2018/01/29

今更だけどIPv6

唐突だが、回線はフレッツ光で、プロバイダはasahiネットを契約している。IPoEでIPv6が使えるらしいから、やってみた。

まず最初にやらなければならないのは、IPv6を使えるようにサービスの申し込みを行うことだ。これはプロバイダに申し込みの手続きを行う。

asahiネットの場合はここから手続きを行えばよい。

https://asahi-net.jp/service/ftth/ipv6/

の、はずなのだが、すでにこの手続きは終わっていた。言われてみれば、かなり昔にその手続きをやったような、やらなかったような、そんな気がしなくもない。まぁいいか。

一応確認してみる。

ルータを外してケーブルをPCに直結して、イーサネットのプロパティからIPv6を有効にしてやる。



IPアドレスやDNSサーバのアドレスの取得は全部自動にしてやる。



ネットワーク接続の詳細で見る限り、v6のアドレスやDNSサーバのアドレスが取得できていることがわかる。



だが、この状態では何のセキュリティもなくWindowsのPCが直接インターネットにつながっていることになる。某早稲田大学の学生某SMAPの草薙氏と同様、裸族として暮らすのと同じだ。自称とはいえ紳士を自認する俺には耐えられそうにない。

だから今までは、ブロードバンドルータを入れて身を守るようにしていた。だが、IPv6になるとそれができなくなる。なぜか。

今回いろいろ調べてようやく理解したことをメモ代わりに書いておく。

まず、どうも、NTTはひかり電話の契約がない貧乏人に対しては、IPv6のアドレスとして/64のものを配るらしい。

これが何を意味するのか。

IPv6のアドレス体系では、ネットワークアドレスとして使えるのは上位64ビットまでで、下位64ビットはホスト部として使われる。

一般に、ルータは上位のルータからネットワークアドレスとビット数を受信する。例えば1:2:3::/48というアドレスが割り当てられたものとする。

そうするとこのルータは、上位48ビットが1:2:3になるような形でサブネットを切って、さらに下位のルータに対してネットワークアドレスを通知する。例えばサブネットを3つ作るのであれば、下記のようなアドレスを通知することになるだろう。

(1) 1:2:3:1000::/56
(2) 1:2:3:2000::/56
(3) 1:2:3:3000::/56

ここで(1)のアドレスを受けたルータは、ホストなどに対して以下のようなネットワークアドレスを配布する。

(1-1) 1:2:3:1001::/64

ネットワークアドレスの最大長は64ビットである以上、もしルータが上記(1-1)のようなアドレスを受け取ってしまった場合、そのルータはもはやこれ以上サブネットを設けることができない。すなわち、そのルータはルータとして振る舞うことが許されなくなる。



だから市販のブロードバンドルータは、「ルータ」などと名乗っておきながらIPv6についてはルータとしては機能せず、IPv6パススルーなどと言ってIPv6パケットについては何もせずただ素通りさせるだけという機能しか搭載していない。つまり、IPv6についてはセキュリティは完全にザルだということだ。

ということで、方策を練らなければならない。

結局、やりたいこととしては、IPv6で接続できて、なおかつ外部からはアクセスできないようにしたいのである。ならば対応策としては2つしかない。

(A)IPv6についてはブリッジ接続にする(要は、IPv6パススルーにする)。そのうえで、ファイアウォールにより防備を固める。
(B)NAT66にする。

IPv6では末端のクライアントまでグローバルアドレスを割り振ることができるから、いやらしいNATを使わなくて済む、というのがIPv4に対する利点である。その意味でいえば正統な解は上記(A)である。だが、俺みたいな情弱には目的を達するのであればNAT66でもいいかもしれないと思ってみたりもする。

だが、いろいろ試した結果、NAT66ではうまく構成できそうにないことから、真っ当な方法をとることにした。

結果、いろいろ考慮して以下のような構成にすることにした。



実のところ、ファイアウォールな成分がなければ、今まで使っていたI-O DATA ETG2-DRで、IPv6パススルーを有効にした場合を何ら変わるところはなかったりもする。

設定内容については後で書く。

0 件のコメント: