ページ

2024-09-08

Rakuten Casa が LTE を吹くための安全な接続方法

 

【2024-09-18】ルーターの設定事例を再載

【2024-09-21】Rakuten Casa ホームページの記載内容の危険性に関して追記

【2024-09-22】HGW の設定事例を追加記載

【2024-09-23】ルーター設定事例の記載の誤りを訂正

【2024-09-24】記載内容をブラッシュアップ

【2024-10-03】Rakuten Casa ホームページ記載内容は、本来どう記載するべきだったか?

 

最近また Rakuten Casa がつながらない、LTE を吹かないという件に関してコメントで問い合わせが来るようになりました。

 

 

タイトルに「安全な接続方法」としたのは次のような理由からです。

 

Google 検索をチェックしてみると「こうすればつながる/つながったと」いう多くが、セキュリティに配慮しない IPv6 ブリッジ(または IPv6 パススルーでLTE を吹くようになった、というもので危険性が高いです。

 

 

IPv6 ブリッジは、IPv4 でルーター配下のすべての機器類を DMZ(非武装地帯)に置くことと等価なのです。

 

こんな恐ろしいことをあなたはできますか。



楽天モバイルの Rakuten Casa に関する記載は大変不親切で何をいっているのかが分かりづらく、かつセキュリティ上、大変危険な記載になっています。


出典:Rakuten Casa ホームページから抜粋



あなたはこの Rakuten Casa に関する記載内容を理解できますか?


難しくて理解できないのではなく、支離滅裂なので理解できないのです。



【問題点】

* IPsec IKE パススルー機能が必要、と言いながら IPv6 ブリッジ機能を有効にせよ、
    という危険な表現

    さらに「IPsec IKE パススルー」のみの記載で、「esp パススルー」が抜けている。

 

    NTT 東西の場合は IPv6 で IPsec IKE/esp パススルー設定する、とするべき 

 

* NTT 東西以外も IPsec IKE パススルー機能が必要、といいながら「NAT モード」に設定、
    という楽天表現!!  

    「NAT モード」が何のことかわかりますか?

    単に「ルーターモード」とすればいいのに「NAT モード」とは普通は表現しません
    (笑っちゃいます)

 

    NAT は通常は IPv4 での利用なので、NTT 東西以外は IPv4 で、といいたかったのか?

    だったら素直に IPv4 で IPsec IKE/esp パススルー設定する、といえばよかったのでは?


    例えば Aterm ルーターでは RT/BR/CNV モードがあり、それぞれ
    ルーター/ブリッジ(アクセスポイント)/コンバーター(中継・子機)モードです


* さらに Rakuten Casa クイックスタートガイドにも IPv6 ブリッジを有効にせよ、
    とあり危険なことを推奨している


    これはキャリアが決していってはならない、信頼を損ねる

    もし、Rakuten Casa 設置ユーザーに侵入や漏洩・改ざんなどがあったら
    楽天モバイルはどうするのか!!


* Rakuten Casa6 の場合 LTE を吹くための接続に関する記載がなく、
    推定ながら IPv6 ブリッジになっていると思われ、危険と思われる

 

    Rakuten Casa の接続に関して間違ったことを記載しており、あり得ることか?


* NTT 東西以外は IPv4 での IPsec IKE/esp パススルーだが IPv4 という表現が抜けている

    また IPv4 の場合 NAT Traversal パススルーも必要と思われるが記載がない

 

    NAT を使う場合 esp プロトコルを通過させるには NAT Traversal が必要(のはず)

 

* nuro などの特殊なルーターへの言及がない

    これらのルーターは IPv4 での IPsec IKE はポート開放できるが、
    esp パススルー設定する機能がない

 

    IPsec ALG をオンにすることで、IPv4 の IPsec IKE/esp パススルーと、
    NAT Traversal パススルーになる

 


 

なぜこのようなキャリアとして無責任な記述になってしまったのでしょうか。

 

おそらく接続に関する問い合わせが多くて、安易に「IPv6 ブリッジ」に行き着いたのではないかと。。。楽天表現!!



楽天モバイルはこのような重要事項に関してネットワークのプロ技術者が査読しないのでしょうか。

 

だから「楽天表現!!」という皮肉を込めた表現にしています。

 

 

ですが「IPv6 ブリッジ」はセキュリティ上、大変問題があ世界中にあなたの IPv6 が筒抜けになっています。

 

筒抜けとは「すべてのプロトコル、ポートが見える」ということです。

 

この筒抜け状態はルーターのみならず、配下の機器・PC やスマホなども筒抜け状態です。

 

 

ポートスキャンでポートの穴を見つけると、そこから侵入される恐れがあります。

 

詳細は割愛しますが、ほかにも侵入手段があり、危険な状態です。

 

 

 

それでは Rakuten Casa に関し、LTE を吹かせるためにはどう表現すればよかったのでしょうか。

 

ーーーーー ここから ーーーーー

0️⃣ ルーターの LAN ポートと Casa の WAN ポートを CAT6 以上の LAN ケーブルでつなぐ


   (CAT5 でも構わないが、CAT6 以上を推奨)

 

1️⃣ NTT 東西(フレッツネクスト網)の場合;

    IPv6 フィルター機能のあるルーターを使い、IPv6 で IPsec IKE/esp パススルー設定する


2️⃣ NTT東西以外(KDDI、CATV 系、電力系、nuro など);

    IPv4 フィルター機能があるルーターを使い、IPv4で IPsec IKE/esp パススルー設定する

    IPv4 では NAT Traversal パススルー設定もする


    または IPv4 IPsec ALG でパススルー設定する

 

3️⃣ IPv6 ブリッジは推奨しない;

    IPv6 ブリッジは、すべてのプロトコルとポートをパススルーし、
    IPsec IKE/esp もパススルー対象になるが、セキュリティ上推奨できない



以上のように表現を改めるべきでしょう。

 

また、いくつかのルーターについて設定事例を記載するとなおよいのではないでしょうか。

ーーーーー ここまで ーーーーー

 

 

Rakuten Casa は正しく VPN プロトコルだけを通す設定で「つなぐ」必要があります。

 

そうすれば暗号化と鍵交換でセキュリティが確保されますから安心なのです。

 

ここではそのことに関して記載しています。


====================

 

ウチでは楽天電波がどの部屋でも入るようになっていますので、Rakuten Casa は 2022年1月に返却済みです。

 

2020年12月に Rakuten Casa がつながった頃の接続に関して改めて整理してみました。

 

つながるまでは Rakuten Casa のホームページの接続に関する記載が、ネットワーク技術上、何をいっているのかが理解不能でした。

 

つながってみて初めて一部の表記がいいたいことを理解しましたが、いまでも不適切表記と思っています。

 

 

出典:楽天モバイルの Rakuten Casa に関するホームページより抜粋
 

Rakuten Casa は小型基地局で、家の中に楽天モバイルの LTE 電波が飛ぶ(吹く)ようになります。


Rakuten Link のみならず、標準通話アプリや標準メッセージアプリによる通話や SMS も安定します。

 

Rakuten Link ログインの際も SMS 認証が必要で、このときも Casa 設置の意味があります。

 

 

 

Rakuten Casa は接続に際して VPN を介しており、そのためルーターに IPsec IKE/esp VPN をパススルー設定(開放設定)する必要があります。

 

これは IPv6 による設定と、IPv4 による設定を、フレッツネクスト網かどうかで使い分ける必要もあります。

 

IKE パススルーのみの場合 Casa はつながりません。 

 

esp パススルーも必要です。

 

さらに、IPsec IKE/esp パススルーは仕組み上、IPv4 の場合は NAT Traversal パススルーも必要になります。

 

 

 

 

【NTT 東西:フレッツネクスト網の場合】

 

IPv6 で IPsec IKE/esp プロトコルのパススルー(開放)を IPv6 フィルター機能を使って設定します。

 

ポート開放では IPsec IKE は通せますが、esp が通せません。

 

なので、両方を通すには IPv6 フィルター機能で設定するのが最適です。

 



【NTT 東西以外(KDDI、CATV 系、電力系、nuro など)の場合】

 

IPv4 で IPsec IKE/esp プロトコルのパススルー(開放)を IPv4 フィルター機能を使って設定します。

 

IPv6 の場合と同様、IPsec IKE と esp の両方を通すには IPv4 フィルター機能で設定するのが最適です。 


さらに IPv4 の場合は NAT Traversal パススルー設定も必要です。


なぜなら、IPv4 で esp パススルーにするには NAT を越える必要があるからです。

 

IPv6 は通常は NAT しないので不要です。


特殊なルーターで次の nuro などと同等のルーターの場合は、IPsec ALG を使います。

 

 

IPsec ALG により、IPsec IKE/esp パススルーと NAT Traversal パススルーになります。



 

【nuro や コミュファ光のルーターの場合】

 

ポート開放機能があり、IPsec IKE は通せますが esp が通せません。

 

なので IPsec ALG(Application Layer Gateway)によるパススルー設定をします。

 

 

 

 

 

パススルー設定とは、特定のプロトコルやポートを開放して外部サーバー側からの通信を通してやる、ということです。

 

IPsec IKE/esp と Rakuten Casa の振る舞いについては後ろの方に解説します。

 

 

 

 

 

 Rakuten Casa のパススルー設定について 


フレッツ網を使っているプロバイダを利用している場合はIPv6IPsec IKE/esp をパススルー設定します。

 

これは楽天モバイル側がフレッツ網につながって IPv6 で VPN を張るようにしているからです。

 

 

具体的には、

 

 ① esp(暗号化);プロトコル番号 = 50

 ② IKE(鍵交換);プロトコル = UDP、ポート = 500

 ③ NAT Traversal;プロトコル = UDP、ポート = 4500

   IPv6 では NAT は通常は使いませんので ③ は設定不要です


を、ルーターの IPv6 フィルター設定機能を使ってパススルー設定します。

 

間違ってもIPv6 ブリッジ(または IPv6 パススルー設定はしないでください。

 

 

Rakuten Casa 接続に際して一時的にIPv6 ブリッジ(または IPv6 パススルー設定を行った場合でも、必ず IPv6 フィルター機能で設定し直してください。

 

Rakuten Casa のホームページの設定に関しIPv6IPsec IKE/esp をパススルー設定のほかにIPv6 ブリッジ(または IPv6 パススルー設定が書かれていますが、これはセキュリティ上、非常に問題がある記述で、ネットワーク技術やセキュリティリテラシーが極めて低いヒトが記載したものでしょう。

 

こういうところは楽天表現そのものでいただけません。

 

 

 

 

当ブログの Rakuten Casa がつながりました!!! (2020-12-24)IPv6IPsec IKE/esp をパススルーの仕方を Aterm ルーターや Buffalo ルーターの設定事例として記載していますが、ここに一部修正して再掲します。

 

 

 

 

 Rakuten Casa 接続のためのルーター設定事例 


IPv6 フィルターで IPsec IKE/esp パススルー設定しますがその時に指定する IPv6 プレフィックスアドレスは以下の方法1か、方法2で得ます。



方法1;

ウェブで https::/test-ipv6.com をアクセスすると、2番目に

 

一般のインターネット上で見えるあなたの IPv6 アドレスは
  
2001:f71:a0e0:5600:〜〜:123b

 

のように表示されると思いますので、先頭から4個 2001:f71:a0e0:5600: をメモまたはコピーします(あとでペーストします)。


方法2;

ルーターの状態表示の中に「IPv6アドレス(グローバル)」で表示されているアドレス

 

2001:f71:a0e0:5600:〜〜:123b

 

の先頭から4個 2001:f71:a0e0:5600: をメモまたはコピーします(後でペーストします)。

 

 

IPv6 プレフィックスアドレス 2001:f71:a0e0:5600::/64 はルーター配下の機器類の IPv6 アドレスに共通で、IPv4 で 192.168.xxx.0/24 と表記するのと同等の意味です。

 

Rakuten Casa もその一つです。

 

結果的に IPsec IKE/esp 対応した Rakuten Casa のみが対象になります。

 

Rakuten Casa の WAN 側の IPv6 アドレスを完全に指定する必要はないのです。

 

その他のルーター配下の機器類も同じ IPv6 プレフィックスアドレスですが、これらの機器は意図しない限りすべてのプロトコルとポートは外から中へは閉じているはずですから安全です。

 

 

 


 HGW の場合 

 

詳細設定 ⇨ IPv6パケットフィルター設定(IPoE)に移ります。

 

 

1.IPv6セキュリティのレベル

 

初期値は「標準」で、そのままだと Rakuten Casa が接続できるのですが、セキュリティ上は大変マズイ状態です。

 

フレッツ網にいる他人からあなたの IPv6 のすべてのポートが筒抜けで見えてしまいます。

 

必ず「高度」に設定し、2項のパケットフィルター機能で IPsec IKE/esp パススルー設定します。

 

 

2.IPv6パケットフィルターの設定(IPoE)


最初にプロトコル・esp を通過設定しますので、エントリ番号1の[編集]をクリックします。

 

・フィルター種別:[許可]に設定

・通信方向:[IPoEー>LAN]に設定

・プロトコル:[プロトコル番号指定]をクリックし、番号として[50]を設定(プロトコル esp)

・宛先IPv6プレフィックス/プレフィックス長

   最初にメモまたはコピーしておいたプレフィックスを設定

   例えば[2001:f71:a0e0:5600::

  

     ▷ ひかり電話契約あり:プレフィックス長に[56]を設定

     ▷ ひかり電話契約なし:プレフィックス長に[64]を設定

・[設定]⇨[戻る

 

 

次に IPsec IKE の通過設定をしますので、エントリ番号2の[編集]をクリックします

 

・フィルター種別:[許可]に設定

・通信方向:[IPoEー>LAN]に設定

・プロトコル:プロトコル名選択で[UDP]を選択

・宛先IPv6プレフィックス/プレフィックス長

   最初にメモまたはコピーしておいたプレフィックスを設定

   例えば[2001:f71:a0e0:5600::

 

     ▷ ひかり電話契約あり:プレフィックス長に[56]を設定

     ▷ ひかり電話契約なし:プレフィックス長に[64]を設定

・宛先ポート:ポート番号指定[500]を設定

・[設定]⇨[戻る

 

IPv6パケットフィルター一覧のエントリ番号1の[有効/無効]欄にチェックを入れ設定]で反映させます。

 

以上です。

 

 



 Aterm ルーターの場合 
 

1.IPv6 を有効にし、セキュリティ設定をします

[基本設定] → [基本設定] → [IPv6動作モード] を [ND Proxy] または [使用する] にします。


インターネット接続はこの例では PPPoE 接続にして IPv6 も併用する設定で IPoE も有効にします。

 

つまり PPPoE(IPv4接続)+ IPoE(IPv6接続)での設定事例です。


 

PPPoE(IPv4接続)+ IPoE ではない、例えば v6プラスや、transix などの接続サービスを契約の場合は、[動作モード] を v6プラス などに設定します。

 



次に [基本設定] → [接続先設定] → [詳細な項目を表示] をクリックし [IPv6ファイアウォール機能] を [ON] にします。

 

 

2.IPv6プリフィックスアドレス(グローバル)を得ます


最初にメモまたはコピーしておいた IPv6プレフィックス・例えば[2001:f71:a0e0:5600::

 


3.IPv6 パケットフィルター設定をします
 

(1) esp:プロトコル番号 50 の通過設定をします

[追加] をクリックします。

[優先度] 欄をデフォルト設定された番号(多分 [18] までが設定済みのハズですので)次の番号 [19] を設定します。

[プロトコル] 欄は [その他] を選択すると [プロトコル番号] 欄が入力可能になりますので [50] を設定します。

[宛先IPアドレス] 欄は [アドレス措定] をチェックし、アドレス欄に2項で得たアドレス [
2001:f71:a0e0:5600::] を入力します(アドレスは一例)。

 

下図では aaaa:bbbb:cccc:dddd:: としている部分です。

 
その下の欄には [64] を入力します。

 


 

 

(2) IPSec IKE(プロトコル:UDP / ポート番号:500)の通過設定をします

IPv6パケットフィルター設定に戻り、(1) 項同様に [追加] をクリックして [優先度] を [20] にします。

[プロトコル] は [UDP] を選択します。

[プロトコル番号] は空欄のままです。

[宛先IPアドレス] 欄は (1) 項と同様に設定します。

[宛作ポート] 欄は [any] のチェックを外し、入力欄には [500]-[500] を入力します。

 

 

以上を設定したら再起動で設定を反映させます。





 Buffalo ルーターの場合 

1.IPv6 を有効にし、セキュリティ設定をします

インターネット接続は Aterm での事例と同様に PPPoE 接続にして IPv6 も併用する設定で IPoE も有効にします。

 

つまり PPPoE(IPv4接続)+ IPoE(IPv6接続)での設定事例です。



PPPoE(IPv4接続)+ IPoE ではない、例えば v6プラスや、transix などの接続サービスを契約の場合は、[Internet] → [Internet] と進み、それぞれの接続設定をします。

 

ここでは左のメニューから [PPPoE] を選び、 PPPoE の設定をしています。

PPPoE の接続 ID / PW 設定画面は割愛します。


 

次に IPv6 の設定ですが [NDプロキシを使用する] にチェックをします。

これにより、バッファロールーターのデフォルトのフィルター機能が有効になり、セキュリティ設定されます。

 

 


2.IPv6 プリフィックスアドレス(グローバル)を得ます

最初にメモまたはコピーしておいた IPv6プレフィックス・例えば[2001:f71:a0e0:5600::

 


3.IPv6 パケットフィルター設定をします

[セキュリティ] → [IPv6フィルター] と進みます。

(1) esp:プロトコル番号 50 の通過設定をします

[追加] をクリックします。

次の画面のように設定します。

メモまたはコピーしておいた IPv6プレフィックス・例えば[2001:f71:a0e0:5600::を使います。

[動作]:通過
[方向]:Internet->LAN
[IPアドレス]:送信元は空欄のまま
        宛先は
2001:f71:a0e0:5600::/64 のようにします   
[プロトコル]:[任意] にチェックを入れ [プロトコル番号] に "50" を設定します。

 

 

保存設定します。

 

(2) IPsec IKE(プロトコル:UDP / ポート番号:500)の通過設定をします

IPv6フィルター設定に戻り、(1) 項同様に [追加(終端)] をクリックします。

[動作]:通過
[方向]:Internet->LAN
[IPアドレス]:送信元は空欄のまま
       宛先は
2001:f71:a0e0:5600::/64 のようにします   
[プロトコル]:[TCP/UDP] にチェックを入れ [任意のUDPポート] として "500" を設定します。

 

 

以上を設定したら再起動で設定を反映させます。 

 

 

 

 

 ELECOM ルーターの場合 

 

IPv6 でのフィルター設定やポートフォワーディングができないルーターです。

 

IPv6 ブリッジ(パススルー)はできますが、セキュリティが確保できないのでお勧めできません。

 

なので、Rakuten Casa を接続するためのルーターとしては不適です。

 

 

 

 

 IO-DATA ルーターの場合  

 

ELECOM ルーターと同じで理由で Rakuten Casa を接続するためのルーターとしては不適です。

 

ーーーーーーーーーー

 

 

 

フレッツ網以外の場合IPv4 IPsec IKE/esp と NAT Traversal をパススルー設定します。

 

IPv4 の IPsec IKE/esp パススルーと NAT Traversal パススルーは、IPv4 フィルター機能で IPv6 と同様に設定します。

 

 ③ NAT Traversal;プロトコル = UDP、ポート = 4500

 

このとき、Rakuten Casa の WAN 側の IP アドレスは DHCP 割り当てではなく、固定アドレスにすることをお勧めします。

 

再起動してもアドレスが変わらないからです。

 

IPv4 フィルターでの宛先アドレスは、この固定アドレスを指定します。


 

 

nuro や コミュファ光などの特殊なルーター(F660P/A や F2883S)は ① esp をパススルー設定できませんので、ALG(Application Layer Gateway)で IPsec を通過させるようにします。 


 

 nuro のルーター・F660P/A の場合 

 ・ルーターの LAN ポートと Casa の WAN ポートを LAN ケーブル(CAT6 以上)で接続
 ・ファイアウォール機能を有効:チェック入れる
 ・ファイアウォールレベル (IPv4):高
 ・SPI (IPv6) を有効:チェックを入れる
 ・ALGスイッチ:IPSEC ALGにチェック入れる
 ・上記以外デフォルト




 コミュファ光のルーター・F2883S の場合  
 

 ・ルーターの LAN ポートと Casa の WAN ポートを LAN ケーブル(CAT6 以上)で接続
 ・ALG設定:IPSEC ALG をオンにする
 ・上記以外デフォルト






 Rakuten Casa 接続時の LTE ランプの状態 

 

Casa に故障や楽天モバイル側の出荷時のミスがなく、接続設定が正しければ次のように変遷します。

 

 1️⃣ 消灯  :30〜50秒間、消灯状態

 2️⃣ 緑色点滅:1秒間隔で繰り返し、80〜90秒続く

   LTE が再接続されれば OK(緑 "点灯" になる)

   LTE が再接続できないと ③ に移る

 3️⃣ 黄色点滅:4回点滅を繰り返し、10分以上続く

   再び 1️⃣ から繰り返す

つまり 1️⃣ 〜 3️⃣ は、1時間に 約5回 ほど繰り返す、ということになります。

この一連の表示遷移を長時間繰り返しますが(1日〜数日?)、放置しておけばそのうちに LTE 再接続されます。

 

ランプ表示がこのように遷移しない場合は、ルーター側の設定問題か、Rakuten Casa の故障などが考えられます。
 

 

設定が正しい場合、Rakuten Casa のサポートに連絡して接続認証状態を確認してもらう必要があります。

 

 

 

 

 Rakuten Casa の接続動作について 

 

以下は一部に推定を含みます。

 

当初の Casa のバージョンでは接続ログを見れましたから、ある程度処理内容の推定ができました。

 

いまはログが見れないようです。

 

Casa 接続までの処理ルートは次のようになっています。

 

 [Casa]⇨[ルーター]⇨[インターネット]⇨[認証サーバー]⇨

   ⇨[VPN Gateway]⇨[Rakuten LTE Controller] 

 

Casa は最初に認証処理を行いますが ID として Casa の WAN 側の MAC アドレスを用いています(ログで確認済み)。

 

この MAC アドレスを用いた認証に失敗すると VPN 接続フェーズに移行しません。

 

 

失敗の原因は故障や LAN ケーブル接続不良など以外では Casa 出荷に際して認証サーバー(Radius か)に登録する MAC アドレスを誤っているケースです(楽天モバイル担当者による人災です)。

 

 

MAC アドレスが正しくても、認証手続きが一定回数または一定時間内に成功しないと認証サーバーはロックします。

 

ロックを解除してもらわない限り接続再処理には移行しません。

 

ちなみに楽天モバイルの Rakuten Casa サポートでは認証サーバーのことを「コントローラー」と呼んでいるようで「Rakuten LTE Controller」と混同します。

 

 

 

認証が OK になると Rakuten Casa から楽天モバイルの VPN サーバーに接続処理し、その先にある「Rakuten LTE Controller」と接続して LTE を吹くという手順になります。

 

この場合、VPN サーバー側からはユーザーのグローバル IP がわからないので Rakuten Casa は「アグレッシブモード」で接続処理しているはずです。

 

両者間の IP アドレスが分かっている場合は通常「メインモード」で接続処理なのですが、Rakuten Casa は「アグレッシブモード」での接続処理と思われます。

 

 

「アグレッシブモード」では Rakuten Casa 側は ID とパスワードで、VPN サーバーの IP アドレスを指定して接続処理に移ります。

 

ここでの ID も Rakuten Casa の WAN 側の MAC アドレスが使われていると思われます。

 

MAC アドレスと推定しているのは世界中で一意に定まるからです。

 

 

VPN サーバーの先にある「Rakuten LTE Controller」からの戻りパケットを受け入れるために "IPsec IKE/esp" プロトコルのパススルー設定が必要になります。

 

 

LTE を吹くようになると IPsec VPN の「DPD(デッド・ピア検出)定期メッセージ」を5秒間隔でサーバーとやり取りし、VPN の「生死確認」をしています(ログで確認済み)。  

 

まずは Rakuten Casa 側から「Rakuten LTE Controller」に向けてメッセージを送ります。

 

これに対する応答メッセージ(IPv6 パケット)が「Rakuten LTE Controller」から送られてきます。

 

Rakuten Casa が受け入れできるように Casa を接続しているルーターの WAN の IPsec IKE(ポート 500)/ esp プロトコル(50)を開放しておく必要があります。

 

 

この「生死確認」が長時間途絶えると再接続に際して「正当に接続していた Rakuten Casa なのか」を確認し、その手順に時間がかかるようです。

 

長時間途絶える、という状態は Casa の設置場所を別の部屋に変えるなど、電源を落としたまましばらく時間が経ったときとかです。

 

 

なお、VPN 接続に際して IPv6 パケットでやりとりしており、これができないときに IPv4 にフォールバックしますが、フレッツ網ではフォールバックが失敗するようです。

 

フレッツ網以外では IPv4 での VPN 接続になっています。

 

 

このような技術解説を楽天モバイルがしてくれるとよりいっそう理解が深まりますし、無用な問い合わせが減ると思うのですが。。。

 

 

楽天モバイルの技術者たちは何をしているのでしょうか。

 

ド素人のサポート担当者まかせは組織に問題があり、経営層に責任があります。

 

三木谷さん、こういう状況を理解されていますか?

 

 

 

 

 

 

 

39 件のコメント:

  1. バイク野郎さんに質問があります。
    現在ビックローブ光VDSLで契約しています。
    ビックローブ光には、IPv6オプションとIPv6オプションライトがあるのですが、VPN接続をするためにはIPv6オプションライトを申し込めば繋がりますか?カーサを接続してもLTEが吹かなかった為、ビックローブの指示で、今まで使っていた、Ipv6オプションを解約してIpv4でネット接続しています。
    これでも吹きませんでした。LTEは。そのため、IPv6オプションライトに変えて、ルータもatermに変えようと考えています。

    返信削除
  2. おはようございます。

    ビッグローブ光には何を問い合わせされて PPPoE にされたのでしょうか。

    ルーターは何を使っていますか。

    どちらも無料のようですのでおすすめは IPv6 オプションの方です。

    ・IPv6 オプション:MAP−e 方式の IPv4 over IPv6
    MAP−e 方式は混雑時間帯でも速度が安定している。
    ・ 同上ライト :PPPoE+IPoE
    PPPoE は混雑時間帯に速度低下が著しい。

    なので MAP−e 方式の V6 オプションをおすすめします。

    VDSL はフレッツ網なので、Casa 接続のためには IPv6 での IPsec IKE/esp プロトコルのパススルー設定が必要です。

    IPv4 ではいつまで経っても Casa が LTE を吹くことはありませんので。

    返信削除
  3. まず初めに問い合わせたのはルーターの製造メーカーであるアイ・オーデータです。カーサのHPに書かれている、VPN(IPSec IKE)パススルー機能の設定について問い合わせをしました。
    メーカー側の回答は、ルーターモードのうちVPNパススルーの設定を行えるのは「IPアドレス自動取得」、「IPアドレス固定設定」、「PPPoE認証」のいずれかが選択されている場合のみ。

     「IPv4 over IPv6(MAP-E)」もしくは「IPv4 over IPv6(DS-Lite)」が選択されている場合は、VPNパススルーの設定を行っていただけませんため、プロバイダー様にご相談の上、VPNパススルーの設定を行えるモードへの変更を行ってください。と返答がありました。

    上記の事からビックローブ光にも同じようなことを聞くと、Ipv6オプションはVPN接続は無理、Ipv6オプションを解約して下さい。との事でしたので、解約して今ではIpv4でネットをしています。ちなみに今使ているルーターはWN-DX1300GRNです。カーサが送られてきてから1月以上LTEは繋がっておりません。バイク野郎さんどうすればLTEが吹きますか?教えていただけないでしょうか??

    返信削除
  4. こんにちは。

    IO-DATA の WN-DX1300GRN は IPv4 では IPsec 設定ができるようですが、IPv6 で設定できる機能がないルーターですね。

    IPv6 ブリッジは設定でき、この場合は IPv6 のすべてのプロトコルのパススルー(通過)になり IPsec もその中に含まれますが、セキュリティの面でおすすめできません。


    IPv6 で IPsec だけをパススルーができるルーターに変えるしかありません。

    たとえば Aterm WG1200HS4 は 4千円台で購入可能と思います。

    V6 オプションを再契約し、V6 オプションで接続し、しかる後にこの記事に書いてあるやり方で IPsec IKE/esp をパススルー設定してください。

    2日程度待って LTE を吹けばよし、吹かなければ楽天モバイルの Casa サポートに連絡して接続認証確認をしてもらってください。

    返信削除
  5. 追記です。

    ビッグローブのヒトはわかっていないようですね。

    「IPv6オプションで VPN 接続は無理」は嘘です。
    ネットワーク技術がないヒトのいうことをマトモに受けてはだめですよ。

    IPv4 over IPv6 の国内の方式は MAP-e または DS-Lite がほとんどです。ビッグローブの IPv6 オプションは MAP-e 方式です。

    これらのどちらの方式でも IPv6 で IPsec IKE/esp パススルー設定は、ルーターに IPv6 フィルター機能が備わっていればできるのです。

    接続設定事例は Aterm も Buffalo も実際に私が確認したものです。

    わたしの常用ルーターは YAMAHA RTX830 ですが、これは少し使うための設定ハードルが高いですし、価格も高価です。

    多くの方々から相談を受け、設定してもらって Casa が LTE を吹くようになっていますので、安心してルーターを替えてください。

    返信削除
  6. 交換したカーサとAtermWG1200HS4が届きましたので今から設定してみます。ルーターの設定はカーサと繋ぐ前の方が良いですか?繋いでから(電源を入れてから)の方が良いですか?

    返信削除
  7. こんにちは。

    どんな名前でも結構ですので、お呼びできる名前を教えていただくとありがたいです。

    もしもほかにも匿名の方がコメントされると区別がつきませんので。


    さて、まずはルーターの設定を終えて、ブラウザから http://ipv6check.boglobe.ne.jp/v/ をアクセスしてみると「○V6プラスです」と「✖️V6プラスではありません」のいずれかになるはずなので、これを確認ください。

    「○V6プラスです」を確認できましたら Casa をつないで Casa の電源を入れます。

    あとは最大2日程度待ちましょう。

    LTE ランプの点き方を教えて下さい。

    返信削除
  8. バイク野郎さんこんにちは。
    何度見すみません。
    1.IPv6 を有効にし、セキュリティ設定をします。
    [基本設定] → [基本設定] → [IPv6動作モード] を [ND Proxy] または [使用する] にします。
    インターネット接続はこの例では PPPoE 接続にして IPv6 も併用する設定で IPoE も有効にします。
    つまり PPPoE(IPv4接続)+ IPoE(IPv6接続)での設定事例です。
    と書かれていますが、IPv6のみで接続する場合は動作モードはv6プラス にする。で良いのでしょうか。

    次に [基本設定] → [接続先設定] → [詳細な項目を表示] をクリックし [IPv6ファイアウォール機能] を [ON] にします。

    この画面を見ると、接続先の設定でIPv4ユーザ名やパスワードが入っていますが、ここもIPv6の場合はユーザ名やパスワードは入れなくても良いのでしょうか?

    ご返信よろしくお願いいたします。

    返信削除
  9. 名前はHideoです。よろしくお願いいたします。

    返信削除
  10. PPPoE+IPoE でも V6オプションで V6プラスでもどちらでもかまいません。

    要は IPv6 フィルターがちゃんと設定できればいいのです。

    速度が安定する V6プラスの方をオススメですが。

    本記事の画面例は説明のとおり PPPoE+IPoE での設定なので IPv4 ユーザー名やパスワードが入っていますが、V6プラスであれば、この部分は表示されません。

    返信削除
  11. Hideo さん、よろしくおねがいします。

    返信削除
    返信
    1. こんばんは。ルーターの設定が終わり、カーサを接続しました。接続後4時間程度が経ちました。ランプのつき方はインターネットが黄色の点滅。LTEはオレンジの点滅ですね。火曜日まで待ってみます。繋がるのでしょうか。楽天のカーサ担当はVDSLって何ですか?と言われました。楽天ではなくて落胆しました。(笑)

      削除
  12. Hideo さん、おはようございます。

    結局 PPPoE+IPoE 接続と、IPv6オプション接続のどちらでしょうか?

    後者の場合、http://ipv6check.boglobe.ne.jp/v/ の結果を教えて下さい。

    Casa のランプの「インターネットが黄色の点滅」とありますが、WAN のランプのことですよね。Casa6 ではないと思うのですが。

    WAN が黄色というのは LAN ケーブルの規格が CAT5 と思われ、CAT6 以上にされた方がよろしいかと思います(すぐでなくても結構です)。

    Casa の WiFi でインターネットアクセスはできるでしょうか。

    以上を教えて下さい。

    VDSL を知らないとはド素人ですね。

    NTTー>光ファイバーー>VDSL変換装置ー>電話線ー>VDSLモデムー>LANー>ルーター

    という接続です。

    Hideo さんはマンションにお住まいでしょうか。

    返信削除
  13. おはようございます。
    IPv6オプション接続になります。
    http://ipv6check.biglobe.ne.jp/v/の結果はV6プラス使っています。になりました。
    Casa の WiFi でインターネットアクセスはできるでしょうか。出来ます。
    atermの現在の状況はこうなっています。
    動作モード IPv6オプション
    IPv4接続状態 IPv4 インターネット利用可能
    IPv6接続状態 IPv6 インターネット利用可能
    省電力型イーサネット(EEE)機能 停止中
    になっています。

    ふと思ったのですが、IPv6で通信をするのに、ルーターはIPv4も利用可能となっています。やっぱり私の設定が間違っているのでしょうか?

    それと動作モードをIPv6プラスに変えた方が良いでしょうか?

    返信削除
  14. 住んでいるところは集合住宅です。8階建ての4階です。光配線方式で申し込みをしましたが、設備が一杯などで仕方なくVDSLになりました。一時期は電柱から光を入れることも考えましたが、工事がいつになるかが分からないとの事で、諦めました。

    返信削除
  15. Hideo さん、こんにちは。

    インターネット接続は問題ないようです。

    IPv6オプション(V6プラスと同じ MAP-e という方式です)は IPv6 パケットに IPv4 パケットを乗せて通信します。

    通信相手(ウェブサイト等)が IPv6 に対応していれば IPv6 でパケットのやり取りをします。

    相手が IPv4 だと IPv4 でパケットのやり取りをします。

    MAP−e 方式の場合はこれをルーターで行っています。

    DS-Lite 方式の場合は事業者側で行っています。

    なので「IPv4 インターネット利用可能」と「IPv6 インターネット可能」の両方があるのが正しいのです。

    インターネット接続に関しては大丈夫です。

    ただ、LTE ランプが橙色なのは問題です。
    Casa が楽天側と接続認証できていません。

    再度、IPv6 フィルターの設定を確認してください。
    とくに IPv6 プレフィックスアドレスを誤っていないか、esp プロトコルの通過設定を正しくしているか、IKE プロトコルの通過設定を正しくしているか、です。

    これらが間違いなければ、楽天側の接続認証がロックしているか、接続認証の ID(MACアドレス)の設定を楽天側が誤っているかです。

    楽天サポートに電話して Casa 接続状態を確認してもらってください。


    集合住宅の場合、管理組合が NTT とかけあって光ファイバー配線化をしてもらう必要があります。

    各戸までの光ファイバー化自体はお金はかからず NTT 負担ですが、光配線化のあとの回線種別変更(VDSL から光ファイバーへの変更)は事業者(ビッグローブ)と変更契約が必要で工事が発生し、費用がかかりこれは個人負担です。


    しかる後に VDSL から 光ファイバーに工事変更してもらいます。

    これは、ビッグローブを通じて変更契約します(有料です)。

    「設備が一杯」なのではなく光ファイバー化ができていないということでしょう。

    集合住宅の場合は電柱から光ケーブルの個別引き込みは管理規約上できないはずです。

    返信削除
  16. IPv6プリフィックスアドレス(グローバル)を得ます。
    の箇所で、私の場合(例)6536:a1pp:9q07::aの様になっています。この場合、3項 (1) (2) で指定するときは6536:a1pp:9q07::を入力しています。これで正解でしょうか。

    返信削除
  17. Hideo さん、

    6536:a1pp:9q07::a はあまり見慣れないアドレスですが、
    :: は 0 を意味します。
    6536:a1pp:9q07::a は 6536:a1pp:9q07:0:a:〜〜 ということになります。

    8個の英数字をすべて教えてください。 似た表現で結構ですが、:: の部分は正確にお願いします。

    返信削除
  18. 2001:a7ff:5f01::aです。

    返信削除
  19. Hideo さん、

    ビッグローブの場合、2406:da14:69c:e800:〜〜 のはずなんですが、IPv6 プレフィックスアドレスが違っていませんか。

    返信削除
  20. Hideo さん、

    IPv6 アドレス 8個の 2406: ~~ を正確に教えて下さい。
    それを記載したコメントは非公開にしますので、他の方々にはわからないようにします。

    返信削除
  21. 2.IPv6プリフィックスアドレス(グローバル)を得ます

    ホームに戻り [情報] → [現在の状態] に移り、一番下の [詳細な項目を表示] をクリックします。

    その中の [IPv6プライマリDNS] の欄にある [aaaa:bbbb:cccc:dddd::1] という部分をメモします。

    ↑でしたら、先ほど書いた分です。

    必要なアドレスはどれですか?

    (LAN側状態)
    IPv6アドレス/プレフィックス長(グローバル)
    IPv6アドレス/プレフィックス長(リンクローカル)

    (NGNの状態)
    IPv6アドレス/プレフィックス長(グローバル)
    IPv6アドレス/プレフィックス長(リンクローカル)
    IPv6プライマリDNS
    IPv6セカンダリDNS

    どのアドレスが必要ですか?

    返信削除
  22. Hideo さん、

    [NGNの状態]の中の IPv6アドレス/プレフィックス長(グローバル) と 念のために IPv6プライマリDNS を教えて下さい。

    返信削除
  23. Hideo さん、

    何度も申し訳ありません。

    2001:a7ff:5f01::a は IPv6プライマリDNS でしょうか。
    もう一つの 2404:xxxx:xxxx:8600:〜〜:/64 は Pv6アドレス/プレフィックス長(グローバル) でしょうか。

    先頭から4個は同じはずなんですが、違っているのですね。

    返信削除
  24. Hideo さん、

    https::/test-ipv6.com をウェブでアクセスしてみてください。

    2番目に「一般のインターネット上で見えるあなたの IPv6 アドレスは 2404:xxxx:xxxx8600:〜〜:xxxx」となっていますでしょうか。

    返信削除
  25. Hideo さん、やっとわかりました。

    私の事例に関し、その中の記載に勘違いがあったようです。

    混乱させてしまい、申し訳ありません。

    フィルターでの設定は 2404:xxxx:xxxx:8600::/64 としてください。

    xxxx 部分は確認されたアドレスの2番目と3番目 を記述してください。

    これでIPsec IKE/esp パススルーができると思いますので、LTE ランプの点き方も変わると思います。


    返信削除
  26. こんにちは。
    フィルターでの設定が終了しました。
    長い時間お付き合いいただきありがとうございます。
    一日、二日待ってみます。今の所ランプはオレンジの点滅です。

    返信削除
  27. Hideo さん、

    > こんなにLTEの電波を出すのは難しい物でしょうか。
    ネットワーク知識が必要と思います。

    それで楽天モバイルの Casa サポートは Casa 接続に関して「IPv6 ブリッジ」を安易にオススメしているように思います。

    しかし「IPv6 ブリッジ」はセキュリティ上危険なので避けるべきで、そうすると IPsec IKE/esp パススルー設定が必須となり、かなりネットワーク技術が要求されるのです。

    私はセキュリティを無視するような設定をオススメはできませんので、IPv6 フィルターでの設定をしていただくこととしています。

    橙色点滅が続くようでしたら Casa サポートに電話して接続状態を確認してもらってください。

    ひょっとしたら長期間、未接続状態だったので接続認証がロックしている可能性があります。

    返信削除
  28. 元バイク野郎さん。こんばんは。
    念のため設定したルーターの画面をコピーしました。
    ルーターの設定が合っているか見てください。
    19 通過 in 50 any any
    2404:7a84:7840:8600::/64 any

    20 通過 in UDP any any 2404:7a84:7840:8600::/64 500

    今日で2日目です。接続されるでしょうか。

    返信削除
  29. Hideo さん、おはようございます。

    > 19 通過 in 50 any any ⇨ 2番目の any がグレーアウトしていますよね?
    > 2404:7a84:7840:8600::/64 any ⇨ この any もグレーアウトですよね?

    > 20 通過 in UDP any any 2404:7a84:7840:8600::/64 500

    最後の部分は多分 500 だけでも大丈夫とは思いますが、念のため 500 - 500 にしてください。

    まだ、橙色のままでしょうか。
    だとすると、接続認証ができていないと思われます。

    サポートに電話して「接続確認してください」といって確認してもらってください(0800-805-0400 9:00--17:00)。

    ランプ状態が橙色ではない場合はその状態を教えて下さい。

    返信削除
  30. ルーターのグレーアウトとはどのような意味でしょうか。
    触れないという意味でしょうか。
    設置から48Hを超えましたが、LTEは吹きません。
    casaコールセンターに聞くと、VPNを使えるように、IPsec IKE パススルーを有効にするように。分からないことはルーターのメーカに聞くようとの事VPNやです。
    今つっかているatermのルーターでIPsec IKE パススルーを使うと危ないのでしょうか。

    返信削除
  31. Hideo さん、こんにちは。

    グレーアウトは触れない箇所です。

    Atermルーターで IPsec IKE/esp パススルーすれば安全です。

    すでに設定しているのですから、以前にもお返事差し上げたようにサポートに「接続確認」をお願いしてください。

    多分このままずーっと待っても接続されないと思われます。

    原因は2つ考えられます。
    一つは認証がロックしている場合です。
    もう一つは認証ID 設定を楽天側が誤っている場合です。

    後者の場合は Casa の入れ替えになります。

    いずれにせよ、接続確認が必要です。
    「IPsec IKE/esp のパススルーは正しく設定しているがつながらないので、接続の確認をしてほしい」といってください。

    返信削除
  32. 確認をしてほしい。と伝えると、10日間くらいかかるとの事です。その間カーサを外さずに電源ONのままにしておいてくださいとの事でした。

    返信削除
  33. Hideo さん、おはようございます。

    以前はすぐに確認してくれて、まもなくつながるか、Casa 交換のいずれかの対応でした。

    2日おきぐらいでしつこく接続確認をお願いしてみてください。

    返信削除
  34. コメントを入れているのが、僕だけの予感が(笑)
    バイク野郎さんのコメントで、「認証ID 設定を楽天側が誤っている場合」との事ですが、プロバイダーもやっている楽天が、認証IDを間違えることなんてあるんですか。(笑)

    あと、バイク野郎さんは「PPPoE(IPv4接続)+ IPoE(IPv6接続)」でされたそうですが、こちらの接続方法の方が上手くいきやすいのですか?

    返信削除
  35. Hideo さん、こんにちは。

    以前、https://bike8615.blogspot.com/2020/12/rakuten-casa_24.html の記事では多くの問い合わせがあり、皆さん接続に至っています。

    認証ID は Casa の WAN の MAC アドレスを使っているのですが、この MAC アドレスは手入力と思われ、誤ることが結構な頻度で起こっているのです。

    誤っている場合は Casa 交換になります。

    私も2度 Casa の交換を経て繋がりました。


    PPPoe+IPoE は一例として記載しているに過ぎません。
    私自身は V6プラスも PPPoE+IPoE も試しましたが、どちらでも接続されています。

    IPv6 オプションなどの V6プラスや、IPv4 over IPv6 の他の方式 DS-Lite などが使える場合はそちらの方がネットワーク速度が高速安定するというだけです。

    Casa 接続のためならば PPPoE+IPoE も IPv6 オプションもどちらの接続方法がよい、ということはなく同じです。

    返信削除
  36. Hideo さん、おはようございます。

    昨日 Casa がつながったという方から連絡がありました。

    この方は Buffalo ルーターをお使いです。

    8/31 に最初の相談を受ける
    何度かやり取りの後、
    9/15 に楽天側から Casa 交換する旨の返事があった
    9/28 交換品の Casa 到着
    10/1 Casa が LTE を吹く

    ということでした。
    IPsec IKE/esp パススルー設定してもらって安全につながった、ということです。

    Hideo さんの場合も Casa の交換が必要かも知れません。

    Casa の接続状態をサポートにしつこく確認してもらってください。

    返信削除
  37. バイク野郎様。一歩前進しました。
    今日、ふとcasaを見るとiphoneを見ると、LTEが点灯しています。アンテナが4本立っています。(笑)時々は点滅していますが、少しすると、点灯に戻っています。以前と違い、LTEが点滅中でもiphoneのアンテナは4本立っています。(凄い)

    返信削除
  38. Hideo さん、おはようございます。

    一歩前進どころか大前進ですよ、LTE が吹いておめでとうございます。

    おそらく認証サーバがロックしていたのでしょう。
    楽天側で接続確認でロックを解除したと思われます。

    WAN のランプは緑点滅でしょうか、ならば正常稼働しています。

    WAN ランプが黄色点滅ならば ルーターと Casa を接続している LAN ケーブルが CAT5 になっていると思います。

    CAT6 以上の高品質 LAN ケーブルに変えてみてください。

    VDSL 方式にありがちです。

    返信削除