Sophos XG Firewall+フレッツ網で家庭内からのIPv6 Reachabilityを確保する

普通のご家庭内でもIPv6アドレスをPCやスマホまで振らせておくと良いことが多い時代になってきました。Google系のサービス、YouTubeとかは大抵IPv6経由の方が快適にアクセス出来ますし。

IPv6アドレスをクライアント上で全て手動で構成するなんてのは普通じゃないので、だいたいのパターンは以下のどれかに当たると思います。

  • NTTからレンタルされるHGW直下でDHCPv6で受け取る
    一人暮らし+スマホがない+PCを有線接続するなら……
    NTTレンタル無線LANは遅くて高いから普通使わないだろ
  • IPv6ブリッジ機能を使う
    一昔前の家庭用ルーターで良く実装されてましたね。
    ファイアウォールは端末側で頑張れ。(HGWの簡易FWを除けばInternetと直結状態)
  • ND Proxy機能を使う
    最近の家庭用ルーターでは普通かな。
    簡易的ですがInbound通信のみOKっていうフィルタリングは出来ますね。
  • DHCPv6-Relayする
    あんまりこのパターンは見たことがない。やってることはIPv6ブリッジと同じですからね。
  • DHCPv6-PD (Prefix Delegation)する
    良く誤家庭ルータ=業務用ルータを使っている人たちが設定例を出してますね。ルーターがIPv6アドレスレンジ/64を管理して、RA+DHCPv6でLAN側に配るやつです。
  • DHCPv6 Serverを立てて管理する+WAN側にSoruce NATで出す
    Sophos XG Firewallはこの考え方です。

なお、現状のSophos XG FirewallではRA + DHCPv6の構成しかセットアップできないため、Android端末に対してはIPv6アドレスの配布しか出来ません。
※RDNSSによるIPv6 DNSサーバアドレスの通知が出来ない→DHCPを併用してIPv4 DNSサーバアドレスを通知することで実用上は無視できる

フレッツ網で割り当てられているIPv6プレフィックスを確認する

NTTから貸与されているHGW管理画面上でDHCPv6クライアント取得情報から自分の回線に割り当てられているIPv6プレフィックスが確認出来ます。

XG FirewallのPort 2にIPv6アドレスを付与する

始めは簡単のため、Port 2のIPv6設定でDHCP指定すると良いです。
そうするとIPv6アドレスとゲートウェイIPを拾ってきてくれます。
(画面は一度DHCPv6で拾ってきたIPアドレスを手動で入れています)

XG FirewallのPort 1にIPv6アドレスを付与する

HGWで確認したプレフィックスはひかり電話契約ありの場合は/56なのでLANに配布する/64との間の 8 octet分 (16進数表記だと2文字分) は自由に決めることが出来ます。うちではLAN側の第3オクテットと揃えて、IPv6アドレスをPort 1に付与しています。
このPort 1に付与したIPv6アドレスが、RAでデフォルトゲートウェイとして広告されます。

IPv6ルーターアドバタイズの指定をする

Port 1に指定したIPv6プレフィックス/64をLAN側に実際に広告していきます。

Mフラグは、DHCPv6でIPアドレスを管理する場合に立てておきます

Oフラグは、DHCPv6でDNSサーバーを配布するときに利用します。(Windows 10だとOフラグがあればIPv6 DNSサーバを受け取れます、AndroidはM/Oフラグを華麗に無視するけど)

DHCPv6の配布設定をする

ルールとポリシーでIPv6通信の許可をする

この辺はIPv4での設定の考え方と同じです。
LAN→WANの通信を全て許可、みたいな設定をします。

NATルールでSource NATを指定する

WAN側へ出て行くときにXG Firewallが持っているインターフェースIPv6アドレスにSource NATする設定を入れます。

IPv6ブリッジやND Proxy機能、DHCPv6-PD等に慣れていると、何でクライアントのIPv6アドレスのまま出していかないんだ?って不思議になるかもしれません。ただ、逆にIPv4な世界だとプライベートIPアドレスをWAN側グローバルIPアドレスにSource NATしていたのと同じことをIPv6でもやっているんだ、と考えてもらったほうが良いです。

実際にアクセス確認する

http://test-ipv6.com/ 等にアクセスしてIPv4/IPv6ともに通信出来ていることを確認します。このとき見えてくるアドレスは共にXG FirewallのWAN側ポートに持っているインターフェースIPアドレスになっていると思います。

コメントする

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です