v6プラス関連 Part17
■ このスレッドは過去ログ倉庫に格納されています
!extend:checked:vvvvv:1000:512 次スレを立てる方は↑を二行重ねて書いてください JPNEが運営するローミングサービス。 http://www.jpne.co.jp/service/v6plus/ 前スレ v6プラス関連 Part16 https://mao.5ch.net/test/read.cgi/isp/1548843500/ VIPQ2_EXTDAT: checked:vvvvv:1000:512:----: EXT was configured >>365 https://ascii.jp/elem/000/000/647/647620/ この場合の「ネイティブ」ってのはNGNでの IPv6インターネット接続の取り扱いの話なんじゃ・・・ ※以前はネイティブ方式とかトンネル方式とか言ってた。 なんかもう一つ一つの単語の認識がバラバラすぎるな スレにバカが数人紛れ込んでるせいなのか 規格を作ってる側がややこしくしてるだけなのか IPoEが一般家庭にも普及しはじめたのってWindows98や2000が 出てた頃だったからもう20年くらい前になるのかな? いわゆる家庭内LANってやつ http://pentan.info/doc/rfc/894.html 正式には IP Datagrams over EthernetNetworks と呼ぶのかな? youtubeがipv6対応したのは2010年とだけ言っておく >>371 このスレの一般的な文脈におけるIPoEはWAN側との接続に係るものであって、その場合はNGN以降となる おいおい、変わったのはNGN内の挙動だけで、10年以上前からIPv6 IPoEで接続されてたわ! そのせいでIPv6フォールバック発生して一時期大問題になってたろうが Niftyを使い v6プラスで接続したが、HGWで落すのかなとぼんやり想像してたIPv6でのポートプローブがHGW を通過してくることが分かった。不要な portprobeなぞHGW のSPI機能が落しそうなものだが、IPv6 のスキャンが落されてない。 Univerge のスレッドでNuroとかdefault SPI無効にされていることがあったなんて読んで驚いた。しかし、私のところではHGWのSPI有効になっているのにも関わらず通り過ぎているのがあることが分かったのでもっと驚いた。 私の両親とかを含む一般消費者向の利用を考えたら、レンタルしてるHGWのDEFAULT のセキュリティ保護機能で好ましくないプローブはそれなりに落してほしい。 だが、そうなってないみたいだ。v6プラスの接続をこれでは素人に勧められない。 IPv4 のアドレス不足に対応するために導入されたNAT/NAPT みたいなアドレスとかポート変換とか面倒なことをせずに、 end-to-endで通信できるというのがIPv6の売りの一つだから、 屋内ネット、機器に直接届くのは便利なんだけどもね。だがセキュリティも考慮しないと利用できないね。 自分はHGWの内側に NEC IX2105 いれてさらにその内側で家庭内の機器をつなげた。上のようにHGWのセキュリティ機能がドキュメント不足で何やっているかわからないのでこうした。そしてIX2105 のフィルターログを見ていて上のことに気づいた。 プローブ事例: つないだ翌日くらいから次のアドレスから私のPC当てに1分おきにポートプローブ(ポートの値を一つずつ増やす)がIX2105まで届いている。 nslookup 2001:500:55::1 Non-authoritative answer: 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.5.5.0.0.0.0.5.0.1.0.0.2.ip6.arpa name = c0.nic.me. これは今朝は消えているが、ここ1週間ほどの経験だと、姿を消しても、1日たつとプローブポート番号を前から継続して再度登場するので、多分明日また登場するだろう。どこかの広告経由で上のアドレスにアクセスしたのか? (つづく) Nifty とかに聞いてから報告しようと思ったがそんな暢気なこといってられない状況だ。 今朝は別のところから*なんと*ブロードキャストアドレスを指定したUPnPポート(1900、正確にはssdp)プローブが届いていることが分かった。 こんなものがInternet 経由に流して届いてしまうのが今のIPv6 の接続なのか? 通常ブロードキャストなんて先方のエンドポイントがつながっているISPのところで落しそうなものだが。 それにしてもこんなブロードキャストアドレス向けのものはレンタルしてるHGW で*DEFAULT* で落してくれないと恐いね。 05/30/19 04:08:10 Warning FLT[007] "BLOCK udp [fe80::1eb1:7fff:fe26:13ae]:58499 > [ff02::c]:1900, match block-list, GigaEthernet0.0 in" 上のプローブは時間はほぼ1分おきで送信元のポートが一つ増えては送られて来ている。このプローブに応答してしまう ルータとかサービスデーモンみたいなものとかあるんだろうな :-( (Dropboxのデーモンもたしかssdp 1900ポート使ってLAN内交信してたのではなかったかな。IPv6のおかげでフィルターしない限り、今では事実上世界中がLANだ。) 疑問、警告、教訓: HGW の SPIがこういった望ましくない不要なport probe なぞ落としてくれそうなものだが、どこにも明記されてない。 だから、IX2105を噛ませてそっちにセキュリティ処理をまかせてv6プラス利用 したのは正解だった。 私の利用しているHGWではIPv6のポートプローブブロックは有効になってない模様。 (ただし、必ずしもこういったプローブを全部を通しているわけではなさそう なのが不思議。HGW のセキュリティログにブロック事例が一つ記録されていた。後述) Nifty にも聞いてみるが、なにかこのあたり詳しいことをご存知の方があれば教えてほしいというのと、気づいてない人が多そうなので警告の意味で投稿した。 HGWのセキュリティにはドキュメント不足で不安があった。現実にIPv6 のプローブが通り過ぎているをみると、屋内機器は裸で晒されているみたいなもので、自分がしたようにまっとうなフィルタリングできるルータを入れてからv6プラスつないだ方がいいね。 参考までにHGW、PR-400NE の関係しそうな 設定は以下の通り。 □ SPI設定 次のエントリだけ変更: TCPタイムアウト(秒) 900 (増やした) □ IPv4 パケットフィルター: 18まであるdefault ルールをenable してある。 Internet WAN 側はJPNE側で制御しているはず。(後述) □ IPv6 パケットフィルター: LAN/WAN側両方とも IPv6 ファイアウォール機能は有効。高度設定。 具体的なルールは空(default). □ 静的ルーティング設定: 次を追加して有効にした。 192.168.0.0/255.255.255.0 => LAN 192.168.1.127 □ 高度な設定: この中で関係しそうなものとしては 「高度な設定」の中のセキュリティ保護機能がチェックされている。(default) □ 情報: ここでセキュリティ状態のIPv6ファイアウォール機能は有効になっている。 □ 状態: 通信ログ の中でセキュリティログに次のような行があった。 全く(SPIの?)IPv6 のフィルター機能が動作してないというわけでもなさそうだ。 なぜこのパケットにだけに動作?ファームウェアにバグあるんじゃないのかね? 2019-05-30 03:34:05 filter- 1.ntc: match access list packet discarded ,tcp 2404:6800:4008:0c07::00bc[5228] > AAAA:BBBB:CCCC:DDDD:EEEE:FFFF:588f:b061[39794] in WAN cf. 上はgoogle所有の 1e100.netからのアクセス nslookup 2404:6800:4008:0c07::00bc c.b.0.0.0.0.0.0.0.0.0.0.0.0.0.0.7.0.c.0.8.0.0.4.0.0.8.6.4.0.4.2.ip6.arpa name = tl-in-xbc.1e100.net. HGW:8888/t/ で見れる設定。(ジョイント機能というらしい。これもあまりドキュメントがない。) □ IPv4パケットフィルタ設定 : default のまま □ 高度な設定: 唯一 [タイムアウト設定] TCP[Established] [初期値:300] を900秒に直した。それ以外はdefault 設定のまま。 □ 動的NAPT 設定:ルールを追加した。 TCP NUMBER 192.168.1.127 NUMBER でIX2105 ルータのポートにつなげて、そこからNAPT で内部LANのサーバーに繋げている。 連続投稿恐縮ですが、 LAN向けでIPv6 のSSDP利用しているようなデバイス(UPnP) とかソフトウェア (Dropbox, 一部メディアサーバーもつかってなかったかな?)持っている人 はHGW だけでしかフィルタリングしてないとしたら一時外した方がいいんじゃな いんだろうか? 次のURLの記事なみの問題のような気がする。 「NTTでフレッツ・v6オプションを契約している人は切れた方がいい(デフォルト設定でのセキュリティは皆無)」 https://qiita.com/maccadoo/items/41e4cde50d1a288a19d6 ???本当に大きな疑問???: 不要なport probeなぞHGWのSPIが落しそう なものだが、少なくとも、上でのべたブロードキャストされているUPnPプロー ブらしきものなんて落してしかるべきではないだろうか? しかし現実はIPv6のポートプローブにたいしては完全には有効になってない模様。 ファームウェアで落すはずが、バグでそうなってないのかも。 Default では中から外に向けてのアクセスした接続だけ応答通すようにしておくのが妥当。 だけどそうなってないのことが判明し以上、両親、親戚郎等、友人のICT産業に関わってない人達の家にIPv4 の接続が遅いからといって、v6プラス勧める気になれない。 IPv6対応の家電機器とかあってそれがプローブされて何がおこるか考えたら使えないでしょ? >>378-381 やぁ、恥曝し。想像以上に長文でビックリだよ。 長文で素人に風説の流布で不安を煽るのはいただけないな。 あなたが問題視してる通信は、リンクローカルアドレス(fe80::)から、マルチキャストアドレス(ff02::)に当てた通信だ。 つまりHGWの内側。LAN内の通信と言うこと。 そんな外界から来たわけでもないパケットまでHGWでブロックしろと言っているのですよ? NEC UNIVERGE IX2000/IX3000 運用構築スレ Part9 https://mao.5ch.net/test/read.cgi/network/1552448321/292-293 >ちょ。 > >fe80から始まるアドレスはリンクローカルアドレスで、>LAN上の端末からのSSDPでしょ。 >むしろ届いて当然なんだが。 > >IPv6の勉強をまずはキチンとしてください。 >>382 明け方寝ぼけた頭で書いてまちがっているのに先ほどきづいた。 申し訳ない。 こっちのほうはしつこくPCあてに来ているのでやはりHGWのファームウェアになんか問題があると思う。 Non-authoritative answer: 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.5.5.0.0.0.0.5.0.1.0.0.2.ip6.arpa name = c0.nic.me. googleのはupdate daemonがなにかアクセスしてたのが、ルータのNAT/NAPT時間の 方とのミスマッチではねられてたのかもしれないので、それでtimeout時間を調節して見ているところ。 ブロードキャストのほうは全部へのブロードキャストというのを朝いちばんでみてびっくりして 慌てた。こちらは申し訳ない。 Niftyにも修正のメイルを出しておく。 >>382 ブロードキャスト以外の事例があったので、気になっていて それで今朝のブロードキャストに届いているのに仰天して、 ソースアドレスをちゃんとチェックせずに、前の事例と合わせて思い込みで Niftyにも連絡した。 Niftyは、投稿に対して回答がこないと、どれそれの投稿に対する修正というのができないので、それが届いてから修正する。 返す返す朝の寝ぼけたあたまでメイル書いたら、しばらくしてから見直すべきというのを再確認した。 なんだが、PR-400NEのファームウェアにおかしいところがあるのは 事実だとおもっている。(アクセスしてないのにここからきている プローブを通していたこと。待てよ、再開したらもう解析して見てみる。) SPIフィルタのないルーターはそもそも売ってないし製造もされてない。 文体的に爺さんだろうけれどボケてきてるっぽいから病院行った方良いかもな あと運転もするなよ この人もそうだろうけど なまじ知識があったり新し物好きだったりで 光回線の導入が早すぎて300番台や400番台のHGW掴まされたままになってる人可哀想 ハードウェアの問題じゃないと思うんですけどそれは… 300は知らんが400と500の違いなんて対応してる無線規格ぐらいなもんでしょ 市販のもんで代替できるものに拘る意味はない ずっと気になってんだけどここのスレってゲームの通信で盛り上がってんの? 通信速度が理論値に近くするには?とかそう言うので設定を競うなら分かるけど どのルーターもそうだけどそんなに弄るとこある? 訳分からん報告する前にConfig打つようなのならまずやりたい事とコンフィグ晒してからと思うわ 300使ってるけど、無線使ってないし別に不満はないけどな。 ジイさんがヴァイラス踏んで、2001:500:55::1を攻撃して、それに対する拒否応答を攻撃されたと騒いでると予想 IPv6オプションにしてからブラウザゲー(グラブル)がやたらとタイムアウトするようになって謎すぎる 運営に問い合わせてもブラウジング出来るなら問題ないって返されるし それ以外はPPPoEの頃と比べて格段に快適なのになぁ >>394 グラブル鯖にping IPアドレス -n 1000 やってみるといい パケロスがあるなら糞回線もしくはネットワーク機器異常 >>395 試してみたけど損失0 平均pingは13msで特に問題なさそうだな 各社MTU値が違いますけど、皆さんはルータのMTU値どうしてますか? デフォの1500はNURO光だけみたいですけど v6プラス環境でMTU弄れるルータなんて数少ないのに...... 1500が一番問題無しだと思うわ MTUは勝手に最適値に減らされるんだよね 帯域制限ソフトとか使ったり回線が不安定だと 数百とか小さな値になったりしたかも cpuはRTXが速くてメモリはアライドの方が多いね 後はアライドがasic積んでるかどうかで評価が決まりそうだな NEC バッファロー I-O エレコムより高いじゃん ヤマハMAP-E対応機の良さは ・1台にMAP-EとIPv4 PPPoEの両方を設定可能 ・配下のクライアント毎にどちらを使用するかを指定可能 ・宛先ドメイン・IPアドレスによってはIPv4 PPPoE使用を上書き指定可能 ・宛先ドメインによってはIPv6使用を無効化可能 アライドテレシスの新製品にできるのかな? >>405 気になるなら先に発売されてるAT-AR2050Vの説明書でも読んで調べてみたら? ヤマハの半額以下だから細かいことできなくても仕方ないとは思うけどね 少なくとも家庭用より高い分、できることは多い アライドのコマンドリファレンス見てきたけど一通りの機能は入ってるよ 面白そうだったのがmap-eのマップルールを手動設定出来る所かな >>405 ヤマハの良さはそんなことより安定性だよ 長期連続稼働させてもビクともしない >>402 最近のアライドってどうなんだろう? 初期設定に専用の通信ケーブル(別売り)が必要だから買えとかないよね?w >>408-409 アライドも20Wの爆熱ファンレスでもビクともしない機器もあったけどね RJ-45のコンソールケーブルぐらいネットワーク屋は持ってて当たり前だから困らないよ だいたいアライドは殆どのコマンドがGUIでも設定出来るからコンソールケーブル無くても困らないしね グラブルは前から相性悪いって書いてあるし解決方法ないんじゃね v6プラスがダメ、PPPoEも遅いならスマホでUSBテザリングでもすればいいんじゃね そんなに通信量ないだろ それかPC使わずスマホで完結するか GMOでエレコムのルーター借りて VDSLだけどv6プラスにしたら ゴールデンタイムも速くなった ルーターの性能なのかという気もするけどw とにかくつっかかりがなくなった 5年分のトレンドマイクロのセキュリティもルーターに入ってておトクだわw http://rviv.ly/uxnrFW これ、どゆこと? dns変えたら余計に遅くなったし、v6サイトも見れないし 書いてる人のPCがタコなだけ? おかしなTLDはプロキシで弾いてるのでそもそもアクセスできん パブリックDNSで速度が変わるとか思ってるのは情弱だけ 一時期妙にGoogleとCloudflareがセキュアだなんだと持て囃されたが、そんなもんよりISPのDNS、要するに何も弄らないのが一番マシ みんなが鵜呑みにして同じとこ参照したら遅くなるに決まってる >>423 DoHやDoTは利用者とDNSサーバーの間の通信だけが安全なので、 DNSサーバーが安全であるかは別問題。IIJのは最低でも自ポはフィルタリングすると言ってるので、それが有用かは置いておいて通信の秘密という面では安全ではない。 V6のMTUは1460だって見るんだがping打ったら1452までじゃないと通らないんだが何が間違ってる? 家庭用ルーターだとそもそも手動だと1454以上設定できないとか未だにあるから機種によるかLAN内のどっかで減らされるかだな >>425 IPv6のMTUは1500だからIPv6ヘッダの40バイトとICMPヘッダの8バイトを引いた1452バイトまで通る IPv4 over IPv4はIPv6ヘッダの分減るからMTUは1460 1452っていうか1424までしかならないんだよね 本当は1432まで通らないといけないんだろ SG TCP/IP Analyzer で見ても MTU=1452? WXR-1750DHPシリーズファームウェア for Windows Ver.2.56[2019/06/03] 【機能追加】 ・NTTコミュニケーションズ株式会社の「OCNバーチャルコネクト」に対応しました。 ・v6プラス/IPv6オプション/OCNバーチャルコネクト使用時、以下に利用可能なポート一覧を表示するように変更しました。 - 詳細設定 - セキュリティ - ポート変換 - 詳細設定 - ステータス - システム 【不具合修正】 ・NDプロキシをご利用の場合、プロバイダーから提供されている一部の機器との組み合わせによって、インターネット接続設定に失敗することがある問題を修正しました。 ・v6プラス接続が切断されたり接続できないことがある問題を修正しました。 ・v6プラス接続をご利用の場合、Nintendo Switch(R)のスプラトゥーン2で、プライベートマッチが使用できないことがある問題を修正しました。 ・設定画面の表記を変更しました。 更新後の自動再起動では [MAP-E] Can't receive rule(status=-2). が続いたので電源オフオンしたら復旧 1750とかシリーズ沢山あるので要注意 >425 「mtu 1452」でググると何個か出てくるね ubuntu だと encap limit の設定が必要らしい 先月からBIGLOBEのV6オプションにしたんですけど 無線ルーターをRTー500kIを使い始めたらWiFiからIPv6しか発信されてないためスマホでSafari等が使えなくなったんですけど これはどうすればWiFiだけIPv4にすることができますか? 当方無知のためよろしくお願いします 書いてあることが何もかも滅茶苦茶の上にスレ違いだけど IPv6オプションで繋ぎだいならホームゲートウェイとは別にIPv6オプション対応のルータを用意せにゃならん 用意する前の当面はホームゲートウェイにBIGLOBEのPPPoEの接続IDとパスワードを打ち込めばok HGWはIPv6オプションにも対応していたと思うが? ビッグローブスレは気狂いが粘着していて壊滅状態 RT500KIならフレッツジョイントでMAP-E(IPv4)が有効になるので、無線LANルーターをアクセスポイントモードにするだけ 多分、勘違いの質問だろ! IPv4だけってIPv4 PPPoEの事はのか、IPv4 over IPv6でのIPv4側アドレス 指してるのか解らん IPv4 PPPoEの事ならば別ルータでPPPoE接続設定するしかない(HGWで IPv6オプションなのだから別ルータは対応品で無くてもいいし) >>434 そっか、HGWってそっちには対応してないんだっけ >>400 の意見に同意 transixでWXR-1750DHP2使ってるけど MTU1500から弄ったら iPhoneは問題なく繋げれたが AndroidでIPv4サイトの一部が繋がらなかったり 上りの速度が極端に遅くなったり Switchのネット接続がダメになったりした >>439 対応はしてるんだけどフレッツジョイント降りてこないとこを見るとBIGLOBEに問い合わせるか別途ルータでIPv6オプションで繋ぐしかないんじゃないかな まあHGWからPPPoEで繋げば繋がることは繋がるだろうが HGWが対応してるのはあくまでJPNEのv6プラスであってBIGLOBEのv6オプションは同じMAP-Eでも対応してはいないんじゃないの?よく分からんけど >>442 HGWも対応してるよ (ひかり電話対応ルーター と表現されてる) IPv6オプション:BIGLOBE会員サポート https://support.biglobe.ne.jp/ipv6/option.html HGW使ってる場合と、HGW無しでブロードバンドルーターだけ使ってる場合とでは対応のさせ方が違うから、区別しながら申し込まなきゃいけないって事なんじゃないの? 大抵のプロバイダーでそうなんじゃないかと思うけど とあるサイトにスクレイピングかけてたらアクセス頻度が高かったのか403かえされるようになってしまったんだが これってv6プラスでIP共有してる人にも被害出ちゃってるよね・・・ 割と大きなサイトだし ニフティつながんね。 ログ見たらV6ruleきてねーようだが ...と思ったら復活 まだいくつかアクセスできないサイトがあるのでDNS周りかな? 今朝Windowsアップした後で繋がらなくなったけど(7と10) タブレットは繋がっていたのでWindowsのアプデを疑ったけど なんか違う感じだな 仕事なので帰宅したら調べてみよう JPNEは多少のアクセス不良起きても障害情報に上げてこない ISP側にも情報卸していないみたいだし、存外糞企業だったり DTIはOCNバーチャルコネクトに鞍替えみたいだな DTIって光の客残ってんのかな 俺はキレて出て行ったが OCNバーチャルコネクトってそんなに安いのか 対応ルーターが各社やっと出始めたぐらいなのに乗り換えるのってよっぽどIPSにとってJPNEより有利なんだろうね? ■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる