« 2020年11月 | トップページ | 2021年4月 »

2021年1月の3件の記事

2021年1月23日 (土)

オンライン資格確認 IPv6接続設定 その2

前回のオンライン資格確認 IPv6接続設定 その1で、ひかり電話が契約されている場合の設定方法を解説しましたので、今回は、ひかり電話の契約がない場合の設定方法を解説します。

引き続き「オンライン資格確認等システム接続ガイド(IP-VPN接続方式)」マニュアル(以後「接続マニュアル」と略します。)も使いますので、お手元に用意しておいてください。

 

「ひかり電話」がない場合の設定方法

ひかり電話がない契約の場合、NTTの工事はONUを設置するところまでになります。通常はここにNTTからのレンタルのブロードバンドルーターか、自前で用意したブロードバンドルーターを接続してインターネットに繋いでいるかと思います。

オンライン資格確認のネットに接続するには、このブロードバンドルーターを設定することになります。

BUFFALO WSR-1166DHPL2を例に設定する

<ルーターの設定>

Internet→IPv6で

「IPv6接続方法」を「NDプロキシを使用する」にする。

その下の「IPv6ブリッジを使用する」でも繋がりますが、ファイアウォールもフィルタも無効になりますのでセキュリティがノーガードになってしまいます。ですので、必ず「NDプロキシを使用する」にしてください。メーカーによっては「RAプロキシ」という名前かもしれません。

20210121-155052

セキュリティー→ファイアウォールで

 「ファイアウォール設定・IPv6」で、すべての項目をチェックします。

20210121-002952

IPv4の設定

以前からインターネット接続用に使用していたのであればIPv4側の設定はそのままで大丈夫です。新たに設定する場合はお使いのプロダイバーの設定例に従って設定します。

<資格確認端末(パソコン)の設定>

これはひかり電話ありのHGWの時の設定と全く同じです。再掲します。

資格確認端末の設定は接続マニュアルの8〜10ページ「2−1オンライン資格確認端末のIP設定(IPv6)」に従ってIPv6を有効にします。

次に12ページの「手順5’ ルータにてIPv6の接続先DNSを設定しない場合」に従って、資格確認端末側にDNSアドレスを設定します。

次にマニュアルにはありませんが、IPv4のデフォルトゲートウェイを無効化します。

先ほどのマニュアルの8ページに従いイーサネット(あるいはWiFi)のプロパティを開いたら、こんどは「インターネットプロトコルバージョン4(TCP/IPv4)」を選択して「プロパティ」開きます。

20210121-000327

「IPアドレスを自動的に取得する」になってるとデフォルトゲートウェイが有効になってますので、「次のアドレスを使う」を選んで手入力で設定します。

IPアドレスはレセコン(電子カルテ)が所属するネットワークで有効なアドレスで、かつDHCPサーバーが配布するアドレス以外のアドレスにします。たとえばレセコンのアドレスが「192.168.1.5」であれば「192.168.1.200」とかにします。最後の数字だけ違うようにします。通常は2〜64あるいは128くらいまでが自動的に配布される範囲ですのでそれより大きな数字で255より小さい数字にします。

サブネットマスクは通常はIPアドレスに従って自動的にはいりますが通常は「255.255.255.0」です

デフォルトゲートウェイは空欄のままです。

20210121-000430

設定したら「OK」ボタンで閉じます。

<疎通確認>

これも同じです。再掲します。

設定を完了したら、いったんHGWと資格確認端末を再起動します。最初にHGWを再起動して起動を確認してから資格確認端末(PC)を再起動してください。

接続マニュアルの13〜15ページ「オンライン資格確認端末の設定確認方法〜ネットワーク疎通確認方法(名前解決可否の確認)」に従って確認します。

nslookupでは解決前にタイムアウトエラーが1回程度でるのは問題ないですが、3〜4回でて結局名前が解決されない場合は、設定が間違ってますので、見直してください。

証明書のダウンロードとインストール

ここまでの設定でIPv6には接続できますので、「オンライン請求ネットワーク関連システム共通認証局ユーザーマニュアル(Windows ChromiumEdge)」マニュアルに従ってダウンロードサイト(https://cert.obn.managedpki.ne.jp/p/rcd)にアクセスし、証明書をダウンロードして、このマニュアルに従ってインストールします。

20210121-11739
     マニュアルのこのリンクをクリックするとサイトにアクセスできます。

それ以後は接続マニュアルの16ページ以降のように「回線認証接続」「オンライン資格確認接続」と進んでください。

 

IPv4とIPv6で回線を分離する場合

ひかり電話がある時と違って、両方とも一般的なルーターになりますので、片方はIPv6用に設定し、もう片方はIPv4用に設定するだけになります。

IPv4専用のほうは、その1で解説したように「IPv6を使用しない」を選んでIPv6接続を無効化します。

IPv6専用のほうは、IPv4を無効化したいのですが、今回使っているWSR-1166ではそういった機能はありません。そこでWAN側のIPアドレスを手入力でローカルアドレス等を設定して繋がらないようにして実質的に無効化します。

20210121-162513

 

 


歯科電子カルテシステム・カルテメーカーは月額15,000円(税別)
MacとWinの両方で利用可能、介護保険対応にも対応してます。

カルテメーカーの詳細はカルテメーカー・ホームページまで。
カルテメーカーを実際に動かしてみたいときは評価版をダウンロードできます。

| | コメント (13)

2021年1月21日 (木)

オンライン資格確認 IPv6接続設定 その1

オンライン資格確認では資格確認端末をオンライン資格確認ネットワークに接続して運用します。接続にはNTT東西が提供するフレッツ光ネクスト回線を使ったIP-VPNによる方法が一般的かと思います。それ以外の方法としてはIPsecを使う方式が提供されていますが、これは提供業者によって手法が異なりますので提供業者へご相談ください。

NTTのIP-VPNは以前よりレセプトのオンライン請求で広く利用されてきました。オンライン資格確認でも同じ回線を使うのですが、IPv6という違う方式での接続となります。IPv6は整備は進んだものの、まだまだ一般的ではないため情報は少なく設定のハードルは高めです。

その上、接続設定のため運営が用意した「オンライン資格確認等システム接続ガイド(IP-VPN接続方式)」マニュアル(以後「接続マニュアル」と略します。)は、根本的な部分での解説が抜けていたりNTTのフレッツでの接続を前提にしていない部分があり、この接続マニュアルだけでの設定は難しいでしょう。

そこで今回はIPv6にちゃんと接続できるように接続マニュアルの不足部分を補いつつ解説していきたいと思います。

 

NTTのIPv6の接続方式には2種類ある

厳密には接続方法ではなく、IPアドレスの配布方法が2種類になります。区別は「ひかり電話」の有無(契約の違い)です。「ひかり電話」の契約がある場合は、「DHCPv6-PD」方式でアドレスを配布します。一方「ひかり電話」がない場合は、「RA」方式でアドレスを配布しますので、設定が根本的に違います。

「ひかり電話」がある場合

「ひかり電話」がある場合は、HGW(ホームゲートウェイ)という装置がNTTから設置されます。HGWにはONU(光終端装置)とルーターが別々なものと一体になったものがありますが、どちらも基本的には同じものです。

アドレスの配布方式は「DHCPv6-PD(プリフィックス・デレゲーション)」です。PE(プロバイダーエッジ(NTTからと思っていただければ間違いなし))から56ビットのプレフィックスをHGWに委託(デレゲーション)されます。HGWはそこから64ビットのプレフィックスを作って、HGWに繋がったノード(コンピュータなど)に「RA (Router Advertisement; ルータ広告)」方式でアドレスを配布します。

この場合、HGWはちゃんとルーターとして機能しますので、HGWのファイヤーウォールやIPフィルタ等のセキュリティ機能は有効になります。

HGWは「ひかり電話」の使用を前提とした設定になってますので、それに関連したIPv6の設定はほぼ固定です。このためIPv6を拒否したり「DHCPv6-PD」以外のアドレス配布方式を選択することはできません。

契約があってもひかり電話を使わないのであれば、一般的なブロードバンドルーターに置き換えることもできますが、その場合はWAN側のアドレス取得方法を「DHCPv6-PD」にする必要があります。

「ひかり電話」がない場合

この場合は一般的なブロードバンドルーターがONUの直下に設置してあります。

アドレスの配布方式は「RA」方式です。PEからは最初から64ビットのプレフィックスが配布されます。このためルーターは必要ありません。というより逆にルーターがあると繋がりません。

ですがIPv4を接続しネットワークを構築するにはブロードバンドルーターが必須です。そこでIPv6に対してはルーターと機能しないように「IPv6ブリッジ」とか「IPv6パススルー」という設定にするか、あるいは「NDプロキシ」のようにルーティングはさせているけど見た目v6パケットをスルーさせるような機能を使いルーター機能を無くします。

単純にブリッジ(パススルー)させてしまうとセキュリティ的には非常に問題があるので、通常は「NDプロキシ」や「ファイアウォール」のようなセキュリティ機能を設定してセキュリティを確保します。

 

概要はこれくらいにして、さっそく具体的な設定方法をみていきましょう。なお、ひかり電話がない場合は次回に解説します。

 

「ひかり電話」がある場合の設定方法

HGW(ホームゲートウェイ)の場合

<HGWの設定>

IPv6接続のためのHGWへの設定は基本的には何もありません。そのままで接続できます。

セキュリティ的には、詳細設定→IPv6パケットフィルタ設定で

IPv6ファイアウォール機能の「有効」を選択
IPv6セキュリティのレベルを「高度」

に設定します。

20210120-234157

 

通常のIPv4のページの表示が遅延するようでしたら。詳細設定→DNS設定で

AAAA送信抑制エラー応答機能の「使用する」をチェック
IPv6 IPoE通信優先機能を「優先しない」

にすると改善される場合があります。

20210120-234729

<資格確認端末(パソコン)の設定>

資格確認端末の設定は接続マニュアルの8〜10ページ「2−1オンライン資格確認端末のIP設定(IPv6)」に従ってIPv6を有効にします。

次に12ページの「手順5’ ルータにてIPv6の接続先DNSを設定しない場合」に従って、資格確認端末側にDNSアドレスを設定します。

接続マニュアルはここまでしか書いてないのですが、この状態では正常に繋がりません。このままではIPv4のデフォルトゲートウェイが有効なので、オンライン資格確認ネットワーク宛ての通信がIPv4のインターネット接続側に発信されてしまう場合が発生し通信が安定しません。

とは言っても、資格確認端末はレセコンや電子カルテと通信しないといけないのでIPv4を完全に切ることはできません。そこでIPv4のデフォルトゲートウェイだけを無効化します。

先ほどのマニュアルの8ページに従いイーサネット(あるいはWiFi)のプロパティを開いたら、こんどは「インターネットプロトコルバージョン4(TCP/IPv4)」を選択して「プロパティ」開きます。

20210121-000327

「IPアドレスを自動的に取得する」になってるとデフォルトゲートウェイが有効になってますので、「次のアドレスを使う」を選んで手入力で設定します。

IPアドレスはレセコン(電子カルテ)が所属するネットワークで有効なアドレスで、かつDHCPサーバーが配布するアドレス以外のアドレスにします。たとえばレセコンのアドレスが「192.168.1.5」であれば「192.168.1.200」とかにします。最後の数字だけ違うようにします。通常は2〜64あるいは128くらいまでが自動的に配布される範囲ですのでそれより大きな数字で255より小さい数字にします。

サブネットマスクは通常はIPアドレスに従って自動的にはいりますが通常は「255.255.255.0」です

デフォルトゲートウェイは空欄のままです。

20210121-000430

設定したら「OK」ボタンで閉じます。

<疎通確認>

設定を完了したら、いったんHGWと資格確認端末を再起動します。最初にHGWを再起動して起動を確認してから資格確認端末(PC)を再起動してください。

接続マニュアルの13〜15ページ「オンライン資格確認端末の設定確認方法〜ネットワーク疎通確認方法(名前解決可否の確認)」に従って確認します。

nslookupでは解決前にタイムアウトエラーが1回程度でるのは問題ないですが、3〜4回でて結局名前が解決されない場合は、設定が間違ってますので、見直してください。

証明書のダウンロードとインストール

ここまでの設定でIPv6には接続できますので、「オンライン請求ネットワーク関連システム共通認証局ユーザーマニュアル(Windows ChromiumEdge)」マニュアルに従ってダウンロードサイト(https://cert.obn.managedpki.ne.jp/p/rcd)にアクセスし、証明書をダウンロードして、このマニュアルに従ってインストールします。

20210121-11739
     マニュアルのこのリンクをクリックするとサイトにアクセスできます。

それ以後は接続マニュアルの16ページ以降のように「回線認証接続」「オンライン資格確認接続」と進んでください。

 

一般的なルーターの場合(BUFFALO WSR-1166DHPL2)

後述するようにひかり電話を使う環境で一般的なルーターをIPv6用に設定することは通常ありませんが、IPv6の接続方法を理解するのにちょうど良いので参考までに解説します。

一般的なルーターを使う場合、DNSの設定方法で2つの方法があります。一つはHGWと同じように資格確認端末側で設定する方法、もう一つはルーターで設定する方法です。

*資格確認端末側でDNSを設定する場合

<ルーターの設定>

Internet→IPv6で

「IPv6接続方法」を「NTTフレッツ光ネクストを使用する」か「IPv6ネイティブを使用する」のどちらかにする
「IPv6ネイティブを使用する」を選んだ場合は、その下の「IPv6プレフィックス取得方法」で「自動取得(DHCPv6-PD)」を選択

両者の違いは「IPv6プレフィックス取得方法」でオプションを選べるかどうかだけですので、通常はデフォルトでDHCPv6-PDが有効な「NTTフレッツ光ネクストを使用する」を選んでおけば間違いないでょう。他社のルーターの場合WAN側のIPv6接続方法が「DHCPv6-PD」の方法を選択すれば大丈夫かと思います。

それ以外の項目は初期値のままです。一応以下の項目は確認しておいてください。

「LAN側IPv6アドレス自動配布方式」は「ステートレスアドレス自動設定で配布」
「DNSサーバーの通知」は「エアーステーションが取得したDNSアドレス」
20210121-003053

セキュリティー→ファイアウォールで

 「ファイアウォール設定・IPv6」で、すべての項目をチェックします。

20210121-002952

IPv4の設定

 もしIPv4の接続が必要であればプロバイダーの指示通りに設定します。

<資格確認端末(パソコン)の設定>

これはHGWの時の設定と全く同じです。

<疎通確認>

これも同じです。

*ルーター側でDNSを設定する場合

この方法は、ルーター側でも設定できますよ的な感じの設定方法です。あえてこの方式を選択する必要はなく、上の資格確認端末側で設定する方法で問題ありません。

<ルーターの設定>

Internet→IPv6で

「IPv6接続方法」を「NTTフレッツ光ネクストを使用する」か「IPv6ネイティブを使用する」のどちらかにする
「IPv6ネイティブを使用する」を選んだ場合は、その下の「IPv6プレフィックス取得方法」で「自動取得(DHCPv6-PD)」を選択

ルーター側でDNSアドレスを設定した場合、そのアドレスを配下の資格確認端末に自動的に通知しなければいけません。ですが通常の「RA」方式ではDNSアドレスの通知は行われません。配布するには「DHCPv6」方式に変更する必要があります。

「LAN側IPv6アドレス自動配布方式」を「DHCPv6サーバーで配布」に設定
「DNSサーバーの通知」は「指定したアドレス」に設定
プライマリ、セカンダリのDNSアドレスにはマニュアルの12ページのDNSのアドレスを入力

それ以外の項目は初期値のままです。

20210121-000644

セキュリティー→ファイアウォールで

 「ファイアウォール設定・IPv6」で、すべての項目をチェックします。

IPv4の設定

 もしIPv4の接続が必要であればプロバイダーの指示通りに設定します。

<資格確認端末(パソコン)の設定>

HGWの時の設定と次の点だけ違います。

DNS設定を11ページのように

「DNS設定」の「DNSサーバーのアドレスを自動的に取得する」を選択

にします。

20210121-002637

<疎通確認>

HGWの時と同じです。

 

IPv4とIPv6で回線を分離する場合の注意

ひかり電話がある環境で、ONU直下にSWハブ をいれ回線を2つに分岐させ、片方はIPv4専用、片方をIPv6専用として分離する場合は注意が必要です。

NTTからのHGW側をIPv4にして、片方は一般的なブロードバンドルータをいれて上記のようIPv6に設定すると、HGW側のIPv6を無効化できないためHGWとブロードバンドルータが競合して正しく通信できなくなります。

具体的にはどちらかのルーター経由でしか通信ができません。IPv4にしたHGW側が有効になると、IPv6のブロードバンドルータ側、すなわち資格確認端末では通信が止まってしまいます。

どちらが有効になるかは、あとで回線を掴んだほうが有効になります。実際には最後に再起動した装置側が有効になりますので、上記のように資格確認側が通信できなくなった場合、ブロードバンドルータを再起動すると通信可能になります。

このように回避は可能なのですが競合した状態を放置するのもよくないですし、現象が発生した場合いちいち再起動するのも面倒です。ですのでHGWをIPv6にして資格確認端末側に設定し、ブロードバンドルータをIPv4にしてプロバイダへの接続設定したうえでIPv6を使わない設定にします。これで競合が発生しないようになり安定します。

Untitled-19

IPv6を使わない設定

Internet→IPv6で「IPv6を使用しない」を選択

20210121-155844

 

 


歯科電子カルテシステム・カルテメーカーは月額15,000円
MacとWinの両方で利用可能、介護保険対応にも対応してます。

カルテメーカーの詳細はカルテメーカー・ホームページまで。
カルテメーカーを実際に動かしてみたいときは評価版をダウンロードできます。

| | コメント (1)

2021年1月13日 (水)

ルーターのお勉強

オンライン資格確認のためのネットワークの構築を解説してきましたが、どうも知識があやふやで本当のところ理解してきれていないって事だけは理解しました。(笑)
ということで、いろいろ実験した結果を備忘録ということで残します。

 

ネットワークを繋ぐ

ネットワークを分割する、別々のネットワークを繋ぐ、この目的でルーターを使うことは前回の記事で解説しました。

オンライン資格確認 院内ネットワーク構成例
その2カルテメーカー.番外編

今回やりたいことは実際に繋いで通信ができるようにすることです。それもおもいっきり単純に2台のコンピュータを接続することが目標です。これすぐにできると思ったら、とんでもない。丸1日かかってしまいました。(^^;

こんな感じに2つのネットワークを繋ぐだけのことだったのですが...

Untitled-17

 

結論から言いますと、とても単純な設定で繋がります。

ルーターの設定

WAN(internet)側(ネットワークB)

設定方法:手動設定
IPアドレス:192.168.20.1
サブネットマスク:255.255.255.0
デフォルトゲートウェイ:空欄

LAN側(ネットワークA)

IPアドレス:192.168.10.1
サブネットマスク:255.255.255.0

ネットワークBのコンピュータ

設定方法:手動設定
IPアドレス:192.168.20.2
サブネットマスク:255.255.255.0
デフォルトゲートウェイ:192.168.20.1

ネットワークAのコンピュータ

設定方法:手動設定
IPアドレス:192.168.10.2
サブネットマスク:255.255.255.0
デフォルトゲートウェイ:192.168.10.1


わかってみれば非常に単純な理屈で動作します。同じサブネット内のコンピュータ(装置)向けのパケットはそのサブネット内に送られるが、それ以外はデフォルトゲートウェイに送られる。デフォルトゲートウェイに送られたパケットは、もう一方のインターフェースから違うネットワークに送られて、そのアドレスの装置に到達するわけです。

なまじブローバンドルーターを使っているので、WANとLANの区別とかあるので、複雑に考えてしまうのですがルーターにとってはどっちも同じ(対等な)インターフェースなので、同じように設定するだけで動作はするんですねぇ

 

繋がらない

でも、これ、実際にやると繋がんないですよ、ping打っても返ってこないし

まずはマニュアルとにらめっこ、いろいろ設定を変えてみてもうまくいかない

WSR-1166DHPL2シリーズ ユーザーマニュアルBUFFALO

ルーターの基本を調べようとしたのですが、CiscoやYAMAHAの本格的なルーターの設定方法がヒットするだけで、アマチュアレベルでブロードバンドルーターを使ったなんちゃってルーティングみたいな記事はなかなかないし

ルーティングテーブルの作り方ネットワークのおべんきょしませんか?

このあたりの記事はそこそこ参考になったけど、まだまだ難しすぎる

デフォルトゲートウェイの限界を乗り越えろ!
ルーティングの基礎「静的ルーティング」を試してみようASCII x TECH

そもそもpingコマンドのオプションの問題かもって思ってこんな記事で確認したり

Macでping送信してネットワークの正常性を確認する方法ハジプロ!

で、コンピュータに静的ルーティングを追加すると上手くいったりしてきて、なんとなく仕組みがわかってきました。静的ルーティングを追加する方法はwinとmacで違いますので、そのあたりも調べました。

mac のコマンドで ルーティングテーブルの追加(add)と削除(del)と確認(show)それマグで! 【route add/delete/print】コマンドでWindowsルーティング設定 〜Default Gateway/Static Route〜SEの道標

Macの場合、これらのコマンドは入力すると管理者のパスワードを要求されるのですが、Winの場合、管理者特権が必要って怒られるので、コマンドプロンプトを実行する時に右クリックで管理者権限で実行します。

【解決】管理者なのに管理者権限が必要?管理者として実行も選べない場合の対処方法Orange Antenna

この静的ルーティングを追加する方法は、結果的には今回は必要なかったのですが、外への出口が複数ある場合(他のサブネットとインターネットとか)はこれを正しく設定する必要があるので勉強になりました。

例えば、192.168.10.xxから192.168.20.xxにパケットを送る場合(192.168.10.1が192.168.20へ繋がるルーターの場合)

sudo route add -net 192.168.20 192.168.10.1

パケットがどのように渡されていったかは、次のコマンドで調べることができます。

traceroute(tracert) ~ネットワークの経路を調査する@IT

この静的ルーティングの設定は、再起動すると消えてしまうのですが、次の記事のようにすると永続的に残るようになります。

Macに永続的なスタティックルートを設定するSaba note

いろいろと試しているとWinからMacへはpingが通るのに、逆はダメという状態。特にエラーはないのに届かない。う〜んと唸ること小一時間やっとわかりました。ファイヤーウォールでした(笑)

Winのファイヤーウォールは基本、他のネットワークからのパケットはデフォルトで弾くようです。穴をあけたりすれば通信できるのでしょうけど、結構面倒なのでとりあえずFWを切れば繋がることを確認してスルーです。

Windows10のping応答の設定(別ネットワークからの応答設定)Windows10サポート Windows10にRDP接続できるクライアントのIP制限素人IT研究所

いろいろやって、静的ルーティングを追加するよりデフォルトゲートウェイを正しく設定するばいいんだという結論に達したのですが、あるMacだけがデフォルトゲートウェイ経由ではどうしても繋がらない。いろいろググると出てきました必要な記事が

ゲートウェイを設定しても外に出られない電脳世界のケーキ屋さん

まさにこの症状。デフォルトゲートウェイ経由で外に繋がらないんですねぇ。無線LANで手動でIPアドレスを設定すると必ずこの状況になります。Macだけの症状です。これ無線LANで繋がったMacを試しに同じアドレスで手動にするとインターネットへの接続もできなくなります。有線LANなら大丈夫なんですけどね。

まぁ1日格闘してしまいましたが、お陰でいろいろ勉強にはなりました。これを元にオンライン資格確認の構成をさらに試してみます。

| | コメント (0)

« 2020年11月 | トップページ | 2021年4月 »