ICMPv6

SoftEther VPN ServerへのIPv6によるリモートVPN接続を行う前にモバイル回線のIPv6対応の確認を行います。

モバイル回線のIPv6対応

SoftEther VPN Serverを設置しているネットワークのインターネット接続契約でL2TP/IPsec接続が問題なく行えるなら、これまで説明してきたようにiOSやAndroidに組み込まれたL2TPで接続するのが簡単です。

この方法はモバイル回線側でポート制限などが無ければ殆どのMVNOで利用できます。

しかし「v6プラス」のようにL2TP/IPsec接続が行えない場合はIPv6でのVPN接続を行うことになりますが、当然、モバイル回線についてもIPv6対応が求められます。

 

当初、大手キャリアはIPv6対応に消極的で自社の提供するプロファイルでIPv6を無効にしていました。

MVNOはこの設定を上書きすることができなかったのですが、OSのあるバージョンから上書きが可能となりMVNOによるIPv6対応が始まりました。

今では大手キャリアの提供するプロファイルでIPv6が有効となっているため、MVNOが対応しているならIPv6の利用が可能となっています。

現状でIPv6に対応しているモバイル回線は少し古いですが、こちらで紹介されています。

• 携帯電話事業者のIPv6対応状況（2018/1）(24Wireless)

記事および検索して分かる範囲では以下のキャリアが対応しているとのことです。

• docomo
• au
• SoftBank
• UQ WiMAX2+
• Y!mobile
• IIJmio
• DMM mobile
• エキサイトモバイル
• Panasonic Wondrlink LTE
• イオンモバイル

UQはUQ mobileは未対応、UQ WiMAXの中でもWiMAX2+のみ対応。BIGLOBE WiMAX2+など同じ回線を利用しているものは同等と思われます。

Y!mobileに関しては非公式でAPNを「plus.acs.jp.v6」に書き換えるとIPv6が使えるとのことです。

モバイルルーターやテザリングではIPv4もIPv6も使えるので、Wi-FiタブレットなどもIPv6は使えます。

ただしPocket WiFiなど古い機種はIPv4にしか対応していませんので注意してください。

 

今後、対応するMVNOも増えると思いますが、BIGLOBE MobileやSo-net Nuro mobileに問い合わせたところIPv6は需要が無いそうで対応の予定はないとのことでした。

第4の大手キャリアである楽天モバイルですが、楽天ブロードバンドですらIPv6に対応していないなど消極的なので、IPv6が使える見込みは薄いです。

 

モバイル回線のIPv6対応の確認

対象となるモバイル回線を利用している端末で家庭内Wi-Fiとの接続を切り、モバイル回線のみの状態にします。

そしてこちらのサイトにアクセスしてください。

• ipv6 test

これはエキサイトモバイルのスマホにテザリングで接続したiPadでの画面ですが、重要なのは「IPv6 connectivity」の「IPv6」が「Supported」となっていることです。

「Supported」となっていない場合はモバイル回線がIPv6対応ではないため、対応するキャリアへの乗り換えを検討してください。

 

アプリの準備

モバイル回線がIPv6に対応していることが確認できたら、SoftEther VPN Serverまでパケットを飛ばせることを確認するためのアプリをダウンロードしてください。

使用するアプリは「Network Analyzer」です。

• Network Analyzer(App Store)
• Network Analyzer(Google Play)

他のネットワークツールでも構いませんが、IPv6に対応している必要があります。

 

SoftEther VPN ServerのDDNSホスト名の指定方法

「設定シート」の内容はこのようになっています。

SoftEther VPN Server設定シート Ver.3.0 作成日：20XX/XX/XX 更新日：20XX/XX/XX 作成者： 1.ネットワークアドレス：192.168.2.0 2.ブロードバンドルーター IPアドレス：192.168.2.1 3.仮想レイヤ3スイッチ IPアドレス：192.168.2.254 4.DHCPサーバー 開始IPアドレス：192.168.2.10 5.DHCPサーバー 割り当て個数：50 6.SoftEther VPN Server パソコンIPアドレス： 192.168.2.100 7.SoftEther VPN Server 管理者パスワード：XXXXXXXX 8.SoftEther VPN Server ダイナミックDNSホスト名：vpnXXXXXXXXX.softether.net 9.仮想HUB名：Tanaka-Tokyo 10.仮想HUB パスワード：自動設定 11.IPsec事前共有鍵：vpn-ios 12.仮想HUB ユーザー名：tanaka 13.仮想HUB ユーザーパスワード：XXXXXXXX

 

この中で必要なのは「8.SoftEther VPN Server ダイナミックDNSホスト名」です。

SoftEther VPN ServerのダイナミックDNSにはグローバルIPv4アドレスだけでなくIPv6アドレスも登録されています。

コマンドプロンプトを開き、

• nslookup vpnXXXXXXXXX.softether.net

コマンドを実行するとIPv4アドレスとIPv6アドレスが表示されます。

そして「v4」を付けて

• nslookup vpnXXXXXXXXX.v4.softether.net

コマンドを実行するとIPv4アドレスだけが表示されます。

また、「v6」を付けて

• nslookup vpnXXXXXXXXX.v6.softether.net

コマンドを実行するとIPv6アドレスだけが表示されます。

このダイナミックDNSホスト名の指定の方法を使って、IPv4とIPv6のどちらでも通信できる状況で強制的にIPv6での通信を行わせることができます。

 

LAN内でのIPv6 Ping応答テスト

まず、SoftEther VPN Serverが接続されているLANからIPv6でのpingテストを行います。

このテストでSoftEther VPN Serverパソコンのファイアウォールが適切に設定されているかの確認を行います。

 

リモートVPN接続を行う端末をSoftEther VPN Serverが接続されているLANにWi-Fiなどで接続します。

「Network Analyzer」を起動し、画面下の「Ping」をタップして検索ボックスに

• 8.SoftEther VPN Server ダイナミックDNSホスト名：vpnXXXXXXXXX.v6.softether.net

と「v6」を加えたダイナミックDNSホスト名を入力して「Start」をタップします。

タブレットの場合は左上の矢印をタップして「Ping」に切り替えます。

このようにIPv6アドレスと応答時間が表示されれば問題ありません。

右上の「Stop」をタップして止めます。

このように応答時間が表示されない場合は、セキュリティソフトで「ICMP」または「ICMPv6」をブロックしていないか確認してください。

セキュリティソフトをインストールせずWindows 10添付のWindows Defenderを使用している場合は、「Windows管理ツール」の「セキュリティが強化されたWindows Defenderファイアウォール」の「受信の規制」で名前に「ICMPv6」を含む規制で「無効」になっているものを「有効」にしてみてください。

 

ブロードバンドルーターの「穴」開け

インターネットからのPingがブロードバンドルーターのファイアウォールを通過できるようにフィルターを設定します。

ここではNTT東日本の「ひかり電話ルータ(RV-440MI)」と「ひかり電話ルータ(RT-550KI)」を例として説明します。

 

ひかり電話ルーター(RV-440MI)の管理画面にアクセスします。

• http://2.ブロードバンドルーター IPアドレス/

「詳細設定」「セキュリティ設定」「IPv6パケットフィルタ設定(IPoE)」を選択して、「エントリ番号」はどれでもよいので右端の「編集」をクリックします。

以下の様に設定します。

• 有効/無効：有効
• フィルタ種別：通過
• 通信方向：IPoE→LAN
• 送信元IPアドレス：すべて指定
• 宛先IPアドレス：すべて指定
• プロトコル：プロトコル名指定 ICMPv6
• 送信元ポート：
• 宛先ポート：
• セキュリティログ保存の可否：可

設定したら「設定」をクリックします。

確認のダイアログで「OK」をクリックします。

入力した「エントリ番号」の行が表示されます。

必ず「エントリ番号」にチェックが入っていることを確認してください。

「RT-550KI」の場合は以下の様に設定します。

• フィルタ種別：許可
• 通信方向：IPoE→LAN
• プロトコル：プロトコル名選択 ICMPv6
• TCPフラグ：
• 送信元IPv6プレフィックス/プレフィックス長：全て指定
• 宛先IPv6プレフィックス/プレフィックス長：全て指定
• 送信元ポート：
• 宛先ポート：
• ICMPv6タイプ：全て指定
• ICMPv6タイプ：全て指定

設定したら「設定」をクリックします。

パケットフィルターの設定は即時反映されます。

 

SoftEther VPN ServerのIPv6 Ping応答テスト

リモートVPN接続を行う端末でWi-Fiを「オフ」にしてモバイル回線だけで通信できる状態にします。

先ほどと同じように「Network Analyzer」を起動し、画面下の「Ping」をタップして検索ボックスに

• 8.SoftEther VPN Server ダイナミックDNSホスト名：vpnXXXXXXXXX.v6.softether.net

と「v6」を加えたダイナミックDNSホスト名を入力して「Start」をタップします。

応答時間が表示されれば成功です。

応答時間はLANに比べて遅くなっているはずです。

応答時間が表示されない場合は手順に間違いが無いか確認してください。

手順に間違いが無い場合はSoftEther VPN Serverの回線契約プロバイダーとモバイル回線契約キャリアにIPv6で制限をかけていないか確認してください。

 

IPv6パケットフィルターの無効化

IPv6 Pingテストは問題がある場合だけ行います。

そのためのIPv6 Pingテスト用のパケットフィルターは通常は無効化しておきます。

「IPv6パケットフィルタ設定(IPoE)」の画面で、設定したエントリ番号のチェックボックスのチェックを外して、画面下の「設定」をクリックします。

確認のダイアログが表示されるので「OK」をクリックします。

即時反映ですので、再度IPv6 Pingテストを行って応答時間が表示されなければ無効化されていることが確認できます。

 

まとめ

IPv6 Pingテストが成功すればIPv6でのモバイルVPN接続まであと少しです。

SoftEther VPN連載記事：

• SoftEther VPNによるVPN環境構築(1) 概要
• SoftEther VPNによるVPN環境構築(2) ネットワーク環境の検討
• SoftEther VPNによるVPN環境構築(3) ネットワークアドレスの変更
• SoftEther VPNによるVPN環境構築(4) ルーターの設定
• SoftEther VPNによるVPN環境構築(5) SoftEtherVPN Server用パソコンの準備と設定
• SoftEther VPNによるVPN環境構築(6) SoftEther VPN Serverのインストールと設定
• SoftEther VPNによるVPN環境構築(7) iOS端末の設定
• SoftEther VPNによるVPN環境構築(8) Android端末の設定
• SoftEther VPNによるVPN環境構築(9) SoftEther VPN Serverの運用
• SoftEther VPNによるVPN環境構築(10) SoftEther VPN Serverの動作と注意点
• SoftEther VPNによるVPN環境構築(11) TeamViewerによるリモート構築方法
• SoftEther VPNによるVPN環境構築(12) SoftEther VPN Serverの事前テスト方法
• SoftEther VPNによるVPN環境構築(13) IPoEとv6プラス
• SoftEther VPNによるVPN環境構築(14) L2TP/IPsecにおけるIPv6対応