2018-08-25

V6プラスルーターと PPPoE ルーターを併用する

2019年9月現在、ルーターは YAMAHA RTX830 に替えて、1台で V6プラス + PPPoE 設定になっています。

RTX830 は実勢価格で 5万円弱しますので高いと感じられるかも知れませんが、私はなぜもっと早くから買わなかったんだろう、というくらい気に入っています。


信頼性・安定性が一番、機能が大変豊富で一般利用にはもったいないくらいですが、某B社や、某N社、某IO社、某ELE社などのルーターがいかに劣っていたのかを実感しました。

最近の記事にはこの RTX830 に関する記載をしています。





V6プラスの場合、使えるポートの制限から使えないサービスが出てきます。

このブログでも触れた PPTP、L2TP/IPsec や、一部ゲーム、一部の IP 電話(nifty フォンなど)などが使えません。


これらを使うために PPPoE と V6プラスの併用が必要になることがあります。

つまり V6プラスで使えないサービスを PPPoE 接続で使い、V6プラスでネット閲覧やそのほかの(V6プラスで)問題のないサービスを使う、というようにしたいわけです。


NEC Aterm V6プラスルーターにした場合、PPPoE パススルーが使えないために後段に PPPoE ルーターは配置できません。


そこで別途用意した PPPoE ルーターに V6パススルー設定してこれを前段に配置し、後段に V6プラスルーターを配置するのです。 


「前段」「後段」というのは、VDSL のすぐ後ろに接続するか、さらにルーターの後ろに接続するかを意味します。


バッファローの V6プラスルーターの場合は PPPoE パススルーがありますから、後段に PPPoE ルーターを置けますが、NEC Aterm の場合は同じ構成ができません。

NEC Aterm シリーズは PPPoE ルーターとして使用の場合に PPPoE パススルーや V6パススルーが使えます。


そこでバッファローとは逆の配置にするわけです。


こうすることで V6プラスと PPPoE を併用できます。




V6プラスルーターが NEC Aterm で PPPoE が他社製の場合もV6パススルーで同じように構成できます。

PPPoE ルーターがバッファロー機の場合は「セキュリティ → VPN パススルー → フレッツIPv6サービス対応機能」や「Internet → IPv6 → IPv6パススルーを使用する」などをチェックオンにします(機種により、微妙に設定方法が異なります)。


PPPoE ルーターが NEC Aterm 機の場合は「基本設定 → IPv6 ブリッジ」を設定します。


その他のメーカー機器も同様の方法で併用することが可能ですが、一部機種はV6パススルーできないものもありますので、当該機種のメーカーサイトのマニュアル等で事前によく調べて確認してからお使いください



また、この方法の場合 PPPoE ルーター配下の機器は IPv6 アドレスが丸見えなのでセキュリティに配慮が必要です。

PPPoE ルーター配下には IPv6 アドレスのない機器のみを配置します。
できれば機器ごとにファイヤーウォールを設定する、などの対策が好ましい。



後段の V6プラスルーターは ND プロキシ設定しておけば、その配下の機器はインターネット側からは見えません。


PC 等から同じ内部アドレス空間にして PPPoE ルーターも V6プラスルーターもアクセスできるようにお互いの LAN ポートを接続した場合もセキュリティ上の配慮が必要です。

 → これはオススメできません。
   なぜなら、IPv6 アドレスを持つ機器が PPPoE ルーターを経由して外部から丸見えに
   なってしまうからです。

   面倒でもアドレス空間を分けるか、このような接続をしない方がいいと思います。




別の方法もあります。



VDSL から スイッチング Hub (ギガ対応品で 1,000〜2,000円程度です)で分岐するやり方です。

この場合の接続は次のようにします。






V6プラスルーターと PPPoE ルーターの間の LAN は、同一セグメントに置いて PC からどちらも見えるようにするためです。


この方法の場合は V6プラスルーターで ND プロキシによるセキュリティ設定できますし、PPPoE ルーターは V6パススルーを無効化できますので、V6アドレスが外部から見えることはありません。


安全性を考えるとこちらの方がいいでしょう。





ここで記述の3つの方法(バッファローのケース、NEC Aterm のケース、スイッチング Hub でのケース)はいずれも検証済みの方法です。


しかしながら我が家では PPPoE ルーターは必要ありませんので、あくまで接続検証のために試行しました。


PPPoE と V6プラスの速度比較のためにだけ PPPoE 接続を一時的に使用することがあるくらいです。












18 件のコメント:

Unknown さんのコメント...

こちらはドコモ光のGMOでもこの方法で併用可能ですか?

bike86-3 さんのコメント...

ドコモ光・GMO は、V6プラスとPPPoE は排他的な扱いになるようですから、どちらかしかできないようです。
原理的にできないというよりも、V6プラスにするとPPPoE の接続ID/PWが1週間程度で無効にされてしまうということです。
私が使っている @nifty はそんなことはありませんが。

匿名 さんのコメント...

こんにちは!

PPPoE ルーターがバッファロー機なのて、セキュリティ → VPN パススルー → フレッツIPv6サービス対応機能」や「Internet → IPv6 → IPv6パススルーを使用する で使用してます。ぷららとドコモ光です。

気になったのが、この方法の場合 PPPoE ルーター配下の機器は IPv6 アドレスが丸見えなのでセキュリティに配慮が必要です

という文です。私はなんの対策もしていません。
スマホやパソコンを、V6プラスにしたりpppoeで接続したり毎日変えているのですが、これは危ないのでしょうか?

素人で申し訳ございません。宜しくお願い致します

bike86-3 さんのコメント...

VPN パススルーはそれ自体は問題ではありません。
パスするーした後でVON設定をきちんとすれば問題ありません(VPN設定しなくても問題はありません)。

問題は V6パススルーの場合です。
これはルーター配下が丸見え状態ですのでセキュリティ上はよくありません。

パススルーしなくてはならないのはどういう理由からでしょうか。

パススルーしなくてもいいならば設定をそのようにします。

通常はルーター配下にNAS などがあってそれをアクセスするためにパススルーするということがあるかも知れませんが、これは非常に危険な方法です。

こういう場合は面倒でも VPN を設定して、VPN を通じてアクセスするようにします。
とにかく、V6パススルーは即座に止める設定をされることをおすすめします。

匿名 さんのコメント...

返信ありがとうございます!VPNパススルーかV6プラスパススルーか分かりません。やったことは、WXR-1900DHP3をパススルーでこちらはV6プラス用 もうひとつをpppoe用です。
ipアドレスを変える必要があったので併用しています。
バイク野郎さんの、1つ目の画像のような接続をしています。
危ないでしょうか?

匿名 さんのコメント...

http://dotsukareta.blogspot.com/2017/04/v6ipv4pppoe.html?m=1

私が参考にしたサイトです。これの応用編以外を全部マネしました。
これは、V6プラスパススルーですか?

このままだと危ないでしょうか?

bike86-3 さんのコメント...

1つ目の画像の接続ということは WXR1900DHP3 を前段にして、PPPoE ルーターを後段に接続したということですね。

この場合、WXR1900DHP3 は「Internet▶Internet▶V6プラスを使用する」を設定、「Internet▶IPv6▶NDプロキシを使用する」に設定します。

次に「セキュリティ▶パススルー▶PPPoEパススルー」に設定します。

これで IPv6 は外部からは見えなくなりますので、安心です。

「NDプロキシ」がそのための設定です。

また、後段に接続した別のルーターが「PPPoE接続」できるように、WXR1900DHP3 に「PPPoEパススルー」を設定します。

なお、ここで記載した設定をした場合は(V6プラス設定の場合) WXR1900DHP3 では VPN 設定はできません。

また使わないと思われますが DDNS も設定できません。

ですので、VPN を使いたいときは、後段の「PPPoE」接続設定の中で設定します。

記載されたサイトは存じあげています。
そのサイトでも「NDプロキシ」設定にしないと丸見えになりますよ! と、あったと思いますが。

匿名 さんのコメント...

ありがとうございます。
今設定を確認したらNDプロキシ設定はされていませんでした。一年間の間、設定していませんでした。

今あわててチェックを入れたら、今度はバッファローがwifiに接続、出来なくなりました。

サポートに問い合わせしてみます。一年間丸見えだったのですね。不安です

bike86-3 さんのコメント...

ND プロキシと WiFi は関連性はありません。

別に原因がありそうですね。

ともあれ、1年間ですか問題がなかったとしたらよかったですね、としかいえません。

悪さをするということよりもデータを盗み出す、ということはあったかも知れません。

チェックされたほうがいいと思いますし、口座番号・パスワードの類が保存されていないことを祈ります。

匿名 さんのコメント...

盗み出すと言うのは、例えばスマホの中のメモとか写真、LINEなど、全部見られている可能性があると言うことでしょうか?全部見れる状況だとまずいかもしれません。



bike86-3 さんのコメント...

脅す訳ではありませんが可能性としてはあります。
見られたかどうかは今となってはわからないのです。
スマホに関しては IPv6アドレスが設定されていれば見れる状態だったと推定されます。

ですので、できれば関連するものに関して ID/PW をすべて変更なさることですが、大変な労力がかかります。

したがってやるかやらないかは匿名さんのお考え次第です。

ルーターのセキュリティ対策はしっかり行わないと大変なことになりますから、わからないのであれば使わないことをおすすめします。

モバイルルーターならばショップでサポートを受けられますのでセキュリティ対策もできると思いますが、自宅ネットはちゃんと対応しないままにインターネット接続すると、ドアに鍵をかけない状態と同じだと思ってください。

匿名 さんのコメント...

ありがとうございます。あんなチェック1つ忘れただけでそんなにセキュリティがなくなってしまうのですね、びっくりです(>_<)ありがとうございます!

bike86-3 さんのコメント...

ルーターのセキュリティ設定は重要です。

PPPoEの場合は初期設定でセキュリティ設定されていることが多いのですが、
V6プラスの場合は自分で意識して設定しないと危ないことになりますのでご注意ください。

匿名 さんのコメント...

丁寧にありがとうございます!今のところは大丈夫でした。

たぶん・・

助かりました!

bike86-3 さんのコメント...

サーバーなどで監視している場合を別にして、一般的なパソコンやスマホでは読み取りの痕跡が残りませんから、大丈夫かどうかは今後不正利用があったかどうかでわかることになります。

つまり、不正利用された後でしかわからない、ということです。

ですので、念のためにご面倒でもすべての ID/PW の変更を進言しました。

匿名 さんのコメント...

詳しくありがとうございます!変更します!

匿名 さんのコメント...

サポートに問い合わせて併用時のサポートなしを了承すると伝えればできるようになります

bike86-3 さんのコメント...

ドコモ光・GMO でもサポートにいえばできるのですね。
これは、ドコモ光のユーザーにとっては朗報ですね。

ありがとうございました。