V6プラスでホームゲートウェイ(HGW)のIPv6パケットフィルタが機能しない件 2 たらかた 2022年3月25日 15:54 147 名前:不明なデバイスさん[sage] 投稿日:2021/09/17(金) 12:00:41.98 ID:ctj6ioj3すごい話だな>フレッツのIPv6パケットフィルタが筒抜けだった件>「IPv6セキュリティレベル」がデフォルトで「標準」になっています。標準というのはNTT網内からの折り返し通信を許可することを意味しています。>他のフレッツの加入者が、自分のLAN内にアクセスできてしまうびっくり設定なんです。>「ひかり電話」契約なしの場合、(「IPv6セキュリティレベル」を「高度」に)設定はできるが機能しない。148 名前:不明なデバイスさん[sage] 投稿日:2021/09/17(金) 13:21:55.02 ID:sMcoMh/A>>147NGNのサービスだけで使う前提の古い仕様なんよねフレッツ・v6オプション付けて網内折り返し通信が有効になる前なら標準でも問題なかったし網内折り返しするような使い方は企業の拠点網繋ぐとかだからセキュリティ考慮されてたVNEを入れてインターネット通信させるようになって前提が崩れてるから標準から高度にしようなってなってる149 名前:不明なデバイスさん[sage] 投稿日:2021/09/17(金) 17:23:48.58 ID:1KMVt2vF煮詰まり警察からきますた150 名前:不明なデバイスさん[sage] 投稿日:2021/09/17(金) 22:03:35.19 ID:V1YRRryR>>148フレッツ・v6オプションがデフォルトで有効になってからは、ユーザーが意図しなくても網内折り返しができるようになってしまっているからIPoEをインターネットに使わなくても前提が崩れてしまっている151 名前:不明なデバイスさん[sage] 投稿日:2021/09/17(金) 23:38:07.51 ID:GkGHDppM>>150そうだv6オプションはもうデフォルトでしたねHGWの該当項目もデフォルトで高度にしたらいいのに…152 名前:不明なデバイスさん[sage] 投稿日:2021/09/18(土) 09:49:11.80 ID:ukp3k70+おいらも高度にしました153 名前:不明なデバイスさん[sage] 投稿日:2021/09/18(土) 10:42:52.01 ID:MwchPC/8無効にしました154 名前:不明なデバイスさん[sage] 投稿日:2021/09/18(土) 12:00:32.04 ID:PAMfjo+0>>147もっと酷い状況らしい>「ひかり電話」契約なしの場合、>「IPv6ファイアウォール機能」を「無効」に設定したのと同じ状態です。「標準」にすらならないという……https://mevius.5ch.net/test/read.cgi/hard/1630979231/147-154というわけでひかり電話契約なしだとIPv6パケットフィルタは無効らしい。 フレッツのIPv6パケットフィルタが筒抜けだった件(ひかり電話あり/なしで異なる結果に) – アキバではたらくプログラマのBlog NTTのフレッツ光では、特に何も設定しなくても(PPPoEの設定を行わなくても)IPv6を使用することができます。といって akibabara.com 946 自分:不明なデバイスさん[sage] 投稿日:2022/03/23(水) 19:39:21.86 ID:nibwwbzgRS-500KIで、BIGLOBEのV6プラスで接続しているんですが、詳細設定のところに「IPv6パケットフィルタ設定」がありません。まぁ設定できなくてもどうせ外からの通信はDenyしてるだろうと思って放っておいたのですが、試してみたら>>147-154みたいな状況で外からHGWより内側のIPv6アドレスにPingが通ってしまいました。ひかり電話の契約はありません。ファイアウォールというかIPv6でパケットフィルタを利用するにはHGWの下にルーターでもぶら下げるしかないんでしょうか?947 返信:不明なデバイスさん[sage] 投稿日:2022/03/23(水) 19:55:26.34 ID:UW6uaJ1i>>946HGWのパケットフィルタやDHCPv6-PDなどのためにひかり電話を契約する(電話としては使わない)という手はある948 名前:不明なデバイスさん[sage] 投稿日:2022/03/23(水) 20:21:06.51 ID:KWqoeLME通常は光電話やWi-fiを解約するとHGWのルーター機能が無効になりONU化されるけどRS-500KIに関してはルーター機能が無効化されないとの記事は見たその代わりにIPv6ファイアーウォールを無効化されるんかw949 名前:不明なデバイスさん[sage] 投稿日:2022/03/23(水) 21:52:14.06 ID:l7t1gy6Gギガスマ回線だったりホームゲートウェイレンタル契約があったりすれば、ひかり電話契約なしでもルーター機能は有効のままでもIPv6 IPoEのパケットフィルタは働かないまたひかり電話タイプ1の場合、ひかり電話契約があってもHGWのIPv6 IPoEのパケットフィルタは働かないルーター機能が無効化されないことのかわりに無効化されるとかではなくて、RA回線で働くIPv6 IPoEパケットフィルタ機能をそもそも持っていないだけhttps://mevius.5ch.net/test/read.cgi/hard/1630979231/946-949RakutenMobileから宅内IPv6にPingが通ってしまった。アドレス空間が広大だからピンポイントで狙われることが(確率的に)ないとはいえ、あるべきフィルタがないのは気持ち悪い。ひかり電話サービスをご契約でない場合、IPv6 PPPoE接続状態が「停止」または「待機中」の時は、本設定が有効になりません。IPv6パケットフィルタ設定 (IPoE) 詳細設定-IPv6パケットフィルタ設定 (IPoE)|「Web設定」の使いかた|PR-500KI / RS-500KI / RT-500KI 機能詳細ガイド|NTT東日本 web116.jp V6プラスだとIPv6 PPPoEは「接続」にすることができない。951 自分:946[sage] 投稿日:2022/03/24(木) 07:14:27.66 ID:8W8I6G8C契約は(N・ギガMS1)と記されていたので光ネクストギガマンション・スマートタイプだと思います。IDはCAF~です。RS-500KIの画面はこのようになっています。https://i.imgur.com/w4yBTgD.png>>950 にあるIPv6パケットフィルタ設定(IPoE)がありません。少なくとも私にとっては大問題ですね。SSHも通ってしまったのでラズパイにはファイアウォール入れました。>>949 そもそも機能がないのであればHGWの設定でどうこうできる問題じゃないということですね。>>948 Wi-Fiは利用できており、ルーター機能は有効だと思います。>>947 なるほど…?でも中古ルーターぶら下げて解決できるなら月額で料金は払いたくないです。セキュリティログ見るとIPv4はSPIで弾いたログが100件見えるんですけど、IPv6は0 entriesなんですよね。これ、IPv6はパススルー状態ということでしょうか?952 名前:不明なデバイスさん[sage] 投稿日:2022/03/24(木) 10:18:49.29 ID:45srb/k6>>950タイプ1の人の画面は見たことはないけど、おそらくギガスマと同様にその項目はないのではIPv6 IPoEインターネットの契約は基本的にはCOPでもできる(ごく一部のISPでは、COPでは申し込みの入力ができない(CAFしか入れられない)等で問題が全くないわけではないけども)で、タイプ1だとフレッツ・ジョイントは利用できないのでHGWでのIPv4 over IPv6などは利用できないがIPv6 IPoEインターネット接続は利用できるたとえIPv6 IPoEインターネットの契約ができないもしくはしないままであってもフレッツ・v6オプションは利用できるし近年ではデフォルトでオプション有効もしくは回線にあらかじめ備わってるから、網内の他のユーザーからのパケットは通るそれでもHGWの IPv6セキュリティのレベル のデフォルトがいまだに 標準 のままなのを見ると、おそらくNTT東西は問題とは考えてないんじゃないかな953 名前:不明なデバイスさん[sage] 投稿日:2022/03/25(金) 09:06:05.89 ID:+tPBqO8rまじか光電話やめた罰が怖ええなhttps://akibabara.com/blog/5350.html俺は西日本、会社のネットとして光電話なしのネクストにRT-500MIをレンタルしてIP4 PPPoE接続だけでIPv6は使ってなかったメニューは >>950 こんな感じでIPSec VPNも使ってたけど一時期、実験的にV6オプションを有効にして別拠点間との接続テストしてそのまんまIPv6的にはザルなのか?不安になってきた954 名前:不明なデバイスさん[sage] 投稿日:2022/03/25(金) 15:04:03.92 ID:clPxbARaIPv6的にはザルだよ、まあザルだからといって直ちに問題が起こるわけではないけどIPv6は使ってなかったつもりでも、IPv6有効な端末をつないだら使えてしまうしフレッツ・v6オプション有効なら、自分がわかってやってる別拠点だけでなく、よそのユーザーからでもパケットを送られたら届く955 自分:946[sage] 投稿日:2022/03/25(金) 15:24:38.64 ID:7+B+Nuvx [1/2]で、そういう状態の場合、フィルタ使うにはHGWの下にルーターぶら下げるしかないの?956 名前:不明なデバイスさん[sage] 投稿日:2022/03/25(金) 16:18:12.70 ID:hF6DoY5D基本的には端末のファイヤーウォールで自身のPrefix/56以外のアドレスから届くパケットに対して防御をする。windows firewallならデフォで/64だがその程度の防御はしてる。家電やその他の機器はルーターでフィルタリングするか透過モードのUTM置くかしないと脆弱性突かれたら終わり。957 自分:946[sage] 投稿日:2022/03/25(金) 16:24:31.58 ID:7+B+Nuvx [2/2]まぁそういうことですよね…。中古のルーター探します。ありがとうございました。https://mevius.5ch.net/test/read.cgi/hard/1630979231/854 自分:login:Penguin (ワッチョイ d9b7-q+eG)[sage] 投稿日:2022/03/28(月) 12:21:08.36 ID:6FW/zCvK0 [1/8]HGWにIPv6パケットフィルタの設定項目が無いから基本的にインバウンドはDenyしてるんやろと思ってたが、外出先からIPv6アドレス打ったら宅内のラズパイにSSHが通ってしまってビックリした。LAN内だから大丈夫だろうとファイアウォール有効にしてなかったのが敗因です。ひかり電話の契約がないとIPv6パケットフィルタが機能しないHGWがあるという学びを得たので共有したい。【NTT】フレッツ光・ひかり電話対応ルータ Part38https://mevius.5ch.net/test/read.cgi/hard/1630979231/946855 名前:login:Penguin (ワッチョイ 6e0b-3Ydd)[sage] 投稿日:2022/03/28(月) 12:27:38.00 ID:9Xw+vrgX0なにそれこわい856 自分:login:Penguin (ワッチョイ d9b7-q+eG)[sage] 投稿日:2022/03/28(月) 12:39:41.47 ID:6FW/zCvK0 [2/8]当該スレの946以降をちょちょいと読んでもらえればわかるんだけど、結構こわいよね。意外な盲点というか。857 名前:login:Penguin (オッペケ Sr79-6uWN)[sage] 投稿日:2022/03/28(月) 12:42:13.89 ID:wfVo71d2r [1/4]ポート閉じててもダメなん?858 自分:login:Penguin (ワッチョイ d9b7-q+eG)[sage] 投稿日:2022/03/28(月) 12:45:36.23 ID:6FW/zCvK0 [3/8]閉じるも開けるもそもそも(当該のケースでは)フィルタがないんです。ラズパイ側にファイアウォールがあって22番閉じてればもちろん通らないですよ。859 名前:login:Penguin (ワッチョイ 5e09-1WDX)[sage] 投稿日:2022/03/28(月) 12:48:22.41 ID:8HxICR4Z0 [2/2]>>840出来るだけ遅延無いリモートデスクトップがいいのですが860 返信:login:Penguin (オッペケ Sr79-6uWN)[sage] 投稿日:2022/03/28(月) 12:53:39.03 ID:wfVo71d2r [2/4]>>858あまり詳しくないんだけど、IPv6を使う時はIPv4とは別にファイヤウォールの設定をしないといけないって事ですかね861 自分:login:Penguin (ワッチョイ d9b7-q+eG)[sage] 投稿日:2022/03/28(月) 12:58:28.09 ID:6FW/zCvK0 [4/8]>>859遅延がどうかはわからないが「Remmina ラズベリーパイ」で検索するといい862 自分:login:Penguin (ワッチョイ d9b7-q+eG)[sage] 投稿日:2022/03/28(月) 13:23:56.94 ID:6FW/zCvK0 [5/8]>>860私もあまり詳しくないですけど…。ホームゲートウェイの話については、契約状況と設置されたHGWによっては、IPv6のファイアウォール機能(パケットフィルタ)自体が無効なので設定のしようがない(IPv6パケットはHGWを素通りする)ってことです。ラズパイ側のファイアウォールについてはufwしか使ってないのでufwの話をすると、例えばsudo ufw ALLOW 22とやるとIPv4用とIPv6用の二つのルールが自動的に作られるので、あまり難しいことを考えなくてもいいのではないかと。sudo ufw default DENYすればIPv4もIPv6もデフォルトでdenyになるので。IPv4だけ開ける例 sudo ufw allow to 0.0.0.0/0 port 22IPv6だけ開ける例 sudo ufw allow to ::/0 port 22863 返信:login:Penguin (オッペケ Sr79-6uWN)[sage] 投稿日:2022/03/28(月) 13:38:04.01 ID:wfVo71d2r [3/4]>>862ご丁寧に設定方法まで教えて頂きありがとうござますしかしルーターで素通りされてしまうって、もっとニュースになっても良さそうなぐらいヤバいですね864 自分:login:Penguin (ワッチョイ d9b7-q+eG)[sage] 投稿日:2022/03/28(月) 13:51:39.68 ID:6FW/zCvK0 [6/8]IPv6はアドレス空間が広大なので、確率的に考えれば直ちに問題となるわけではないですけど、気持ちのいいものではないですね865 名前:login:Penguin (オッペケ Sr79-6uWN)[sage] 投稿日:2022/03/28(月) 14:02:23.00 ID:wfVo71d2r [4/4]なるほど、総当たりで運悪く攻撃されてしまう可能性は低いって事ですね悪意あるサイトを見に行ってログが残ったりするとピンポイントで狙われる可能性はあるかもですねhttps://mao.5ch.net/test/read.cgi/linux/1642183596/ ダウンロード copy #IPv6 #フレッツ光 #ひかり電話 #ファイアウォール 2 この記事が気に入ったらサポートをしてみませんか? サポート