PR-S300SEのIPv6セキュリティフィルタを調整

ぷららIPv6 IPoE接続（Transix）で「IPv6 HTTPサーバ」公開と「IPv6 IKEv2 VPN」によるイントラネットへの接続が可能となった。
IPv6 ICMPv6用フィルタを少し調整した。

PMTU用に下記ICMPv6タイプに限定して通過させ、その他のICMPv6タイプを遮断した。

「destination-unreachable(1)」
「packet-too-big(2)」
「time-exceeded(3)」
「parameter-problem(4)」
「echo-request(128)」
「echo-reply(129)」

HTTP(80)/HTTPS(443)とIKEv2用IPsec（UDP/500, UDP/4500とESP）のSYNだけを通過させる。

あとは、このブログを始めとするIPv4サイトがIPv6対応するのを待つだけ。。。。
------------------------------------------------------
hostname:~ user$ host blog.goo.ne.jp
blog.goo.ne.jp has address 153.254.170.6
blog.goo.ne.jp mail is handled by 10 blog.goo.ne.jp.
hostname:~ user$
------------------------------------------------------

フレッツ光NGNのIPv6（IPoE）インターネット接続業者（VNE）とIPv6 Prefix

ぷららがIPv6 IPoEサービスを開始して以降、2018年8月にNGNのインターネット接続業者が一つ追加された。最大16社までVNEが増やせるようだ。


「ぷらら」のIPv6（IPoE）は、インターネット・マルチフィードの接続サービスを利用していると認識していたが、2018年2月からVNEとなったNTTコミュニケーションズ（OCN）から提供される場合もあるらしい。
OCNがどのような方式の「IPv4 over IPv6」サービスを提供しているのか不明だ。
DS-LiteなのかMAP-Eなのか、サービス提供装置アドレス通知があるのか、などなど。。。

NGNのVNE事業者が使用しているIPv6 Prefixを取得し、VNE事業者を確認してみる。

2011/01/14 12:59:13 3社VNEでPrefix/23
2013/02/04 12:14:50 3社VNEでPrefix/30に変更
2018/02/02 11:27:52 4社追加され7社VNE体制
2018/08/31 10:03:19 1社追加され8社VNE体制

=== NgnRouteInfo ===
0000,2018/08/31 10:03:19--
1111,2404:01a8:7e00:0000:0000:0000:0000:0000/40--東日本電信電話（NTT-EAST）（JPNIC）
1211,2404:01a8:0000:0000:0000:0000:0000:0000/32--東日本電信電話（NTT-EAST）（JPNIC）
1212,2001:0c90:0000:0000:0000:0000:0000:0000/33--東日本電信電話（NTT-EAST）（JPNIC）
1311,2408:0210:0000:0000:0000:0000:0000:0000/30--東日本電信電話（NTT-EAST）（JPNIC）
1411,2400:2410:0000:0000:0000:0000:0000:0000/30--BBIX-IPv6 ソフトバンク（APNIC）
1412,2409:0010:0000:0000:0000:0000:0000:0000/30--MF-Transix-E-1 インターネット・マルチフィード（JPNIC）
1413,240b:0010:0000:0000:0000:0000:0000:0000/30--日本ネットワークイネーヴラ（JPNIC）
1414,2404:7a80:0000:0000:0000:0000:0000:0000/30--不明（検索できないが「ビッグローブ」と思われる（APNIC）
1415,2405:6580:0000:0000:0000:0000:0000:0000/30--朝日ネット（JPNIC）
1416,2400:4050:0000:0000:0000:0000:0000:0000/30--NTTコミュニケーションズ（OCN）（JPNIC）
1417,2401:4d40:0000:0000:0000:0000:0000:0000/30--フリービット（JPNIC）
1418,2001:0f70:0000:0000:0000:0000:0000:0000/30--アルテリア・ネットワーク（JPNIC）

----------------
ぷららの「ぷらら光」「光セット」。
現在PR-S300SEに割当てられているPrefixは、「2409:10::/30」（インターネット・マルチフィード）の中の「2409:10:xxxx:yyyy::/56」
配下のNVR500やOpenWrt化WZR-HP-G300NHにDHCPv6で割当てられるPrefixが「2409:10:xxxx:yyz0::/60」

2020/09/20追記：フレッツ光NGNのIPv6（IPoE）インターネット接続業者（VNE）とIPv6 Prefix #2

「ぷらら」IPv6 IPoEからメールサーバのIPv6対応を確認する

「Plala IPv6 IPoE接続が開始されていた」事から「ヤマハ NVR500で「ぷらら」のIPv6 IPoE接続を行う」で「ぷらら」のIPv6IPoE接続が完了した。
イントラネット内は、IPv4/IPv6デュアルスタックで接続不具合は無い。インターネット上のWebサービスには、IPv6対応が増えてきているが「メールサーバ」について未確認だったので確認してみた。

利用中のメールサーバは、
・「ぷらら」のメールサーバ（v6mail.plala.or.jp:smtp/imap）
・Apple iCloudメールサーバ（smtp/imap）
・Microsoft Office365メールクラウドサーバ（Exchange）

ひかり電話ルータ（PR-S300SE）配下に接続したMacbook pro(macOSX Sierra）を使いIPv6インターネット接続状態でmacOSXアプリのメールツールで上記のメールサーバ接続診断を実施してみた。
IPv6インターネット接続環境では、IPv4によるインターネット接続ができない。


macOSX（Sierra）のメールで「接続診断」を実施してみた


結果、AppleのiCloudメールがIPv6未対応状態であった。

「iCloud.com」メールのDNS情報を確認して観る（mx）


メールサーバのIPv6アドレスを DNSで確認（aaaa）


mx1.mail.icloud.com - mx6.mail.icloud.comの全てでIPv6対応されていないようだ。

「ぷらら」のIPv6ページから「詳細」ページが消えていく。。。

この２~3週間の間に「ぷらら」のIPv6に関するページがリニューアルされて「詳細」情報のページが消えた。。。
「詳細」と言っても大した情報が在ったわけではない。
IPv6でメールサーバをアクセスするための下記の設定情報。

「メールソフト設定ガイド｜オプションサービスのIPv6対応｜ぷらら」
https://www.plala.or.jp/ipv6/service/mail/

IPv6でメールサーバにアクセスする時の下記情報が掲載されていた。
smtp: v6mail.plala.or.jp
imap: v6mai.plala.or.jp

サポートページでメール設定に関する情報を観ると「IPv4」と同じ設定で「IPv6」に対応しているように記載されている。




確認して観るが、受信用「imap.plala.or.jp」も送信用「secure.plala.or.jp」もIPv6アドレスを返さない。


IPv6対応情報に記載されていた送受信用「v6mail.plala.or.jp」は、IPv6アドレスを返す


IPv4アドレスも返す


IPv4フォールバック対策で「ぷらら」は、「DNS AAAAフィルタ」対策したはず。
解除するつもりかな？IPv4 PPPoEのトラフィック混雑で対策の効果がないので問題ないのかも。。。
「IPv6対応しているけどアクセスできない」サーバなのか。
情報を正確にお願いします。。。

ひかり電話ルータ（PR-S300SE）接続のMacから「ぷらら」IPv6 IPoE Transix DS-Liteを使う

「ぷらら」のIPv6 IPoE接続が提供され、ヤマハNVR500からIPv6 IPoE接続とIPv4 over IPv6接続（Transix DS-Lite）で安定した接続が実現している。ひかり電話ルータ（PR-S300SE)に接続したパソコンからIPv6 IPoE接続とNVR500のTransix DS-Lite接続経由のIPv4インターネット接続も確認した。Synology NAS(DS-216J)のWeb StationとPhoto Station（http/https）のIPv6運用確認中にIPトンネル機能を装備しているのが判った。現時点のDSM-6.2では、IPv6 over IPv4トンネルでTransix DS-Liteを使うためのIPv4 over IPv6トンネル設定ができない。検討はされているようだ。
Transix DS-Liteを調査中に「DS-Lite(RFC6333)をMacOS Xで利用する」を見つけたのでひかり電話ルータ（PR-S300SE)に接続されたMacbook pro(maxOSX Sierra)からIPv6 IPoEインターネット接続とDS-Lite経由のIPv4インターネット接続をして観た。



先日設定した「PR-S300SEにデフォルトゲートウェイを設定」を外し、NVR500に設定したDS-Lite接続が利用できないようにした。PR-S300SEのLANコネクタにMacbook proを接続すれば、IPv6 IPoEインターネット接続が可能となる。


「DS-Lite(RFC6333)をMacOS Xで利用する」に掲載された「dslite-ctl.sh」スクリプトを読むと、
・MacのIPv6グローバルアドレス取得（トンネル起点アドレス）
・Transix AFTRのアドレス（トンネル終点アドレス）
・トンネルインタフェースの生成
・IPv4デフォルトゲートウェイをトンネルインターフェースに設定
・上記設定のON/OFF
のシェルスクリプトになっている。MacのIPv6アドレス取得部がmacアドレスから生成されたタイプ(ModifiedEUI-64)を前提とした記述になっている。macOSX Sierraでは、「secured」マークが付き、ランダムな値が採用されている。
IPv6アドレスの抽出（47行目）を下記のように書き換えることにした。

ifconfig en${i} inet6| grep 'inet6 2409:[0-9a-f:]*\s.*secured' | sed 's/^.*\(2409:[0-9a-f:]*\).*$/\1/'

スクリプトを準備したら、PR-S300SEにMacbook proをネットワーク接続する。DHCPでIPv4アドレスが付与され、IPv6アドレスが生成される。IPv4インターネット接続はできない。IPv6インターネット接続はできる。


「dslite-ctl.sh」を起動する。securedマークのあるIPv6アドレスを起点としてTransix AFTRへ「gif0」インターフェースでトンネル生成。IPv4のデフォルトゲートウェイを生成したトンネルへ設定。


IPv6テストを実行してみる。IPv6/IPv4共にTransix経由でインターネットアクセスができる。IPv6は、一時IPv6アドレスからの接続。IPv4は、AFTRのNAPTアドレス。


IPv6サイト（同一ネットワーク内）に接続してみる。


IPv4サイト（同一ネットワーク内でぷららIPv4NAT）に接続してみる。


Dual Stackサイトに接続してみる。IPv6で接続されている。


インターネット上のIPv4サイトに接続


「dslite-ctl.sh」をOFF（トンネル接続を断）


IPv6テストで確認。IPv4接続ができなくなる。


Mac(macOSX)で「ぷらら」IPv6 IPoE利用であれば、端末毎に「dslite-ctl.sh」を使用するのも有りかも。。。
Windows OSでは「DS-Lite」出来るのか？