IP系(IPv6,NGN,VPN,ヤマハルータ等)の実践的な情報を紹介します。
以前に、サービス情報サイトへのアクセスについての記事を書いたが
今回は、サービス情報サイトへアクセスができないという
トラブルを1つ紹介したいと思う。
サービス情報サイト(NGN IPv6) https://flets-east.jp は
IPv6のサイトなので、IPv6での通信ができる状態である必要があるが
回線的にもwindowsの設定もIPv6が使えるはずなのに、
IPv6アドレスがパソコンに割り当たっていないことがある。
その一つの要因として、アンチウイルスソフトが原因である可能性がある。
私の経験では、マカフィのインストールされているパソコンで
IPv6が使えないことが複数回あった。
対処方法は、一時的にアンチウイルスソフトのサービスを停止すれば
現象は解消される。
単純に、マカフィのインストールされていない別のパソコンを使う
というのもあるだろう。
2月16日(土)の日経新聞の記事に、
「日本の光通信速度、23位に転落」という記事が掲載された。
記事には、ボトルネックは、NTT東西の接続装置だ。とある。
この接続装置とは、いわゆるPPPoE接続のための装置だ。
この部分の設備増強は、ネット接続事業者(プロバイダ)の申請により
NTTが利用状況をみて行われる。
つまりプロバイダが自由に設備を増強できないので、
回りくどいことになっていると言える。
最近はやりのIPoE IPv6接続によるインターネット接続は、
ボトルネックとなっている接続装置を経由せずに、
インターネットにアクセスできるので、
結果、遅延が起こりづらい。
IPoE接続の場合のインターネット接続部分の設備は、
VNE事業者といわれる企業が、自身の判断で増強できる。
ほとんどプロバイダで、IPoE IPv6の接続サービスを
提供可能となってきているが、多くの場合、
VNE事業者の2次提供をしている。
例えばIIJであれば、VNEとしてインターネットマルチフィード株式会社
を利用している。
VPNワイドのカスタマコントロールにアクセスするために、
サービス情報サイトへアクセスする必要があることは
以前の記事に書いたが、
サービス情報サイトのIPv6のサイトである
https://flets-east.jp
へのアクセスに苦戦することがたまにある。
IPv6のサイトなので、回線からIPv6のアドレス情報を取得
できていることが前提となる。
Windowsであれば、コマンドプロンプトより、
ipconfigと入力し、IPv6のアドレスが取得できているかを
確認することができる。
ちなみに、fe80::からはじまるIPv6アドレスは、
リンクローカルアドレスと言って、OSが自動的に
割り当てたローカルでしか使えないアドレスなので、
これは、回線からIPv6のアドレスが割り振られていること
にはならない。
IPv6のアドレスが割当たっているのに、
flets-east.jpにアクセスできないとなると、
名前解決の問題と思われる。
名前解決ができれば良いので、操作している端末が
インターネットにアクセスできる
環境であれば、とりあえず名前解決に関しては問題ない。
インターネットにアクセスできる環境でない場合で、
名前解決がうまくいかないようなら、
DNSサーバへの通信がうまくいっていないのだろう。
その場合は、手動で
NGN網内のDNS サーバー のアドレスである
2404:1A8:7F01:A::3 もしくは 2404:1A8:7F01:B::3
をWindowsのTCP/IPv6の設定に追加してあげれば
良い。
これで、flets-east.jpの名前解決ができるようになるはずだ。
上記のDNSサーバのアドレスで、名前解決ができることは
以下のコマンドでも確認できる。
nslookup flets-east.jp 2404:1A8:7F01:A::3
nslookup ホスト名 DNSサーバアドレス
で、DNSサーバを指定して名前解決ができるかを
確認できる。
NTT東日本 フレッツVPNワイド導入のポイント①
NTT東日本 フレッツVPNワイド導入のポイント②
で、カスタマコントロールという言葉が何回か登場したが、
VPNワイドの払い出しIPアドレスの編集や接続アカウントの
パスワードの変更ができる。
カスタマコントロールへのアクセス方法は、
まず、サービス情報サイトへアクセスし、
ログイン後、その中でフレッツVPNワイドの
コントロールを操作することになる。
ちなみに、サービス情報サイトでは、
フレッツナンバー通知の有効への変更も可能です。
フレッツナンバー通知の有効化は、フレッツVPNワイド
を利用する場合、必須で、NTTに工事を依頼すると
2000円ほどかかるが、自分でサービス情報サイトで
設定してしまえば無料で可能だ。
サービス情報サイトへのアクセス方法は、
NTT東日本のサイトに説明がある。
とりあえず、光ネクスト回線で考えると、
2パターンあり、IPv4でアクセスする方法とIPv6でアクセスする
方法がある。
IPv4のサービス情報サイトへアクセスする場合は、
まずPPPoE接続での接続が必要となる。
IPv6のサービス情報サイトへアクセスする場合は、
PPPoE接続は不要だがIPv6での通信が可能な環境での
アクセスが必要だ。
光ネクスト回線は、基本契約で2つのPPPoE接続が
できるが、それ以上のPPPoE接続が必要な場合、
セッションプラスという契約追加が必要になる。
つまりインターネットとVPNワイドの2つのPPPoE接続を
しているならば、セッションは使いきっていることになり、
どちらかいったん切断しないとPPPoE接続は行えない。
IPv4のサービス情報サイトへのアクセスには、
まずPPPoE接続が必要なので、運用中の環境によっては
タイミングが難しいケースがあるだろう。
また、ヤマハルータは下部のパソコンからはPPPoE接続できないので
これも注意が必要だ。
IPv6でのアクセスの場合、パソコンを接続している
ルータがIPv6の情報を配布してくれていないと接続できない。
ひかり電話ルータでは、デフォルトでIPv6を配布しているので、
パソコン側のIPv6が有効になっていれば、あまり意識することなく
サービス情報サイト(NGN IPv6) http://flets-east.jp
にアクセスできる。
ヤマハルータなら、IPv6のための適切な設定が必要となる。
以前に書いた記事を参考にしてほしい。
サービス情報サイトのトップ画面を表示できたら、
[サービス申込受付] の [詳しくはこちら]をクリックします。
ログイン画面が表示されますので、
お客様IDとアクセスキーを入力します。
これは、光回線の開通のご案内書類に記載があるものを使います。
ログイン後、サービスの一覧から、フレッツVPNワイドを見つけて、
[詳細]ボタンを押します。
上記の画面は、自宅の回線からログインしたものなので、VPNワイドは
未提供となっています。
詳細ボタンを押した後に表示される画面にて、管理者メニューなるボタンが
あると思うので、そこからクリックしてください。
それがカスタマコントロールです。
IPv6についての詳しい本(PDF)が、無償で手に入ります。
以下を見てみてください。
http://www.geekpage.jp/blog/?id=2018-7-4-1
450ページくらいあります。
「マスタリングTCP/IP IPv6編 第2版」でも300ページ程度なので、
1.5倍くらいのボリュームになります。
ご参考まで。
さて、前回の記事で、ヤマハルータに対して
具体的にIPv6の設定を行ったが、ルータになんのフィルタ設定
しなければ、外部からIPv6でのアクセスが可能となってしまう。
NTTのIPv6オプション契約(最近はデフォルトで契約されている)
をしていると、同じくIPv6オプション契約しているところから
ヤマハルータへtelnetでアクセスが可能になってしまう。
後、ルータ自体へログインするパスワードも設定しておいたほうが
良いだろう。ルータのWeb設定画面で設定できるのは、
管理者権限のパスワードのみなので、管理者権限の
パスワードを設定しても、telnetでパスワードなしで
接続できてしまうので、注意が必要だ。
以下、パスワードの変更をコマンドでする例だ。
# login password
Old_Password:
New_Password:
New_Password:
# administrator password
Old_Password:
New_Password:
New_Password:
# save
管理者権限のパスワードと、管理者権限なしのパスワード
両方の設定をしておこう。
さて、IPv6のフィルタリング設定だが、
ipv6 lan2 secure filter in 101030 101031 101032
ipv6 lan2 secure filter out 101099 dynamic 101080 101081 101082 101083 101084 101085 101098 101099
ipv6 filter 101030 pass * * icmp6 * *
ipv6 filter 101031 pass * * tcp * ident
ipv6 filter 101032 pass * * udp * 546
ipv6 filter 101099 pass * * * * *
ipv6 filter dynamic 101080 * * ftp
ipv6 filter dynamic 101081 * * domain
ipv6 filter dynamic 101082 * * www
ipv6 filter dynamic 101083 * * smtp
ipv6 filter dynamic 101084 * * pop3
ipv6 filter dynamic 101085 * * submission
ipv6 filter dynamic 101098 * * tcp
ipv6 filter dynamic 101099 * * udp
と、自宅のメインのルータであるNVR500で設定している。
これで万全なのかは保障しかねるので、その辺は
各自、自己責任でお願いします。
RTX1100に同じ設定をしたら、
ipv6 filter dynamic 101085 * * submission
は、はじかれてしまった。
微妙に、型番によって設定できるできないがあるらしい。
基本的には、特定の通信のみ外部から許可し、
内部からの通信は全部許可する。という設定になっている。
外部から許可する通信で、ICMPv6とあるが、
IPv6では、ICMPv6は通信上重要な役割を果たすため、
通過させる必要がある。
通過させないと、例えば、IPv6の通信はフラグメントしないので、
適切なMTUサイズを定めて送る必要があるのだが、
「MTUサイズが大きすぎますよ。だから、小さくして送ってね。」
という情報がICMPv6を使ってお知らせされるのだが、
それが届かないことになってしまい通信に問題が生じる。
それでは、また!
さて、前回の投稿から数日間が空いてしまった。
危ない。危ない。継続していかなきゃ意味ないからね。
さて、いよいよ。ヤマハルータのIPv6の実際の設定を見ていこうと思う。
今回は、RTX1100を使っていこうと思うが、別の機種でも
ほとんど同じコマンドが使える。
今回の実践例では、ひかり電話ルータ下部に、RTX1100を設置することにする。
前回の投稿で、フレッツ光回線では、ひかり電話契約ありとなしで、
IPv6のプレフィックス情報の配布方式が異なると書いたが、
ひかり電話ルータを経由することで、ひかり電話が、
RAとDHCPv6-PD方式両方でLAN側へIPv6を配布してくれる。
今回は、RAでIPv6プレフィックス情報が流れてくる前提で、
ヤマハルータの設定を行ってみよう。
まず、RTX1100の設定をいったんすべて削除し、LAN側に
IPアドレスを設定。
ip lan1 address 192.168.1.20/24
これで、同一ネットワークのパソコンからtelnet でログインできる。
これだけでは、ヤマハルータにグローバルユニキャストアドレスのIPv6
は割当たらない。ヤマハルータのLAN側に接続してあるパソコンにも
IPv6は割当たらない。
ヤマハルータで以下のコマンドを入力しても
リンクローカルアドレスのIPv6アドレスが表示されるだけだ。
ヤマハルータに以下の設定をすることで、
LAN側に設置したパソコンから、IPv6のサイト
例えば、http://flets-east.jp
にアクセスできるようになる。
ipv6 prefix 1 ra-prefix@lan2::/64
ipv6 lan1 address ra-prefix@lan2::1/64
ipv6 lan1 rtadv send 1 o_flag=on
ipv6 lan1 dhcp service server
ipv6 lan2 dhcp service client ir=on
dns server 2404:1a8:7f01:b::3
その他、例えば IPv6に対応したサイト
http://www.youtube.com
には、IPoE IPv6 によるインターネットの通信が可能な
プロバイダと契約していればアクセス可能となる。
上記のコマンドのra-prefix というところで、
RAのプレフィックス情報を利用するよ。という意味になる。
dns server 2404:1a8:7f01:b::3
で、DNSサーバを指定しているわけだが、
2404:1a8:7f01:b::3
は、フレッツ網にあるDNSサーバのアドレスだ。
実機を使って、試してみると理解が深まると思うので
ぜひチャレンジしてみてほしい。
また、今回は、セキュリティのことは考慮してないので、
IPv6のフィルタの設定などはしていないので、
設定してつなぎっぱなしにしておくと、セキュリティ上
あまり望ましくないと思う。
次回は、ヤマハルータでのIPv6のフィルタについて書こうと思う。
それでは、また!
さて、以前の記事で、
リンクローカルIPv6アドレスは、ローカルの通信で使えるIPv6アドレスで、
自動的に生成されると書いたが、Windowsであれば、
必要な条件は、ネットワークのプロパティで、
インターネットプロトコルバージョン6 (TCP/IPv6)
にチェックが入っていれば良い。
ただ、リンクローカルIPv6アドレスでは、ルータを超えて通信は出来ない。
ルータを超えて通信をするためには、グローバルユニキャストIPv6アドレス
が割当たっている必要があるが、そのアドレスは、
ルータから配布されるIPv6アドレスのプレフィックス情報を元に
端末(パソコン等)で生成される。
プレフィックス情報とは、IPv4アドレスでいうネットワーク部
に当たる部分の情報のことだ。
グローバルユニキャストアドレスが割当たると、
ルータを超えての通信が可能となる。
フレッツ光であれば、サービス情報サイト(NGN v6)
http://flets-east.jp
へのアクセスが可能となる。
では、ルータが配布するプレフィックス情報はもともと
どこから来たかというと、回線側からその情報が流れてくる。
ルータはそれを受け取り、LAN側へ、広告してくれている。
ひかり電話を使っている人はひかり電話ルーター(PR-500など)が
特に設定することなく自動的にそのような動作をしてくれている。
ヤマハルータの場合は、適切なIPv6の設定が必要となる。
実は、少しややこしいのだが、フレッツ光では、
ひかり電話契約ありとなしの場合で、IPv6の配布方法が異なる。
ひかり電話契約なしの場合は、RAという方式、
ひかり電話契約ありの場合は、DHCPv6-PDという方式で
IPv6のプレフィックス情報が流れてくる。
そのため、OUN(回線終端装置)に直接ヤマハルータを接続する場合、
配布方式にあわせて適切にIPv6の設定をしてあげる必要がある。
それでは、次回から具体的な設定を見ていこう。
それでは、また!
ヤマハルータで、IPv6のアドレスを確認するコマンド
show ipv6 address
にて、各インターフェイス(LAN1 、LAN2)に割当たっている
IPv6アドレスが確認できる。
そもそもヤマハルータの設定にIPv6アドレス関連の設定が必要となるが、
どう設定するかは、契約している光回線が、ひかり電話契約ありかなしかでも、
異なってきたりする。
現状、ヤマハルータのconfigに、IPv6の設定があるかどうかは、
show config |grep ipv6
で確認できる。
show configが、設定の表示をすることを意味し、
grep ipv6で、設定行のうち、ipv6という文字列があるところを
抽出するという意味がある。
show config |grep ipv6
実行後、特にipv6が含まれた行が表示されなければ、
そのヤマハルータは、IPv6の設定がされていないということになる。
ヤマハルータにIPv6の設定がされていないと、
ヤマハルータ下部に接続されたパソコンにも、
リンクローカルアドレス以外のIPv6アドレスは割当たらないこととなり、
ルータを超えて外部とのIPv6での通信はできないということになる。
それでは、また!
自分が今使っているパソコンが、IPv6アドレスが割当たっているのかは、
コマンドプロンプトから、ipconfigと入力することで確認ができる。
【実行例】
****************************************************************************
C:\Users>ipconfigWindows IP 構成
イーサネット アダプター ローカル エリア接続 2:
接続固有の DNS サフィックス . . . :
リンクローカル IPv6 アドレス. . . . : fe80::24cb:5efb:fa4b:9529%13
IPv4 アドレス . . . . . . . . . . : 192.168.20.91
サブネット マスク . . . . . . . . : 255.255.0.0
デフォルト ゲートウェイ . . . . . : 192.168.20.254
****************************************************************************
上記の例のリンクローカルIPv6アドレスは、
ローカルの通信で使えるIPv6アドレスで、自動的に生成される。
fe80で始まるアドレスとなる。
同一のLAN上であれば、このIPv6アドレスを使って通信可能だ。
例えば、ルータのアドレスが fe80::2a0:deff:fe7d:5c72 だとして、
パソコンから、
telnet fe80::2a0:deff:fe7d:5c72
みたいな感じで、接続できる。無論、ルータがヤマハルータのように
telnetで通信可能な必要はある。
ブラウザで設定画面を開くなら、
http://[fe80::2a0:deff:fe7d:5c72]/
とすれば、ログイン名と、パスワードが要求されるだろう。
ただ、このリンクローカルアドレスでは、ルータを超えて通信はできない。
ルータを超えて通信するためには、グローバルユニキャストアドレスが
割当たっている必要がある。
そのIPv6グローバルユニキャストアドレス がどう割当たるかは、
次回以降の記事で紹介していこうと思う。
それでは、また!