とりあえず、テストの為にXR-410/TX2-L2をLAN内に2台設置してL2TPv3トンネルを張ってみた。というより、あまりの簡単さに拍子抜け。
最初はトンネルの向こう側のルーターの出口インターフェースのIPにPingが通らないのでトンネルが張れてないのかと焦ったけど、XR-410は組み込みLinuxベースなので、たんなるLinuxのインターフェースの制限だった。L2TPにカプセルされたパケットは相手側ルーターでデカプセルされたあと、自身宛かどうかを見ないで出口インターフェースに送ってるらしい。で、Linuxの基本中の基本で自身のインターフェース宛のパケットは自身で出して受け取ることは出来ない、の制限らしい。それ以外は、非常に問題なくトンネル経由で全てのパケットがブリッジされてる。
というわけで、自身のLAN側インターフェースを使ってトンネルの向こう側からのパケットを受け取れないので、XR-410/TX2-L2をトンネル兼インターネットへのゲートウェイとして利用する計画は、トンネルされた側から外に出れなくなるので断念。別にゲートウェイを導入して、XR-410/TX2-L2はトンネルに専念させる設計に変更。
あとの問題は、L2TPv3 over IPSecにすると、XR-410はIPSec暗号化をソフトウェアでやるので、スループットが6Mbpsぐらいまで落ちてしまうことだけど、これは新しい研究室は上位にファイアーウォールが入ってるので、暗号化する必要はなしという判断で、IP Spoofing防止の為にL2TPv3の認証をハッシュ化するのみにとどめることに決定。
大誤算。
てっきり各部屋にグローバルIPが与えられるもんだと思っていたら、「IPをつかいきっちゃった~。てへ」ってな感じで一部屋だけさっくりプライベートIPとか割り当ててきやがったよ。