« ルーターのお勉強 | トップページ | オンライン資格確認 IPv6接続設定 その2 »

2021年1月21日 (木)

オンライン資格確認 IPv6接続設定 その1

オンライン資格確認では資格確認端末をオンライン資格確認ネットワークに接続して運用します。接続にはNTT東西が提供するフレッツ光ネクスト回線を使ったIP-VPNによる方法が一般的かと思います。それ以外の方法としてはIPsecを使う方式が提供されていますが、これは提供業者によって手法が異なりますので提供業者へご相談ください。

NTTのIP-VPNは以前よりレセプトのオンライン請求で広く利用されてきました。オンライン資格確認でも同じ回線を使うのですが、IPv6という違う方式での接続となります。IPv6は整備は進んだものの、まだまだ一般的ではないため情報は少なく設定のハードルは高めです。

その上、接続設定のため運営が用意した「オンライン資格確認等システム接続ガイド(IP-VPN接続方式)」マニュアル(以後「接続マニュアル」と略します。)は、根本的な部分での解説が抜けていたりNTTのフレッツでの接続を前提にしていない部分があり、この接続マニュアルだけでの設定は難しいでしょう。

そこで今回はIPv6にちゃんと接続できるように接続マニュアルの不足部分を補いつつ解説していきたいと思います。

 

NTTのIPv6の接続方式には2種類ある

厳密には接続方法ではなく、IPアドレスの配布方法が2種類になります。区別は「ひかり電話」の有無(契約の違い)です。「ひかり電話」の契約がある場合は、「DHCPv6-PD」方式でアドレスを配布します。一方「ひかり電話」がない場合は、「RA」方式でアドレスを配布しますので、設定が根本的に違います。

「ひかり電話」がある場合

「ひかり電話」がある場合は、HGW(ホームゲートウェイ)という装置がNTTから設置されます。HGWにはONU(光終端装置)とルーターが別々なものと一体になったものがありますが、どちらも基本的には同じものです。

アドレスの配布方式は「DHCPv6-PD(プリフィックス・デレゲーション)」です。PE(プロバイダーエッジ(NTTからと思っていただければ間違いなし))から56ビットのプレフィックスをHGWに委託(デレゲーション)されます。HGWはそこから64ビットのプレフィックスを作って、HGWに繋がったノード(コンピュータなど)に「RA (Router Advertisement; ルータ広告)」方式でアドレスを配布します。

この場合、HGWはちゃんとルーターとして機能しますので、HGWのファイヤーウォールやIPフィルタ等のセキュリティ機能は有効になります。

HGWは「ひかり電話」の使用を前提とした設定になってますので、それに関連したIPv6の設定はほぼ固定です。このためIPv6を拒否したり「DHCPv6-PD」以外のアドレス配布方式を選択することはできません。

契約があってもひかり電話を使わないのであれば、一般的なブロードバンドルーターに置き換えることもできますが、その場合はWAN側のアドレス取得方法を「DHCPv6-PD」にする必要があります。

「ひかり電話」がない場合

この場合は一般的なブロードバンドルーターがONUの直下に設置してあります。

アドレスの配布方式は「RA」方式です。PEからは最初から64ビットのプレフィックスが配布されます。このためルーターは必要ありません。というより逆にルーターがあると繋がりません。

ですがIPv4を接続しネットワークを構築するにはブロードバンドルーターが必須です。そこでIPv6に対してはルーターと機能しないように「IPv6ブリッジ」とか「IPv6パススルー」という設定にするか、あるいは「NDプロキシ」のようにルーティングはさせているけど見た目v6パケットをスルーさせるような機能を使いルーター機能を無くします。

単純にブリッジ(パススルー)させてしまうとセキュリティ的には非常に問題があるので、通常は「NDプロキシ」や「ファイアウォール」のようなセキュリティ機能を設定してセキュリティを確保します。

 

概要はこれくらいにして、さっそく具体的な設定方法をみていきましょう。なお、ひかり電話がない場合は次回に解説します。

 

「ひかり電話」がある場合の設定方法

HGW(ホームゲートウェイ)の場合

<HGWの設定>

IPv6接続のためのHGWへの設定は基本的には何もありません。そのままで接続できます。

セキュリティ的には、詳細設定→IPv6パケットフィルタ設定で

IPv6ファイアウォール機能の「有効」を選択
IPv6セキュリティのレベルを「高度」

に設定します。

20210120-234157

 

通常のIPv4のページの表示が遅延するようでしたら。詳細設定→DNS設定で

AAAA送信抑制エラー応答機能の「使用する」をチェック
IPv6 IPoE通信優先機能を「優先しない」

にすると改善される場合があります。

20210120-234729

<資格確認端末(パソコン)の設定>

資格確認端末の設定は接続マニュアルの8〜10ページ「2−1オンライン資格確認端末のIP設定(IPv6)」に従ってIPv6を有効にします。

次に12ページの「手順5’ ルータにてIPv6の接続先DNSを設定しない場合」に従って、資格確認端末側にDNSアドレスを設定します。

接続マニュアルはここまでしか書いてないのですが、この状態では正常に繋がりません。このままではIPv4のデフォルトゲートウェイが有効なので、オンライン資格確認ネットワーク宛ての通信がIPv4のインターネット接続側に発信されてしまう場合が発生し通信が安定しません。

とは言っても、資格確認端末はレセコンや電子カルテと通信しないといけないのでIPv4を完全に切ることはできません。そこでIPv4のデフォルトゲートウェイだけを無効化します。

先ほどのマニュアルの8ページに従いイーサネット(あるいはWiFi)のプロパティを開いたら、こんどは「インターネットプロトコルバージョン4(TCP/IPv4)」を選択して「プロパティ」開きます。

20210121-000327

「IPアドレスを自動的に取得する」になってるとデフォルトゲートウェイが有効になってますので、「次のアドレスを使う」を選んで手入力で設定します。

IPアドレスはレセコン(電子カルテ)が所属するネットワークで有効なアドレスで、かつDHCPサーバーが配布するアドレス以外のアドレスにします。たとえばレセコンのアドレスが「192.168.1.5」であれば「192.168.1.200」とかにします。最後の数字だけ違うようにします。通常は2〜64あるいは128くらいまでが自動的に配布される範囲ですのでそれより大きな数字で255より小さい数字にします。

サブネットマスクは通常はIPアドレスに従って自動的にはいりますが通常は「255.255.255.0」です

デフォルトゲートウェイは空欄のままです。

20210121-000430

設定したら「OK」ボタンで閉じます。

<疎通確認>

設定を完了したら、いったんHGWと資格確認端末を再起動します。最初にHGWを再起動して起動を確認してから資格確認端末(PC)を再起動してください。

接続マニュアルの13〜15ページ「オンライン資格確認端末の設定確認方法〜ネットワーク疎通確認方法(名前解決可否の確認)」に従って確認します。

nslookupでは解決前にタイムアウトエラーが1回程度でるのは問題ないですが、3〜4回でて結局名前が解決されない場合は、設定が間違ってますので、見直してください。

証明書のダウンロードとインストール

ここまでの設定でIPv6には接続できますので、「オンライン請求ネットワーク関連システム共通認証局ユーザーマニュアル(Windows ChromiumEdge)」マニュアルに従ってダウンロードサイト(https://cert.obn.managedpki.ne.jp/p/rcd)にアクセスし、証明書をダウンロードして、このマニュアルに従ってインストールします。

20210121-11739
     マニュアルのこのリンクをクリックするとサイトにアクセスできます。

それ以後は接続マニュアルの16ページ以降のように「回線認証接続」「オンライン資格確認接続」と進んでください。

 

一般的なルーターの場合(BUFFALO WSR-1166DHPL2)

後述するようにひかり電話を使う環境で一般的なルーターをIPv6用に設定することは通常ありませんが、IPv6の接続方法を理解するのにちょうど良いので参考までに解説します。

一般的なルーターを使う場合、DNSの設定方法で2つの方法があります。一つはHGWと同じように資格確認端末側で設定する方法、もう一つはルーターで設定する方法です。

*資格確認端末側でDNSを設定する場合

<ルーターの設定>

Internet→IPv6で

「IPv6接続方法」を「NTTフレッツ光ネクストを使用する」か「IPv6ネイティブを使用する」のどちらかにする
「IPv6ネイティブを使用する」を選んだ場合は、その下の「IPv6プレフィックス取得方法」で「自動取得(DHCPv6-PD)」を選択

両者の違いは「IPv6プレフィックス取得方法」でオプションを選べるかどうかだけですので、通常はデフォルトでDHCPv6-PDが有効な「NTTフレッツ光ネクストを使用する」を選んでおけば間違いないでょう。他社のルーターの場合WAN側のIPv6接続方法が「DHCPv6-PD」の方法を選択すれば大丈夫かと思います。

それ以外の項目は初期値のままです。一応以下の項目は確認しておいてください。

「LAN側IPv6アドレス自動配布方式」は「ステートレスアドレス自動設定で配布」
「DNSサーバーの通知」は「エアーステーションが取得したDNSアドレス」
20210121-003053

セキュリティー→ファイアウォールで

 「ファイアウォール設定・IPv6」で、すべての項目をチェックします。

20210121-002952

IPv4の設定

 もしIPv4の接続が必要であればプロバイダーの指示通りに設定します。

<資格確認端末(パソコン)の設定>

これはHGWの時の設定と全く同じです。

<疎通確認>

これも同じです。

*ルーター側でDNSを設定する場合

この方法は、ルーター側でも設定できますよ的な感じの設定方法です。あえてこの方式を選択する必要はなく、上の資格確認端末側で設定する方法で問題ありません。

<ルーターの設定>

Internet→IPv6で

「IPv6接続方法」を「NTTフレッツ光ネクストを使用する」か「IPv6ネイティブを使用する」のどちらかにする
「IPv6ネイティブを使用する」を選んだ場合は、その下の「IPv6プレフィックス取得方法」で「自動取得(DHCPv6-PD)」を選択

ルーター側でDNSアドレスを設定した場合、そのアドレスを配下の資格確認端末に自動的に通知しなければいけません。ですが通常の「RA」方式ではDNSアドレスの通知は行われません。配布するには「DHCPv6」方式に変更する必要があります。

「LAN側IPv6アドレス自動配布方式」を「DHCPv6サーバーで配布」に設定
「DNSサーバーの通知」は「指定したアドレス」に設定
プライマリ、セカンダリのDNSアドレスにはマニュアルの12ページのDNSのアドレスを入力

それ以外の項目は初期値のままです。

20210121-000644

セキュリティー→ファイアウォールで

 「ファイアウォール設定・IPv6」で、すべての項目をチェックします。

IPv4の設定

 もしIPv4の接続が必要であればプロバイダーの指示通りに設定します。

<資格確認端末(パソコン)の設定>

HGWの時の設定と次の点だけ違います。

DNS設定を11ページのように

「DNS設定」の「DNSサーバーのアドレスを自動的に取得する」を選択

にします。

20210121-002637

<疎通確認>

HGWの時と同じです。

 

IPv4とIPv6で回線を分離する場合の注意

ひかり電話がある環境で、ONU直下にSWハブ をいれ回線を2つに分岐させ、片方はIPv4専用、片方をIPv6専用として分離する場合は注意が必要です。

NTTからのHGW側をIPv4にして、片方は一般的なブロードバンドルータをいれて上記のようIPv6に設定すると、HGW側のIPv6を無効化できないためHGWとブロードバンドルータが競合して正しく通信できなくなります。

具体的にはどちらかのルーター経由でしか通信ができません。IPv4にしたHGW側が有効になると、IPv6のブロードバンドルータ側、すなわち資格確認端末では通信が止まってしまいます。

どちらが有効になるかは、あとで回線を掴んだほうが有効になります。実際には最後に再起動した装置側が有効になりますので、上記のように資格確認側が通信できなくなった場合、ブロードバンドルータを再起動すると通信可能になります。

このように回避は可能なのですが競合した状態を放置するのもよくないですし、現象が発生した場合いちいち再起動するのも面倒です。ですのでHGWをIPv6にして資格確認端末側に設定し、ブロードバンドルータをIPv4にしてプロバイダへの接続設定したうえでIPv6を使わない設定にします。これで競合が発生しないようになり安定します。

Untitled-19

IPv6を使わない設定

Internet→IPv6で「IPv6を使用しない」を選択

20210121-155844

 

 


歯科電子カルテシステム・カルテメーカーは月額15,000円
MacとWinの両方で利用可能、介護保険対応にも対応してます。

カルテメーカーの詳細はカルテメーカー・ホームページまで。
カルテメーカーを実際に動かしてみたいときは評価版をダウンロードできます。

|

« ルーターのお勉強 | トップページ | オンライン資格確認 IPv6接続設定 その2 »

コメント

コメントを書く



(ウェブ上には掲載しません)




« ルーターのお勉強 | トップページ | オンライン資格確認 IPv6接続設定 その2 »