ソフトバンク光で光BBユニットにDMZ機能を設定し、市販ルーターを有効活用する

私の利用しているインターネット回線は「ソフトバンク光」です。

オプションとして同社の「IPv6高速ハイブリッド IPv6 IPoE + IPv4」にも加入しており、IPv6通信もできるようにしています。

ただ、このIPv6高速ハイブリッドを利用するためには「光BBユニット」のレンタルが必須であり、これと接続しないと利用できません。BuffaloやNECなどの市販ルーターを利用したい場合は、必ず光BBユニットより後に接続する必要があります。

このとき、どうしても二重ルーター状態になってしまうことから、VPNなどインターネット側からの要求がうまく通らなかったり、ポートマッピングがうまく機能しなかったりして安定運用できない状態になることがあります。

この問題を「光BBユニット」にある「DMZ」という機能を利用して解決したいと思います。

インターネットから来るデータを無条件に市販のルーターへ転送することで、実質光BBユニットをスルーすることが可能になり、よりシンプルでわかりやすい安定した運用が可能になります。

※基礎知識から解説していますので、前半はネットワーク関連の話になっています。設定関連は本ページ中頃をご覧ください。

インターネットへ繋がる仕組み

設定手順を書くだけだと味気ないですので、なぜその設定をしていくのか、簡単にではありますがネットワーク内のデータの流れも見ながら書いてみたいと思います。

ただ、そのためにはネットワークの基礎知識が必要ですので、最初にこの話をしていきます。結構長いので面倒な場合はスキップしてください。

回線事業者とISPについて

インターネットへ接続するためには、「回線事業者」と「インターネット接続サービス」を行っている事業者の両方に契約する必要があります。

日本では、回線事業者として「NTT東西（日本電信電話株式会社）」が主に回線の整備を行っています。

インターネット接続サービスを提供している事業者は「ISP：Internet Service Provider（インターネット サービス プロバイダー）」と呼ばれています。単に「プロバイダー」とも呼ばれます。

私の場合はソフトバンク株式会社の「ソフトバンク光」で利用されている「Yahoo!BB」というISPに加入してインターネット接続サービスを受けているという状態です。

これはdocomoやauなどの携帯電話会社も同様で、スマートフォンなどがインターネットに接続できるのも携帯電話会社が一緒にISP事業を行っているためです。

勘違いされやすいのは、回線事業者であるNTT東西は「インターネット回線」「ケーブルテレビ回線」などの「回線を提供」している事業者で、インターネット接続サービスそのものは提供していません。（※OCNなどNTT系列の別の会社では行っています。）

回線そのものの契約（NTT）とISPの契約がセットになって初めてインターネットが利用できる状態になります。

ただし、最近は光コラボレーション事業として「NTT回線」と「コラボ事業者のISP」がすでにセットになって契約できるものも増えてきました。

私が利用している「ソフトバンク光」も光コラボのひとつで、「NTT回線」とISPである「Yahoo!BB」の契約がセットになっており、このため請求もまとめて届くことになります。

注意点として、あくまでNTT回線はコラボ事業者がNTTから借りている状態ですので、もし今までNTTとISPそれぞれで契約していたものを光コラボへ乗り換える場合は、NTTから光コラボ事業者へ契約を移すための「転用」手続き必要になります。転用において影響を受けるサービスついては特に注意してください。

ISPからIPアドレスを割り当てられる

インターネットに接続するためには「IPアドレス」と呼ばれる、ネットワーク上の住所表記に当たるものが端末に割り当てられなくてはいけません。

この割り当てを行っているのが「ISP」です。

特に、全世界で唯一のアドレスとなる「グローバルIPアドレス」の管理、割り当てを行っており、端末に割り振るIPアドレスが世界でたったひとつのIPアドレスとなるように調整しています。これにより、インターネットという世界的ネットワーク回線の中であっても、特定の一台を指して通信することができるようになっています。

以下のページにアクセスすると、ISPから割り当てられているグローバルIPアドレスが確認できます。

狭い範囲内でのみ利用できる「プライベートIPアドレス」

グローバルIPアドレスだけだと世界中の端末をカバーしきれない上に、そもそもインターネットに接続する必要が無い（家庭内や社内だけのネットワーク）場合も考えられます。

このときに利用されるのが「プライベートIPアドレス」です。

プライベートな環境で構築されるネットワーク内でのみ使用されるIPアドレスです。家庭内や社内ネットワークなどがその例で、限られた狭いネットワーク内で利用することができるIPアドレスのことを指します。

プライベートIPアドレスは、グローバルIPアドレスと違い世界で唯一のアドレスではなく、ある範囲内であれば自由に誰でも使用できます。特に「192.168.0.0 ～ 192.168.255.255」の範囲内で利用されるものが有名で、これは一般家庭でも自由に設定できます。

プライベートIPアドレスは、主にルーターが割り当てを行っています。

よくある構成例としては、まず「グローバルIPアドレス」がルーターに割り当てられ、インターネットと直接通信するのはルーターが担います。そして、ルーターに繋がっている各端末に対してルーターは「プライベートIPアドレス」を割り当てます（払い出しとも呼びます）。これにより、ルーターに接続した各端末すべてインターネットに接続できる環境が構築できました。

ソフトバンク光のIPv6高速ハイブリッドについて

ISPから割り当てられているIPアドレスというものがあると分かったら、今回の記事の前提環境である「ソフトバンク光」の「IPv6高速ハイブリッド IPv6 IPoE + IPv4」についてお話しできます。

公式サイトは下記ページです。

「IPv4」「IPv6」はIPの規格

まずIPとは、「Internet Protocol（インターネットプロトコル）」の略語で、ネットワークに接続する際の手順やルールなどをまとめた仕様のことです。

「IPv4」「IPv6」は、IPのバージョンを示しており、それぞれ「IPのバージョン4」「IPのバージョン6」という意味です。

もちろん、後発の「IPv6」の方が新しい規格なので多くの最新技術に対応しており、今後の技術的発展に伴って通信速度や安定性、セキュリティーの改善が見込めます。

元々IPv4は割り当てられるアドレスの個数がすでに上限を迎えており、これ以上端末にグローバルIPアドレスを割り当てらなくなったことから、ほぼ無制限にアドレスを割り当てられるIPv6への移行が急速に進んでいます。

「IPv4」「IPv6」は互換性がないため「IPv4 over IPv6」でハイブリッド運用

IPv6へ移行は進んでいるのですが、IPv4との互換性が無いことから正式に対応させるためには機器の交換が必要になるため、徐々に移行しているという状態です。

このため、現在は「IPv4」「IPv6」の両方の通信方法が混在しています。

利用者側とプロバイダーなどの事業者側、アクセス先のWebサーバー側それぞれでIPv6に対応していればIPv6で通信できます。ただ、自分やISPが良くてもアクセス先のWebサーバーがIPv6に対応していなければ従来のIPv4への通信をとらざるを得ません。

そこで、IPv6非対応のウェブサイト（ウェブサーバー）には途中までIPv6で通信して、サーバーに到着する直前にIPv4通信へと変換する技術が生まれました。これが「IPv4 over IPv6」で、相手側がIPv6に非対応でも、それまでの通信でIPv6を利用することで通信速度の改善を狙っています。

ソフトバンク光の「IPv6高速ハイブリッド」もこの技術を使っていますので、オプションとして契約すると全体的に通信速度が改善しますよ、と謳っているわけです。

「PPPoE」と「IPoE」

これは今回スルーでもよいので簡単に。

それぞれインターネットへと接続するときの接続方式で、「PPPoE」が従来のものです。「PPPoE（PPP over Ethernet）」はISPと接続する前に「ネットワーク終端装置」と呼ばれる場所を通過する必要がありますが、近年の通信量増加に伴ってネットワーク終端装置が混雑しており、ここで通信速度が遅くなることがありました。

「IPoE（IP over Ethernet）」は、この終端装置を介さずすぐに接続事業者（VNE）のネットワークに接続できるため、混雑も少なく高速に通信ができるようになりました。インターネットと直接接続できるので「ネイティブ接続方式」とも呼ばれます。ただし、IPv6のみの対応で、従来のIPv4では利用できません。

まとめますと、ソフトバンク光の「IPv6高速ハイブリッド」は、「IPv6通信をIPoE方式で接続できます。」「IPv4のみの対応サイトでは、直前までIPv6 IPoE通信をするため、多くのウェブサイトで通信速度の改善が見込めます。」というサービスになります。

光BBユニットのレンタル料金が必須になりますが、すでにレンタルしているのであればサービス加入に関しての追加料金は掛かりませんので、特に深い理由がなければ契約しておくのがおすすめです。

またソフトバンクの「IPv6高速ハイブリッド」は、独自規格のIPIPトンネル（VENはBBIX）による接続ですので、ポート開放に大きな制限がないのが魅力です。（4rd/SAMと書かれているサイトがありますが、公式で否定されていますので注意。）

かなり簡素に書いていますので、より詳細な技術内容は別のウェブサイトより確認してみてください。

光BBユニットはルーター機能内蔵のため、市販のルーターも使うと二重ルーターになる

ソフトバンク光の「IPv6高速ハイブリッド」を利用するためにレンタルが必須な「光BBユニット」ですが、これはIPv6 IPoE + IPv4通信をしてくれるほかにも「ルーター」としての機能も内蔵されています。

このため、この機器だけで一応はパソコンやスマートフォン（※無線LANを利用したい場合は、無線機能を追加するオプションに要加入）から繋いでインターネットへ接続できます。

ただ、やはり専門のルーターの方が多機能です。無線LAN規格も新しいものが利用でき、セキュリティーや通信速度も有利ですので、できればBuffaloやNECなど市販のルーターを利用したいところです。

そうなると光BBユニットのルーター機能はオフにしたいのですが、残念ながらそれはできない仕様で（NATを無効化できない）、ルーターとしての機能はそのままにしておくしかありません。

市販ルーターをそのまま光BBQユニットに繋げるのも手だが二重ルーターになる

グローバルIPアドレスは光BBユニットへ割り当てられますので、この状態からは動かせません。

手っ取り早い解決方法は、光BBユニットのLAN側端子にそのまま市販ルーターを繋げてしまうことで、実際それでも通信はできると思います。最近のルーターは優秀ですので、自動で通信はできるよう設定してくれるはずです。

一般的な用途であれば、実際これで大きな不具合はないと思われます。

しかし、これは「二重ルーター（多段NAT）」という状態になるため、ルーターとしての機能が2回も働いてしまうことで通信速度が若干落ちたり（極端な低下は無いですが）、特にインターネット側からのアクセスがうまくいかなかったりする場合があります。

なぜなら、二重ルーター状態にある最初のルーターは、それより下のルーターに繋がっている端末の管理状況が把握できていないため（自分が管理していないから）、細かい通信管理ができないのです。

特にインターネット側からLAN内へ入ってくる要求は通信経路が複雑になるため面倒です。例えば、外出先からPCの電源を入れたい・操作したい、VPNを張りたい、サーバーを公開したい、ポート開放をしたいといったときに設定が面倒なことになるばかりか通信が安定しない場合もでてきます。

かといって市販ルーターの設定を「アクセスポイントモード」にしますと、結局市販ルーターの方のルーター機能が無効になって光BBユニットに役割が取られるのでこれも却下です。

二重ルーターになると通信できなくなる一例

一例として、私は外出先から自宅のパソコンへアクセスするためにVPNを張り、遠隔で起動できるようにしています。

この設定をするとき、何もせず二重ルーター状態のままにしておきますと、これがうまくいきません。

外出先からは自宅のグローバルIPアドレスに向けて「プライベートIPアドレス 192.168.1.1 が割り当てられている端末に繋げて欲しい」と信号を送ります。最初にこの信号を受け取るのは光BBユニットですが、光BBユニットは下のルーターへ「192.168.0.1」のみ割り振っており、「192.168.1.1」はどこの端末のことなのかわかりません。

なぜなら、「192.168.1.1」は2段目のルーターが割り振って管理下に置いているもので、上流のルーターである光BBユニットは管轄外、その存在すら認識できていないからです。

つまり、繋げて欲しいと光BBユニットが受け取っても、その端末がどこにあるか分からないため、ここで通信がストップしてします。結果、うまく通信が確立できない状態となってしまうのです。

DMZで光BBユニットを通る通信を無条件で下流のルーターへ転送する

ここまででインターネット接続に関する基礎知識、そしてソフトバンク光の「IPv6高速ハイブリッド」を市販のルーターと一緒に利用するとき、発生してしまう問題がわかりました。

「IPv6高速ハイブリッド」の利用には光BBユニットが必須、でもルーター機能が無効化できない中で市販のルーターまで使うと必ず二重ルーター状態になります。特にインターネット側からくる要求にうまく応えられないという問題がでるため、もっとシンプルに管理できることを目的としたいと思います。

そこで役立つ機能が「DMZ（非武装地帯）」と呼ばれるもので、今回はこれを利用します。

指定されたIPへ強制的に通信を転送する「DMZホスト機能」

DMZとは「DeMilitarized Zone」の略称で、日本語ではそのまま「非武装地帯（ひぶそうちたい）」と直訳されています。

元々はインターネットと社内のネットワークの間に「緩衝領域」として設置するセキュリティー機能の一種です。インターネットからやってくる攻撃に対して、いったんDMZで指定したサーバーにすべて送ることで社内ネットワークへ侵入させず、より強固なファイヤーウォールなどで防御させる、といった使い方をします。

基本的に企業が使う機能ですが、多くの市販ルーターにはもっと簡易的な「DMZホスト機能」が搭載されており、これは一般家庭でも使えます。そして、光BBユニットでも搭載されている機能です。

DMZホスト機能では、指定したIPアドレスへ全通信を無条件で転送させることができます。

DMZホスト機能を光BBユニットで設定し、下流の市販ルーターへ転送するように指定してあげれば、インターネットからやってくるあらゆる通信をそのまま転送してくれるようになります。つまり、市販のルーターが直接インターネットへ接続しているのとほぼ同じ状態を作れるようになります。

※正確にはNAPTは発生しますが、テーブルにないパケットでもすべて市販ルーターへ投げるため、光BBユニットをほぼスルーできます。

この状態を作ることができれば、二重ルーター状態はほぼ解消されており、インターネット側から来る様々な要求も通すことができます。もちろん、末端までIPv6アドレスが割り当てられますのでIPv6 IPoE通信もできます。

VPNも張れますし、サーバーの公開やポート開放も市販ルーターの方で設定するだけで可能となります。（わざわざ光BBユニットでポート転送を設定しなくてよい。）

ただし、インターネットからやってくる攻撃も含めてすべて転送しますので、DMZホスト機能の設定は必ず光BBユニット（二重ルーターの1段目）で行ってください。転送先のルーター（2段目）でファイヤーフォール等による防御を行います。

DMZを設定してみよう

長くなりましたが、ここから設定に入りたいと思います。

DMZホスト機能を有効にする機器は「光BBユニット」の方です。機器のバージョンも契約時などによって「E-WMTA2.2／2.3／2.4」と複数ありますが、今回は記事執筆時点で最新の「E-WMTA2.4」にて設定を行います。

ただ、UIが少し異なりますがDMZホスト機能自体は古いバージョンのものにも搭載されていますので（E-WMTA2.3にはありました）、古いユニットを利用している場合は説明書などで設定箇所を確認してみてください。

うまく通信ができない場合

もしIPv6通信がうまくいかなかった場合は、もう一度最初から設定や配線（ケーブルの接続）を確認してみてください。それぞれの機器を再起動させてみると解決することもあります。

その他で確認する箇所となりますと、思いつく設定箇所は2つあります。

NTTのひかり電話ルーター/ホームゲートウェイでIPv6パススルー設定をする

これは回線事業者であるNTTから借りている機器で、電線から通ってくる光回線の光信号を電気信号へ変換するための機器です。

この機器がIPv6通信を阻害している場合がありますので、そのときはIPv6パケットフィルタの設定をIPv6パススルー（IPv6通信をそまま通す設定）の状態にする必要があります。

例えば、ソフトバンクの「IPv6高速ハイブリッド」では、一部のひかり電話ルーターでこの設定が必要になる場合があると記載されていますので、下記のページより確認してみてください。

市販ルーターのIPv6通信設定の見直し

市販ルーターの方にもIPv6通信に関する設定がありますので、こちらを確認してみてください。

例えば、今回のBuffalo製品では「Internet」→「IPv6」という項目があり、IPv6接続に関する設定ができます。標準設定では「インターネット＠スタートを行う」となっており自動設定となっていますが、それ以外になっている場合は一旦自動設定に任せてみてください。

ただし、「IPv6ブリッジを使用する」に設定しますと、IPv6通信はうまくいきやすいのですが、インターネットから自宅内のPCやスマートフォンなどへIPv6通信が素通りしてしまうため、外部からの攻撃に晒されやすくなります。（例えば、外部からPC内の共有フォルダへアクセスできるようになったりします。）

セキュリティー的にあまりよい状態ではありませんので、まずはルーターの自動設定に任せてみてください。Buffalo製品の場合は「NDプロキシを使用する」でも大丈夫です。これでIPv6パケットフィルタとファイアウォールが有効化されますのでセキュリティーも向上します。

おまけ：通信速度の計測

最後におまけとして、私の環境下においての通信速度も載せてみます。

インターネットとの通信速度を計測するサイトはいくつかありますが、今回はメジャーな「Speedtest.net」を利用してみます。

ソフトバンク光で「戸建て ファミリー・ギガスピード」「IPv6高速ハイブリッド」を利用しています。また、無線ではなく有線接続にて計測していること、時間帯は記事執筆時のため夜中1時で計測していますが、下り820Mbps、上り340Mbpsと十分な速度がでています。

昼間であっても下り600Mbpsほどはでていますので、1日を通して十分な速度がでていると見てよいでしょう。因みに長野県に住んでいます。

まとめ

お疲れさまでした。これで一通りの解説ができたかと思います。

今回は設定方法だけでなく、ネットワークの基礎の話もしながら、何が問題となり、各設定がどのような意味を持つのかも含めてお話してみました。このため長くはなりましたが、大まかなデータの流れが解説できましたので、ポート転送やVPNなど応用の運用方法もすっと設定できるようになるかと思います。

今回のDMZホスト機能を利用しなくても自宅内からのインターネット接続自体は問題ありませんので、インターネット側から何か要求するような通信をしなければ特に設定する必要はないかと思います。

ただ、IPv6 IPoE通信をしながら光BBユニットを実質スルーして市販ルーターを利用できるようになりますので、シンプルに管理できるメリットは大きいです。特にVPNやサーバーの公開を考えている方はおすすめの設定です。

因みに、例えばBuffalo製ルーターで搭載されていることがあるDDNS機能は、このルーターに対してグローバルIPアドレスが払い出されていることが利用の条件となっているので、DMZによる転送では利用できません。このような例外はありますので注意してください。

ご参考なりましたら幸いです。