ようこそNICのホームページへ(なが〜い試運転中)   
HP パソコン 健康 落語 海外 思うまま 電子工作

サーバーのセキュリティー対策(その2)(2017/8/26)
  NTTルーターでIPoEをソフトバンクルーターに集中できないか?

Last update:2017/08/30    Build:2017/08/26

ubuntuサーバー(xs36v4)やbuffaloルーター下流のPCが IPv6で繋がらないように何とかしたい。
もちろん個々のPCの IPv6設定は外したが、NTTルーターの下流にIPv6パケットが自由に飛ぶのは何とかしたい。
   

大まかなネットワーク構成 詳しくはここ(リンク)

 インターネット <−−> NTTルーター <−−> サーバー
                      <−−> buffaloルーター <−−> (有線)メインPC
                      <−−> ソフトバンクルーター(主としてWIFI)
 
 サーバーxs36v4導入 2015/11/15

 ネット接続変更      2016/02/10
  NTT西フレッツ光プレミアム
    →  ソフトバンク光IPv6高速ハイブリッド IPv6 IPoE + IPv4(回線:NTT西フレッツ光隼2)


1.NTTルーターのアクセス制限(2016/02/10〜)その2

ソフトバンクの指導では、NTTルーターの詳細設定のIPv6(IPoE)の設定で 両方向とも全部通過設定するよう表示している。
これだと、NTTルーターに直接繋いだサーバーやbuffaloのルーターにも IPv6パケットが飛ぶことになる。
現実問題として、当初はサーバーがIPv6アドレスを持っていて IPv6で接続してダイナミックDNSが使えない状態が続いた(始め原因がわからなかった)。 また、buffaloルーターの下流に接続したPCもIPv6アドレスをデフォルトで持つ こととなった。windows7のデフォルト設定がIPv6接続が可となっている。
いずれも、各PCのIPv6設定の外すことで事なきを得た。しかし、IPv6パケットがNTTルーターの 下流にながれていることにはまちがいない。
buffaloにも確認したが、IPv6スルーのチェックを外しても効果がなく buffaloルーター下流のPCがIPv6アドレスを持つ事を確認済み。
(IPv4のルーターであり、IPv6のルーターではないとのこと)
実施したいこと
(1)ソフトバンクルーターは生かしたい(2G,5Gのwifiで利用)
(2)このためソフトバンクルーターは両方向とも全てのパケットを通過させる
(3)ソフトバンクルーター以外は外から内(IPoE→LAN)を拒否

 ソフトバンクルーターをDMZの用にIPv6パケットを集中させられれば良いのだが・・・。

ソフトバンクルーターのWAN側のIPv6アドレスは
 2001:0db8:deca:de00::1001/128 (例示)とする
その他プレフィックス
 2001:0db8:deca:de10::0/60 (例示)とする
   
 なお「@itのWindows管理者のためのIPv6入門」  のページによれば
アドレス「2001:0db8:〜」はドキュメントなどで例示用のアドレスで外部に表示してもよいとのことです。


やったこと(NTTルーター IPv6(IPoE)のフィルター設定)
 2001:0db8:deca:de00::1001/128 両方向 通過
 2001:0db8:deca:de01::0/60  外→内(IPoE→LAN) 拒否
しかしだめ、buffaloルーター下流のPCがIPv6アドレスを持ち、IPv6でつながる。
 確認した画面がこれ

ソフトバンクの相談窓口にチャットで相談したやりとりがこれ。
           私                                             ソフトバンク相談窓口
ソフトバンク光ipv6(IPoE)で質問です。 NTTの端末(ルーターPR-500MI)の下流に ソフトバンク光のルーター(WMTA2.3 J18V150.00)を 繋いでいます。 またNTT端末の下流にサーバーも設置しています。 こちらはIPv4で運用中です。 IPv6(IPoE)関係のパケットを ソフトバンクルーターに集中させたいのですが、 NTTの端末(ルーター)を どのように設定すればよろしいでしょうか? お手数ですがご教授ください。 お問い合わせ頂きありがとうございます。 BBユニットにてIPv6通信が正常に利用できない場合は、 PR-500MIとパソコンを直接繋いで頂き下記設定を行って 頂きますとIPV6通信の利用が可能となります。 IPv6パケットフィルタ設定の変更 http://ybb.softbank.jp/support/connect/hikari /router/ipv6packet.html ありがとうございます。正常に利用できています。 ソフトバンクルーター以外にIPv6パケットを 飛ばさないようにできないでしょうか と言う主旨の問い合わせです。 現在弊社よりIPv6通信の利用に関する通知などは お受け取りされていますでしょうか? IPv6通信はBBユニットを通してでないと 利用はいただけません。 NTT端末(ルーターの詳細設定 IPoE)の設定で、 御社からの指導は両方向ともに全て通過設定が 標準となっています。 この設定を変更して、ソフトパンクルーターを IPv6に関してDMZのように設定 できないでしょうかと言うことです。 申し訳ございません。 DMZのような設定は出来かねます。 DMZはわかりました。 IPV6パケットを特定のルーターに 集中させることは可能でしょうか? 現在ご利用されている回線自体はIPv6通信が ご自宅までに届いている状態となります。 ただ、IPV6通信はBBユニットを通してでないと 利用がいただけません。 IPv6をソフトバンクルーター以外で 使うことが目的ではなく、 他の機器(例えばサーバー)がIPv6の アドレスを持って外とつながることを 防ぎたいという主旨です。 仮にNTTさまの機器と市販の無線LANルーターなど を通して利用される場合は IPv6通信は利用が頂けないかと存じます。 わかりました。ありがとうございました。
                     

 IPv6を使うにはソフトバンクのルーターが必要との返事。
私も窓口の人もIPv6(IPoE)の詳細がわかってないのかもしれないが、 話が行き違う。

現にNTTルーター下流にソフトバンクルーターを介さずにbuffaloルーターをつなぎその下流にPCを有線で直接つないでもIPv6アドレスを持ち、 IPv6サイトに接続可能である。 googleplalaの接続チェックサイトが下の画像





IPv6(IPoE)とはルーターなど特別の機器がいらないことがうたい文句となっている。
BBIXのネイティブ接続(IPoE)のサービス概要 (pdfはここ)
IIJのエンジニアによる公式blog てくろぐIPv6「ネイティブ接続」 (pdfはここ)
「ASCII.JP×TECHの「NTT東西のIPv6サービスが2方式あるわけ」の下の方 (pdfはここ)

思い起こすと契約のとき「ルーターはどうしますか?」と聞かれた記憶がある。なくてもできるが、 無料(レンタル料と同額割引)なので付けておきますと言われた。
NTTの設定の何をどうすれば良いのかがよくわからない。
NTTの相談窓口に尋ねればよいのかもしれないが、契約がソフトバンクなので憚られる。
うむ。どうしたものか。

試行錯誤をしてみよう。

2.試行錯誤(2017/07/26〜)

個別にPCのIPv6アドレスをみてみると
2001:0db8:deca:de10:XXXX:YYYY:ZZZZ:0001 ではなく
2001:0db8:deca:de00:xxxx:yyyy:zzzz:0001 となっている


「00」なので(NTTルーター IPv6(IPoE)のフィルター設定)
 2001:0db8:deca:de00::1001/128 両方向 通過
 2001:0db8:deca:de00::0/64     両方向 拒否 <=64bitに変更
 でやってみた。

結果は 各PCはIPv6アドレスを持つ(一時アドレスも持ちます)。
しかし、IPv6では繋がらない。

ソフトバンクルーターにwifiで接続してインターネットをすると何か遅い気がする。
フィルター設定と関係があるのだろうか?

NTTルーターがIPv6アドレスを払い出すのならば、フィルターで制御してもIPv6アドレスを 持つことは納得できる。
フィルター制御でアクセスはできないが。ただ、プレフィックスが
2001:0db8:deca:de10::0/60
なのに、各PCに割り当てられるアドレスは
2001:0db8:deca:de00:xxxx:yyyy:zzzz:0001 となっている
これは、NTTルーターがIPv6を割り振っていいるのでは無く、ソフトバンクがわりふっているのだろうか?


各PCがIPv6アドレスを持つのは、各PCごとにIPv6を運用しないようにすることで対応することとする。
buffaloルーターがIPv6を止められないことから、あきらめることとする。




電子工作へ     HomePage     このページのトップ