Rakuten Casa 接続で LTE を吹く

 

 

最近また Rakuten Casa がつながらない、LTE を吹かないという件に関してコメントで問い合わせが来るようになりました。

 

 

Google 検索をチェックしてみると「こうすればつながる／つながったと」いう多くが、セキュリティに配慮しない IPv6 パススルー（または IPv6 ブリッジ）でLTE を吹くようになった、というものです。

これは大変危険です。

 

IPv6 パススルー（または IPv6 ブリッジ）は世界中にあなたの IPv6 が筒抜けになっています。

 

ポートスキャンでポートの穴を見つけると、そこから侵入される恐れがあります。

 

なので、正しく VPN プロトコルだけを通す設定で「つなぐ」必要があります。

 

そうすれば暗号化と鍵交換でセキュリティが確保されますから安心なのです。

 

ここではそのことに関して記載しています。

ーーーーーーーーーー

 

ウチでは楽天電波がどの部屋でも入るようになっていますので、Rakuten Casa は 2022年１月に返却済みです。

 

2020年12月に Rakuten Casa がつながった頃の接続に関して改めて整理してみました。

 

 

出典：楽天モバイルの Rakuten Casa に関するホームページより抜粋

 

Rakuten Casa は小型基地局で、家の中に楽天モバイルの LTE 電波が飛ぶ（吹く）ようになります。

Rakuten Link のみならず、標準通話アプリや標準メッセージアプリによる通話や SMS も安定します。

 

Rakuten Link ログインの際も SMS 認証が必要で、このときも Casa 設置の意味があります。

 

 

 

Rakuten Casa は接続に際して VPN を介しており、そのためルーターに IPsec IKE/esp VPN をパススルー設定（開放設定）しなくてはいけません。

 

 

パススルー設定とは、特定のプロトコルやポートを開放して外部サーバー側からの通信を通してやる、ということです。

 

IPsec IKE/esp と Rakuten Casa の振る舞いについては後ろの方に解説します。

 

 

 

 

 Rakuten Casa のパススルー設定について 

フレッツ網を使っているプロバイダを利用している場合は「IPv6 で IPsec IKE/esp をパススルー」設定します。

 

これは楽天モバイル側がフレッツ網につながって IPv6 で VPN を張るようにしているからです。

 

 

具体的には、

 

　① esp（暗号化）；プロトコル番号 = 50

　② IKE（鍵交換）；プロトコル = UDP、ポート = 500

　③ NAT Traversal；プロトコル = UDP、ポート = 4500

　　 IPv6 では NAT は通常は使いませんので ③ は設定不要です

を、ルーターの IPv6 フィルター設定機能を使ってパススルー設定します。

 

間違っても「IPv6 パススルー（または IPv6 ブリッジ）」設定はしないでください。

 

 

Rakuten Casa 接続に際して一時的に「IPv6 パススルー（または IPv6 ブリッジ）」設定を行った場合でも、必ず IPv6 フィルター機能で設定し直してください。

 

Rakuten Casa のホームページの設定に関し「IPv6 で IPsec IKE/esp をパススルー」設定のほかに「IPv6 パススルー（または IPv6 ブリッジ）」設定が書かれていますが、これはセキュリティ上、非常に問題がある記述で、ネットワーク技術やセキュリティリテラシーが極めて低いヒトが記載したものでしょう（こういうところは楽天表現そのものでいただけません）。

 

 

 

 

当ブログの下記記事に「IPv6 で IPsec IKE/esp をパススルー」の仕方を Buffalo ルーターや Aterm ルーターの設定事例として記載していますので参考ください。

Rakuten Casa がつながりました！！！ （2020-12-24）

 

 

 

フレッツ網以外の場合は 「IPv4 で IPsec IKE/esp をパススルー」設定します。

 

 

IPv4 の場合は NAT traversal も通過設定が必要かも知れません。

 

　③ NAT Traversal；プロトコル = UDP、ポート = 4500

 

 

Nuro や コミュファ光などの特殊なルーター（F660P/A や F2883S）は ① esp をパススルー設定できませんので、ALG（Application Layer Gateway）で IPsec を通過させるようにします。 

 

 Nuro のルーター・F660P/A の場合 

　・ルーターの LAN ポートと Casa の WAN ポートを LAN ケーブル（CAT6 以上）で接続
　・ファイアウォール機能を有効：チェック入れる
　・ファイアウォールレベル (IPv4)：高
　・SPI (IPv6) を有効：チェックを入れる
　・ALGスイッチ：IPSEC ALGにチェック入れる
　・上記以外デフォルト

 コミュファ光のルーター・F2883S の場合  
 

　・ルーターの LAN ポートと Casa の WAN ポートを LAN ケーブル（CAT6 以上）で接続
　・ALG設定：IPSEC ALG をオンにする
　・上記以外デフォルト

 Rakuten Casa 接続時の LTE ランプの状態 

 

Casa に故障や楽天モバイル側の出荷時のミスがなく、接続設定が正しければ次のように変遷します。

 

　1️⃣ 消灯　　：３０〜５０秒間、消灯状態

　2️⃣ 緑色点滅：１秒間隔で繰り返し、８０〜９０秒続く

　　　LTE が再接続されれば OK（緑 "点灯" になる）

　　　LTE が再接続できないと ③ に移る

　3️⃣ 黄色点滅：４回点滅を繰り返し、１０分以上続く

　　　再び 1️⃣ から繰り返す

つまり 1️⃣ 〜 3️⃣ は、１時間に 約５回 ほど繰り返す、ということになります。

この一連の表示遷移を長時間繰り返しますが（１日〜数日？）、放置しておけばそのうちに LTE 再接続されます。

 

ランプ表示がこのように遷移しない場合は、ルーター側の設定問題か、Rakuten Casa の故障などが考えられます。
 

 

設定が正しい場合、Rakuten Casa のサポートに連絡して接続認証状態を確認してもらう必要があります。

 

 

 

 

 Rakuten Casa の接続動作について 

 

以下は一部に推定を含みます。

 

当初の Casa のバージョンでは接続ログを見れましたから、ある程度処理内容の推定ができました。

 

いまはログが見れないようです。

 

Casa 接続までの処理ルートは次のようになっています。

 

　［Casa］⇨［ルーター］⇨［インターネット］⇨［認証サーバー］⇨

　　　⇨［VPN Gateway］⇨［Rakuten LTE Controller］ 

 

Casa は最初に認証処理を行いますが ID として Casa の WAN 側の MAC アドレスを用いています（ログで確認済み）。

 

この MAC アドレスを用いた認証に失敗すると VPN 接続フェーズに移行しません。

 

 

失敗の原因は故障や LAN ケーブル接続不良など以外では Casa 出荷に際して認証サーバー（Radius か）に登録する MAC アドレスを誤っているケースです（人災です）。

 

 

MAC アドレスが正しくても、認証手続きが一定回数または一定時間内に成功しないと認証サーバーはロックします。

 

ロックを解除してもらわない限り接続再処理には移行しません。

 

ちなみに楽天モバイルの Rakuten Casa サポートでは認証サーバーのことを「コントローラー」と呼んでいるようで「Rakuten LTE Controller」と混同します。

 

 

 

認証が OK になると Rakuten Casa から楽天モバイルの VPN サーバーに接続処理し、その先にある「Rakuten LTE Controller」と接続して LTE を吹くという手順になります。

 

この場合、VPN サーバー側からはユーザーのグローバル IP がわからないので Rakuten Casa は「アグレッシブモード」で接続処理しているはずです。

 

両者間の IP アドレスが分かっている場合は通常「メインモード」で接続処理なのですが、Rakuten Casa は「アグレッシブモード」での接続処理と思われます。

 

 

「アグレッシブモード」では Rakuten Casa 側は ID とパスワードで、VPN サーバーの IP アドレスを指定して接続処理に移ります。

 

ここでの ID も Rakuten Casa の WAN 側の MAC アドレスが使われていると思われます（推定ですが、世界中で一意に定まるので）。

 

 

VPN サーバーの先にある「Rakuten LTE Controller」からの戻りパケットを受け入れるために "IPsec IKE/esp" プロトコルのパススルー設定が必要になります。

 

 

LTE を吹くようになると IPsec VPN の「DPD（デッド・ピア検出）定期メッセージ」を５秒間隔でサーバーとやり取りし、VPN の「生死確認」をしています（ログで確認済み）。  

 

まずは Rakuten Casa 側から「Rakuten LTE Controller」に向けてメッセージを送ります。

 

これに対する応答メッセージ（IPv6 パケット）が「Rakuten LTE Controller」から送られてきます。

 

Rakuten Casa が受け入れできるように Casa を接続しているルーターの WAN の IPsec IKE（ポート 500）/ esp プロトコル（50）を開放しておく必要があります。

 

 

この「生死確認」が長時間途絶えると再接続に際して「正当に接続していた Rakuten Casa なのか」を確認し、その手順に時間がかかるようです。

 

長時間途絶える、という状態は Casa の設置場所を別の部屋に変えるなど、電源を落としたまましばらく時間が経ったときとかです。

 

 

なお、VPN 接続に際して IPv6 パケットでやりとりしており、これができないときに IPv4 にフォールバックしますが、フレッツ網ではフォールバックが失敗するようです。

 

フレッツ網以外では IPv4 での VPN 接続になっています。

 

 

このような技術解説を楽天モバイルがしてくれるとよりいっそう理解が深まりますし、無用な問い合わせが減ると思うのですが。。。