みなさんこんにちは、テックデザインの河野です。
昨年6月に登壇させていただいた「医療・介護系業種関連ネットワーク解説 オンラインセミナー」で「NVR510やNVR500はオンライン資格確認に利用できますか?」という質問をいただきました。なかなか時間が取れず遅くなってしまいましたが、検証結果を報告いたします。
┃NVR510は問題なし、NVR500は条件付きで問題なし
前回コラムで解説した通り、UDPでDNSが扱えるデータ量(DNSメッセージサイズ)は最大512バイトで、ヘッダーの64バイトを含む576バイトが一度に受信できるデータグラムの最大サイズとなります。実際にオンライン資格確認で使用するドメインの名前解決をパケットキャプチャーしてみると、pweb.base.oqs-pdl.org と ntp.base.oqs-pdl.org は576バイトを超えていました(図1)。
図1 DNS通信のパケットキャプチャ
512バイトを超えるDNSメッセージはTCPで扱えますが、ヤマハルーターはDNSのTCPフォールバックに対応していないため、下記のようにedns=onオプションでDNSサーバーへの通信をEDNSで行う必要があります。NVR510は問題なく設定できるのですが、NVR500は最新のファームウェア Rev.11.00.42(2022年2月11日現在)でも、下記書式で edns=on オプションを設定することができません。
オンライン資格確認用DNSサーバー設定例(NTT東日本の場合)
| dns server select 500001 2404:1a8:7f01:a::3 edns=on 2404:1a8:7f01:b::3 edns=on any flets-east.jp dns server select 500002 2404:1a8:f583:d00::53:1 edns=on 2404:1a8:f583:d00::53:2 edns=on any onshikaku.org dns server select 500003 2404:1a8:f583:d00::53:1 edns=on 2404:1a8:f583:d00::53:2 edns=on any www.lineauth.mnw dns server select 500004 2404:1a8:f583:d00::53:1 edns=on 2404:1a8:f583:d00::53:2 edns=on any oqs-pdl.org dns server select 500005 2404:1a8:f583:d00::53:1 edns=on 2404:1a8:f583:d00::53:2 edns=on any managedpki.ne.jp dns server select 500006 2404:1a8:f583:d00::53:1 edns=on 2404:1a8:f583:d00::53:2 edns=on any cybertrust.ne.jp dns server select 500007 2404:1a8:f583:d00::53:1 edns=on 2404:1a8:f583:d00::53:2 edns=on secomtrust.net |
┃EDNSを使えないと何が起こるか
下記はNVR510/500をDNSサーバーに設定したWindows PCから、先ほどのDNSメッセージサイズが512バイトを超えるドメインに nslookup をかけた結果です。左がNVR510、右がNVR500の結果です。
NVR510の結果
C:\Users\TechDesign>nslookup pweb.base.oqs-pdl.org
サーバー: UnKnown
Address: 2409:****:****:****::1
権限のない回答:
名前: pweb.base.oqs-pdl.org
Addresses: 2408:210:9c0::11
2408:210:9c0::6
2408:210:9c0::9
2408:210:9c0::8
2408:210:9c0::12
2408:210:9c0::2
2408:210:9c0::13
2408:210:9c0::15
2408:210:9c0::5
2408:210:9c0::1
2408:210:9c0::10
2408:210:9c0::4
2408:210:9c0::3
2408:210:9c0::7
2408:210:9c0::14
10.255.180.6
10.255.180.15
10.255.180.2
10.255.180.12
10.255.180.7
10.255.180.9
10.255.180.10
10.255.180.13
10.255.180.14
10.255.180.1
10.255.180.4
10.255.180.5
10.255.180.3
10.255.180.11
10.255.180.8
NVR500の結果
C:\Users\TechDesign>nslookup pweb.base.oqs-pdl.org
サーバー: UnKnown
Address: 2409:****:****:****::1
権限のない回答:
名前: pweb.base.oqs-pdl.org
Addresses: 10.255.180.10
10.255.180.14
10.255.180.7
10.255.180.3
10.255.180.2
10.255.180.13
10.255.180.6
10.255.180.12
10.255.180.4
10.255.180.1
10.255.180.5
10.255.180.15
10.255.180.9
10.255.180.8
10.255.180.11
※ntp.base.oqs-pdl.org も同様
NVR500ではIPv6アドレスを取得できていないことが分かります。 www.lineauth.mnw などDNSメッセージサイズが512バイトを超えない他のドメインはIPv4アドレスもIPv6アドレスも名前解決ができているので、パケットキャプチャーの結果とも整合します。NVR510/500をDNSサーバーに設定し、「オンライン資格確認システム接続ガイド(IP-VPN接続方式) 1.5版」のP12に記載される6つのドメインの名前解決を行った結果は下記リンクよりダウンロードできます。
┃NVR500環境での対策
このようにNVR500をDNSサーバーに設定するとDNSメッセージサイズが512バイトを超えるドメインの名前解決が不完全になり、オンライン資格確認の動作に影響が出るおそれがありますが、端末にDNSを直接設定すればWindowsがTCPフォールバックを行ってくれるため名前解決が可能になります(図2)。パケットキャプチャーをして確認してみると、UDPで名前解決を行った後にTCPで名前解決を行っているのが確認できました(図3、図4)。
図2 端末にDNSサーバーを直接設定
図3 UDPで名前解決
図4 TCPで名前解決
NVR510とNVR500の検証結果解説は以上となります。
今後ヤマハルーターがファームウェアアップデートでTCPフォールバックに対応したり、NVR500がednsオプションに対応したりしてもらえるとありがたいですね。
本稿が皆様のオンライン資格確認の導入に役立てば幸いです。
関連記事
-
なかせのコラム ヤマハのコラム 更新情報ヤマハ株式会社が「Interop Tokyo 2023」に出展!SCSKも参加予定です!
- さくらのコラム ヤマハのコラム 更新情報
ヤマハ出展の「第14回 EDIX(教育総合展)東京」 訪問レポート
- おがわのコラム ヤマハのコラム 技術コラム
ヤマハNWファンミーティング2023 Spring @Youtubeライブ アンケートQ&A その3
- かとうのコラム コラム はじめてのヤマハUTX ヤマハのコラム 更新情報
はじめてのヤマハUTX 第3回 ~UTXシリーズ紹介②~
- かとうのコラム コラム はじめてのヤマハUTX ヤマハのコラム 更新情報
はじめてのヤマハUTX 第3回 ~UTXシリーズ紹介①~
