ipv6 access-list dynamic dflt-list access permit-list33
!34
interface GigaEthernet0.135
ip filter nbt-block 10 in36
ip filter specialuse 20 in37
ip filter roon-in 50 in38
ip filter deny-all 100 in39
ip filter nbt-block 10 out40
ip filter dyn-access 100 out41
exit42
!43
interface GigaEthernet0.044
ipv6 filter dhcpv6-list 1 in45
ipv6 filter icmpv6-list 2 in46
ipv6 filter tunnel-list 3 in47
ipv6 filter block-list 100 in48
ipv6 filter dhcpv6-list 1 out49
ipv6 filter icmpv6-list 2 out50
ipv6 filter tunnel-list 3 out51
ipv6 filter dflt-list 100 out52
exit53
!考え方は単純で、「必要なものだけ通し、それ以外は止める」です。今回、外から新しく入れるのは Roon ARC 用の「TCP 55000」だけです。なので、それ以外の外部からの通信は通しません。
「specialuse」は、インターネット側から来るはずのないアドレスを落とすための一覧です。
それから、「dyn-access」によって内側から通信があった場合のみポートを開放するようになっていますが、これはUPnPのように自動でポートを開ける仕組みではありません。内側から始まった通信の戻りを扱いやすくするための、状態管理つきフィルタです。Roon ARC用のTCP55000は、これとは別に明示しています。
4.8. 監視とNetMeisterも入れておく
ここは「なくても接続自体はできる」部分ですが、実際に使うと便利です。
IPoEはまれに落ちることがあり、自動的にPPPoEにフォールバックします。また、その際は本体のBAK LEDが点灯します。
また、NEC IXが提供するNetMeisterは基本無料で使用できるクラウド管理システムで、死活監視やファームウェアアップデートなどを行うことができます。
1
watch-group monitor-internet 102
event 10 ip unreach-host 8.8.8.8 Tunnel0.03
action 10 ip shutdown-route 0.0.0.0/0 Tunnel0.04
action 20 turn-BAK-LED-on5
action 30 netmeister-alarm severity info description map-e-down6
exit7
!8
network-monitor monitor-internet enable9
!10
nm ip enable11
nm account <NM_GROUP_ID> password plain <NM_GROUP_PASSWORD>12
nm sitename <NM_SITE_NAME>13
nm ddns hostname <NM_DDNS_HOSTNAME>14
nm ddns notify interface GigaEthernet0.1 protocol ip15
nm ddns notify interface GigaEthernet2.0 protocol ipv6「watch-group」は、主回線の 「Tunnel0.0=IPoE側」がおかしくなったときに気付きやすくするための監視です。IPoEが落ちた時に、PPPoEに経路を切り替えます。
「nmから始まるコマンド=NetMeister」はNEC公式が提供する遠隔管理サービスです。インターネット接続そのものには必須ではありませんが、状態確認や通知をまとめたい場合には便利です。
必要に応じてアカウントを作成し、必要な情報を投入してください。
4.9. 管理用の設定
管理に使うのは、SSHとWeb-GUIです。
1
ip access-list mgmt permit ip src 192.168.1.0/24 dest any2
!3
username <ADMIN_USER> password plain <ADMIN_PASSWORD> administrator4
!5
ssh-server ip access-list mgmt6
ssh-server ip enable7
!8
http-server ip access-list mgmt9
http-server username <ADMIN_USER>10
http-server ip enable11
!これは「家の中からだけ管理画面へ入れる」ための設定です。インターネットへ公開するものではありません。SSHは暗号化された管理用接続、Web-GUIはブラウザから見やすく状態確認するためのもの、と考えると分かりやすいです。
4.10. IPoEの回線に応じた設定
「Tunnel0.0=IPoE」の作り方だけは回線ごとに変わります。プロバイダが提供する方法に応じて適宜変更してください。なお、設定にはドメイン名(<AFTR_DOMAINNAME>)が必要になることがありますが、大抵の場合プロバイダが公開しています。
v6プラス / MAP-E
1
interface Tunnel0.02
tunnel mode map-e3
ip address map-e4
ip tcp adjust-mss auto5
ip napt enable6
ip napt eim-mode udp-only7
no shutdown8
exit9
!BIGLOBE IPv6オプション
1
interface Tunnel0.02
tunnel mode map-e3
ip address map-e4
ip tcp adjust-mss auto5
ip napt enable6
ip napt eim-mode udp-only7
no shutdown8
exit9
!OCNバーチャルコネクト
1
interface Tunnel0.02
tunnel mode map-e ocn3
ip address map-e4
ip tcp adjust-mss auto5
ip napt enable6
ip napt eim-mode udp-only7
no shutdown8
exit9
!transix IPv4接続(DS-Lite)
1
interface Tunnel0.02
tunnel mode 4-over-63
tunnel destination fqdn <AFTR_DOMAINNAME>4
tunnel source GigaEthernet2.05
ip unnumbered GigaEthernet2.06
ip tcp adjust-mss auto7
no shutdown8
exit9
!クロスパス(Xpass)
1
interface Tunnel0.02
tunnel mode 4-over-63
tunnel destination fqdn <AFTR_DOMAINNAME>4
tunnel source GigaEthernet2.05
ip unnumbered GigaEthernet2.06
ip tcp adjust-mss auto7
no shutdown8
exit9
!BBIX OCX光 / v6IX
1
interface Tunnel0.02
tunnel mode v6pv3
ip address v6pv lan GigaEthernet2.04
ip tcp adjust-mss auto5
ip napt enable v6pv6
no shutdown7
exit8
!5.コンフィグ全文
以下はコンフィグ例の全文です。実際に使うときは、最低でも次の項目を自分の環境に合わせて置き換えてください。また、Tunnel0.0の部分は前項を参考に、自身の回線に合わせて設定を投入してください。
なお、繰り返しになりますが、設定投入には「enable-config」で設定モードに入る必要があります。
- <PPPOE_ID>:プロバイダから提供されるPPPoEのユーザー名
- <PPPOE_PASSWORD>:プロバイダから提供されるPPPoEのパスワード
- <DATA_ISO_BOX_MAC>:DATA ISO BOXのMACアドレス(本体底面記載、あるいはダッシュボードのROUTERポートに記載のもの)
- <ADMIN_USER>:ユーザー名(任意)
- <ADMIN_PASSWORD>:パスワード(任意)
- <NM_GROUP_ID>:NetMeisterのグループ名
- <NM_GROUP_PASSWORD>:NetMeisterのグループパスワード
- <NM_SITE_NAME>:NetMeisterの拠点名(任意)
- <NM_DDNS_HOSTNAME>:NetMeisterのDDNS名(任意)
1
hostname IX22152
timezone +09 003
!4
logging buffered 1310725
logging subsystem all error6
logging subsystem dh6 info7
logging subsystem dhs notice8
logging subsystem env warn9
logging subsystem flt warn10
logging subsystem mape warn11
logging subsystem nat warn12
logging subsystem nmc notice13
logging subsystem ppoe warn14
logging subsystem ppp notice15
logging timestamp datetime16
!17
ntp ip enable18
ntp ipv6 enable19
ntp server 210.173.160.2720
ntp server 210.173.160.5721
ntp server 210.173.160.8722
ntp server 2001:3a0:0:2001::27:12323
ntp server 2001:3a0:0:2005::57:12324
ntp server 2001:3a0:0:2006::87:12325
ntp interval 360026
!27
ip ufs-cache max-entries 10000028
ip ufs-cache enable29
ip route default GigaEthernet0.1 distance 25030
ip route default Tunnel0.031
ip dhcp enable32
!33
ip access-list access1 permit ip src any dest any34
ip access-list deny-all deny ip src any dest any35
ip access-list napt1 permit ip src 192.168.1.0/24 dest any36
ip access-list nbt-block deny tcp src any sport any dest any dport range 135 13937
ip access-list nbt-block deny udp src any sport any dest any dport range 135 13938
ip access-list nbt-block deny tcp src any sport any dest any dport eq 44539
ip access-list nbt-block deny udp src any sport any dest any dport eq 44540
ip access-list roon-in permit tcp src any sport any dest 192.168.1.10/32 dport eq 5500041
ip access-list server_list permit ip src 192.168.1.10/32 dest any42
ip access-list specialuse deny ip src 0.0.0.0/8 dest any43
ip access-list specialuse deny ip src 10.0.0.0/8 dest any44
ip access-list specialuse deny ip src 100.64.0.0/10 dest any45
ip access-list specialuse deny ip src 127.0.0.0/8 dest any46
ip access-list specialuse deny ip src 169.254.0.0/16 dest any47
ip access-list specialuse deny ip src 172.16.0.0/12 dest any48
ip access-list specialuse deny ip src 192.168.0.0/16 dest any49
ip access-list specialuse deny ip src 192.0.2.0/24 dest any50
ip access-list specialuse deny ip src 198.18.0.0/15 dest any51
ip access-list specialuse deny ip src 198.51.100.0/24 dest any52
ip access-list specialuse deny ip src 203.0.113.0/24 dest any53
ip access-list specialuse deny ip src 224.0.0.0/4 dest any54
ip access-list specialuse deny ip src 240.0.0.0/4 dest any55
ip access-list dynamic cache 10000056
ip access-list dynamic dyn-access access access157
!58
route-map server_list_map permit 1059
match ip address access-list server_list60
set interface GigaEthernet0.161
exit62
!63
ipv6 ufs-cache max-entries 6553564
ipv6 ufs-cache enable65
ipv6 dhcp enable66
ipv6 access-list block-list deny ip src any dest any67
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 54668
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 54769
ipv6 access-list icmpv6-list permit icmp src any dest any70
ipv6 access-list tunnel-list permit 4 src any dest any71
ipv6 access-list permit-list permit ip src any dest any72
ipv6 access-list dynamic cache 6553573
ipv6 access-list dynamic dflt-list access permit-list74
!75
bridge irb enable76
no bridge 1 bridge ipv677
!78
dns cache enable79
dns cache max-records 204880
!81
proxy-dns ip enable82
proxy-dns ip request both83
proxy-dns ip query-interval 184
proxy-dns interface GigaEthernet0.0 priority 11085
proxy-dns interface Tunnel0.0 priority 11086
proxy-dns server 1.1.1.1 priority 20087
proxy-dns server 1.0.0.1 priority 20088
proxy-dns server 8.8.8.8 priority 15089
proxy-dns server 8.8.4.4 priority 15090
proxy-dns ipv6 enable91
proxy-dns ipv6 request both92
proxy-dns ipv6 query-interval 193
proxy-dns server 2606:4700:4700::1111 priority 20094
proxy-dns server 2606:4700:4700::1001 priority 20095
proxy-dns server 2001:4860:4860::8888 priority 15096
proxy-dns server 2001:4860:4860::8844 priority 15097
!98
ppp profile pppoe-roon99
authentication myname <PPPOE_ID>100
authentication password <PPPOE_ID> <PPPOE_PASSWORD>101
exit102
!103
ip dhcp profile local104
assignable-range 192.168.1.180 192.168.1.254105
subnet-mask 255.255.255.0106
default-gateway 192.168.1.1107
dns-server 192.168.1.1108
fixed-assignment 192.168.1.10 <DATA_ISO_BOX_MAC>109
exit110
!111
ipv6 dhcp client-profile dhcpv6-cl112
option-request dns-servers113
ia-pd redistribute pool v6-prefix 0:0:0:40::/60 nla-length 2114
ia-pd subscriber GigaEthernet2.0 ::/64 eui-64115
shutdown-delay 100116
exit117
!118
ipv6 dhcp server-profile v6-prefix119
ia-pd redistribute-prefix pool v6-prefix120
shutdown-delay 100121
exit122
!123
ipv6 dhcp server-profile v6-ra-dns124
dns-server dhcp125
exit126
!127
watch-group monitor-internet 10128
event 10 ip unreach-host 8.8.8.8 Tunnel0.0129
action 10 ip shutdown-route 0.0.0.0/0 Tunnel0.0130
action 20 turn-BAK-LED-on131
action 30 netmeister-alarm severity info description map-e-down132
exit133
!134
network-monitor monitor-internet enable135
!136
nm ip enable137
nm account <NM_GROUP_ID> password plain <NM_GROUP_PASSWORD>138
nm sitename <NM_SITE_NAME>139
nm ddns hostname <NM_DDNS_HOSTNAME>140
nm ddns notify interface GigaEthernet0.1 protocol ip141
nm ddns notify interface GigaEthernet2.0 protocol ipv6142
!143
ip access-list mgmt permit ip src 192.168.1.0/24 dest any144
!145
username <ADMIN_USER> password plain <ADMIN_PASSWORD> administrator146
!147
interface GigaEthernet0.0148
no ip address149
ipv6 enable150
ipv6 autoselect enable151
ipv6 autoselect ra-delay 0152
ipv6 dhcp client dhcpv6-cl153
ipv6 traffic-class tos 0154
ipv6 nd proxy GigaEthernet2.0155
ipv6 filter dhcpv6-list 1 in156
ipv6 filter icmpv6-list 2 in157
ipv6 filter tunnel-list 3 in158
ipv6 filter block-list 100 in159
ipv6 filter dhcpv6-list 1 out160
ipv6 filter icmpv6-list 2 out161
ipv6 filter tunnel-list 3 out162
ipv6 filter dflt-list 100 out163
bridge-group 1164
no shutdown165
exit166
!167
interface GigaEthernet1.0168
no ip address169
ipv6 enable170
ipv6 dhcp server v6-prefix171
bridge-group 1172
no shutdown173
exit174
!175
interface GigaEthernet2.0176
ip address 192.168.1.1/24177
ip dhcp binding local178
ip policy route-map server_list_map179
ipv6 enable180
ipv6 dhcp server v6-ra-dns181
ipv6 nd ra enable182
ipv6 nd ra other-config-flag183
no shutdown184
exit185
!186
interface GigaEthernet0.1187
encapsulation pppoe188
auto-connect189
ppp binding pppoe-roon190
ip address ipcp191
ip tcp adjust-mss auto192
ip napt enable193
ip napt inside list napt1194
ip napt static 192.168.1.10 tcp 55000195
ip napt translation max-entries 250000196
ip filter nbt-block 10 in197
ip filter specialuse 20 in198
ip filter roon-in 50 in199
ip filter deny-all 100 in200
ip filter nbt-block 10 out201
ip filter dyn-access 100 out202
no shutdown203
exit204
!205
interface Tunnel0.0206
!ご自身の回線種別に応じて投入してください207
no shutdown208
exit209
!210
ssh-server ip access-list mgmt211
ssh-server ip enable212
!213
http-server ip access-list mgmt214
http-server username <ADMIN_USER>215
http-server ip enable216
!設定投入後は「write memory」で保存を忘れないようにしてください。うまく動作することを祈っております。