IPoE(IPv6)+PPPoE(IPv4)環境でスマホdeひかり電話

投稿者: | 2019/12/11

スマホdeひかり電話はNTT東日本がお勧めしている内線電話機能

media5 iPhone用SIPアプリケーション

知っている人は知ってる。知らない人は知らなかった。そんな機能に目を付け、スマホdeひかり電話と名打ってNTT東日本がお勧めしているのがスマートフォンの内線電話機化。

NTT東日本公式サイトでは以下のように紹介されている。

スマホを「ひかり電話」の電話機として使ってみませんか?
「スマホdeひかり電話」があなたの暮らしをもっと快適に。

自分は、知っている人は知っている人だったので、NTT東日本のサイトに紹介される前から使っていた。
わけだが、IPv6接続サービスを導入して以来、何かと不具合が発生し使用を控えていた。
ただ、外出先から自宅への電話がほぼ無料になるなど、やはりとても便利でメリットある機能。復活させるため頑張ってみた。

ところで、スマホdeひかり電話を使うには、電話アプリケーションが必要。
過去には,様々な電話アプリケーションが公開されていたのだが、何故か日本からはインストール出来なくなっていた。この Media5-foneもその一つで、iPhone内に使われずに残っていたモノ。バージョンは、Pro v4.2。一応、iOS12でも使えている。

現状のネットワーク環境を弄りたくない

自宅のネットワーク図

今現在の自宅のネットワーク環境はご覧の通りな状況。

NTT東日本レンタルの HGWのモードはブリッジ。その配下に 3台のルーター。一部は外部公開用 WEBサーバー等が接続されている。実はご覧のこのサイトもその一つ。

インターネットとの接続は、Router1が IPoE(IPv6)とPPPoE(IPv4)、他は PPPoE(IPv4)のみ。
IPv4と IPv6の二つのアドレス管理はとても煩雑になるので、VLANを切らず、各ルーターの LAN側は全て同一のセグメントのネットワークにしている。

IPv4の DHCPは Router1に請け負わせ、接続端末にどのデフォルトゲートウェイを使わせるかは、その DHCPのオプションで指定している。

出来ることなら、現状の各機器の設定は弄りたくない。難しいことは嫌いなのだ。

ところでIPv6を通すと何が問題なのか…原因究明

IPoE(IPv6)環境で、iPhoneを内線電話器として使う時の問題点

スマホdeひかり電話を使うに当たって、IPv4のみの時代は、点線のルートに LANケーブルを這わせ、HGWにローカルな IPアドレスを振ってあげるだけで物理的なネットワーク環境の設定は完了していた。(HGWの電話設定や電話アプリケーションの設定を除けば)

ところが、これに IPv6を通すと想定外の動きをする。どのような問題が発生するのか、また、その原因は何なのか。代表例を 2つばかり。

問題と原因…その1

接続端末に、ルーターと HGWの 2箇所から DHCPv6-PDや RAが降り注ぐ。

⇒2つの IPv6アドレス、2つの一時的な IPv6アドレス、2つの IPv6デフォルトゲートウェイが接続端末に登録される。
動作としては正常。問題なのは、HGW(点線のライン)により配布されたアドレスやルートが有効となった場合、接続端末が直接外からの攻撃に晒されてしまう。

問題と原因…その2

同様に、Router1の WAN側に、HGWからのものと、Router1自身の LAN側から発する DHCOv6、RAが登録されてしまう。

⇒ループの発生。

そんな訳で、これらを解決したい。

つまり、IPv6を遮断してIPv4だけを通過させればよい

IPoE(IPv6)環境で、iPhoneを内線電話器として使う

IPv6を通過させることが原因。なので、IPv6を遮断してしまえば問題は発生しないはず。

IPv6のみを遮断する方法はいくつかあるが、今回はブリッジを使用。
図中のブリッジは、ルーター下の LAN側ネットワークと HGWへの接続途中に組み込まれ、IPv6を遮断し、IPv4に対しては全てを通過させるブリッジとして機能する。

ブリッジ機能搭載の中古ルーターを使う

IPv6のみ遮断可能なブリッジは、中古ルーターで代用出来る。価格にして 2000円程度。

ブリッジ機能を搭載したNEC ルーター IX2005

例えば、NECの IX2005。
ルーターとして作られた製品であるが、ブリッジとしても有能である。設定は 10行程度で終わる。また、スマホdeひかり電話はリンク速度を求めないので、100Mあれば充分。

気を付けなければならない点としては、ファームウエアが余りに古い場合、ブリッジ機能が実装されていない可能性があること。
設定した CONFIGは次の通り。※ 2023/10/01 匿名さまよりご指摘いただき、一部修正しました。

以下は、IX2105版。IX2005の場合は、GigaEthernetの箇所をFastEtherneへ置き換え。

bridge irb enable
no bridge 1 bridge ipv6
!
device GigaEthernet0
!
device GigaEthernet1
!
interface GigaEthernet0.0
no ip address
bridge-group 1
no shutdown
!
interface GigaEthernet1.0
no ip address
bridge-group 1
no shutdown
!
interface Loopback0.0
no ip address
!
interface Null0.0
no ip address
!

ちなみに、秋葉原実店舗であれば、2019年6月現在、ヴィゴラスネットで在庫を確認。

ヤマハのファイアウォールルーターFWX120

また、例えばヤマハのファイアウォールルーター FWX120。
こちらもブリッジ機能を実装している。

bridge member bridge1 lan1 lan2
ip bridge1 address xxx.xxx.xxx.xxx/24
ipv6 lan1 inbound filter list 100
ipv6 lan2 inbound filter list 200
ipv6 inbound filter 100 reject-nolog * * * * *
ipv6 inbound filter 200 reject-nolog * * * * *
telnetd host lan
httpd host any

真っ赤な筐体がカッコイイ。

FWX120を使ったブリッジモードでのSIP・RTP透過フィルタ

ついでと言っては何だが、せっかくファイアーウォールルータ FWX120を使っているので、IPv4のフィルタ例を掲載。

FWX120を使って IPv4を透過させているが、そのままだと SIPアプリと HWG間に必要なパケット以外も通過させてしまう。
と言うことで、通過させるパケットを必要最低限にするため FWX120にフィルタを組み込む。

FWX120の LAN1をローカルネットワークへ、LAN2を HGWへ接続している。
通過させるのは、ICMP、NTP(FWX120時間調整用)通話コネクション用のSIP Port:5060/udp,tcp、そして音声データ送受信用の RTP Port:4000-4001/udp。

RTPの Portは接続するクライアントによって異なる。iPhone用アプリ AGEphoneだと4000と 4001。
これがヤマハの NVR500だと初期値は 5004。下の例は AGEphone用。

また、ローカル PCから HGWと FWX120をメンテナンスできるように、Port 80(www)も開けておく。
それ以外のパケットは遮断。

以下はあくまで参考用。HGWとローカルネットワーク間の不要なパケットを遮断するだけの機能。
セキュリティは上がると思うけど、それを目的で作ってはいない。

login password *
administrator password *
ip route default gateway 192.168.0.zzz
bridge member bridge1 lan1 lan2
ip bridge1 address 192.168.0.xxx/24
ip lan1 inbound filter list 101 102 103 104 105 106 107 108 100
ipv6 lan1 inbound filter list 100
ip lan2 inbound filter list 201 202 203 204 205 206 207 200
ipv6 lan2 inbound filter list 200
provider ntpdate 192.168.0.zzz
ip inbound filter 100 reject-nolog * * * * *
ip inbound filter 101 pass-nolog 192.168.0.0/24 * icmp * *
ip inbound filter 102 pass-nolog 192.168.0.0/24 * icmp-error * *
ip inbound filter 103 pass-nolog 192.168.0.0/24 * icmp-info * *
ip inbound filter 104 pass-nolog 192.168.0.0/24 192.168.0.yyy tcp,udp * 5060
ip inbound filter 105 pass-nolog 192.168.0.0/16 192.168.0.yyy udp 4000 *
ip inbound filter 106 pass-nolog 192.168.0.0/24 192.168.0.yyy udp 4001 *
ip inbound filter 107 pass-nolog 192.168.0.0/24 192.168.0.xxx * * www
ip inbound filter 108 pass-nolog 192.168.0.0/24 192.168.0.yyy * * www
ip inbound filter 200 reject-nolog * * * * *
ip inbound filter 201 pass-nolog 192.168.0.yyy * icmp * *
ip inbound filter 202 pass-nolog 192.168.0.yyy * icmp-error * *
ip inbound filter 203 pass-nolog 192.168.0.yyy * icmp-info * *
ip inbound filter 204 pass-nolog 192.168.0.yyy tcp,udp * 5060 *
ip inbound filter 205 pass-nolog 192.168.0.yyy 192.168.0.0/24 udp * 4000
ip inbound filter 206 pass-nolog 192.168.0.yyy 192.168.0.0/24 udp * 4001
ip inbound filter 207 pass-nolog 192.168.0.yyy 192.168.0.0/16 * www *
ipv6 inbound filter 100 reject-nolog * * * * *
ipv6 inbound filter 200 reject-nolog * * * * *
syslog notice on
telnetd host lan
httpd host any


VPNで外出先からも接続可能。やはり便利

家庭内のルーターの何台かは、外出先から VPN接続が可能な設定にしてある。外出先からスマートフォンをどのルーターに VPNで接続しても、内線電話機として使用出来る。




IPoE(IPv6)+PPPoE(IPv4)環境でスマホdeひかり電話」への9件のフィードバック

  1. 匿名

    興味深い記事、拝読させていただきました。
    同様の事で困っており、こちらの記事にたどり着きました。

    当方の困り事の内容はYahoo知恵袋にあります。
    https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q14273565579
    お時間がある時に見て頂き、こちらの記事と同様の対処で回避できるかのご判断を頂ければ幸いです。

    気が向いたらで結構ですので、よろしくお願いします

    返信
    1. futsutsukamono

      匿名さん、こんばんわ。
      ご覧いただきありがとうございます。

      ・スマホdeひかり電話は Android端末子機とRT-400KIとをIPv4を使って通信しておりますので、記事の回答にあるようにルーターである WRX-2533DHP2を超えることができずに接続できない状況になっているものと思われます。

      ・こちらでは、RT-400KIではなく、RT-S300NEなため、完全に同一な環境ではありませんが、
      試しに図の点線部分にLANケーブルを接続してみてください。
      https://rarak.jp/wp-content/uploads/2019/03/SIP-soft-phones002-m.jpg

      ・接続して、スマホdeひかり電話が機能する、あるいは HGW上で Android端末がIPv4で子機として登録されている状態(下記リンク先画像を参照ください)になっていればご覧のこの記事の内容で対策は可能と推察いたします。
      https://rarak.jp/wp-content/uploads/2023/01/rt-s300ne-naisen01.jpg

      ・なお、対策(IPv6を遮断)せずに使用した場合、多分ループによりルーターや HGWのアクセスランプが激しく点滅すると同時に、IPv6での通信ができなくなったり、各機器の負荷が上昇する可能性がありますためご注意ください。

      ご参考まで。

      返信
      1. 匿名

        丁寧なご返答ありがとうございます。

        https://rarak.jp/wp-content/uploads/2019/03/SIP-soft-phones002-m.jpg
        図の点線部分にLANケーブルを接続してみました。

        Android端末がIPv4で子機として登録されている状態になりました。

        現在、対策(IPv6を遮断)をしていない状態ですが、
        「ルーターや HGWのアクセスランプが激しく点滅する」
        といった現象は起きておりません。

        ルーターやHGWの内部状態は以下のようになっています。

        RT-400KI本体PPPランプ:消灯

        RT-400KI–>情報–>現在の状態
        –>メインセッション:接続状態:未接続
        –>IPv6セッション:接続状態:待機中
        –>IPv6ファイアウォール機能:1970/01/01 09:00:30 ~ 有効

        WXR-2533DHP2本体Internetランプ点灯

        WXR-2533DHP2–>ステータス
        –>Internet:IPアドレス取得方法:transix方式
        –>Internet:IPv6トンネルゲートウェイ:自動検出
        –>Internet:状態:通信中

        –>IPv6:IPv6接続状態:通信中

        HGW(RT-400KI)のIPv6セッションが待機中なのでループが起きていないと思われます。
        フレッツジョイントではないIPoE(transix)での接続なので、
        HGWのIPv6セッションが開始されないのでしょうか…

        当方の目から見ると、特に問題なく接続できているように見えるのですが、
        確認すべき項目等あれば御指南頂けると助かります。

        返信
        1. futsutsukamono

          匿名さん、こんばんは。

          外出先で短文しか書き込みできませんが、
          多分、その状態のままだと、外部からIPv6でフルにアクセスされてしまうと思われますので、やはり何らかの対策が必要だと思われます。

        2. 匿名

          お忙しいところ返答頂きありがとうございました。

          対策をする方向で考えます。

          Yahoo知恵袋の回答者様に、解決方法が見つかった旨の返答をしたいと思います。
          こちらの生地を参考にした事を公表しても大丈夫ですか?

        3. futsutsukamono

          匿名さん、こんばんは。

          環境も使用している機器も異なり、解決策そのものではありませんが、
          解決につながる様々なヒントの中の一つとしてお役に立てたならば、こちらとしても嬉しい限りです。

          今後ともよろしくお願いいたします。

  2. 匿名

    futsutsukamono様

    「IX2005」を調べる中で色々な情報に触れ、理解が深まりました。

    「IX2005」というキーワードから色々な事が分かるようになり、
    「ヒントの中の一つ」ではなく「私の中での突破口」になりました。

    自分なりのアイデアも加えながら、トライしていこうと思います。

    改めてお礼を申し上げます。
    ありがとうございました。

    返信
  3. 匿名

    futsutsukamonoさん、はじめまして。
    まさに、この記事の内容で試行錯誤しておりました。
    早速、IX2105を手に入れ、ファームウェアも最新にして、configを設定したのですが、
    上手く動作しません。
    全く、GE0とGE1のポート間の通信が出来ていない様に思われます。(DHCPでのIP取得も出来ませんし、IPを振ってのPINGも通りません。)
    ちなみに、『FastEthernet』は、『GigaEthernet』に修正しております。
    出来ましたら、configを全て開示していただけると助かります。
    ご指南、宜しくお願い致します。

    返信
    1. futsutsukamono

      匿名さん、こんばんは。

      以下にIX2105版を記載しておきます。
      申し訳ございません。こちらで一度お試しください。

      ———————————————————————-
      Router(config)# show running-config
      ! NEC Portable Internetwork Core Operating System Software
      ! IX Series IX2105 (magellan-sec) Software, Version **.**.**, RELEASE SOFTWARE
      ! Compiled Nov 02-Fri-2018 13:40:17 JST #2
      ! Current time Oct 01-Sun-2023 03:37:26 JST
      !
      timezone +09 00
      !
      bridge irb enable
      no bridge 1 bridge ipv6
      !
      device GigaEthernet0
      !
      device GigaEthernet1
      !
      interface GigaEthernet0.0
      no ip address
      bridge-group 1
      no shutdown
      !
      interface GigaEthernet1.0
      no ip address
      bridge-group 1
      no shutdown
      !
      interface Loopback0.0
      no ip address
      !
      interface Null0.0
      no ip address
      !

      返信

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です