フレッツIPv6のすべてを知ろう 第5回
インターネット側からのアクセスはシャットアウト!
NATも併用?フレッツIPv6 PPPoE接続のアドレスとセキュリティ
2012年03月21日 06時00分更新
第3回で「インターネット(IPv6 PPPoE)接続」(以下「IPv6 PPPoE接続」)を利用するための設定、第4回では接続の仕組みを調べた。続いては、家庭内のPC(ホスト)にはどのようにIPv6アドレスが割り当てられるのかを見てみよう。
ホストへのIPv6割り当て状況
前回も説明したが、ホスト(PC)へのIPv6アドレスの割り当ては、下の図の通りMA-100が行なう。
IPv6アドレスの割り当て方法。MA-100にはISPが、ホスト(家庭内PC)にはMA-100が割り当てる
そして、次の画面がWindows 7で動作している2台の宅内PCのアドレス情報だ。
ひかり電話を契約している回線の宅内PC(赤線の囲みはIPv4関連)
ひかり電話なしの回線の宅内PC
ひかり電話契約のある回線(画面上)では、ひかり電話がIPv4で接続されており、ひかり電話用ルーターからPCにもIPv4アドレスがアサインされている(赤線囲み部分)。一方、ひかり電話契約のない回線(画面下)ではIPv4環境を用意していないため、IPv4を無効にしている。
どちらにしても、インターネットにIPv6でアクセスする際は、そのPCに割り当てられたIPv6アドレスが使われる。調べたところパケットのソースアドレスがPCで構成されたIPv6アドレスとなっており、宅内PCからグローバルIPv6アドレスでのルーティングを行なっていることが確認できる。
なお、IPv4については通常のIPv4サービスと同様に、PCにプライベートアドレス(今回の例では「192.168.1.2」)が割り当てられている。そして、インターネットにアクセスする際は、ロードバンドルーター(ひかり電話用ルーター)のNAT(IPマスカレード)機能によりグローバルアドレスへの変換が行なわれる仕組みだ
NGNアクセスはNATを使用
では、インターネット接続ではなく、NGN(フレッツ 光ネクストの内部ネットワーク)にあるサーバーへアクセスする場合はどうなるか。
ひかり電話契約がない回線でNGN内のサービスにアクセスしたところ、IPv6パケットのソースアドレスは、PCで構成されたIPv6アドレスではなく、「2408:40:bfff:35:7466:1a48:4103:789c」となっていた。
「ひかり電話契約がない回線」のIPv6アドレス割り当て状況。上段の「IPoE RA」がNGNアクセス用のアドレスだ
このアドレスのプリフィックス(2408:40:bfff:35::/64)は、NGNからRAでMA-100に提供されたものだ。そして、このプリフィックスはPCには割り当てられていない。つまり、PCからMA-100へはIPv6 PPPoE接続のIPv6アドレスを使うが、MA-100ではNAT機能によりNGN用アドレスへの変換が行なわれ、NGNのサーバーにアクセスする。IPv4インターネットアクセスのように1つのグローバルアドレスを共有するわけではないが、IPv6でもNATは使われるわけだ。
以上のことは自動で行なわれるため、インターネットアクセスとNGNアクセスをユーザーが区別して考える必要はない。正しくMA-100が設定され、IPv6をサポートするPCで正しくIPv6アドレスが構成されれば、あとは自由にIPv6を利用できるのだ。NGN内のサービス、インターネット、そして同じIPv6 PPPoE接続を使った宅内PCとも当然接続可能である。
IPv6 PPPoE間の通信とセキュリティ
前述の通り、IPv4環境では宅内のPCにはプライベートアドレスが使われるため、インターネット側から直接アクセスされる危険性は少ない。だが、IPv6環境では宅内にもグローバルアドレスとなるため、理論上インターネット上のどこからでもアクセスできる。このままでは、セキュリティ上の問題が生じてしまう。
そこで試したところ、MA-100はディフォルトの動作として、外部からの通信要求を破棄するようになっていた。外部からの通信を受け付けたい場合には、パケットフィルタで通信受付のためのルールを作る必要がある。「IPv6は外部からもアクセスされ放題」という危険はないわけだ。
もちろん、絶対に通信できないわけではない。NA-100のパケットフィルタを設定することで、インターネット側からのアクセスを許可したり、pingやTracertといったコマンドに応答するようになる。
MA-100のパケットフィルタの設定
以下はひかり電話契約のない回線の宅内PCから他方へのアクセスログだ。
ひかり電話契約のない回線のPCによる、ひかり電話契約のある回線のPC(2001:2c0:cc00:5500:7c5c:7f95:b43d:d96c)へのpingとTracert
アプリケーションの例として、リモートデスクトップへのアクセスを行なったが、問題なく利用できた。
MA-100なしのIPv6 PPPoE接続は?
ちなみに、「インターネット(IPv6 PPPoE)接続」対応のアダプタを使わないで、IPv6 PPPoE接続を使うことができるだろうか?
結論的にはできないと思ったほうがよい。IPv6 PPPoE接続をサポートし、NGNとの通信のためのIPv6 IPoE接続をNATで接続できれば、接続機材として使えるといえる。だが、非常に特殊な機能のため、「インターネット(IPv6 PPPoE)接続」対応の明示がない限りは利用できないと判断せざるを得ない。
それでは、フレッツサービスではIPv4のPPPoEを終端するためのPC用ソフトウェアが用意されていたが、IPv6 PPPoEにこれを使うことはできるだろうか?これもダメだ。正確は、PPPoEとして接続はできるが、IPv6でインターネット通信ができない。IPv6 PPPoE接続では、IPv6アドレス提供に「DHCP-PD」を使っているためだ。先にも書いた通り、DHCP-PDはブロードバンドルーターなどのゲートウェイにIPv6アドレスを配布するためのプロトコルであり、PCなどのホストに直接アドレスを付与することができないのだ。
また、PPPoEで、IPv4とIPv6とが別セッションになっているのはユーザーによっては不便と感じるだろう。フレッツ光ネクストでは、一回線あたりのPPPoEセッション数に制限がある。この制限数は通常2本であり、IPv4のインターネットサービスで1本、他にVPNサービスや他のプロバイダ接続に使っていればすでに2本使っていることになる。PPPoEのセッションをすでに2本使っているユーザーでIPv6インターネット接続を利用したい場合には、「フレッツセッションプラス」を別途申し込み、PPPoEセッションを増やす必要がある。この際、費用は月額315円/セッションとなる。
●
以上、IPv6 PPPoE接続によるIPv6インターネット環境を構築し、動作の確認を行なった。MA-100さえ購入すれば、手続きも非常に簡単にIPv6によるインターネット接続環境を構築できる。MA-100が必要にはなるものの、PPPoEのためのユーザー名とパスワードが発行されれば、フレッツの回線設置場所に縛られることなく、どこに設置されたフレッツ 光ネクストの回線でも利用できることも利点だろう※1。
次回は、IPv6 PPPoE接続と並ぶもう1つの方式、「インターネット接続(IPv6 IPoE)」の使い方や仕組みを見ていこう。
この連載の記事
-
第6回
ネットワーク
専用機器不要!「インターネット(IPv6 IPoE)接続」の使い方 -
第4回
ネットワーク
フレッツ「インターネット(IPv6 PPPoE)接続」の仕組み -
第3回
ネットワーク
「インターネット(IPv6 PPPoE)接続」でIPv6を体験 -
第2回
ネットワーク
NTT東西のIPv6サービスが2方式あるわけ -
第1回
ネットワーク
IPv4枯渇から日本を救う!フレッツのIPv6対応の大きな意義 - この連載の一覧へ
