【2024-09-18】ルーターの設定事例を再載
【2024-09-21】Rakuten Casa ホームページの記載内容の危険性に関して追記
【2024-09-22】HGW の設定事例を追加記載
【2024-09-23】ルーター設定事例の記載の誤りを訂正
【2024-09-24】記載内容をブラッシュアップ
【2024-10-03】Rakuten Casa ホームページ記載内容は、本来どう記載するべきだったか?
最近また Rakuten Casa がつながらない、LTE を吹かないという件に関してコメントで問い合わせが来るようになりました。
タイトルに「安全な接続方法」としたのは次のような理由からです。
Google 検索をチェックしてみると「こうすればつながる/つながったと」いう多くが、セキュリティに配慮しない IPv6 ブリッジ(または IPv6 パススルー)でLTE を吹くようになった、というもので危険性が高いのです。
IPv6 ブリッジは、IPv4 でルーター配下のすべての機器類を DMZ(非武装地帯)に置くことと等価なのです。
こんな恐ろしいことをあなたはできますか。
楽天モバイルの Rakuten Casa に関する記載は大変不親切で何をいっているのかが分かりづらく、かつセキュリティ上、大変危険な記載になっています。
 |
出典:Rakuten Casa ホームページから抜粋
|
あなたはこの Rakuten Casa に関する記載内容を理解できますか?
難しくて理解できないのではなく、支離滅裂なので理解できないのです。
【問題点】
* IPsec IKE パススルー機能が必要、と言いながら IPv6 ブリッジ機能を有効にせよ、
という危険な表現
さらに「IPsec IKE パススルー」のみの記載で、「esp パススルー」が抜けている。
NTT 東西の場合は IPv6 で IPsec IKE/esp パススルー設定する、とするべき
* NTT 東西以外も IPsec IKE パススルー機能が必要、といいながら「NAT モード」に設定、
という楽天表現!!
「NAT モード」が何のことかわかりますか?
単に「ルーターモード」とすればいいのに「NAT モード」とは普通は表現しません
(笑っちゃいます)
NAT は通常は IPv4 での利用なので、NTT 東西以外は IPv4 で、といいたかったのか?
だったら素直に IPv4 で IPsec IKE/esp パススルー設定する、といえばよかったのでは?
例えば Aterm ルーターでは RT/BR/CNV モードがあり、それぞれ
ルーター/ブリッジ(アクセスポイント)/コンバーター(中継・子機)モードです
* さらに Rakuten Casa クイックスタートガイドにも IPv6 ブリッジを有効にせよ、
とあり危険なことを推奨している
これはキャリアが決していってはならない、信頼を損ねる
もし、Rakuten Casa 設置ユーザーに侵入や漏洩・改ざんなどがあったら
楽天モバイルはどうするのか!!
* Rakuten Casa6 の場合 LTE を吹くための接続に関する記載がなく、
推定ながら IPv6 ブリッジになっていると思われ、危険と思われる
Rakuten Casa の接続に関して間違ったことを記載しており、あり得ることか?
* NTT 東西以外は IPv4 での IPsec IKE/esp パススルーだが IPv4 という表現が抜けている
また IPv4 の場合 NAT Traversal パススルーも必要と思われるが記載がない
NAT を使う場合 esp プロトコルを通過させるには NAT Traversal が必要(のはず)
* nuro などの特殊なルーターへの言及がない
これらのルーターは IPv4 での IPsec IKE はポート開放できるが、
esp パススルー設定する機能がない
IPsec ALG をオンにすることで、IPv4 の IPsec IKE/esp パススルーと、
NAT Traversal パススルーになる
なぜこのようなキャリアとして無責任な記述になってしまったのでしょうか。
おそらく接続に関する問い合わせが多くて、安易に「IPv6 ブリッジ」に行き着いたのではないかと。。。楽天表現!!
楽天モバイルはこのような重要事項に関してネットワークのプロ技術者が査読しないのでしょうか。
だから「楽天表現!!」という皮肉を込めた表現にしています。
ですが「IPv6 ブリッジ」はセキュリティ上、大変問題があり世界中にあなたの IPv6 が筒抜けになっています。
筒抜けとは「すべてのプロトコル、ポートが見える」ということです。
この筒抜け状態はルーターのみならず、配下の機器・PC やスマホなども筒抜け状態です。
ポートスキャンでポートの穴を見つけると、そこから侵入される恐れがあります。
詳細は割愛しますが、ほかにも侵入手段があり、危険な状態です。
それでは Rakuten Casa に関し、LTE を吹かせるためにはどう表現すればよかったのでしょうか。
ーーーーー ここから ーーーーー
0️⃣ ルーターの LAN ポートと Casa の WAN ポートを CAT6 以上の LAN ケーブルでつなぐ
(CAT5 でも構わないが、CAT6 以上を推奨)
1️⃣ NTT 東西(フレッツネクスト網)の場合;
IPv6 フィルター機能のあるルーターを使い、IPv6 で IPsec IKE/esp パススルー設定する
2️⃣ NTT東西以外(KDDI、CATV 系、電力系、nuro など);
IPv4 フィルター機能があるルーターを使い、IPv4で IPsec IKE/esp パススルー設定する
IPv4 では NAT Traversal パススルー設定もする
または IPv4 IPsec ALG でパススルー設定する
3️⃣ IPv6 ブリッジは推奨しない;
IPv6 ブリッジは、すべてのプロトコルとポートをパススルーし、
IPsec IKE/esp もパススルー対象になるが、セキュリティ上推奨できない
以上のように表現を改めるべきでしょう。
また、いくつかのルーターについて設定事例を記載するとなおよいのではないでしょうか。
ーーーーー ここまで ーーーーー
Rakuten Casa は正しく VPN プロトコルだけを通す設定で「つなぐ」必要があります。
そうすれば暗号化と鍵交換でセキュリティが確保されますから安心なのです。
ここではそのことに関して記載しています。
====================
ウチでは楽天電波がどの部屋でも入るようになっていますので、Rakuten Casa は 2022年1月に返却済みです。
2020年12月に Rakuten Casa がつながった頃の接続に関して改めて整理してみました。
つながるまでは Rakuten Casa のホームページの接続に関する記載が、ネットワーク技術上、何をいっているのかが理解不能でした。
つながってみて初めて一部の表記がいいたいことを理解しましたが、いまでも不適切表記と思っています。
 |
出典:楽天モバイルの Rakuten Casa に関するホームページより抜粋
|
Rakuten Casa は小型基地局で、家の中に楽天モバイルの LTE 電波が飛ぶ(吹く)ようになります。
Rakuten Link のみならず、標準通話アプリや標準メッセージアプリによる通話や SMS も安定します。
Rakuten Link ログインの際も SMS 認証が必要で、このときも Casa 設置の意味があります。
Rakuten Casa は接続に際して VPN を介しており、そのためルーターに IPsec IKE/esp VPN をパススルー設定(開放設定)する必要があります。
これは IPv6 による設定と、IPv4 による設定を、フレッツネクスト網かどうかで使い分ける必要もあります。
IKE パススルーのみの場合 Casa はつながりません。
esp パススルーも必要です。
さらに、IPsec IKE/esp パススルーは仕組み上、IPv4 の場合は NAT Traversal パススルーも必要になります。
【NTT 東西:フレッツネクスト網の場合】
IPv6 で IPsec IKE/esp プロトコルのパススルー(開放)を IPv6 フィルター機能を使って設定します。
ポート開放では IPsec IKE は通せますが、esp が通せません。
なので、両方を通すには IPv6 フィルター機能で設定するのが最適です。
【NTT 東西以外(KDDI、CATV 系、電力系、nuro など)の場合】
IPv4 で IPsec IKE/esp プロトコルのパススルー(開放)を IPv4 フィルター機能を使って設定します。
IPv6 の場合と同様、IPsec IKE と esp の両方を通すには IPv4 フィルター機能で設定するのが最適です。
さらに IPv4 の場合は NAT Traversal パススルー設定も必要です。
なぜなら、IPv4 で esp パススルーにするには NAT を越える必要があるからです。
IPv6 は通常は NAT しないので不要です。
特殊なルーターで次の nuro などと同等のルーターの場合は、IPsec ALG を使います。
IPsec ALG により、IPsec IKE/esp パススルーと NAT Traversal パススルーになります。
【nuro や コミュファ光のルーターの場合】
ポート開放機能があり、IPsec IKE は通せますが esp が通せません。
なので IPsec ALG(Application Layer Gateway)によるパススルー設定をします。
パススルー設定とは、特定のプロトコルやポートを開放して外部サーバー側からの通信を通してやる、ということです。
IPsec IKE/esp と Rakuten Casa の振る舞いについては後ろの方に解説します。
Rakuten Casa のパススルー設定について
フレッツ網を使っているプロバイダを利用している場合は「IPv6 で IPsec IKE/esp をパススルー」設定します。
これは楽天モバイル側がフレッツ網につながって IPv6 で VPN を張るようにしているからです。
具体的には、
① esp(暗号化);プロトコル番号 = 50
② IKE(鍵交換);プロトコル = UDP、ポート = 500
③ NAT Traversal;プロトコル = UDP、ポート = 4500
IPv6 では NAT は通常は使いませんので ③ は設定不要です
を、ルーターの IPv6 フィルター設定機能を使ってパススルー設定します。
間違っても「IPv6 ブリッジ(または IPv6 パススルー)」設定はしないでください。
Rakuten Casa 接続に際して一時的に「IPv6 ブリッジ(または IPv6 パススルー)」設定を行った場合でも、必ず IPv6 フィルター機能で設定し直してください。
Rakuten Casa のホームページの設定に関し「IPv6 で IPsec IKE/esp をパススルー」設定のほかに「IPv6 ブリッジ(または IPv6 パススルー)」設定が書かれていますが、これはセキュリティ上、非常に問題がある記述で、ネットワーク技術やセキュリティリテラシーが極めて低いヒトが記載したものでしょう。
こういうところは楽天表現そのものでいただけません。
当ブログの Rakuten Casa がつながりました!!! (2020-12-24)に「IPv6 で IPsec IKE/esp をパススルー」の仕方を Aterm ルーターや Buffalo ルーターの設定事例として記載していますが、ここに一部修正して再掲します。
Rakuten Casa 接続のためのルーター設定事例
IPv6 フィルターで IPsec IKE/esp パススルー設定しますがその時に指定する IPv6 プレフィックスアドレスは以下の方法1か、方法2で得ます。
方法1;
ウェブで https::/test-ipv6.com をアクセスすると、2番目に
「一般のインターネット上で見えるあなたの IPv6 アドレスは
2001:f71:a0e0:5600:〜〜:123b」
のように表示されると思いますので、先頭から4個 2001:f71:a0e0:5600: をメモまたはコピーします(あとでペーストします)。
方法2;
ルーターの状態表示の中に「IPv6アドレス(グローバル)」で表示されているアドレス
「2001:f71:a0e0:5600:〜〜:123b」
の先頭から4個 2001:f71:a0e0:5600: をメモまたはコピーします(後でペーストします)。
IPv6 プレフィックスアドレス 2001:f71:a0e0:5600::/64 はルーター配下の機器類の IPv6 アドレスに共通で、IPv4 で 192.168.xxx.0/24 と表記するのと同等の意味です。
Rakuten Casa もその一つです。
結果的に IPsec IKE/esp 対応した Rakuten Casa のみが対象になります。
Rakuten Casa の WAN 側の IPv6 アドレスを完全に指定する必要はないのです。
その他のルーター配下の機器類も同じ IPv6 プレフィックスアドレスですが、これらの機器は意図しない限りすべてのプロトコルとポートは外から中へは閉じているはずですから安全です。
HGW の場合
詳細設定 ⇨ IPv6パケットフィルター設定(IPoE)に移ります。
1.IPv6セキュリティのレベル
初期値は「標準」で、そのままだと Rakuten Casa が接続できるのですが、セキュリティ上は大変マズイ状態です。
フレッツ網にいる他人からあなたの IPv6 のすべてのポートが筒抜けで見えてしまいます。
必ず「高度」に設定し、2項のパケットフィルター機能で IPsec IKE/esp パススルー設定します。
2.IPv6パケットフィルターの設定(IPoE)
最初にプロトコル・esp を通過設定しますので、エントリ番号1の[編集]をクリックします。
・フィルター種別:[許可]に設定
・通信方向:[IPoEー>LAN]に設定
・プロトコル:[プロトコル番号指定]をクリックし、番号として[50]を設定(プロトコル esp)
・宛先IPv6プレフィックス/プレフィックス長
最初にメモまたはコピーしておいたプレフィックスを設定
例えば[2001:f71:a0e0:5600::]
▷ ひかり電話契約あり:プレフィックス長に[56]を設定
▷ ひかり電話契約なし:プレフィックス長に[64]を設定
・[設定]⇨[戻る]
次に IPsec IKE の通過設定をしますので、エントリ番号2の[編集]をクリックします。
・フィルター種別:[許可]に設定
・通信方向:[IPoEー>LAN]に設定
・プロトコル:プロトコル名選択で[UDP]を選択
・宛先IPv6プレフィックス/プレフィックス長
最初にメモまたはコピーしておいたプレフィックスを設定
例えば[2001:f71:a0e0:5600::]
▷ ひかり電話契約あり:プレフィックス長に[56]を設定
▷ ひかり電話契約なし:プレフィックス長に[64]を設定
・宛先ポート:ポート番号指定[500]を設定
・[設定]⇨[戻る]
IPv6パケットフィルター一覧のエントリ番号1と2の[有効/無効]欄にチェックを入れ[設定]で反映させます。
以上です。
Aterm ルーターの場合
1.IPv6 を有効にし、セキュリティ設定をします
[基本設定] → [基本設定] → [IPv6動作モード] を [ND Proxy] または [使用する] にします。
インターネット接続はこの例では PPPoE 接続にして IPv6 も併用する設定で IPoE も有効にします。
つまり PPPoE(IPv4接続)+ IPoE(IPv6接続)での設定事例です。
PPPoE(IPv4接続)+ IPoE ではない、例えば v6プラスや、transix などの接続サービスを契約の場合は、[動作モード] を v6プラス などに設定します。
次に [基本設定] → [接続先設定] → [詳細な項目を表示] をクリックし [IPv6ファイアウォール機能] を [ON] にします。

2.IPv6プリフィックスアドレス(グローバル)を得ます
最初にメモまたはコピーしておいた IPv6プレフィックス・例えば[2001:f71:a0e0:5600::]

3.IPv6 パケットフィルター設定をします
(1) esp:プロトコル番号 50 の通過設定をします
[追加] をクリックします。
[優先度] 欄をデフォルト設定された番号(多分 [18] までが設定済みのハズですので)次の番号 [19] を設定します。
[プロトコル] 欄は [その他] を選択すると [プロトコル番号] 欄が入力可能になりますので [50] を設定します。
[宛先IPアドレス] 欄は [アドレス措定] をチェックし、アドレス欄に2項で得たアドレス [2001:f71:a0e0:5600::] を入力します(アドレスは一例)。
下図では aaaa:bbbb:cccc:dddd:: としている部分です。
その下の欄には [64] を入力します。
(2) IPSec IKE(プロトコル:UDP / ポート番号:500)の通過設定をします
IPv6パケットフィルター設定に戻り、(1) 項同様に [追加] をクリックして [優先度] を [20] にします。
[プロトコル] は [UDP] を選択します。
[プロトコル番号] は空欄のままです。
[宛先IPアドレス] 欄は (1) 項と同様に設定します。
[宛作ポート] 欄は [any] のチェックを外し、入力欄には [500]-[500] を入力します。
以上を設定したら再起動で設定を反映させます。
Buffalo ルーターの場合
1.IPv6 を有効にし、セキュリティ設定をします
インターネット接続は Aterm での事例と同様に PPPoE 接続にして IPv6 も併用する設定で IPoE も有効にします。
つまり PPPoE(IPv4接続)+ IPoE(IPv6接続)での設定事例です。
PPPoE(IPv4接続)+ IPoE ではない、例えば v6プラスや、transix などの接続サービスを契約の場合は、[Internet] → [Internet] と進み、それぞれの接続設定をします。
ここでは左のメニューから [PPPoE] を選び、 PPPoE の設定をしています。
PPPoE の接続 ID / PW 設定画面は割愛します。

次に IPv6 の設定ですが [NDプロキシを使用する] にチェックをします。
これにより、バッファロールーターのデフォルトのフィルター機能が有効になり、セキュリティ設定されます。
2.IPv6 プリフィックスアドレス(グローバル)を得ます
最初にメモまたはコピーしておいた IPv6プレフィックス・例えば[2001:f71:a0e0:5600::]
3.IPv6 パケットフィルター設定をします
[セキュリティ] → [IPv6フィルター] と進みます。
(1) esp:プロトコル番号 50 の通過設定をします
[追加] をクリックします。
次の画面のように設定します。
メモまたはコピーしておいた IPv6プレフィックス・例えば[2001:f71:a0e0:5600::]を使います。
[動作]:通過
[方向]:Internet->LAN
[IPアドレス]:送信元は空欄のまま
宛先は 2001:f71:a0e0:5600::/64 のようにします
[プロトコル]:[任意] にチェックを入れ [プロトコル番号] に "50" を設定します。
保存設定します。
(2) IPsec IKE(プロトコル:UDP / ポート番号:500)の通過設定をします
IPv6フィルター設定に戻り、(1) 項同様に [追加(終端)] をクリックします。
[動作]:通過
[方向]:Internet->LAN
[IPアドレス]:送信元は空欄のまま
宛先は 2001:f71:a0e0:5600::/64 のようにします
[プロトコル]:[TCP/UDP] にチェックを入れ [任意のUDPポート] として "500" を設定します。
以上を設定したら再起動で設定を反映させます。
ELECOM ルーターの場合
IPv6 でのフィルター設定やポートフォワーディングができないルーターです。
IPv6 ブリッジ(パススルー)はできますが、セキュリティが確保できないのでお勧めできません。
なので、Rakuten Casa を接続するためのルーターとしては不適です。
IO-DATA ルーターの場合
ELECOM ルーターと同じで理由で Rakuten Casa を接続するためのルーターとしては不適です。
ーーーーーーーーーー
フレッツ網以外の場合は 「IPv4 で IPsec IKE/esp と NAT Traversal をパススルー」設定します。
IPv4 の IPsec IKE/esp パススルーと NAT Traversal パススルーは、IPv4 フィルター機能で IPv6 と同様に設定します。
③ NAT Traversal;プロトコル = UDP、ポート = 4500
このとき、Rakuten Casa の WAN 側の IP アドレスは DHCP 割り当てではなく、固定アドレスにすることをお勧めします。
再起動してもアドレスが変わらないからです。
IPv4 フィルターでの宛先アドレスは、この固定アドレスを指定します。
nuro や コミュファ光などの特殊なルーター(F660P/A や F2883S)は ① esp をパススルー設定できませんので、ALG(Application Layer Gateway)で IPsec を通過させるようにします。
nuro のルーター・F660P/A の場合
・ルーターの LAN ポートと Casa の WAN ポートを LAN ケーブル(CAT6 以上)で接続
・ファイアウォール機能を有効:チェック入れる
・ファイアウォールレベル (IPv4):高
・SPI (IPv6) を有効:チェックを入れる
・ALGスイッチ:IPSEC ALGにチェック入れる
・上記以外デフォルト
コミュファ光のルーター・F2883S の場合
・ルーターの LAN ポートと Casa の WAN ポートを LAN ケーブル(CAT6 以上)で接続
・ALG設定:IPSEC ALG をオンにする
・上記以外デフォルト
Rakuten Casa 接続時の LTE ランプの状態
Casa に故障や楽天モバイル側の出荷時のミスがなく、接続設定が正しければ次のように変遷します。
1️⃣ 消灯 :30〜50秒間、消灯状態
2️⃣ 緑色点滅:1秒間隔で繰り返し、80〜90秒続く
LTE が再接続されれば OK(緑 "点灯" になる)
LTE が再接続できないと ③ に移る
3️⃣ 黄色点滅:4回点滅を繰り返し、10分以上続く
再び 1️⃣ から繰り返す
つまり 1️⃣ 〜 3️⃣ は、1時間に 約5回 ほど繰り返す、ということになります。
この一連の表示遷移を長時間繰り返しますが(1日〜数日?)、放置しておけばそのうちに LTE 再接続されます。
ランプ表示がこのように遷移しない場合は、ルーター側の設定問題か、Rakuten Casa の故障などが考えられます。
設定が正しい場合、Rakuten Casa のサポートに連絡して接続認証状態を確認してもらう必要があります。
Rakuten Casa の接続動作について
以下は一部に推定を含みます。
当初の Casa のバージョンでは接続ログを見れましたから、ある程度処理内容の推定ができました。
いまはログが見れないようです。
Casa 接続までの処理ルートは次のようになっています。
[Casa]⇨[ルーター]⇨[インターネット]⇨[認証サーバー]⇨
⇨[VPN Gateway]⇨[Rakuten LTE Controller]
Casa は最初に認証処理を行いますが ID として Casa の WAN 側の MAC アドレスを用いています(ログで確認済み)。
この MAC アドレスを用いた認証に失敗すると VPN 接続フェーズに移行しません。
失敗の原因は故障や LAN ケーブル接続不良など以外では Casa 出荷に際して認証サーバー(Radius か)に登録する MAC アドレスを誤っているケースです(楽天モバイル担当者による人災です)。
MAC アドレスが正しくても、認証手続きが一定回数または一定時間内に成功しないと認証サーバーはロックします。
ロックを解除してもらわない限り接続再処理には移行しません。
ちなみに楽天モバイルの Rakuten Casa サポートでは認証サーバーのことを「コントローラー」と呼んでいるようで「Rakuten LTE Controller」と混同します。
認証が OK になると Rakuten Casa から楽天モバイルの VPN サーバーに接続処理し、その先にある「Rakuten LTE Controller」と接続して LTE を吹くという手順になります。
この場合、VPN サーバー側からはユーザーのグローバル IP がわからないので Rakuten Casa は「アグレッシブモード」で接続処理しているはずです。
両者間の IP アドレスが分かっている場合は通常「メインモード」で接続処理なのですが、Rakuten Casa は「アグレッシブモード」での接続処理と思われます。
「アグレッシブモード」では Rakuten Casa 側は ID とパスワードで、VPN サーバーの IP アドレスを指定して接続処理に移ります。
ここでの ID も Rakuten Casa の WAN 側の MAC アドレスが使われていると思われます。
MAC アドレスと推定しているのは世界中で一意に定まるからです。
VPN サーバーの先にある「Rakuten LTE Controller」からの戻りパケットを受け入れるために "IPsec IKE/esp" プロトコルのパススルー設定が必要になります。
LTE を吹くようになると IPsec VPN の「DPD(デッド・ピア検出)定期メッセージ」を5秒間隔でサーバーとやり取りし、VPN の「生死確認」をしています(ログで確認済み)。
まずは Rakuten Casa 側から「Rakuten LTE Controller」に向けてメッセージを送ります。
これに対する応答メッセージ(IPv6 パケット)が「Rakuten LTE Controller」から送られてきます。
Rakuten Casa が受け入れできるように Casa を接続しているルーターの WAN の IPsec IKE(ポート 500)/ esp プロトコル(50)を開放しておく必要があります。
この「生死確認」が長時間途絶えると再接続に際して「正当に接続していた Rakuten Casa なのか」を確認し、その手順に時間がかかるようです。
長時間途絶える、という状態は Casa の設置場所を別の部屋に変えるなど、電源を落としたまましばらく時間が経ったときとかです。
なお、VPN 接続に際して IPv6 パケットでやりとりしており、これができないときに IPv4 にフォールバックしますが、フレッツ網ではフォールバックが失敗するようです。
フレッツ網以外では IPv4 での VPN 接続になっています。
このような技術解説を楽天モバイルがしてくれるとよりいっそう理解が深まりますし、無用な問い合わせが減ると思うのですが。。。
楽天モバイルの技術者たちは何をしているのでしょうか。
ド素人のサポート担当者まかせは組織に問題があり、経営層に責任があります。
三木谷さん、こういう状況を理解されていますか?
