河野哲治のコラム「オンライン資格確認とIPv6 IPoEインターネット接続を併用する(2)」

河野哲治のコラム「オンライン資格確認とIPv6 IPoEインターネット接続を併用する(2)」

2022.04.19

みなさんこんにちは、テックデザインの河野です。

今回はオンライン資格確認とIPv6 IPoEインターネット接続を併用する場合の具体的なconfig内容について解説します。

ネットワーク構成

検証ネットワーク環境

・ルーター:YAMAHA RTX830 Rev.15.02.22
・光回線:NTT東日本 フレッツ光ネクスト マンション・ギガラインタイプ(ひかり電話なし)
・ISP:IIJmio
・VNE:インターネットマルチフィード(transix IPv4接続/DS-Lite)

設定例

以下よりconfigをダウンロードできます。

<LAN分割>

LAN1 Port 1〜2をオンライン請求・資格確認端末用、LAN1 Port 3〜4を電子カルテ・レセコン端末用として使用します。

lan type lan1 port-based-option=divide-network
vlan port mapping lan1.1 vlan1
vlan port mapping lan1.2 vlan1
vlan port mapping lan1.3 vlan2
vlan port mapping lan1.4 vlan2

<オンライン資格確認用IPv6 IPoE>

LAN分割機能を使う場合、IPv6はvlan1でのみ利用可能です。ngn typeコマンドはなくてもひとまずは動作しますが、RAプロキシの場合は設定しないとリナンバリングしないので忘れずに入れておきましょう。DNSサーバーなどIPv6アドレス以外の情報もホストに自動取得させるため、DHCPv6 ClientのInform-Requestとルーター広告のo_flagをonにします。

RAプロキシ
ngn type lan2 ntt
ipv6 prefix 1 ra-prefix@lan2::/64
ipv6 vlan1 address ra-prefix@lan2:1::1/64
ipv6 vlan1 rtadv send 1 o_flag=on
ipv6 vlan1 dhcp service server

ipv6 lan2 dhcp service client ir=on

<IPv6フィルター>

フレッツ網の情報はDHCPv6やDHCPv6-PDで受け取るため、WANインターフェースのIPv6受信トラフィックはDHCPv6 Client宛の通信(UDP 546)を許可、ICMPv6エコー要求は拒否します。

ipv6 filter 200000 reject * * icmp6 128 *
ipv6 filter 200001 pass * * icmp6 * *
ipv6 filter 200002 pass * * tcp * ident
ipv6 filter 200003 pass * * udp * 546
ipv6 filter 299999 pass * * * * *

ipv6 filter dynamic 203098 * * tcp
ipv6 filter dynamic 203099 * * udp

ipv6 lan2 secure filter in 200000 200001 200002 200003
ipv6 lan2 secure filter out 299999 dynamic 203098 203099

<DNS>

オンライン資格確認等システム接続ガイド(IP-VPN接続方式)1.5版」のP4に記載されている6つのドメイン(onshikaku.org / lineauth.mnw / base.oqs-pdl.org / managedpki.ne.jp / cybertrust.ne.jp / secomtrust.net)の名前解決に指定のDNSサーバーを使うように設定します。

フレッツ光ネクスト隼などIPv6でオンライン請求をする場合は「オンライン請求システム等接続ガイド1.1版【ネットワーク設定】IP-VPN接続方式(IPv6利用)2022年3月」のP5に記載されている10ドメイン(send.rece / cert.download.rece / cert.view.rece / lineauth.mnw / managedpki.ne.jp / cybertrust.ne.jp / secomtrust.net / kenshin.rece / kikin.kenshinsorry.rece / healthinsurance.mhlw.go.jp)の名前解決に指定のDNSサーバーを使うように設定します。

下記はNTT東日本での設定例となるため、NTT西日本の場合はDNSサーバを接続ガイドに記載されるアドレスに適宜置き換えてください。

dns host vlan1 vlan2
dns service fallback on
dns private address spoof on

# オンライン資格確認
dns server select 500000 2404:1a8:7f01:a::3 edns=on 2404:1a8:7f01:b::3 edns=on any flets-east.jp
dns server select 500001 2404:1a8:f583:d00::53:1 edns=on 2404:1a8:f583:d00::53:2 edns=on any onshikaku.org
dns server select 500002 2404:1a8:f583:d00::53:1 edns=on 2404:1a8:f583:d00::53:2 edns=on any www.lineauth.mnw
dns server select 500003 2404:1a8:f583:d00::53:1 edns=on 2404:1a8:f583:d00::53:2 edns=on any oqs-pdl.org
dns server select 500004 2404:1a8:f583:d00::53:1 edns=on 2404:1a8:f583:d00::53:2 edns=on any managedpki.ne.jp
dns server select 500005 2404:1a8:f583:d00::53:1 edns=on 2404:1a8:f583:d00::53:2 edns=on any cybertrust.ne.jp
dns server select 500006 2404:1a8:f583:d00::53:1 edns=on 2404:1a8:f583:d00::53:2 edns=on any secomtrust.net

# オンライン請求(IPv6利用の場合)
dns server select 500007 2404:1a8:f583:d00::53:1 edns=on 2404:1a8:f583:d00::53:2 edns=on any rece
dns server select 500008 2404:1a8:f583:d00::53:1 edns=on 2404:1a8:f583:d00::53:2 edns=on any healthinsurance.mhlw.go.jp

# インターネット接続
dns server select 500010 dhcp lan2 edns=on any .

<オンライン請求>

オンライン資格確認用端末からIP-VPN形式のオンライン請求ができるようにする場合は、PPPoEパススルーでvlan1からPPPoE接続ができるようにします。

pppoe pass-through member vlan1 lan2

<IPv4>

LAN分割機能で作成したVLANインターフェースにIPアドレスを設定します。

description vlan1 オンライン請求・資格確認
ip vlan1 address 172.16.1.254/24
description vlan2 レセプト・電子カルテ
ip vlan2 address 192.168.1.254/24

<IPv4フィルター>

オンライン資格確認用に使用するvlan1の送信トラフィックは、デフォルトゲートウェイ宛の通信とDHCPサーバー宛の通信のみ許可します。受信トラフィックはレセプト・電子カルテセグメント、デフォルトゲートウェイ、DHCPサーバーからの通信のみ許可します。

ip filter source-route on
ip filter directed-broadcast on

ip filter 110000 pass 172.16.1.0/24 172.16.1.254 * * *
ip filter 110001 pass * * udp dhcpc dhcps
ip filter 111000 pass 192.168.1.0/24,172.16.1.254 172.16.1.0/24 * * *
ip filter 111001 pass * * udp dhcps dhcpc

ip filter dynamic 113000 192.168.1.0/24 172.16.1.0/24 tcp
ip filter dynamic 113001 192.168.1.0/24 172.16.1.0/24 udp
ip filter dynamic 113002 192.168.1.0/24 172.16.1.0/24 ping

ip vlan1 secure filter in 110000 110001
ip vlan1 secure filter out 111000 111001 dynamic 113000 113001 113002

<IPv4 DHCP>

本稿ではオンライン資格確認セグメントとレセプト・電子カルテセグメントの両方でDHCPサーバーを有効にしていますが、DHCPサーバーを使用するか否かは任意です。下記はvlan1の割当方式をbind-onlyにして特定のオンライン資格確認端末にのみ1個だけIPアドレスをリースするようにしています。

dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope lease type 1 bind-only
dhcp scope 1 172.16.1.1-172.16.1.1/24
dhcp scope 2 192.168.1.1-192.168.1.100/24
dhcp scope bind 1 172.16.1.1 XX:XX:XX:XX:XX:XX

<インターネット接続>

インターネット接続はIPv4 over IPv6 IPIPトンネルを利用します。vlan2の端末にはIPv6グローバルユニキャストアドレスが付与されないため、IPv4インターネット接続となります。

tunnel select 1
description tunnel DS-Lite(Transix)
tunnel encapsulation ipip
tunnel endpoint name gw.transix.jp fqdn
tunnel enable 1

ip route default gateway tunnel 1

<スケジュール>

オンライン資格確認の疎通確認用に用意されているNTPサーバーを使い、ルーター起動時と1日1回任意の時刻にNTPサーバーとルーターの時刻を同期します。支払基金・国保中央会とのIPv6 IPoE接続の死活確認代わりにもなり有用です。ntpdateコマンドはsyslogオプションを付けることで結果をINFOレベルのSYSLOGに出力できます。下記はWANポートのLANケーブルを抜いた状態で時刻同期に失敗した際のSYSLOGです。

2022/04/XX 03:29:00: [SCHEDULE] Error(No such domain name): ntpdate ntp.base.oqs-pdl.org syslog

定時同期する時刻は深夜のキリの悪い時刻を指定することでNTPサーバーへのアクセス集中を避けています。

schedule at 1 startup * ntpdate ntp.base.oqs-pdl.org syslog
schedule at 2 / 03:29 * ntpdate ntp.base.oqs-pdl.org syslog

<その他>

下記は任意の設定です。自分の環境で問題なく動作するようになるまでは、syslogは全てONにしておいた方が不具合の原因を見つけやすくなります。telnetはデフォルトがonなので、特に理由がなければoffにしておいた方が安心です。

console character ja.utf8
console columns 4096
console prompt RTX830
login timer 900

syslog notice on
syslog info on
syslog debug on

telnetd service off

特記事項

IPv6グローバルユニキャストアドレスが付与される環境では、オンライン資格確認端末がIPv6アドレスでインターネットと通信可能な状態になります。オンライン資格確認端末はインターネットに接続させたくないので、接続先を制限する必要があります。

オンライン資格確認にはNGN網から払い出されたIPv6アドレスを使用するため、通信は基本的にNGN網内で完結すると考えて差し支えないはずです。筆者の環境ではオンライン資格確認とオンライン請求で名前解決が求められる計12ドメインのIPv6アドレスは全て「2404:1a8」「2408:210:9c0」で始まっており、これらのアドレスはwhoisにかけるとNTT東日本NGNのIPv6 CIDRブロック「2408::/22」「2404:01a8::/32」にあることが分かります。同様にルーターのWANポートに付与されたIPv6アドレスをwhoisにかけると、VNEであるインターネットマルチフィードのIPv6 CIDRブロック「2409:0010::/28」から払い出されていることが分かります。これらのIPv6 CIDRブロックに対してのみ通信を許可すればIPv6で到達可能な範囲はNGN網内に限られるはずですがエラーが起きない保証はなく、実際にオンライン資格確認が可能な本番環境でも動作検証ができていないため下記設定は参考情報としてお考えください。

# リンクローカルアドレスとマルチキャストアドレスを許可
ipv6 filter 110000 pass * fe80::/10,ff00::/8 * * *
ipv6 filter 111000 pass fe80::/10,ff00::/8 * * * *

# VNE IPv6 CIDRブロックとの通信を許可
ipv6 filter 110001 pass * 2409:10::/28 * * *
ipv6 filter 111001 pass 2409:10::/28 * * * *

# NTT東日本NGN IPv6 CIDRブロックとの通信を許可
ipv6 filter 110002 pass * 2408::/22 * * *
ipv6 filter 110003 pass * 2404:1a8::/32 * * *
ipv6 filter 111002 pass 2408::/22 * * * *
ipv6 filter 111003 pass 2404:1a8::/32 * * * *

ipv6 vlan1 secure filter in 110000 110001 110002 110003
ipv6 vlan1 secure filter out 111000 111001 111002 111003

Configの解説は以上となります。

まとめ

オンライン資格確認端末のインターネット接続をうまく制限できれば、IPv6 IPoEインターネット接続は両立できそうです。オンライン資格確認に必要な通信がNGN網内で完結する確証がない現状では、標準でIPv6グローバルユニキャストアドレスが付与されない(IPv6インターネット接続が提供されない)ISPを選択するのが無難と考えます。本稿が皆様のオンライン資格確認の導入に役立てば幸いです。

河野 哲治
著者の記事一覧

著者

河野 哲治

株式会社テックデザイン 代表取締役

関連記事

  •  
    コラム ヤマハのコラム ランシステム黒澤氏のコラム

    RTX1300 Dynamic Exhibition in SCSK豊洲本社 参加レポート

  •  
    コラム ヤマハのコラム ランシステム黒澤氏のコラム

    ヤマハ 10ギガアクセスVPNルーター RTX1300 誕生! -2022年9月発売開始-

  •  
    ヤマハのコラム 更新情報

    ヤマハネットワーク即納可能モデル~Autumn~

  •  
    ヤマハのコラム ヤマハのセミナー 更新情報

    ”ヤマハユーザーをご招待!RTX1300 Dynamic Exhibition”を開催いたしました!

  •  
    コラム ヤマハのコラム ランシステム黒澤氏のコラム

    Wi-Fi6導入時に最適なスマートL2 PoEスイッチ SWX2221P-10NTファーストタッチ

直近の開催セミナー

  •  
    2022
    10.7 金
    16:00 - 17:30

    ヤマハのYouTubeライブ、ヤマハのセミナー ヤマハWLX222発売記念YouTubeライブのご案内

  •  
    2022
    10.14 金
    14:00 - 16:30

    PicoCELAのセミナー、ヤマハのセミナー Meetup National Tour 2022開催のご案内

  •  

    公式 YouTube
    チャンネル

  • facebook
  • Instagram
  • Instagram

カテゴリーから記事を探す

評価機のご依頼

ネットワーク機器の
評価機のお貸し出し

構成のご相談

ネットワーク機器を
活用した構成のご相談

製品 ご導入事例の募集

ご導入事例について
ご紹介させて頂ける方