みなさんこんにちは、テックデザインの河野です。
今回はオンライン資格確認とIPv6 IPoEインターネット接続を併用する場合の具体的なconfig内容について解説します。
ネットワーク構成
検証ネットワーク環境
・ルーター:YAMAHA RTX830 Rev.15.02.22
・光回線:NTT東日本 フレッツ光ネクスト マンション・ギガラインタイプ(ひかり電話なし)
・ISP:IIJmio
・VNE:インターネットマルチフィード(transix IPv4接続/DS-Lite)
設定例
以下よりconfigをダウンロードできます。
<LAN分割>
LAN1 Port 1〜2をオンライン請求・資格確認端末用、LAN1 Port 3〜4を電子カルテ・レセコン端末用として使用します。
| lan type lan1 port-based-option=divide-network vlan port mapping lan1.1 vlan1 vlan port mapping lan1.2 vlan1 vlan port mapping lan1.3 vlan2 vlan port mapping lan1.4 vlan2 |
<オンライン資格確認用IPv6 IPoE>
LAN分割機能を使う場合、IPv6はvlan1でのみ利用可能です。ngn typeコマンドはなくてもひとまずは動作しますが、RAプロキシの場合は設定しないとリナンバリングしないので忘れずに入れておきましょう。DNSサーバーなどIPv6アドレス以外の情報もホストに自動取得させるため、DHCPv6 ClientのInform-Requestとルーター広告のo_flagをonにします。
| RAプロキシ ngn type lan2 ntt ipv6 prefix 1 ra-prefix@lan2::/64 ipv6 vlan1 address ra-prefix@lan2:1::1/64 ipv6 vlan1 rtadv send 1 o_flag=on ipv6 vlan1 dhcp service server ipv6 lan2 dhcp service client ir=on |
<IPv6フィルター>
フレッツ網の情報はDHCPv6やDHCPv6-PDで受け取るため、WANインターフェースのIPv6受信トラフィックはDHCPv6 Client宛の通信(UDP 546)を許可、ICMPv6エコー要求は拒否します。
| ipv6 filter 200000 reject * * icmp6 128 * ipv6 filter 200001 pass * * icmp6 * * ipv6 filter 200002 pass * * tcp * ident ipv6 filter 200003 pass * * udp * 546 ipv6 filter 299999 pass * * * * * ipv6 filter dynamic 203098 * * tcp ipv6 filter dynamic 203099 * * udp ipv6 lan2 secure filter in 200000 200001 200002 200003 ipv6 lan2 secure filter out 299999 dynamic 203098 203099 |
<DNS>
「オンライン資格確認等システム接続ガイド(IP-VPN接続方式)1.5版」のP4に記載されている6つのドメイン(onshikaku.org / lineauth.mnw / base.oqs-pdl.org / managedpki.ne.jp / cybertrust.ne.jp / secomtrust.net)の名前解決に指定のDNSサーバーを使うように設定します。
フレッツ光ネクスト隼などIPv6でオンライン請求をする場合は「オンライン請求システム等接続ガイド1.1版【ネットワーク設定】IP-VPN接続方式(IPv6利用)2022年3月」のP5に記載されている10ドメイン(send.rece / cert.download.rece / cert.view.rece / lineauth.mnw / managedpki.ne.jp / cybertrust.ne.jp / secomtrust.net / kenshin.rece / kikin.kenshinsorry.rece / healthinsurance.mhlw.go.jp)の名前解決に指定のDNSサーバーを使うように設定します。
下記はNTT東日本での設定例となるため、NTT西日本の場合はDNSサーバを接続ガイドに記載されるアドレスに適宜置き換えてください。
| dns host vlan1 vlan2 dns service fallback on dns private address spoof on # オンライン資格確認 dns server select 500000 2404:1a8:7f01:a::3 edns=on 2404:1a8:7f01:b::3 edns=on any flets-east.jp dns server select 500001 2404:1a8:f583:d00::53:1 edns=on 2404:1a8:f583:d00::53:2 edns=on any onshikaku.org dns server select 500002 2404:1a8:f583:d00::53:1 edns=on 2404:1a8:f583:d00::53:2 edns=on any www.lineauth.mnw dns server select 500003 2404:1a8:f583:d00::53:1 edns=on 2404:1a8:f583:d00::53:2 edns=on any oqs-pdl.org dns server select 500004 2404:1a8:f583:d00::53:1 edns=on 2404:1a8:f583:d00::53:2 edns=on any managedpki.ne.jp dns server select 500005 2404:1a8:f583:d00::53:1 edns=on 2404:1a8:f583:d00::53:2 edns=on any cybertrust.ne.jp dns server select 500006 2404:1a8:f583:d00::53:1 edns=on 2404:1a8:f583:d00::53:2 edns=on any secomtrust.net # オンライン請求(IPv6利用の場合) dns server select 500007 2404:1a8:f583:d00::53:1 edns=on 2404:1a8:f583:d00::53:2 edns=on any rece dns server select 500008 2404:1a8:f583:d00::53:1 edns=on 2404:1a8:f583:d00::53:2 edns=on any healthinsurance.mhlw.go.jp # インターネット接続 dns server select 500010 dhcp lan2 edns=on any . |
<オンライン請求>
オンライン資格確認用端末からIP-VPN形式のオンライン請求ができるようにする場合は、PPPoEパススルーでvlan1からPPPoE接続ができるようにします。
| pppoe pass-through member vlan1 lan2 |
<IPv4>
LAN分割機能で作成したVLANインターフェースにIPアドレスを設定します。
| description vlan1 オンライン請求・資格確認 ip vlan1 address 172.16.1.254/24 description vlan2 レセプト・電子カルテ ip vlan2 address 192.168.1.254/24 |
<IPv4フィルター>
オンライン資格確認用に使用するvlan1の送信トラフィックは、デフォルトゲートウェイ宛の通信とDHCPサーバー宛の通信のみ許可します。受信トラフィックはレセプト・電子カルテセグメント、デフォルトゲートウェイ、DHCPサーバーからの通信のみ許可します。
| ip filter source-route on ip filter directed-broadcast on ip filter 110000 pass 172.16.1.0/24 172.16.1.254 * * * ip filter 110001 pass * * udp dhcpc dhcps ip filter 111000 pass 192.168.1.0/24,172.16.1.254 172.16.1.0/24 * * * ip filter 111001 pass * * udp dhcps dhcpc ip filter dynamic 113000 192.168.1.0/24 172.16.1.0/24 tcp ip filter dynamic 113001 192.168.1.0/24 172.16.1.0/24 udp ip filter dynamic 113002 192.168.1.0/24 172.16.1.0/24 ping ip vlan1 secure filter in 110000 110001 ip vlan1 secure filter out 111000 111001 dynamic 113000 113001 113002 |
<IPv4 DHCP>
本稿ではオンライン資格確認セグメントとレセプト・電子カルテセグメントの両方でDHCPサーバーを有効にしていますが、DHCPサーバーを使用するか否かは任意です。下記はvlan1の割当方式をbind-onlyにして特定のオンライン資格確認端末にのみ1個だけIPアドレスをリースするようにしています。
| dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope lease type 1 bind-only dhcp scope 1 172.16.1.1-172.16.1.1/24 dhcp scope 2 192.168.1.1-192.168.1.100/24 dhcp scope bind 1 172.16.1.1 XX:XX:XX:XX:XX:XX |
<インターネット接続>
インターネット接続はIPv4 over IPv6 IPIPトンネルを利用します。vlan2の端末にはIPv6グローバルユニキャストアドレスが付与されないため、IPv4インターネット接続となります。
| tunnel select 1 description tunnel DS-Lite(Transix) tunnel encapsulation ipip tunnel endpoint name gw.transix.jp fqdn tunnel enable 1 ip route default gateway tunnel 1 |
<スケジュール>
オンライン資格確認の疎通確認用に用意されているNTPサーバーを使い、ルーター起動時と1日1回任意の時刻にNTPサーバーとルーターの時刻を同期します。支払基金・国保中央会とのIPv6 IPoE接続の死活確認代わりにもなり有用です。ntpdateコマンドはsyslogオプションを付けることで結果をINFOレベルのSYSLOGに出力できます。下記はWANポートのLANケーブルを抜いた状態で時刻同期に失敗した際のSYSLOGです。
2022/04/XX 03:29:00: [SCHEDULE] Error(No such domain name): ntpdate ntp.base.oqs-pdl.org syslog
定時同期する時刻は深夜のキリの悪い時刻を指定することでNTPサーバーへのアクセス集中を避けています。
| schedule at 1 startup * ntpdate ntp.base.oqs-pdl.org syslog schedule at 2 / 03:29 * ntpdate ntp.base.oqs-pdl.org syslog |
<その他>
下記は任意の設定です。自分の環境で問題なく動作するようになるまでは、syslogは全てONにしておいた方が不具合の原因を見つけやすくなります。telnetはデフォルトがonなので、特に理由がなければoffにしておいた方が安心です。
| console character ja.utf8 console columns 4096 console prompt RTX830 login timer 900 syslog notice on syslog info on syslog debug on telnetd service off |
特記事項
IPv6グローバルユニキャストアドレスが付与される環境では、オンライン資格確認端末がIPv6アドレスでインターネットと通信可能な状態になります。オンライン資格確認端末はインターネットに接続させたくないので、接続先を制限する必要があります。
オンライン資格確認にはNGN網から払い出されたIPv6アドレスを使用するため、通信は基本的にNGN網内で完結すると考えて差し支えないはずです。筆者の環境ではオンライン資格確認とオンライン請求で名前解決が求められる計12ドメインのIPv6アドレスは全て「2404:1a8」「2408:210:9c0」で始まっており、これらのアドレスはwhoisにかけるとNTT東日本NGNのIPv6 CIDRブロック「2408::/22」「2404:01a8::/32」にあることが分かります。同様にルーターのWANポートに付与されたIPv6アドレスをwhoisにかけると、VNEであるインターネットマルチフィードのIPv6 CIDRブロック「2409:0010::/28」から払い出されていることが分かります。これらのIPv6 CIDRブロックに対してのみ通信を許可すればIPv6で到達可能な範囲はNGN網内に限られるはずですがエラーが起きない保証はなく、実際にオンライン資格確認が可能な本番環境でも動作検証ができていないため下記設定は参考情報としてお考えください。
| # リンクローカルアドレスとマルチキャストアドレスを許可 ipv6 filter 110000 pass * fe80::/10,ff00::/8 * * * ipv6 filter 111000 pass fe80::/10,ff00::/8 * * * * # VNE IPv6 CIDRブロックとの通信を許可 ipv6 filter 110001 pass * 2409:10::/28 * * * ipv6 filter 111001 pass 2409:10::/28 * * * * # NTT東日本NGN IPv6 CIDRブロックとの通信を許可 ipv6 filter 110002 pass * 2408::/22 * * * ipv6 filter 110003 pass * 2404:1a8::/32 * * * ipv6 filter 111002 pass 2408::/22 * * * * ipv6 filter 111003 pass 2404:1a8::/32 * * * * ipv6 vlan1 secure filter in 110000 110001 110002 110003 ipv6 vlan1 secure filter out 111000 111001 111002 111003 |
Configの解説は以上となります。
まとめ
オンライン資格確認端末のインターネット接続をうまく制限できれば、IPv6 IPoEインターネット接続は両立できそうです。オンライン資格確認に必要な通信がNGN網内で完結する確証がない現状では、標準でIPv6グローバルユニキャストアドレスが付与されない(IPv6インターネット接続が提供されない)ISPを選択するのが無難と考えます。本稿が皆様のオンライン資格確認の導入に役立てば幸いです。
関連記事
-
なかせのコラム ヤマハのコラム 更新情報ヤマハ株式会社が「Interop Tokyo 2023」に出展!SCSKも参加予定です!
- さくらのコラム ヤマハのコラム 更新情報
ヤマハ出展の「第14回 EDIX(教育総合展)東京」 訪問レポート
- おがわのコラム ヤマハのコラム 技術コラム
ヤマハNWファンミーティング2023 Spring @Youtubeライブ アンケートQ&A その3
- かとうのコラム コラム はじめてのヤマハUTX ヤマハのコラム 更新情報
はじめてのヤマハUTX 第3回 ~UTXシリーズ紹介②~
- かとうのコラム コラム はじめてのヤマハUTX ヤマハのコラム 更新情報
はじめてのヤマハUTX 第3回 ~UTXシリーズ紹介①~
