朝霧高原より富士山を望む


Date/Time: 2017:12:03 14:24:34
Camera: Apple
Model: iPhone SE
Exporsure Time: 1/1399
FNumber: 2.2
Aperture Value: 2.3
Focal Length: 4.2

Close

y2blog » 自宅のインターネット接続環境を検証してみる(NURO光編)

IPv4 Access: 44.200.140.218 (ec2-44-200-140-218.compute-1.amazonaws.com)

8

21

2022

自宅のインターネット接続環境を検証してみる(NURO光編)

NURO光の検証環境の構築


今回のNURO光の検証環境は、現在自宅からのインターネット接続でメインで使用しているFLET’S光のIPoE環境とPPPoEによる固定IPv4サービスをNURO光に一本化可能かどうかを検証するためのもので、何かと制約の多い一般ユーザ向けNURO光の環境で、SSLVPN接続やプライベートIPv4 over IPv6 トンネル(DS-Liteのプライベート版のようなもの)が上手く動作するのか確かめてみることが目的だ.


NURO光には一般家庭用のサービス以外に、ビジネスタイプのインターネット接続サービスがあるが、残念ながらこちらは対象が法人のみで、費用も家庭用の数倍も高くなってしまうので一般家庭での利用は現実的ではない.こちらのビジネスタイプでは、NURO光から単純にONUだけの提供を受けることが可能なようで、ユーザの自前ルータ側でPrefix Delegationでユーザに配布される56bitのprefixを完全にコントロールする事が可能なようだ.


家庭用NURO光サービスを用いて、配下のLAN側の構成を複数のネットワークセグメントで構成する場合には、正体不明なNUROのONUルータと格闘する必要があるが、以前の記事『NURO光のIPv6環境下でNWをセグメント分割してみる』で紹介したように、NURO ONUルータ配下のルータとして、NEC IXシリーズなどの細かなIPv6の設定が可能な業務用クラスのルータを用いれば、それなりのネットワークを構築することが可能だ.


今回はNURO光側のルータ設定について、簡単に説明することにする.


Dual-Homed NW Nuro
検証用NURO光環境(図の左半分側)のLAN構成(クリックで拡大図表示)

先ずは、NURO光のONUルータ側の設定から確認しておく.NURO光から提供されるONUルータには、今回用いたZTE F660A以外に、HUAWEI HG8045シリーズ、SYNCLAYER SGP200W などが提供されている.基本的にはユーザ側でこれらの機種を指定することはできないようで、家庭内の回線工事に来る業者(最近は個人請負業者も増えている模様)が持ってくるONUルータ(その時の手持ちのONUルータ)となってしまう.


以前、NURO光を最初に契約したときは、F660Aが割り当てられたが、今回転居により新たにNURO光を契約した際には、SGP200Wが割り当てられた.実は、2〜3日ほどSGP200Wを使ってみたのだが、思ったようにIPv6のアドレスを設定できなかったので、NURO光のサポートに連絡して、以前使用していてIPv6での接続実績の有る F660Aに交換して貰った.


NUROのONUルータとして複数のメーカの製品が存在することは調達のリスクやコスト等を考慮しての事だろうが、メーカ毎に機能や仕様が異なるのはユーザに混乱を与えるだけで、サポートのコストも馬鹿にならないのではないだろうか.NTTのフレッツホームルータのように、ユーザ側でONUとルータ機能を分離可能な仕様に変更して欲しい.


NURO光の最大の欠点は、ONU、ルータに対するユーザ側の選択肢が無いことだろう.


F660A側の設定


今回の検証環境の構築に当たり、F660A側の設定で変更しなければならない箇所を中心に説明する.LANに関する設定とセキュリティ関連項目を設定する必要がある.


・[ Network >> LAN >> DHCP Binding ]


DHCP Bindings
DHCPで配下のルータのMACアドレスを登録して固定IPでの割り当てを設定しておく

ここでは、F660AのLANポート側でIPv4アドレスをDHCPで固定するための設定で、DHCPを使わずに固定IPだけで運用する場合には必ずしもここで設定する必要はない.


・[ Network >> LAN >> DHCP Server ]

DHCP LAN FixedIP Setting
F660AのLANインタフェースのIPをここで設定しておく

DHCPを使わずに固定IPだけで運用する場合には必要ないが、F660AのLAN側のIPはここで固定のIPv4アドレスを割り当てておく必要がある.接続する配下のルータのデフォルトルートの向け先として必要になる.


・[ Network >> LAN >> DHCP Server(IPv6) ]

DHCP Server IPv6 Settings
DHCPv6 サーバの設定(今回はデフォルト設定のまま)

ここでは、F660AのLAN配下のクライアントに対して、DHCPv6によるIPv6アドレスの設定に関わる部分のようだが、デフォルトの設定のままにしてある.今回の構成のようにF660AのLAN配下のクライアントがルータのみで、ルータ側の接続インタフェース側(GigaEthernet 0.0)で ipv6 nd proxy 機能で橋渡ししている場合は、DHCPサーバは不要だと思われる.(このDHCPサーバのON/OFFでどのような振る舞いをするのかは、また別な機会に検証してみるつもりだ)


・[ Network >> LAN >> Static Prefix (IPv6) ]

Static Prefix Settings
IPv6 Static Prefix の設定(ここもデフォルト設定のまま)

この Static Prefix (IPv6) の設定部分も使い方がよく解らないのだが、デフォルト設定(何も設定されていない)のままにしてある.試しに、ここで固定prefixを与えてみたが、ここで設定した値が、追加のprefixとして配下にアドバタイズされているようだが、prefix長を60bitに設定しても、何故か実際にアドバタイズされるprefix長は64bitだった.相変わらずF660AのIPv6の設定は謎だらけだ.



Static Prefix Test
【実験君】固定Prefixとして “240d:xx:yyyy:zzf0::/60” を設定してみる

Static Prefix Applying Test
何故か”240d:xx:yyyy:zzf0::/64″ と “240d:xx:yyyy:zz00::/64″(固定Prefixを設定して居ないときの値)がRAされている

・[ Network >> LAN >> Prefix Delegation (IPv6) ]

Prefix Delegation Settings
Prefix Delegationの設定(ここもデフォルトの設定のまま)

この部分の設定は上位側のNUROルータからIPv6のアドレス情報(prefix)を受け取るための設定のようだ.ここはそのままデフォルトのままにしてある.IPv6の通信を行う必要が無ければ、RA, DHCPのチェックを外しておけば、IPv4だけの通信に限定することが可能になると思われる.(試しに一時的に外してみたところ、IPv6での通信ができなくなった)



・[ Network >> LAN >> RA Service ]

ルーターアドバタイズ(RA)に関する設定で、アドバタイズの間隔とRAのオプションフラグ(M, O)の設定で、ここもデフォルトのままの設定で問題ない.



RA Settings
RAに関するオプション設定(ここもデフォルトの設定のまま)

セキュリティ関連項目とポートフォワーディング関連の設定


・[ Security >> Firewall ]


Basic Security Settings
セキュリティーの設定(今回はFirewall機能は働かせない)

一般的なF660Aの使用方法であれば、この部分はLAN側のセキュリティーを保つための機能なので、できる限りFirewallのセキュリティーレベルを高く保つ必要があるが、今回はF660AのLAN側(図のVL99)には一般的なクライアントデバイスを置かないので、F660A側のファイアウォール機能は全てOFFにしている.配下のIX2215やFortigate側で、より高度なFirewall機能を働かせているので、ここでFirewall機能を働かせても殆ど意味がないし、F660AのFirewallの正体が不明なので余計なお節介をされないようにしておく.


最後にアプリケーション関連項目の設定を行い、”DMZ Host” 項目でIPレベルでのフォワーディングと、”Port Forwarding” 項目でSSLVPN関連のポート転送を設定する.


・[ Application >> DMZ Host ]


DMZ Host Settings DMZ Host設定(IPフォワーディング)で転送先にIX2215-2 のWAN側ポートを設定する

F660AのLAN配下に接続された特定のDMZホスト(ここでは IX2215-2のGigaEthernet0.0ポート)に、F660Aが上流側のNUROルータから受け取ったIPパケットを、NAT変換を行いそっくりそのままDMZホストへ転送している.IPv4の設定とは別にIPv6の設定があるが、この設定は不要かもしれない.(IPv6でそのままL3ルーティングされる?)



・[ Application >> Port Forwarding ]

Port Forwarding Settings
ポートフォワーディング設定では、アプリケーション単位のポート転送を設定する

ここでは、SSLVPNやテスト用のWEBサーバなど特定の外部公開アプリケーションに対して、F660A配下のNW機器やWEBサーバなどにポートフォワーディングさせるための設定を行っている.画面の例では、Fortgate #1 と検証用のWEBサーバに対する設定を行っている.F660A側のLANは無防備な状態なので、サーバ側のFirewallで一般からアクセスされないように接続元を制限してある.


この設定はNUROのONUルータ側の設定だけで簡単にできてしまうので、ネットワークの専門知識や特別なNW機器がなくても、NUROのユーザであれば設定を真似するだけで比較的簡単に外部にWEBカメラやサーバを公開できてしまう.一般的なレベルの人達がこの機能を使って安易にWEBカメラや各種サーバを外部に公開してしまう可能性があるので、敢えてここで警告しておくことにする.



【警告】


ネットワークやセキュリティーの専門知識を持たない人は、この機能を使って安易にWEBカメラやホムページサーバなどを外部に公開してはいけない.あっという間にWEBカメラやサーバが乗っ取られて、ボットネットの踏み台にされてしまい、あなた自身が犯罪に加担する立場(加害者)に立たされてしまう事になる.




IX2215-2 側の設定


基本的には、前の記事で紹介したFLET’S IPoEでの設定と、それ程大きな違いはないが、NURO側のF660Aに Prefix Delegation機能がないことや、IPv6のNSやRAの挙動が良く解らない(パケットキャプチャをしながらそれぞれの設定項目のON/OFFや設定を変えながら挙動を追って行くしか方法はなさそう)ので、IX2215側の設定も多少トリッキーなものになっているかもしれない.


とりあえず、IX2215側の各セグメントを固定IPv6アドレスに設定して、IX2215側のIPv6ルーティング機能を使用すれば、不完全ながらも配下に複数のIPv6によるLANセグメントを構成することが可能になった.


LAN配下の各セグメントが一つの64bit長のIPv6 prefixしか使えない場合は、IPv4のネットワークトポロジとIPv6のネットワークトポロジが一致しないという、おかしな事になり気持ちの事態となってしまうので、IPv6のネットワークを分割できるかどうかは重要な意味を持っている.



IX2215-2の稼働状況を見てみる.




Nuro VPN Connection Test
Nuroでもポートフォワード転送を使用すると、SSLVPNで外部から接続可能となる

VPN Output Route Test
VPN接続時にNuro側の経路で外部へ接続していることを確認(Split-Tunnelは設定していない)