NTT西日本 光プレミアムの裏側及び総評

文: ともちゃ
tomo @ gyojya.jp
Last Update: $Id: premium1.html,v 1.14 2010/09/09 13:58:40 tomo Exp $

>> TOPに戻る / Docsに戻る >> 掲示板
>> NTT西日本 Bフレッツシリーズ及び光プレミアムの裏側

2005年6月の頃の情報が元になっておりますので、一部正確ではない情報も含まれている可能性が有りますのでご了承ください。
現在、最新のものを作成中ですので、どうぞご期待ください。内容が間違っている等指摘がございましたら掲示板若しくはメールにてお願い致します。

更新履歴

2006.02.27 初稿公開
2006.03.04 ひかり電話に関する情報の修正
2006.03.06 更新履歴の追加及びリンクの修正
2006.07.16 PPPoE対応ファームの情報について追記
2007.07.01〜 全面的に新しく書き換え、PPPoE対応、ひかり電話等の話題を追加

NTT光プレミアムの特徴について

 まず、最初に、光プレミアムとは何か説明しよう。光プレミアムとは、NTT西日本が提供している光ブロードバンド回線で、一般家庭の利用を対象としている。ここでの一般家庭とは、サーバを構築したりせず、ウェッブブラウジング、メールやメッセンジャー等が動けば良いという家庭を対象にしていた。そのため、光ファイバー等を含むトータルコストを安価に提供するため色々な仕組みが入っている。尚、フレッツ光プレミアムは、Next Generation Network (NGN、次世代ネットワーク) の試験環境でもあり、実運用実績を積むトライアルであるように思えるサービスでもある。NTT西のフレッツ回線では、このようなNGNに先駆けたサービスをいち早く開始しており、標準でIP電話(ここでは、固定電話サービスに代わる物)サービス、映像配信(VODサービス)が利用出来るよう設計されている。

 NGNとは、「IP技術をベースとした次世代ネットワーク」であり、IP電話、映像配信、移動体通信といった事が含まれる。

IPv6をバックボーンに使用

 今までのBフレッツやADSL等のNTT東西フレッツ回線にはPPPoEが使われていたが、光プレミアムからは、IPv6が基盤に使われ、NTT網〜CTUの区間がIPsecがベースとなり接続されている。光プレミアムの地域IP網内では全てIPv6化を行い、その上にIPSecを用いISPとの接続を行いる。その為、今までのPPPoEとは異なり、CTUに割り当てられるIPv4はIPSecにより、端末へ割り当てられている。

 また、それ以外には、オンデマンドTV、OCNシアター、Plala 4th MediaといったVideo On Demandサービス(以下VOD)を利用するためにも用いられている。オンデマンドTVやPlala 4th Mediaのチャンネルサービス(衛星、CATV等で使われている有料チャンネルのIP放送)には、IPv6 マルチキャスト技術が用いられている。尚、地上波がオンデマンドTVやPlala 4th Mediaで放送されないかという理由については、IP放送における地上派再送信が認められていないためであり、詳細はIRI研究所の「IP放送における地上波再送信の意味」に説明がある。

ONUやVDSLモデム以外に、CTUというルータが増えた

 今までは、ONUやVDSLモデムがあり、その先にパソコンや、PPPoEルータを設置していたが、光プレミアムより、新しい装置としてCTU(加入者終端装置:Customer Network Terminating Unit)というものが増えた。これは、NTT責任分解点に含まれる物で、取り外すことは出来ない(詳細は後述)。

 さて、このCTUは何をしているものだろうか。NTT東日本のフレッツユーザは聞いたことが無い方がすごく多いようだが、このCTUとは、NTT西日本独自の仕様となる。これは、日立製作所及び住友エレクトロニクスが開発した2種類のCTUが存在し、NTT西日本が用意したルータに相当する物となる。このCTUには直接加入者がログインすることが出来ず、NTT局舎側に用意されたCTU設定サーバへログインし、CTU設定サーバ経由で加入者宅に設置されたCTUへ設定を流し込む形となる。尚、CTUはルータと同等の動きをしているため、複数台で同時接続したいといった場合でも、別途ルータを用意する必要がない。

PPPoE がオプションとなった

 サービス開始直後*1から、対応ファームがでるおおよそ1年半の間のCTUは、PPPoEが使えず、それまでに利用できていたルータ(VPNルータ含む)が使用出来ず、端末にグローバルIPを割当が出来出来ず、VPN(IPsec*2やPPTP)等を使った柔軟なネットワーク構築が出来ないといった、色々な制限が当初あり、ビジネス的には使用出来ない回線だと当初考えられており、オフィスではあまり使用されてこなかった。しかし、状況を把握されておらず、光プレミアムがサービスインし、導入した直後、PPPoEが使えない、フレッツグループやグループアクセス等も利用できないといった問題で、トラブルが相次いだ。また、NTT西日本の営業や、販売代理店(パートナー含む)、イベントスタッフ等営業も詳しく知らず、導入を勧められ問題になったことが非常に多く問題となっていたようだ。しかし、2006年7月16日に、地域IP網内の再設計に伴い、兼ねて噂されていたPPPoE対応ファームが公開され、この問題点も有る程度クリアされた。対応ファームへ切り替わった後も、PPPoE接続を使うためには、CTU側にオプション設定をおこなわない限り使用出来なくなっている。

 尚、設定方法は、CTU設定画面へログイン後、次の手順をおこなえば可能となっている。

「詳細設定」→「ルータ機能設定」→「PPPoE機能設定」にあるので、必要なセッション数分(最大5)をいれ、最後に設定を反映

ひかり電話(0AB固定電話サービス)

 光プレミアムを使うことにより、ひかり電話が使えるようになった。ひかり電話は、既存の加入電話の1785円(税込み)*3が525円(税込み)で利用出来るが、このひかり電話を利用するためには、VoIPアダプタを取り付けなくてはならない。また、限られた環境で品質を保証しないといけないため、ルータに相当するCTU部分もNTTの責任分界点となっている。これは、電話サービスに関してはベストエフォートではなく、品質を保証しサービスを提供しなくてはならないため、その品質保証の設定が施されたルータであると考えられる。尚、ひかり電話のデメリットとして、余り知られていないが、ダイヤルQ2(0990)、ナビダイアル(0570)、ダイアルコング、時報といったサービスが使えなくなってる。詳細は次のNTT西日本が提供している資料を参照していただきたい。 NTT西日本ひかり電話 ご利用時の留意事項NTT西日本 ひかり電話ビジネスタイプから発信不可の電話番号一覧

今までとMTUサイズが異なる

 NTT東西フレッツADSLやBフレッツのPPPoEを使った場合のMTU*4とは異なり、1438となる。同様に、IPsec等のVPNで上手く通信出来ないといった状況に陥った場合はこの辺のMTUを見直したら良いだろう。また、Windows PCの場合、MTU調整等を手動でおこなっていた場合には、自動調整がおこなわれず、上手く通信出来ないことも有るため、注意が必要である。

 余談だが、NTT東西フレッツ回線の場合、8Byteのペイロード*5が発生する為、1500(Etherフレーム)-8byte(PPP/PPPoEペイロード)=1492Byte(MTU)があれば、本来は十分だが、NTT網内では、L2TPが用いられているため、そのペイロードも発生するため、1454まで下げられている。同様に、光プレミアムも、PPPoEを使った場合、1438ということになっているが、地域、ルータ、使用環境等によっては、問題が発生する場合もあるため、1400ぐらいまで引下げたほうがよい。なお、WindowsのOS標準のPPPoEは1454を優先するため、既存BフレッツやADSL等の環境から光プレミアムに切り替えた際、1438のMTUのままで、通信ができないといったトラブルにも見舞われやすいため、注意すべき事項である。

→ 参考 IPSec使用時のトンネルインタフェースのMTU長と、TCP MSS値の適切な値を教えて下さい。  

比較表

''''Bフレッツ光プレミアム
(〜2006/9)
光プレミアム
(2006/8〜)_
基本料金
(あっと割引時)
※1
マンションプラン1 3,100円 (2,790円)
プラン2 2,600円 (2,340円)
プラン1 3,100円 (2,790円)
プラン2 2,600円 (2,340円)
ファミリー5,400円 (4,300円)5,400円 (4,300円)
ベーシック9,000円 (8,100円)-
ビジネス40,000円 (36,000円)-
セッション数ファミリー /
マンション
標準2 / 最大5無制限
ベーシック標準4 / 最大10-
ビジネス標準10 / 最大20-
同時接続端末数ファミリー /
マンション
5無制限
ベーシック10-
ビジネス50-
認証方式IPSec-
PPPoEPAP/CHAP ※2-PAP/CHAP ※2
MTUIPv414541438
IPv615001500
バックボーン /
加入者終端IF
100Mbps / 100Base-TX※31Gbps / 100Base-TX
ルータ機能×○(CTU)
接続方式PPPoEIPSecIPSec
PPPoE使用可否×
ONUB-PONGE-PON
IPv6△(要v6アプリ)
ひかり電話△ ※4○(要契約)
VODサービス△(要v6アプリ及びVOD契約)○(要他社VODサービス契約)
セキュリティー機能△(要v6アプリ)
フレッツグループ○(要契約)×○(要契約)※5
フレッツオフィス○(要契約)×○(要契約)※6
フレッツコミュニケーション○(要契約)○(要契約)
PAP (Password Authentication Protocol)
CHAP (Challenge Handshake Authentication Protocol)
※1 別途ONU/VDSL、屋内配線利用料が必要。
※2 ISPにより異なる
※3 OLT-ONU間は下り622Mbps/上り155Mbps
※4 一部の試験的に実施されたマンションタイプのみ対応可能(主に75Mbps以上のVDSL装置の入っている一部のエリア)
※5 2007年4月19日よりサービス開始 http://www.ntt-west.co.jp/news/0704/070419b.html
※6 2006年10月4日よりサービス開始  http://www.ntt-west.co.jp/news/0610/061003a.html

ひかり電話の仕組み

 ひかり電話が番号ポータビリティに対応したため、既存の固定電話の番号をそのまま安価に利用が可能である。固定電話は、電話としてのライフラインとしての最低限の品質を保たない限り、ディジタル化が出来ない。これらは総務省の定める一定基準を満たす必要があり、0AB番号の付与による、エリアを特定できること、0ABの番号の付与による緊急番号への接続(110番や119番)、一定の回線品質の保証といったことが挙げられる。品質既定については、google検索:固定電話+品質規定+0AB及び固定電話+品質+0ABあたりを参照していただければ、たくさんの情報を得ることができるので割愛する。

 これらの要件を満たすことが出来、番号ポータビリティという形で、既存の固定電話の番号を割り当てる事が出来るようになった。

VoIPアダプタとひかり電話網に接続概要

 どのようにして、VoIPアダプタはひかり電話網に接続されているのだろうか。実際の所、パケットダンプを取ればおおよそこのことは分かるが、CTUからONUとNTT局収容側に対して閉域網のIPv4ネットワークが存在し、ひかり電話用のIPv4ネットワークへ接続されている。このネットワーク区間は閉域網専用だが、IPv4グローバルIPが使用され、CTUにひかり電話用のv4のIPアドレスがCTUに付与されている。VoIPアダプタとCTUはUPnPで接続され、ひかり電話網と出て行くことにより、ひかり電話のサービスを提供している。    また、SIPサーバへRegistered(認証するための情報)する為の情報は、IPv6で通信され、HTTPを用い認証情報のやりとりを行っている。認証情報は、add-con.mcas.bb.fletsnet.com(2001:d70:101a::7)*6 というサーバへVoIPアダプタのMacAddressを送り、市外局番、電話番号、SIPサーバ、Registerdするサーバ情報等を入手している。尚、SIPサーバへRegisterdする際には、ID/PASSは用いられていない。また、加入者に割り当てられたVoIPアダプタに使われているMacAddressの前後を入力してみると、第三者の情報を得ることが可能であり、同じ挙動を取るVoIP端末を用意し、MacAddressを詐称してしまえば、第三者のVoIPアダプタを振る舞うことが可能となる可能性がある(法的にグレーのため未検証)

 更に詳しく説明すると、CTUとVoIPアダプタのネットワークはIPv4(192.168.24.0/24のプライベートセグメント)で接続され、それと同時にVoIPアダプタにはIPv6アドレスが割り当てられる。次に、CTUへIPv4を用いて add-con.mcas.bb.fletsnet.com の名前解決を試みられる。このサーバは、先ほど述べたように、SIPサーバへRegisteredするための情報を貰うためのサーバとなっている。このサーバが落ちると電話が全て停止するのに等しいため、負荷分散の為か、この情報を貰うサーバの手前にはIPv6対応のBIG-IPというロードバランサーが設置されている。これは、HTTPリクエストの際の Set-Cookie を見れば容易に分かる。

 サービス開始した当初はUPnPで接続するため、ひかり電話のVoIPアダプタは予約されている192.168.24.2である必要があり、192.168.24.0/24のネットワークから変更が出来なかったが、現在は変更出来るようになった。但し、DHCPでIPアドレスを払い出す必要があり、DHCPサーバを無効にすると正常に接続できなくなる可能性がある。また、VoIPアダプタは数種類有り、DHCPでの自動取得だけでは無く、固定的にIPアドレスを指定することの出来るモデルも存在する。

ひかり電話用VoIPアダプタの製造元

住友エレクトロニクス(AD100SE)と沖電気(AD100KI)が製造・開発している。住友製CTUの場合は、同じように住友製のVoIPアダプタが設置される。そのほかはまだ未調査のため、今後情報を追記する。

自分の情報の取得方法

telnet で次のようなことをおこなうと取得が可能となっている。
値は自分のMacAddressに置きかえていただきたい。
途中にロードバランサーが入っているのも分かるだろう。
(User-Agentは特に無くても正常に表示された。)

telnet add-con.mcas.bb.fletsnet.com 80

POST http://add-con.mcas.bb.fletsnet.com/ HTTP/1.1
Host: add-con.mcas.bb.fletsnet.com
Content-Type: application/x-www-form-urlencoded
Content-Length: 62

CompanyCode=&ServiceCode=&ControlCode=&TerminalID=000BA2XXXXXX

成功すると次のような結果が得ることが出来る。

HTTP/1.1 200 OK
Date: XXX, XX XXX XXXX XX:XX:XX GMT
Server: Apache/2.0.49 (Unix) mod_jk/1.2.5
Content-Length: 394
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: text/plain
Set-Cookie: BIGipServeraddcon_http=XXXXXXX.XXXXXXXX.0000; expires=XXX, XX-XXX-2007 XX:XX:XX GMT; path=/

ResultCode=0000
ip_addr=210.247.XXX.XXX
netmask=30
gateway=
dest_nw_addr=
sipsv_addr=210.233.240.XXX
sipsv_port=5060
regsv_addr=210.233.240.XXX
regsv_port=5060
sip_domain=210.233.240.XXX
username=
password=
ip_tel_num=XXXXXXX
area_code=XXX
url_update=http://www.cpeinfo.jp/
url_update_cas=http://210.233.251.100:50080/verup/notify.cgi
dscp=32
rtpport1=5004
rtpport2=5035

尚、ここで取得できたUser-Agent及びServerのVersionは次の物である

User-Agent: M-CAS/1.0 (AD100SE 01.11; NTTEAST/NTTWEST)
User-Agent: M-CAS/1.0
Server: Apache/2.0.49 (Unix) mod_jk/1.2.5

ファームウェアアップデート

telnet で次のようなことをおこなうと取得が可能となっている。
値は自分のMacAddressに置きかえていただきたい。
ただし、PCからは簡単にはアクセスできないところにあるため、注意が必要である。

telnet 210.233.251.100 50080

POST /verup/notify.cgi HTTP/1.0
User-Agent: M-CAS/5.0
Host: 210.233.251.100:50080
Content-Type: application/x-www-form-urlencoded
Content-Length: 73

format_id=001&terminal_id=008087XXXXXX&product=AD100KI&version=01.00.0000

成功すると次のような結果が得ることが出来る。

HTTP/1.1 200 OK
Date: XXX, XX XXX XXXX XX:XX:XX GMT
Server: Apache
Content-Length: 53
Connection: close
Content-Type: text/plain

format_id=001
result_code=0000
ver_up=unnecessary

ひかり電話網のネットワーク

 ひかり電話で使用されていると思われるIPv4アドレスブロック帯は、210.247.0.0/17 であり、サーバ群は、210.233.240.0/20である(2006年02月現在)。尚、このアドレスブロックには地域IP網で利用されるグローバルアドレス(外部とはルーティング無し)であり、SIP SPAMを防ぐため加入者同士の直接的な通信が出来ない。これは、課金を行う為に必要であり、VoIPアダプタ同士Peer-to-peer(P2P)で接続出来なくなっており、RTPサーバを経由する必要がある。また、SIPサーバ等へpingやtraceroute等をおこなってみたが、ひかり電話網の保護のため、PCから直接接続は出来ないよう、CTU側で保護されている。また、VoIPアダプタのMacAddress等を偽り、DHCPでアドレスを受け取った場合には、pingやtracerouteは応答した。

 余談だが、CTUからNTT局へのネットワークは、802.1Q VLAN(フレームタグ付き)で接続されており、VLANをほどく環境が有れば、直接v4でおしゃべりすることも可能であった。尚、検証にはThinkPad X32(Intel Pro/1000MT)を用いた。

 更に、現在では殆ど使われていない、NTT西日本のフレッツコミュニケーションで使用されるアドレス帯は 219.111.224.0/20である(2006年02月現在)。

IPv6のネットワーク構成(修正中)

(修正・加筆必要)

GE-PONはOKIを利用され、GE-PON は HITACHI GR4000というルータに1Gbpsで接続。GR4000から局舎ビル間は10Gbps接続されている。さらに地域代表ビル内では、Juniper等の機器が利用されている。その先が、完全なv6ネットワークになっている。主に、CTU設定サーバ及びウィルス定義の配布サーバ等もIPv6になっている。この辺の一部の機器に、ロードバランサーとしてBIG-IPが用いられている。さて、ここで問題が発生することが一点あり、IPv6に対応していない端末(パソコン)では、これらのサーバへ接続出来ないため、CTUがIPv4<->IPv6 Translatorとして動作し、あたかもv4でアクセス出来るように見える。tracerouteを使ってみれば一目瞭然だろう。

割り当てられるIPv6アドレス

 2007年8月現在、加入者に割り当てられるアドレスは、2001:a000::/21 から、 /48のアドレスが加入者に割り当てられる。これは、CTU単位に割り当てられるため、実質加入者は事実上固定となる*7。また、各種サーバ群及びv6キャストサーバ群は2001:0d70::/30から割り当てられている。

 これらからすると、加入者へは /48 で割り当てられるため、割り当てされたアドレスから加入者を簡単に特定できるような仕組みになっているが、このペースで/48 で割り当てたら直ぐにIPv6アドレスが枯渇する可能性もある。また、/48 でなく、/64 でも良いのではないか、と思われるが、/48 で配布した理由として、IPv6アドレス割り振りおよび割り当てポリシーに準拠したのではないかと考えられる。

DNS fallback 問題

 以前から、DNS fallback問題が挙げられていたが、今年 2007年2月対応された。この件について対応したため、各所関係者からここのドキュメントを修正してくれと強く要望があり、修正、加筆をおこなった。

 DNS fallback問題とは、簡単に説明すると、AAAAの付いたIPv6対応サイト閲覧時に問題が発生する。フレッツ光プレミアムや、v6アプリといった物を契約すると、NTTより閉域網へ接続されたIPv6アドレスが割り当てられ、IPv4及びIPv6のデュアルスタック環境になる。デュアルスタック環境になると、IPv6の通信が優先され、NTT側から割り当てられたアドレスで通信を試みられるが、地域IP網内にしか経路が存在せず、サイトへアクセスできない状態となる。ここで、IPv6で正常に通信が出来なかった場合、OSのタイムアウトが過ぎた後、IPv4へ通信が切り換えられ、正常にアクセス出来るようになるといった手順が踏まれ、サイトにアクセス出来るようになるまでに、非常に時間がかかった。DNS fallbackについては、インテック・ネットコアが開設している企業ネットワークの情報サイトエンタネ!説明がある。また、問題についての詳しいことについては、NTT情報流通プラットフォーム研究所の「IPv6/IPv4 TCPフォールバックとIPv6 DNSクエリ現状と今後」の資料を見ていただければ実験結果等が掲載されているためこちだを参照していただきたい。

 実際にNTT情報流通プラットフォーム研究所の資料によると、ICMP応答の各種パターンで、OSによりfallbackするまでに時間がかが異なっているため、NTT西日本ではTCP RSTを応答するサーバを設置することにより、IPv6でアクセスしても、IPv4へ即時にfallbackされるような仕組みが取り入れられたため、今まで懸念事項だった光プレミアムのデメリットの一つを克服された。

 どこで、TCP RSTをおこなっているか、tcp tracerouteで80/TCPでおこなえば、サーバが分かるようだ。ただし、特定のwell-known-port でしか応答しないため、それ以外のportを使っている場合即座にfailbackしない可能性があるという話しも聞いている。

 NTTが早急に対応した理由として、Windows Vista発売に関係しており、Windows Vistaは標準でIPv6が有効になっており、こういった問題が各所で発生するだろうと言うことで、NTT西日本に関してはMicrosoftをはじめ、IPv6関係各所といろいろと協力し、このように実装されたとのことである。ただ、根本的な解決方法にはなっていないため、CTUに対して、IPv6のrouting tableを書けるようにしないかぎり、ほかのIPv6を自由に使えないと行った制限が今も尚つきまとってしまうため、今後の改良に期待したい。

主要ホスト

利用用途ホストv4アドレスv6アドレス備考
光プレミアムctu.fletsnet.com210.247.16.12001:d70:6:1::3:3
security.fletsnet.com210.247.16.22001:d70:101:2::150
update.fletsnet.com210.247.16.32001:d70:101:200::100
www.square.fletsnet.com210.247.16.42001:d70:6:1::3:1
version-up.startuptool.fletsnet.com210.247.16.52001:d70:104:104::2
ninsyou.uketsuke.fletsnet.com210.247.16.62001:a020:100:10::1
henkou.uketsuke.fletsnet.com210.247.16.72001:a020:100:12::2
moushikomi.uketsuke.fletsnet.com210.247.16.82001:a020:100:12::3
sokudo.speedtest.fletsnet.com210.247.16.92001:d70:6:1::3:1
www.remote-ctu.fletsnet.com210.247.16.102001:d70:3:1::3:6
if.ctu.fletsnet.comN/A2001:d70:6:1::3:4
add-con.mcas.bb.fletsnet.comN/A2001:d70:101a::7
ddsb001oshyg00.fletsnet.comN/A2001:d70:0:50::2:1
dnsa003oss0000.speedtest.fletsnet.comN/AN/A
dnsa004oss0000.speedtest.fletsnet.comN/AN/A
オンデマンドTVdnsv01w-v6.ondemandtv.co.jpN/A2001:d70:100a:1002::1

NSレコード

DNSNSSOA(AdminContact)備考
fletsnet.comddsb001oshyg00.fletsnet.com
ctu.fletsnet.comddsb001oshyg00.fletsnet.comv6trouble@ntt-neo.co.jpdnsa003oss0000.square.fletsnet.com
dnsa004oss0000.square.fletsnet.com
のNSも帰ってくるけど、AAAAやAレコードが帰ってこない
square.fletsnet.comddsb001oshyg00.fletsnet.comv6trouble@ntt-neo.co.jpdnsa003oss0000.square.fletsnet.com
dnsa004oss0000.square.fletsnet.com
のNSも帰ってくるけど、AAAAやAレコードが帰ってこない
speedtest.fletsnet.comddsb001oshyg00.fletsnet.comv6trouble@ntt-neo.co.jpdnsa003oss0000.square.fletsnet.com
dnsa004oss0000.square.fletsnet.com
のNSも帰ってくるけど、AAAAやAレコードが帰ってこない
ondemandtv.co.jpdnsv01w-v6.ondemandtv.co.jp

CTU・ネットワークハッキング

詳細は、後日。(ネタのみ)

CTUのCPU

住友製と日立製では構成が違う。有る程度のハードウェア構成については、CTUを分解をすればわかると思うが、住友製は、トルクスドライバを持っていればかんたんにあけることができる。

CPUは、Intel IXP-425 が使用されている。

OS

OSは非公開となっているが、CTUのWAN側のIPv6アドレスをつつくとApacheが立ち上がっており、OSといった情報を返すので、nmap で-Oオプションを付けてポート80番をつつくと、Linuxとfingerprintを返した。

アドレス方法の割り出しとして、ONU と CTU の間に、ダムハブを接続し、パケットダンプを行うことにより、ソースアドレスがわかる。ただし、ここには、VLANフレームタグがついているので、ほどける環境が必要である。尚、Catalyst等、VLAN、ポートミラの使えるスイッチを挟んでみたが、うまくとれなかったので要注意が必要。

FAQ

CDROM(専用ツール)を使わずに、CTUを設定する方法

CTUのLAN側に接続したPCから、https://ctu.fletsnet.com/ をブラウザで開く。 外部や別のDNSサーバを参照している場合は、HOSTSに

210.247.16.1 ctu.fletsnet.com
2001:d70:6:1::3:3 ctu.fletsnet.com

といったことを書いてやればよい

IPsec (VPN) 接続実験

ここでは、PPPoEを用いず、CTUの配下にIPsec用VPN箱を設置するTIPSを説明する。

(修正・加筆必要)

YAMAHA RTXシリーズでIPsec接続(IPv4)

[rt100i-users 36444] Re: ESP を UDP でカプセル化した場合の疑問点

上記のメーリングリストで、光プレミアムの使ったNAT越しのIPsecが使えるとの報告。光プレミアム同士ではないが、一方がBフレッツ等でグローバルIPの割り当てられたRTXシリーズがあると簡単に接続ができたとのこと。特に光プレミアム側(CTU)の設定は必要としない。追加したconfigは以下の一行を双方向のルータに設定。

ipsec ike esp-encapsulation

古河電工 FITELnetシリーズ

古河電工 FITELnet-F100/設定例/フレッツ光プレミアム回線上でのIPsec)Main modeでのSA確立に詳細が有ります。こちらは、NAT Traversalをつかった例となっています。

NEC IX2000シリーズ

光プレミアムのメリット・デメリット

(修正・加筆必要)

光プレミアムのメリット

光プレミアムにして、実際にメリットが出る場合の利点。

光プレミアムのデメリット・駄目な仕様

CTUをルータとして使用し、ブロードバンドルータ等を設置しなかった場合、以下の問題が有りますが、2006年7月16日にPPPoEに対応したファームウェアを用いれば、PPPoE接続が出来るようになるため、別途ブロードバンドルータ等をご自身でご用意すれば、影響は受けにくくなります。

CTUをルータとして用いた場合

以下要調査。1月以降ずいぶん変わっている。


*1 フレッツ光プレミアムサービス開始は2005年3月1日となる。
「フレッツ・光プレミアム」等の提供開始について

*2 NAT Traversalをつかえば通信出来る場合がある
*3 3級取扱所の場合
*4 NTT東西 BフレッツやADSLのMTUは1454
*5 PPPoEのペイロード6byte, PPPのペイロード2Byte、合計8Byte
*6 2006年12月の段階では、サーバのIPアドレスが 2001:d70:101a:1::7であった。
*7 固定的に割り当てているが、固定を保証していないため、要注意が必要。告知無く変わる可能性はある。
*8 2005年時は、ウィルスバスター2005がベースで、IPv6に対応させたカスタマイズ版となっているが、2006以降は標準でIPv6に対応している
*9 NAT Traversal とは、ESPをUDPでカプセル化する機能
TOPに戻る
15883
Copyright (C) 2004-2012 tomocha
tomo@gyojya.jp