清水理史の「イニシャルB」
高速なIPoE IPv6環境を使いつつ自宅へのVPN接続やNAS接続もあきらめない!
Synology RT2600acでDS-Liteを使いつつPPPoEも併用する
2018年7月9日 06:00
Synology「RT2600ac」を利用すれば、2系統のWAN側を同時に利用することで、DS-LiteのIPv4とPPPoEのIPv4を併用することができる。これにより、高速なインターネットアクセスはDS-Liteを、サーバーの公開など、NATを自分で制御したいときはPPPoEを、と使い分けることが可能だ。
ネット接続環境を「v6プラス」から「transix」へ乗り換え
前々回に紹介した通り、いろいろな経緯を経て、MAP-E方式を採用する「v6プラス」から、DS-Lite方式の「transix」へと乗り換えた筆者宅のインターネット接続環境。
そのとき記事を掲載したタイミングから数日後には、v6プラスのサービス完全解約が実現し、その2日後には、transixのサービスを開通させることができた。
transixには「フレッツジョイント」のような厄介な仕組みが介在しないことから、ホームゲートウェイ(HGW)でIPv6を処理させつつ、市販のルーターを使ってDS-LiteによるIPv4接続を利用することができる。
というわけで、「Aterm WG1200HP3」をそのまま使って前回のリベンジを、とも考えたのだが、そこは新モデルのレビュー時に譲って(接続自体は問題なくできることを確認済み)、今回は、もう少し凝った方法で接続を試してみた。
というのも、NATの処理をなんとかしなければという課題があったからだ。
DS-Lite対応でかつデュアルWANが使えるSynology「RT2600ac」
v6プラスでは、利用できるポートが一部に限られるものの、IPv4のNAT処理はユーザー宅のHGWなどの機器が処理しており、ポート転送などの設定もユーザー側で行うことが可能となっていた。
これに対して、DS-Liteによる接続では、NAT処理はISP側で実施されるようになっているため、ユーザー側でポート転送などの設定を行うことはできない。通常のインターネット接続では問題ないのだが、例えばルーターのVPN接続機能を利用しようとしたり、NASの外部アクセス機能を使おうと思っても、制限されてしまうことになる。
ネット上では、こうした課題に対して、ヤマハ製ルーターの一部や、IIJの開発した「SEIL」などを利用した解決方法が提示されている。ただ、入手や設定が困難なことから敷居が高く、あきらめていたユーザーも少なくないはずだ。
そこで今回は、コンシューマー向けの無線LANルーターであるSynology「RT2600ac」を利用し、IPoEによるIPv6、DS-LiteによるIPv4に加えて、PPPoEによるIPv4接続も併用することで、この課題を解決することにした。
RT2600acが5月のアップデートでIPoE+DS-Lite環境に対応
SynologyのRT2600acは、NASベンダーであるSynologyが2017年7月に国内販売を開始した無線LANルーターだ。
IEEE 802.11ac wave 2に対応した製品で、最大1733Mbps(4ストリーム)の5GHz帯と、最大800Mbpsの2.4GHz帯を利用可能となっている。
特徴的なのはソフトウェア面で、多機能なNASとして知られる同社のノウハウが存分に投入されており、IPS/IDSによる不正な通信の遮断や監視ができたり、OpenVPN/L2TP/PPTPに加え、独自形式やSite-to-Site接続にも対応するVPN機能が搭載されていたり、同社製NASの機能として知られるデータ同期ソリューション「Cloud Station Server」が利用できたりと、非常にたくさんの機能を備えている。
そして、今年の5月のアップデートで、「IPv6 IPoE in Japan」と「IPv6 DS-Lite」への対応が新たに追加され、transixサービスでの利用が可能になった。とは言え、そこは海外メーカーらしく、DIY的な精神であふれており、設定には、それなりに苦労する。また、v6プラスのMAP-E方式には未対応なので注意したい。
バッファローやアイ・オー・データ機器、NECプラットフォームズなど、国内メーカーが販売するDS-Lite対応の無線LANルーターは、DS-Liteの自動設定に対応している。このため、ONUやHGWに接続すれば、簡単な初期設定だけで、ほぼ自動的に接続が完了する。一方、RT2600acの場合は、残念ながらそうは行かず、手動での設定が必要になる。
RT2600acでのIPv6接続&DS-LiteによるIPv4接続設定
最初は、インターネット接続の設定画面で、IPoEによるIPv6接続を有効化する。DS-Lite(MAP-Eもそうだが)では、IPv6上にIPv4のトンネルを作成するため、まずIPv6で通信できるようにしておくことが肝心だ。
「ネットワークセンター」の「インターネット」を開くと、IPv4用設定の部分に「IPv6」というボタンが表示される。これが、WANインターフェースでIPv6をどう扱うかという設定になるため、ここでIPoEの設定をする必要がある。
フレッツ光ネクストの回線環境では、IPv6の接続形態が2種類あり、“ひかり電話なし(自宅にONUのみ)”の環境では「RA(Router Advertisement)」によってアドレスが構成されるため、おそらくRT2600ac側の設定は「自動」で構成できるはずだが、筆者宅は“ひかり電話あり”の環境で、「自動」では思い通りに設定できなかったので、手動で「DHCPv6-PD」を選択した。
これにより、HGWからのプレフィックスをRT2600acが受け取り、このプレフィックスと自身のMACアドレスからIPv6アドレスを生成できるようになる。
最後に、「デフォルトのゲートウェイに設定」にチェックを付けておけばIPv6接続の設定は完了だ。
これでIPv6の通信ができるようになるが、まだIPv4による通信はできない。このため、「インターネット」の設定画面に、DS-Liteの設定を投入する。
接続タイプに「DS-Lite」を選択し、構成タイプで「手動」を選択。「AFTRアドレス」に、接続先として「gw.transix.jp」を指定し、B4 IPv4アドレス(ここでは「192.0.0.2」)を選択する。
そして、あとで変更するが、ひとまず「デフォルトのゲートウェイに設定」を「有効」にしておく。
ただし、これだけではDS-Liteの接続が確立されない可能性が高い。IPv6のDNSサーバーが参照できず、先に指定した「gw.transix.jp」の名前を解決できないためだ。
そこで、設定画面をスクロールし、DNSサーバーを手動で登録しておく。HGWなどからIPv6のDNSサーバーのアドレスを参照して登録してもいいし、「2001:4860:4860::8888」や「2001:4860:4860::8844」のようなGoogle Public DNSのアドレスを設定してもいい。ついでに、IPv4のDNSも設定しておくといいだろう。
ここまでの設定で、IPv6による接続、およびDS-LiteによるIPv4接続が確立され、普通にインターネットに接続できるようになるはずだ。
第二インターフェースをPPPoEで使う デュアルWANを活用!
続いて、PPPoE接続を併用できるようにしてみよう。
今回、筆者はIIJmioの「FiberAccess/NF」を契約したが、本サービスでは、DS-Liteによる接続に加えて、PPPoEによる接続も可能となっており、そのためのアカウントが契約時に発行される。接続には、このアカウントを利用すればいい。
RT2600acの「ネットワークセンター」の「インターネット」で「第二インターフェース(LAN1)」を有効化し、接続タイプで「PPPoE」を選択。ユーザー名とパスワードを指定し、「デフォルトのゲートウェイに設定」を「有効」にする。
デフォルトゲートウェイは1つしか設定できないので、この際、DS-Lite側で先に設定しておいた「デフォルトのゲートウェイに設定」の項目を「無効」にしておく。
設定が完了したら、RT2600acのLAN1のポートをHGWと接続する。事前に接続しないのは、第二インターフェースの設定前に接続してしまうと、HGWとLAN側の端末が通信できてしまうためだ。この状態では、HGWのDHCPサーバーからLAN上のPCにアドレスが割り当てられてしまい、うまく設定できない。このため、PPPoEの設定後にケーブルを接続した方がいい。また、再起動のタイミングなどでも同じ現象が発生する可能性があるため、再起動時はLAN1のケーブルは外しておく方が無難だ。
さて、これでIPoEによるIPv6、DS-LiteによるIPv4、PPPoEによるIPv4が利用可能なったが、まだ安心してはいけない。
先ほど、PPPoEによるIPv4をデフォルトゲートウェイに設定したため、このままではすべてのIPv4通信がPPPoE経由となり、DS-Liteはただつながっているだけで使われない状態になってしまう。
そこで、「ネットワークセンター」の「インターネット」にある「Smart WAN」タブに移動し、「ポリシールート」ボタンをクリックする。
そして、「作成」ボタンをクリックし、DS-Liteで通信させたい端末のIPアドレスを指定し、インターフェースに「DS-Lite」を選択する。これで、特定の端末だけをDS-Lite経由で通信させることが可能だ。
それなら、「DS-Liteをデフォルトゲートウェイにして、PPPoEをポリシールートで指定した方がいいのでは?」と思う人も少なくないだろう。
デフォルトゲートウェイをPPPoEにする理由は、RT2600acの各種機能をPPPoE経由で通信させるために必要となるからだ。
仮に、デフォルトゲートウェイをDS-Liteに設定したとすると、例えば「VPN Plus Server」パッケージを利用して、ルーターをVPN接続の接続先に設定したときに、DS-Lite側の接続が使われてしまう。また、RT2600acでは、外部からの接続を受け付けるためのQuickConnectやDynamicDNSのサービスが利用可能だが、これらも基本的にデフォルトのルートに割り当てられたWAN側アドレスが利用される。
つまり、DS-Liteをデフォルトゲートウェイにしている場合、事業者側で実施されるNATがネックになる問題を回避できない。このため、PPPoEをデフォルトゲートウェイとしておき、特定の端末のみをDS-Lite経由で通信させる必要があるわけだ。
nslookupで名前解決できない場合は
なお、RT2600acには、レアレンタルコントロール機能が搭載されており、これを端末ごとに有効化することができる。フィッシングサイトなどへの接続を回避できるほか、広告ブロック機能なども使えるようになっているが、この機能はDNSをベースにしているため、有効化するとPC側の一部機能で名前解決ができなくなる。
ウェブブラウザーでウェブページを閲覧したり、PINGを実行したりする場合は問題ないが、例えば、コマンドラインからnslookupを実行したときなどに、名前解決で失敗してしまう。
上記の接続設定後、接続状況を確認するためにnslookupを使う可能性があるかもしれないが、その場合はペアレンタルコントロールをオフにしておかないと、うまく動作しないので注意が必要だ。
また、IPv6に関しては、フィルタリングの設定にも注意が必要だ。HGWが存在する場合は、HGW側でIPv6のフィルタリングが有効になっている。通常のインターネット接続に関しては問題ないが、IPv6経由で外部からルーターやNASにアクセスする場合、このフィルターが影響する場合もある。
安易に設定を解除すべきではないが、場合によってはHGW側でのフィルタリングを無効化し、RT2600acのファイアウォール機能のみで運用する手もありそうだ。
結果的にはv6プラスより柔軟な運用が可能に
以上、RT2600acで、DS-LiteとPPPoEを併用する方法を紹介した。
個人的には、事業者側でNAT処理がされてしまうDS-Liteに抵抗があったが、今回、PPPoEとの併用で回避できたため、結果的には、高速なインターネット接続も、サーバーの公開も、どちらもあきらめずに導入できたことになる。
コンシューマー向けルーターでのデュアルWANは、ASUS製ルーターなども対応しているが、ASUS製品は現状、残念ながらDS-Liteに対応していないため、やるのであればSynologyのRT2600acをお勧めしたい。設定には少々コツがいるが、それでもGUIで設定できるのは、やはり楽だ。
transixサービスを現在利用している場合や、今後、加入を検討している場合は、その候補として検討してみるといいだろう。