見出し画像

v6プラス環境でVPNとか宅外アクセスとか頑張った話(前編)

もくくも

前回の記事で、v6プラスが必ずしもオススメではありませんよ。という書きましたが、それでもv6プラスにご興味のある方、既に契約しちゃったよという哀れな方(自分含む)向けに、ちょっとした苦労話を書きたいと思います。

■ v6プラス環境下で宅外アクセスは出来るのか

結論から言うと、出来なくはないです。ただ、いろいろと制約があります。ただその話をする前に、ネットに転がっている注意の必要な構成について話をさせて下さい。

■ 楽しい楽しい2重ルータの話

v6プラス環境下の制約については、やはり皆さん気にされているのか、結構ネットに記事は落ちていました。自分の検索履歴を漁ってみたら、「v6プラス VPN」「v6プラス ipv4 併用」「v6プラス pppoe 併用」などで検索していました。

それで、これらの検索結果を開くと大抵は、『IPv6用ルータとIPv4用ルータの2つを用意して2重ルータ構成にする』という改善策が載っていると思います。

私も最初、嬉々としてマネをしました。いや、2重ルータ構成だけでも楽しいのに、LANポートを並列接続するなんて構成を見てしまったら、「えっ、ループとかしないの!?」とか「この通信がこっち行って」とかいろいろ想像しちゃうじゃないですか。(普通しないです)

まあこの方法、IPv4ネットワークとIPv6ネットワークの両方に接続してしまおうという話なので、両者のいいとこ取りが出来るって話なんですよね。

ただ、これをやるのはBuffaloルータなど、一部の機種を使っている方に留めておいた方が良いです。NECルータではやめておきましょう。というのもNECにはPPPoEパススルーがないからです。

■ 2重ルータ構成の正体

割と各サイトでこの点に言及していないことが多いので、要注意なのですが、
  (1)IPv6ルータを一番外側にするか
  (2)IPv4ルータを一番外側にするか
で、セキュリティへの影響が雲泥の差があります。

(1) WAN - IPv6 - IPv4 - Device

まず(1)のケースですが、Buffalo製ルータでは可能ですが、NEC製ルータでは出来ない構成です。これはインターネットからの通信はまずIPv6ルータで受けて、必要な通信だけをIPv4ルータへ通すということをしています。

これを実現する為には、『PPPoEパススルー』という設定が必要になります。これがBuffaloのルータには付いているらしいのですが、NECのルータにはありません。(我が家はすべてNECなので、ネットの情報ですが)

画像4

(2) WAN - IPv4 - IPv6 - Device

一方(2)のケースですが、これはBuffaloでもNECでも関係なく設定出来ます。これはまずIPv4ルータが通信を受けて、IPv6ルータにも情報を流すという方式です。『IPv6パススルー』という設定をONにします。

画像4

ここで問題なのがこの『IPv6パススルー』です。簡単に言うと、IPv6だったら何でも通信通しますよ。という設定です。

これ、何が怖いかというとIPv4ルータ配下のデバイスにIPv6アドレスが付いていたら、すべてインターネット側から丸見えなんです。

また、いろいろな指南サイトに書かれているやり方に、LANポート同士を繋ぐというものがあります。これを行った場合、WANポートではなくLANポート経由でIPv6ルータ配下のデバイスにもアクセス出来てしまうので、実は自宅の全デバイスが丸裸になってしまいます。

■ ND Proxyとセキュリティ対策

この状況を回避する為、ルータに内蔵されているのが「ND Proxy (NDプロキシ)」という設定です。これをONにすることで、必要な通信はルータを通過出来ますが、それ以外はルータで弾かれます。

個人的にはNATと似たようなものと解釈しているので、通信を通す為にはIPパケットフィルタ設定やポートフォワーディング設定などが必要になる・・・と思っていますが、試していません。何故なら我が家にIPv6で外部接続する為の回線がないからです。(MVNOは得てしてIPv4 onlyなのです)

じゃあこのND ProxyをIPv4ルータで設定すればいいじゃないか。

ダメですよね。IPv6の通信が通らないので、まったく通信が出来なくなってしまいます。もちろんポート開放も、そもそもどのポートを使うか分からないので設定しようがありません。つまりIPv4が前段にある場合は、IPv6パススルーをする以外に選択肢がないのです。

画像3

画像4

よって、ND Proxyを設定出来て、PPPoEパススルーも設定出来るBuffaloルータでは(1)の構成が出来る為『比較的』問題はありませんが、(2)の構成しか出来ないNECルータの場合、2重ルータ構成は極力止めた方がいいでしょう。私もあとあと気付いて、急いで元に戻しました。

因みに後日談として、2重でダメなら3重ルータにすれば・・・などととち狂ったことも考えましたが、手間と制約が多すぎて断念しました。が、これならNECルータでもセキュリティは担保出来そうです。あんまりメリットないですけど。

長くなってしまったので、我が家ではどのような設定をしたのかについては、後編で書きたいと思います。



この記事が気に入ったらサポートをしてみませんか?