NURO光のルータ「HG8045Q」がファームアップデートでIPv6のFirewall機能が実装されたので設定した

はじめに

2020/10/19にSONYからのアナウンスでNURO光のルータ「HG8045Q」のファームウェアアップデートを順次行っていくとありました。

NURO 光 ONUホームゲートウェイタイプ「HG8045Q」ファームウェアアップデートのお知らせ

自宅の環境も2020/11/13の早朝に自動アップデートが行われ、ソフトウェアバージョンが「V3R016C00S110」になりました。

新機能として、セキュリティ機能の向上としてIPv6ファイアウォール機能の有効化が行えるようになったので、早速設定しました。

アップデート直後の設定

アップデート直後の設定では、「セキュリティ」タブの「IPv6ファイアウォール設定」内の「パケット転送におけるIPv6ファイアウォール制御を有効化」のチェックが外れた状態です。

この状態についての説明ですが、ざっくり以下のとおりです

  • IPv6のアウトバウンド通信は全て許可(家庭内、事務所内からインターネットに向かっての通信)
  • IPv6のインバウンド通信は全て拒否(インターネット側から家庭内、事務所内のPCに向かっての通信)

通常の利用ではこのデフォルト設定で全く問題ないでしょう。
過去のファームウェアVersionではIPv6のインバウンド通信が全て許可されていたため、家庭内、事務所内のPCがIPv6対応の場合、インターネット側から直接そのPCに繋げることが出来ていました。

私見ですが、IPv6とはそういうものだし、全てのPCがグローバルなIPv6アドレスを持つことでインターネット境界を意識しないで相互接続が自由に行えるのが普通だとは思っています。
(セキュリティ対策は個々のPCで行うべき)

特定のサイトからのIPv6インバウンド通信を許可

私の環境の話なのですが、自宅と実家それぞれがIPv6/IPv4のデュアルスタック構成となっており、NASのファイルバックアップ等でIPv6で直接やり取りしています。

この場合、IPv6のファイアウォール機能を無効化すれば今まで通りインバウンドの通信も無条件に行えるようになるのですが、それでは今回のファームウェアアップデートの新機能の恩恵を受けられませんので、細かく設定していきます。

接続先拠点のIPv6プレフィックス確認

今回でいうと、NURO光が入っているHG8045Qルータ側のIPv6プレフィックスを確認します。

ルータ管理画面の「ステータス」タブから「WAN情報」を開くと、IPv6情報の「プレフィックス」欄に値が書かれています。

例として、こちらのプレフィックスが「240d:1a:25X:XXXX::/56」の場合は、内側のPCなどに払い出されるIPv6アドレスは「240d:1a:25X:XXXX:0:0:0:0」から「240d:1a:25X:XXXX:ffff:ffff:ffff:ffff」になります(かなりざっくりですが)

個別に各PCに割り当てられたIPv6アドレスは、それぞれの機器で確認方法が異なるため割愛しますが、今回は拠点Aからの全てのアクセスを拠点B(NURO光)で受けられるように設定します。

接続元拠点のIPv6プレフィックス確認

こちらは、同じくNURO光でHG8045Qを使っているのであれば、前章と同じ手順になりますが、他のルータであれば、それぞれの機種ごとに確認方法は異なります。

例えば、I/OデータのWN-AX1167GRであれば、ステータス画面の「IPv6アドレス(グローバル)」にかかれているものが、ルータ自身に割り当てられているIPv6アドレスです。

プレフィックス長が/64なので、個々のPCに割り当てられるIPv6アドレスは「240b:11:10YY:YYYY:0:0:0:0」~「240b:11:10YY:YYYY:ffff:ffff:ffff:ffff」となります(ざっくり)

IPv6フィルタリング追加

ルータの管理画面から「セキュリティ」タブを開き、「IPv6ファイアウォール設定」画面の「パケット転送におけるIPv6ファイアウォール制御を有効化」にチェックが入っていることを確認します。

「IPv6ファイアウォール設定」画面の「IPv6フィルタリング機能」にて、「有効IPフィルタ」にチェック、「フィルタリング方法」は「ハイブリッド」を選択します。

更に規定のルールとしてIPv6のアウトバウンド通信については全て許可するルールを作成します。

  • ルール名:all-outbound(なんでも良いです)
  • プロトコル:全て
  • 優先度:255(固定)
  • 方向:アップストリーム(アウトバウンドのこと)
  • LAN側IPアドレス:空白
  • WAN側IPアドレス:空白
  • アクション:許可

続いて、インバウンド接続を行いたい拠点の情報を設定します。

  • ルール名:XXX-inbound(なんでも良いです)
  • プロトコル:全て
  • 優先度:0-254の任意の数字
  • 方向:ダウンストリーム(インバウンドのこと)
  • LAN側IPアドレス:240d:1a:25X:XXXX:0:0:0:0 ~ 240d:1a:25X:XXXX:ffff:ffff:ffff:ffff (NURO光側の全てのIPv6アドレス)
  • WAN側IPアドレス:240b:11:10YY:YYYY:0:0:0:0 ~ 240b:11:10YY:YYYY:ffff:ffff:ffff:ffff (接続させたい別拠点の全てのIPv6アドレス)
  • アクション:許可

接続確認

適当なブラウザからIPv6確認サイトにつなげてIPv6アドレスで外部通信が行えているか確認します。

あなたの IPv6 接続性をテストしましょう

Firewallで許可した拠点からの確認は、今回はSynology NASのHyper Backupが正しくNURO光の拠点にアクセスできているか(バックアップできるか)で確認しました。

おわりに

HG8045QのIPv6ファイアウォール機能を有効にすると、パフォーマンスが落ちると設定画面上に書かれていますが、もともと別拠点のFlets V6Plus回線は早くないので問題ないでしょう。

安全にIPv6による相互通信を行いたい方、参考になれば幸いです。