さて、一部で噂のNuroですが、やっと開通しました。
え?SoftBank光じゃないのかって?
えぇ、自宅はそうです。
何処に引いたかは内緒
まぁ、それはそれとして、以前のIIJの回線を引いていたように、NuroもBizです。
業務用回線です。
ハッキリ言って早さが半端ない。
900Mbps↑
こう言うのを見ると、速い回線って良いなぁとか思うのですが・・・?
SoftBank光も200〜300Mbpsでてますから速度その物は全く問題が有りません。
大容量ファイル(数百M以上)のを遣り取りするときは、大きく変わるかも知れませんが、一般的な操作(ゲームだとか、web閲覧など)では、全く違いはありません。
さて、そんなNuroですが開通するまでには紆余曲折ありました。
Nuroがどうやって回線を提供しているのかがまったく公開されていない
だから、設定しようにも設定出来ないのです。
普通ね?
ある程度描いてあるでしょ??
Nuro Biz スタンダードは
IPv4とIPv6がデュアルスタックで、それでいてIPIP(IPv4 over IPv6)ではなく、IPv4とIPv6の両方がスルーなのです。
特に何も考えないのであれば、ONUにHub機能がありますので、これに直付けすればそれで直通で開通するのです。
何って酷い!
でもまぁ、そんな使い方は出来ませんし、割り当ててくれるIPアドレスもそれぞれ一つしか無いので、直通で何て使えないんですけどね?
まぁ、なんにせよ、そういった情報が一切無いのです。
これらの情報は、ルーターの設定例から割り出したのです。
なので、とりあえず、その情報を描いていきます。
IPv4 DHCPで直通
IPv6 DHCPv6-PD PDに対応していれば直通可能
そうですね、一般的なプロバイダ接続で使われているIPoEとかPPPoEとかそういうのは一切無しです。
認証無しです。
まぁ、これらは、接続できるようになったから漸く分かったことです。
ここまでの道のりは半端なく長かったです。
開通できるまで1週間も掛かったのですから!!
で、ここでもう一つの問題がYamahaのルーター
ルーターがGUIで操作できるようになったのは、インターネットが一般に普及してからなので、とても最近のことなのですが??
そしてYamahaのルーターと言えば、いつまで経ってもGUIを公開しないでコンソール接続(telnet)ばかりで、敷居が高い。
何故って?
最近のPCにはRS-232Cポートなんて付いてないからですよ!
GUIを実装しないのだとしても、USBで接続できるようにするとか、Windows向けのドライバと専用アプリくらい作っても良いと思うのですよ!
まぁ、とりあえずNVR510(ちょっと古い)にはGUI画面が点いていたので、これで設定しようと、奮闘しました。
えぇ、とても奮闘したのですよ
ですけれど、このGUI画面で設定出来るのはIPv4の設定のみ
PPPoEとIPoEのIPv6設定は一応GUIで不可能ではないのですが??
IPv4の設定次第で、設定項目が無効化され、設定出来なくなるのです。
上で、無事開通と描いたのですから、ルーターその物にはIPv4とIPv6の両方をDHCPによる直通設定が出来るのにも拘わらず、GUIでは不可能にされているのです。
ほんと困ります。
それでは、結局どうやったのかと言うことですが・・・
IPv4を簡単設定で設定を開始するとDHCPでの設定が自動選択されますので、特に何も無ければそのままOKにします。
そこからは保守向けにあるコマンド入力画面がGUIにも存在しますので、ここでIPv6の設定をコマンドで実行していきます。
DHCPv6-PDに設定して、最低限のフィルター設定をしたらOKで終了です。
因みにIPv4のPPPoEの設定画面には、ポート開放のための設定画面があるのですが?
DHCPで設定を開始すると、ポート開放の設定が出来ません。
なので、IPマスカレードの設定とフィルターの設定画面にそれぞれ設定を追加して、
特定のポートだけ穴を空けて、IPマスカレードで目的のPCへ飛ばせば外部から接続が可能になります。
IPv4はLANがローカルアドレスですから、こんな感じですが?
DHCPv6-PDを利用したIPv6は直通なので何にもしなくてもPingくらいは直ぐ通ります。
緩いOSだとあっという間にセキュリティを抜かれるのでご注意ください。
そこで重要なのが、establishedの設定。
IPv6ではこれの設定が出来る所が無いのでどうすれば良いのか未だに分からないのですが、
主にIPv4向けのIPフィルターには設定が出来るのです。
両方のIPをフリーにすればIPv6にも適用されるのかとか思いもしたのですが?
IPv4のデフォルト設定ではローカルのIPv4アドレスが自動設定されているので、違うみたいです。
でも、設定の一覧を見るとIPv6にestablishedが付いていたので、まぁとりあえず良いかな?って感じです。
外部からアクセスしてみると、Pingは通るのですが、接続の開始ACKのない通信が全部切られているため、SYNが通らないのです。
SYNが通らなければ通信の開始は出来ないので、とりあえずOKかな??
因みに SYNはTCP通信を開始するときに一番最初に送られる通信開始要請の信号(というかデータ?)です。
それ以降の通信は、それぞれが来たデータに対して返事していくので、必ずACKがつくのです。
だから、一番最初のデータにだけACKが付いていない。
establishedはこれを逆手に取ったフィルターなのです。
だから、悪意ある攻撃者がACKの付いたデータを無理矢理送りつけてくるような事をすれば、このフィルターは機能しません。
ただ、Socketの機能としてListenはACKなしのパケットを待つ機能ですし、
通信を開始してしまえば、ポート(ソケット)は分離されてしまいますから、こちらへ割り込むことは基本的に不可能ですし、元のポートはまたListenに入るので、ACK付きは無視されるでしょう。
まぁソケットのプログラムに不具合が有るとか、他の通信に割り込むためには近場で回線をモニターしていないと出来ませんから、結果的に、そんなに近くに居るのであれば、鯖を直接弄った方がマシと言うことに成ります。
まぁ、単純が故に偽装も簡単であれば、偽装を防ぐのも簡単と言うことです。
とりあえずIPv6のstatus表示をさせて
LAN2 [client]
state: established
と出ていれば最低限はOKという事です。
注:Yamahaのルーターを設定し慣れていれば分かると思いますが、
LAN2とは物理LANポートの二つ目という意味ではありません。
ここまでの話しに分からない所が少しでもある人は、有料の設定サービスの利用を
お勧めします。 |
