XG FirewallでIPv6の設定を行う（前半）

投稿日 2020-04-25 編集日 2020-10-21 カテゴリ Security

この記事で実現すること

XG FirewallからホームゲートウェイとをIPv6で接続し、IPv6ホストの名前解決をテストします。

IPv6を取り巻く環境

いつかは枯渇すると言われているIPv4アドレスですが、欧州を管轄するRIPE NCCから、2019年11月25日に欧州のIPv4アドレスが枯渇したと発表されました。インターネットにいきなり大きく影響が出てくる事はありませんが、これからは徐々にIPv4だけでは接続出来ないサイトが出てくるものと思われます。IPv6の接続方式は、PPPoEの接続方法とIPoEの2通りの接続方法があります。プロトコル自体に優劣はさほどありません。いろいろな記事ではPPPoEが劣っているという書き振りを見かける事が多いのですが、これは大手回線業者の固有事情によるものです。実態としては単にIPv6のユーザーが少なく、途中のネットワークが空いている事が多いだけで、プロトコルとして高速なわけではありません。ただ現状の環境からすると、IPv6ネットワークはまだ将来を見据えて余裕がある状態である事は間違いなく、混雑しづらい状況にあります。

IPv6は実質無限といっていいほどのアドレス空間を持ちます。IPアドレスは例を挙げると、2001:0db8:0000:0000:3456:0000:0000:0001のように表記が長く、管理する側もIPv4に比べて大変です。ホームユーザーとしては、宅内のIPアドレス管理の主体はIPv4としつつ、IPv6のサイトへのアクセスも可能というくらいに考えておく事が必要です。インターネットの接続業者によってはネット契約とは別にIPv6を改めて申し込む必要があります。大半の接続業者ではIPv6の利用は無料です。

IPv6の設定にあたって

XG FirewallはIPv6に対応しています。回線業者およびプロバイダがIPv6のサポートをしている前提で、ホームゲートウェイ（HGW）に接続する形態を想定しています。XGからHGWには普通にIPv6としてのネットワーク通信を行います。そういう意味ではIPoEとも言えます。貸与されているHGWとXGとのIPv6接続が正しく行えるかが最初のハードルとなります。この記事では、ホームゲートウェイからXGにてIPv6アドレスを割り当てられ、XGからIPv6でインターネットへのアクセスが可能か確認します。また、制約としてAndoroidはXGの構成によってはIPv6を使えない可能性があります。

HGWからIPv6の配布を受ける

ホームゲートウェイから配布されるIPアドレスは、従来のIPv4であればDHCPの機能となりますが、IPv6の場合は以下の2通りがあります。

DHCPv6
Router Advertisement

最近の機械だとHGWに設定する箇所もなく、IPv6の契約があれば、プロバイダからIPoEでIPv6の接続が可能になっている状況もあるようです。XGは、上記いずれの方法でもHGWからのパブリックIPアドレスを受け取れるようです。

WANインタフェースでIPv6を構成する

XGのPort2（WAN側）でIPv6の設定を行います。XGの左ペインメニューから、ネットワークのインターフェースを選び、Port2をクリックします。

IPv6設定のチェックボックスをOnにします
IPの割り当てはDHCPを選びます
モードは手動、ステートレス、DHCPから他の設定を承認を選択します
ゲートウェイ名はIPv6_GWなど、自由に命名してください

保存をクリックすると下記の確認画面が表示されます

インターフェースを更新をクリックすると、以下の通り、パブリックIPv6アドレスがHGWより割り当てられます

DNSv6を設定する

XGの左ペインメニューからネットワークを選び、DNSをクリックします。IPv6の項目があり、初期設定ではスタティックの設定となっています。HGWのfe80:からはじまるリンクローカルアドレス、またはホームゲートウェイのパブリックIPアドレスが指定されているはずです。HGWのDNS改ざん攻撃などもあるようですし、私はプロバイダのDNSのIPアドレスを調べ、それを手動でXGに設定しています。なお、DNSv4もプロバイダのDNSを指定される事をお勧めします。実運用としてプロバイダのDNSのIPアドレスは殆ど変更される事がありません。