ホームゲートウェイ<RX-600MI>のIPv6パケットフィルタ(IPoE)を設定する。

はじめに

Kabu&ひかりのXPass(DS-Lite)への切替に伴い、Synology NASのFirewallを設定しました。OpenVPNを利用しているので、ホームゲートウェイ<RX-600MI>のIPv6パケットフィルター(IPoE)の設定を変更しています。この機会にパケットフィルタの設定を見直すことにしました。

ホームゲートウェイ(RX600-MI)は、「user」でのログインで、「Admin」(管理者権限)でのログインはできません。userでは、(管理者権限)の設定を確認する事はできません。NTT側で必要な設定はされていると思います。当然、「user」の設定より優先度が高いと考えます。

ホームゲートウェイ<RX-600MI>ログインします

ログイン(通常の設定

Webブラウザに「http://ntt.setup/」または、「192.168.1.1」と入力します。
ログイン画面がホップアップで表示されます
※ IPアドレスを変更されている場合は、変更したIPアドレスを入力してください。

ユーザ名」(user)と「パスワード」を入力してログインします。
※初回ログインの場合は、 パスワードの設定画面表示されます。

(工場出荷時は192.168.1.1)

IPv6パケットフィルタ(IPoE)を設定します。

前提条件

Synology NAS(DS223j)でOpenVPN利用を前提に設定しています。

IPv6パケットフィルタ(IPoE)設定

IPv6パケットフィルタ設定(IPoE)
  • 左側メニューの「詳細設定」から「IPv6パケットフィルター設定(IPoE)」を選択します。
    「IPv6パケットフィルター設定(IPoE)」画面が開きます。
  • 【IPv6セキュリィティのレベル】を設定します。
     IPv6ファイアウォール機能 : 有効
     IPv6セキュリティのレベル  : 高度
     ※ 標準と高度がありますが、高度にしましょう。
       NTT網内で折り返す通信は必要ないので、高度にします。
  • 【 IPv6パケットフィルタ設定(IPoE)】を設定します。
     ※ OpenVPNが利用する1194ポートのUDPを両方向に許可します。
    エントリ番号 : 1
    フィルタ種別 : 許可
    通信方向   : 両方向
    プロトコル  : UDP
    TCPフラグ  : 指定しない
    送信元IPv6  : *  (送信元IPv6は固定していませんが、固定IP契約されてる方は固定可能です)
    宛先IPv6   : NASのIPv6アドレス/128(プレフィックス長は128でNASに固定しています)
    送信元ポート : * (固定していません)
    宛先ポート  : 1194 (変更できます)
    ICMPv6タイプ : *
    ICMPv6コード : *
  • 【 IPv6パケットフィルタ設定(IPoE)】を設定します。
     ※ IPoE側からLANへの通信要求を拒否します。(デフォルトは拒否?と思いますが、念のため設定しています)
    2 拒否 IPoE->LAN TCP * * * * * * * 
    3 拒否 IPoE->LAN UDP * * * * * * *
     ※ 宛先ポート137-139、445のTCP通信を両方向拒否します。
    4 拒否 両方向 TCP * * * * 137-139 * * 
    5 拒否 両方向 TCP * * * * 445 * *
     ※ 宛先ポート137-139、445のUDP通信を両方向拒否します。
    6 拒否 両方向 UDP * * * * 137-139 * * 
    7 拒否 両方向 UDP * * * * 445 * *
     ※ 送信元ポート137-139、445のTCP通信を両方向拒否します。
    8 拒否 両方向 TCP * * * 137-139 * * * 
    9 拒否 両方向 TCP * * * 445 * * *
     ※ 送信元ポート137-139、445のUDP通信を両方向拒否します。
    10 拒否 両方向 TCP * * * 137-139 * * * 
    11 拒否 両方向 TCP * * * 445 * * *
  • 以上です。

IPv4のフィルターも追加しました。

「配信済事業者ソフトウエア一覧」画面にログインします。
 URL:192.168.1.1:8888/t (RX600-MIのアドレス)
 ① 表示された画面の「Xpass」を選択
 ② 「user」名と「パスワード」を入力します。
 ③ 左側メニューから「IPv4パケットフィルタ設定」を選択します。
 ④ パケットフィルタエントリにデフォルトの設定が13個あります。
 ⑤ 右下に「エントリの追加」ボタンを選択します。
 ⑥ 14個目の設定ができます。
 ・種別    : 「拒否」を選択
 ・送信元IP  : 「any」を入力
 ・宛先IP   : 「any」を入力
 ・プロトコル : 「any」を選択
 ・送信元ポート: 入力できません
 ・宛先ポート : 入力できません
 ・方向    : 「in」を選択
 ⑦ 「更新」ボタンを選択
以上です。

 ※ 通常のログイン画面にも「IPv6パケットフィルタ」がありましたのでこちらにも追加しました。
  デフォルトの設定は、どちらも同じでした。とりあえず、両方とも同じ設定にしました。

あとがき

RX-600MIの設定は、配信業者の通信方式よって、「配信済事業者ソフトウエア一覧」が変更されるようですね?
通常の設定画面でも、IPv4パケットフィルター設定があります。おそらく「配信済事業者ソフトウエア一覧」の設定が有効だと考えるのだが、念のため、両方に設定しました。しばらく、こちらの設定で利用し問題がないか確認します。

懸念としては、OpenVPN用のフィルターに問題はありそうです。NASのIPv6アドレス固定設定ですが、キャリアのプレフィックスの割り当てが変更されたらNASのIPv6アドレスも変更され利用ができなくなります。ここも、固定でなくanyにすればよいのかも知れません。

前の記事

Synology NAS(DiskStation DS223j…

次の記事

IPv6(DS-Lite)でOpenVPN接続をSynolog…