NTTのフレッツ光では、特に何も設定しなくても(PPPoEの設定を行わなくても)IPv6を使用することができます。といってもNTT網内の折り返し通信ができるということで、デインターネットに接続できるということではありません。今回、IPv6のパケットフィルタを設定しているときに、驚くべき仕様にぶち当たったので記事にしていきたいと思います。

申込内容によって機器の構成が変わる

フレッツにはいくつかの構成があり、どのようなオプションを申し込むかによって、使用される機器の構成が変わります。それによってIPv6関係の挙動が変わるようです。以下のオプションの組み合わせで説明します。

  • ひかり電話を契約 する / しない
  • 無線LANを契約 する / しない

「ひかり電話」を契約せず、「無線LAN」のオプションを付けない場合、NTTからHGWは提供されません。NTTからはONUが提供されるだけのため、インターネットに接続するには自分でルーターを用意する必要があります。

「ひかり電話」を契約せず、「無線LAN」のオプションを付ける場合、NTTからHGWが提供されます。HGWがルーターになっているので、PPPoEの設定を行えばインターネットに接続できます。

「ひかり電話」を契約した場合、NTTからHGWが提供されます。上記と同様です。

IPv6パケットフィルタ

HGWにはIPv6パケットフィルタの設定項目があり、特定のパケットを拒否したり許可することができます。まずおかしいのがここのデフォルト設定で、「IPv6セキュリティレベル」がデフォルトで「標準」になっています。標準というのはNTT網内からの折り返し通信を許可することを意味しています。他のフレッツの加入者が、自分のLAN内にアクセスできてしまうびっくり設定なんです。(→参考記事

もちろんIPアドレスを知らなければアクセスできませんし、膨大なIPv6のアドレス空間をスキャンするのも現実的ではありません。でもやればできてしまうわけです。何からの理由でIPv6アドレスを知られたら筒抜けですね。なので設定を「高度」にして、NTT網内からの通信を遮断しなくてはなりません。

ところがどっこい、筒抜けだった!!

「IPv6セキュリティレベル」を「高度」にしたのに、試してみたところ、他の回線からアクセスできてしまいました!でも、自宅のフレッツ回線の方は確かに通信がブロックされることを確認してますし、許可したIPアドレスからはアクセスできることも確認してます。なのに同じ設定をした別の拠点のフレッツ回線には入れてしまう。なぜ!?!?

あまりに謎すぎたのでNTTに問い合わせました。

「ひかり電話」契約なしの場合、設定はできるが機能しない。

なんじゃそりゃー!!!www

設定画面に機能しない項目出すなよwww
出すなら説明書いとけよwww

なんということでしょう。設定画面にあるからその通りに動作するのだと思ったら、設定しても無効だったんです。なのでIPv6の通信はダダ漏れ。「IPv6ファイアウォール機能」を「無効」に設定したのと同じ状態です。ひかり電話なし+無線LANあり、はヤバい。

仕方ないので使わないけどひかり電話を、パケットフィルタを使うためだけに契約しました。ひかり電話が開通してからは、正しくフィルタされることを確認しました。

LINEで送る
Pocket