カテゴリー「オンライン資格確認」の4件の記事

2021年4月13日 (火)

オンライン資格確認につながらない、安定しない時の対処法

申し訳ありませんm(_ _)m

オンライン資格確認 院内ネットワーク構成例
その1カルテメーカー.番外編

の記事の中の「何故に不安定」の段で、不安定な原因をデフォルトゲートウェイの設定と書きましたが、それは間違いでした。

どうして不安定なのか、原因がやっと判明しましたので、その原因と正しい対処法を改めて記事にしました。
オンライン資格確認等システム接続ガイド(IP-VPN接続方式)1.2版に従って設定を済ませ、nslookup等でIPv6への接続を確認しているにもかかわらず、次のような症状がでる時の参考にしてください。

・オンライン資格確認等システムに時々あるいは常につながらない
・レセコンからの資格確認が度々、失敗する。
・電子証明書ダウンロードサイトにつながらない

 


上記の記事の中では、このような症状がでた場合の対処方として

(デフォルトゲートウェイを無効化するため)コントロールパネル→ネットワークと共有センター→アダプターの設定の変更→ネットワークを選択して右クリック・プロパティを選ぶ→インターネットプロトコルバージョン4(TCP/IPv4)を選択→プロパティを開いて
次のIPアドレスを使うを選択。IPアドレスとサブネットマスクを設定。デフォルトゲートウェイは空欄のまま Photo_20210413183701

という設定を紹介しました。

ところがですね、このようにデフォルトゲートウェイを設定してIPv4からインターネットに接続できるようにしても、通信が安定しちゃうんです。

2

winではIPv6が優先

というのもwindowsの基本設定では、IPv4とIPv6が同時に使える場合(デュアルスタック)、IPv6が優先的に通信先に選ばれるからです。
コマンドプロンプトでnetshを実行すると確認できます。

9

「::/0」がIPv6、「::ffff:0:0/96」がIPv4のことで、IPv6の方が優先順位が高いことがわかります。

自分自身にピンを打ってみるとはっきりわかります。

92

「::1」はIPv6のインターフェースのことですので、IPv6が優先して通信していることがわかります。

というわけで、IPv4のデフォルトゲートウェイを設定しても(しなくても)、常に通信先はIPv6なのです。

では、何故にデフォルトのIPv4の設定では接続が不安定なのでしょうか?

鍵を握るのはDNS

IPv4のデフォルトの設定では

4

のように、IPv4のDNSサーバーとして192.168.1.1が指定されています。これはHGW(ホームゲートウェイ)のアドレスで、実際にはNTTあるいはプロバイダが指定したDNSが指定されています。

一方、IPv6のDNSサーバーはオンライン資格確認が指定した「2404:1a8:f583:d00::53:1」です。

オンライン資格確認では、このIPv6のDNSを使って名前の解決をはかるはずなんですが、このDNSの応答速度が遅くて初回の応答がタイムアウトしてしまう傾向があります。そのためかIPv4のDNSを使った名前の解決が行われているようなのです。

この時、IPv4のDNSにオンライン資格確認システムや連携システムの名前が登録されていなければ、エラーがでて本来のIPv6のDNSで解決されたIPアドレスに接続しにいくはずなのですが、なんとIPv4のDNSにオンライン資格確認システムなどの名前が登録されていて、正常にIPv6のIPアドレスを返してしまうのです。それもIPv6のDNSより早く...そして、悪いことに本来のIPアドレスとは異なるアドレスが返されるのです。

返されたIPアドレスにはサイトが存在しませんorz

当然、接続できない...

解決策

根本的な解決策はオンライン資格確認等システム接続ガイド(IP-VPN接続方式)1.2版の7ページ「2−1ルータ設定(接続先DNS設定)」のようにドメインごとにDNSを選択するように設定することなのですが、NTTのHGWではそのような設定ができません。

代わりにIPv4のDNSを無効化します。DNSを無効化する方法は

コントロールパネル→ネットワークと共有センター→アダプターの設定の変更→ネットワークを選択して右クリック・プロパティを選ぶ→インターネットプロトコルバージョン4(TCP/IPv4)を選択→プロパティを開いて
「次のDNSサーバーのアドレスを使う」を選び、DNSサーバーのアドレス欄は空欄にします。

2_20210413200301

あれっ、最初と同じだ(笑)

というわけで、安定化したのはデフォルトゲートウェイの無効化ではなく、DNSサーバーの無効化が理由でした。まぁ結果オーライということで😃

 

ちなみに、IPアドレスを自動取得にした場合で、「次のDNSサーバーのアドレスを使う」を選びDNSサーバーのアドレス欄は空欄にしても、保存すると「DNSサーバーのアドレスを自動取得する」に戻ってしまいDNSを無効化できません。

15

この場合、「次のDNSサーバーのアドレスを使う」を選びDNSサーバーのアドレス欄に適当な存在しないアドレス(192.168.1.100とか)をいれると実質的に無効化され正常に繋がるようになります。

 

 


 

歯科電子カルテシステム・カルテメーカーは月額16,500円(税込み)
MacとWinの両方で利用可能、介護保険対応にも対応してます。

 

カルテメーカーの詳細はカルテメーカー・ホームページまで。
カルテメーカーを実際に動かしてみたいときは評価版をダウンロードできます。

 

 

 

 

 

| | コメント (0)

2021年1月13日 (水)

ルーターのお勉強

オンライン資格確認のためのネットワークの構築を解説してきましたが、どうも知識があやふやで本当のところ理解してきれていないって事だけは理解しました。(笑)
ということで、いろいろ実験した結果を備忘録ということで残します。

 

ネットワークを繋ぐ

ネットワークを分割する、別々のネットワークを繋ぐ、この目的でルーターを使うことは前回の記事で解説しました。

オンライン資格確認 院内ネットワーク構成例
その2カルテメーカー.番外編

今回やりたいことは実際に繋いで通信ができるようにすることです。それもおもいっきり単純に2台のコンピュータを接続することが目標です。これすぐにできると思ったら、とんでもない。丸1日かかってしまいました。(^^;

こんな感じに2つのネットワークを繋ぐだけのことだったのですが...

Untitled-17

 

結論から言いますと、とても単純な設定で繋がります。

ルーターの設定

WAN(internet)側(ネットワークB)

設定方法:手動設定
IPアドレス:192.168.20.1
サブネットマスク:255.255.255.0
デフォルトゲートウェイ:空欄

LAN側(ネットワークA)

IPアドレス:192.168.10.1
サブネットマスク:255.255.255.0

ネットワークBのコンピュータ

設定方法:手動設定
IPアドレス:192.168.20.2
サブネットマスク:255.255.255.0
デフォルトゲートウェイ:192.168.20.1

ネットワークAのコンピュータ

設定方法:手動設定
IPアドレス:192.168.10.2
サブネットマスク:255.255.255.0
デフォルトゲートウェイ:192.168.10.1


わかってみれば非常に単純な理屈で動作します。同じサブネット内のコンピュータ(装置)向けのパケットはそのサブネット内に送られるが、それ以外はデフォルトゲートウェイに送られる。デフォルトゲートウェイに送られたパケットは、もう一方のインターフェースから違うネットワークに送られて、そのアドレスの装置に到達するわけです。

なまじブローバンドルーターを使っているので、WANとLANの区別とかあるので、複雑に考えてしまうのですがルーターにとってはどっちも同じ(対等な)インターフェースなので、同じように設定するだけで動作はするんですねぇ

 

繋がらない

でも、これ、実際にやると繋がんないですよ、ping打っても返ってこないし

まずはマニュアルとにらめっこ、いろいろ設定を変えてみてもうまくいかない

WSR-1166DHPL2シリーズ ユーザーマニュアルBUFFALO

ルーターの基本を調べようとしたのですが、CiscoやYAMAHAの本格的なルーターの設定方法がヒットするだけで、アマチュアレベルでブロードバンドルーターを使ったなんちゃってルーティングみたいな記事はなかなかないし

ルーティングテーブルの作り方ネットワークのおべんきょしませんか?

このあたりの記事はそこそこ参考になったけど、まだまだ難しすぎる

デフォルトゲートウェイの限界を乗り越えろ!
ルーティングの基礎「静的ルーティング」を試してみようASCII x TECH

そもそもpingコマンドのオプションの問題かもって思ってこんな記事で確認したり

Macでping送信してネットワークの正常性を確認する方法ハジプロ!

で、コンピュータに静的ルーティングを追加すると上手くいったりしてきて、なんとなく仕組みがわかってきました。静的ルーティングを追加する方法はwinとmacで違いますので、そのあたりも調べました。

mac のコマンドで ルーティングテーブルの追加(add)と削除(del)と確認(show)それマグで! 【route add/delete/print】コマンドでWindowsルーティング設定 〜Default Gateway/Static Route〜SEの道標

Macの場合、これらのコマンドは入力すると管理者のパスワードを要求されるのですが、Winの場合、管理者特権が必要って怒られるので、コマンドプロンプトを実行する時に右クリックで管理者権限で実行します。

【解決】管理者なのに管理者権限が必要?管理者として実行も選べない場合の対処方法Orange Antenna

この静的ルーティングを追加する方法は、結果的には今回は必要なかったのですが、外への出口が複数ある場合(他のサブネットとインターネットとか)はこれを正しく設定する必要があるので勉強になりました。

例えば、192.168.10.xxから192.168.20.xxにパケットを送る場合(192.168.10.1が192.168.20へ繋がるルーターの場合)

sudo route add -net 192.168.20 192.168.10.1

パケットがどのように渡されていったかは、次のコマンドで調べることができます。

traceroute(tracert) ~ネットワークの経路を調査する@IT

この静的ルーティングの設定は、再起動すると消えてしまうのですが、次の記事のようにすると永続的に残るようになります。

Macに永続的なスタティックルートを設定するSaba note

いろいろと試しているとWinからMacへはpingが通るのに、逆はダメという状態。特にエラーはないのに届かない。う〜んと唸ること小一時間やっとわかりました。ファイヤーウォールでした(笑)

Winのファイヤーウォールは基本、他のネットワークからのパケットはデフォルトで弾くようです。穴をあけたりすれば通信できるのでしょうけど、結構面倒なのでとりあえずFWを切れば繋がることを確認してスルーです。

Windows10のping応答の設定(別ネットワークからの応答設定)Windows10サポート Windows10にRDP接続できるクライアントのIP制限素人IT研究所

いろいろやって、静的ルーティングを追加するよりデフォルトゲートウェイを正しく設定するばいいんだという結論に達したのですが、あるMacだけがデフォルトゲートウェイ経由ではどうしても繋がらない。いろいろググると出てきました必要な記事が

ゲートウェイを設定しても外に出られない電脳世界のケーキ屋さん

まさにこの症状。デフォルトゲートウェイ経由で外に繋がらないんですねぇ。無線LANで手動でIPアドレスを設定すると必ずこの状況になります。Macだけの症状です。これ無線LANで繋がったMacを試しに同じアドレスで手動にするとインターネットへの接続もできなくなります。有線LANなら大丈夫なんですけどね。

まぁ1日格闘してしまいましたが、お陰でいろいろ勉強にはなりました。これを元にオンライン資格確認の構成をさらに試してみます。

| | コメント (0)

2020年11月20日 (金)

オンライン資格確認 院内ネットワーク構成例 その2

紙の保険証を廃止するという話、かなり本気な感じですねぇ。現在の法律だと保険者は紙の保険証を発行する義務があります。政府は、この「義務」を撤廃しようというのです。上手いです。消極的な改正ですけど、効果はかなりあるでしょう、保険者はどこも苦しいですから紙での保険証の発行、回収、更新業務が消えて、資格ミスでの一部負担金の回収業務もなくなりますので、一気にマイナンバーに移行する可能性があります。

なんて言ってたら、今度はマインバー対策費の全額補助のニュース。まさに飴と鞭です(笑)でも3/4の助成と全額じゃ、腰の入れ方がかわりますね。医療機関側からも早期の対応が始まりそうです。でもヒトもモノも足りるのかしらん(^^;

閑話休題

さて、前回、iPadもiPhoneにも無駄にIPv6アドレスが振られちゃったとこで終わりになりましたが、今回はこれへの対応で、セキュリティを考慮した構成です。

 

セキュリティを考慮した構成

iPadやiPhoneは個別にIPv6を無効化できません。そのため院内LANのWiFiにつながったiPadやiPhoneのIPv6を無効にするにはネットワーク自体の設定をIPv6を通さないようするしかありません。でも同じネットワーク上のオンライン資格確認はIPv6に対応しないといけません。

こういった時の対策がネットワークの分割です。ネットワークを2つに分けて、一つはIPv6に対応させ、もう一つはIPv6を無効化します。
ネットワークを2つに分けて、そして、この2つのネットワークを接続させるのがルーターです。

Untitled-9

こんな感じにルーターを途中にいれるとネットワークが分割できます。

でも配線で分離しただけでは動作しません。IPアドレスを変更して論理的にも分割する必要があります。
同一のネットワーク(直接通信ができるネットワーク)とは、IPアドレスの上の3つの数字が同じもの同士のネットワークです。3つの数字が違うと物理的にケーブルで繋いでいても違うネットワークとなり通信できなくなります。ですので、分離する場合はこの3つの数字を変更します。ただ最初の2つの数字は特殊な番号ですので通常は変更しません。3つ目の数字を変更します。

  192.168.1.2192.168.1.4192.168.1.8 同じネットワーク
  192.168.1.2 と 192.168.10.2192.168.10.3 は違うネットワーク
*4番目の数字は同じネットワーク内では重複してはいけません。違うネットワークなら同じ数字でもいいです。

このIPアドレスの変更はルーターの設定の変更で行います。また、上記のように違うネットワークは直接通信できません。この違うネットワーク同士を繋いで通信を仲介するのもルーターの大事な機能です。

今回はオンライン資格確認端末だけがIPv6の通信をして、それ以外は通信しないようにするので、このようにオンライン資格確認端末とそれ以外の機器の間にルーターをいれてネットワークを分けます。

Untitled-8

 

実際の接続状態を図示した方がわかりやすいでしょう。

分割前の接続状態
Untitled-10

このようにHGW(ホームゲートウェイ)のLAN端子に全ての端末がつながってます。WiFi接続もLAN側の接続と同じです。

 

ネットワークを分割後
Untitled-11

新しく追加したルーターのWAN側端子とHGWのLAN側端子をケーブルで接続します。HGWに接続していた資格確認端末以外のPCやiPadは新しく追加したルーターのLAN側端子か、このルーターのWiFiにつなぎ直します。

 

ルーター(WSR-1166)の設定

ルーターの設定画面をブラウザで開いて設定します。今回は実際にテストに使用してるBUFFALOWSR1166DHPL2の設定画面で解説していきます。

まずはLAN側のIPアドレスの設定です。
LAN→LAN で LAN側IPアドレス を 192.168.20.1 にサブネットマスクは 255.255.255.0 です。
3番目の20の数字は他の数字でもかまいません。4番目は必ず 1 です。
DHCPサーバー機能は 使用する をチェック
割り当てIPアドレス はLAN側IPアドレスの次の番号 192.168.20.2 から64台にします。

20201119-151234

設定ボタンを押すとルーターが再起動します。設定画面のアドレスが192.168.20.1に変更になりますので、改めてそのアドレスで設定画面を開き直します。

このルーターのLAN側の接続した機器にはDHCPサーバーを有効にしているので、192.168.20.2から順番に新しいIPv4アドレスが自動的に振られていきます。

 

次はWAN側のIPアドレスの設定です。


ここから2021.1.21加筆

Internet→Internet で IPアドレス取得方法 を DHCPサーバーからIPアドレスを自動取得 にします。

拡張設定 の デフォルトゲートウェイ、DNSサーバーアドレスは空欄のままです。

20210121-162554

設定ボタンを押して設定を反映させます。

ここまで2021.1.21加筆


ここから2021.1.21訂正

なんらかの理由でこのルーターのIPを固定したい場合は、次のように手動でIPアドレスを設定します。

Internet→Internet で IPアドレス取得方法 を 手動設定 にします。
IPアドレスは 192.168.1.99 にサブネットマスクは 255.255.255.0 です。
3つ目までの数値はHGWのLAN側のIPアドレスと一致させます。4つ目はHGWに接続した機器のIPアドレスと被らない数値にします。

この設定で、192.168.1.xx と 192.168.20.xx が通信できるようになります。

さらに、このルーターに接続した機器(192.168.20.xx)がインターネットに繋がるように
拡張設定 の デフォルトゲートウェイを HGWにします。HGWのアドレス 192.168.1.1 を設定します。
DNSサーバーアドレスは、プライマリデフォルトゲートウェイと同じアドレスを設定します。
これで、192.168.1.xx、192.168.20.xx ではないIPアドレス、すなわちインターネットへの通信はHGWを経由してインターネットへつながります。
設定ボタンを押して設定を反映させます。

20210121-162501

ここまで2021.1.21訂正


 

いよいよ本題 IPv6を阻止する

長々とネットワークの分離方法を解説してきましたが、本題はIPv6の無効化です。といってもここまでくればとっても簡単。次のように設定します。

Internet→IPv6 で IPv6接続方法 を IPv6を使用しない にします。
設定ボタンを押して反映します。

20201119-151306

これだけでOK、しばらく待つか、接続した機器を再起動等をするとIPv6のアドレスが消えます。

 

さらにセキュリティを強化する

実はこのルーターを使ってネットワークを資格確認端末と分離する方法は、厚労省のマニュアルに指定されて方法です。マニュアルには説明のところに

レセプトコンピュータ等から資格確認端末への通信を許可し、資格確認端末からレセプトコンピュータ等への通信を拒否するためのステートフルインスペクション機能の有効化をする。

と記載されていて、分離するだけでなく資格確認端末からレセプトコンピュータへの通信を拒否するように設定せよとの指示があります。

コンピュータの通信はお互いに情報を送り合うので双方向なのですが、どちらが通信を始めるかが重要になります。一般的な利用者であれば、自分のところ、すなわちLAN側から通信をはじめて、WAN(インターネット)側のコンピュータ(サーバー)が返信するという形になります。
逆にWAN(インターネット)側のコンピュータが通信をはじめて、LAN側のコンピュータが返信するという場合はほとんどなく、あるとすると悪意のある攻撃といえます。

Untitled-12

資格確認端末からレセプトコンピュータ等への通信を拒否することで、外部に常時接続する資格確認端末経由で外部からの攻撃、あるいは資格確認端末が乗っ取られて院内の電子カルテシステムを攻撃する事から守ることができるのです。

そのために推奨している方法が

ステートフルインスペクション機能  別名 ステートフル・パケット・インスペクション機能(SPI)です。

SPIはパケット(通信)の動作を監視して、LAN側から発信したパケットとそのパケットに対する応答のパケットだけを通過させるように通信を制御します。これによりWAN側からの通信を遮断するように動作します。

仕組みと目的は全然違うのですが、同じような結果をもたらす

IPマスカレード(動的IPマスカレード、アドレス変換、NAT、NAPT)

というのがあります。この機能はLAN側の複数のアドレスを変換して、WAN側の1つのアドレスに代表させてしまうもので、通常はWAN側のグローバルアドレスとLAN側のローカルアドレスを相互に変換するのに使います。今回の場合は、どっちもLANですが、仕組みは同じで、192.168.20.xxの複数の機器は、資格確認側からみると、全部が192.168.1.99の単一のコンピュータからの通信に見えます。それでも192.168.20.xxの中の個々の機器を区別できるようになっているのはポート変換というのを使って巧妙に通信を振り分ける仕組みが働いているからです。

この見た目は192.168.1.99のコンピュータに見えるのに、中身は違うというところから、この機能は仮面舞踏会(マスカレード)と呼ばれるようになりました。この変換は通常はLAN側から通信を始めないと正しく変換されません。(外からでも有効な静的IPマスカレードというのもあるのですが、それは使いません。)このため、目的は違うのですが、結果として外からの通信を遮断する機能として働きます。

Untitled-16

ということで、これを早速、設定しましょう。
ところが今回使ってるWSR-1166にはSPIの設定項目がありません。カタログ等にはSPI機能付きとあるのですが設定がないのです。そこでメーカーに確認したところ アドレス変換を有効にするとそれに連動してSPIが有効になる との回答を得ました。では改めて設定していきましょう。

Internet→アドレス変換 で アドレス変換を使用する にチェックをいれて、 設定ボタンで設定します。

20201119-151253

この設定が有効になると、資格確認端末から他のコンピュータは見えなくなりファイル共有をすることができなくなります。逆に資格確認端末以外のコンピュータからは資格確認端末が見えて資格確認端末の中の共有フォルダをマウントしてファイルの読み書きが可能です。実際にSPIが動作しているのかどうかは確認できないものの通信の方向を限定することができていますので、良しとしましょう。

 

以上で必要な対処は済んでいるのですが念のためファイアウォールの設定も確認しておきましょう。

セキュリティー→ファイアウォール で 図のようにIPv6関係は全てチェックして拒否するようにします。

20201119-151358

 

以上でネットワークの構築はひとまず完了です。なお資格確認端末、HGWの設定は前回の「オンライン資格確認 院内ネットワーク構成例 その1」と同じですので、そちらをお読みください。

 

 


歯科電子カルテシステム・カルテメーカーは月額15,000円
MacとWinの両方で利用可能、介護保険対応にも対応してます。

カルテメーカーの詳細はカルテメーカー・ホームページまで。
カルテメーカーを実際に動かしてみたいときは評価版をダウンロードできます。

| | コメント (6)

2020年11月16日 (月)

オンライン資格確認 院内ネットワーク構成例 その1

来年3月からはじまるオンライン資格確認、保険証全面廃止なんていう物騒なニュースも飛び交っていますが、とりあえず便利になるのは確かです。現時点では一般には詳細は開示されていないようですが、開発ベンダー向けには来年への対応に向けて着々と準備が進んでいます。

このようなサービス、今時ならアプリをダウンロードしてアカウント作って、即稼働って感じになるのでしょうけど、マイナンバーカードを使う、最高レベルの個人情報を取り扱う、既存の医療システムとの連携するといういろんな意味で結構ハードルが高い対応を迫られているので、簡単に導入ってわけにはいきません。

それに加えてサービスがIPv6ベースであること、これが意外に手強いです。IPv4で十分なので、なんとなく避けていたPv6、必要に迫られて調べるとIPv4とはまったく、それこそ天地が逆に世界で、驚きに世界でした。今、関係ないと思ってる人も知っておかないといけないことがあります。そういったことも追々解説していきます。

 

今回は院内ネットワークの構成例です。

ベンダー向けのマニュアル等でも概念的な記載しかないし具体的な設定方法はないので実際にいろいろ試してみました。テストした私の環境は以下のとおりです。

回線
NTT東日本フレッツ光ネクスト・ファミリータイプ 光電話有り
HGW(ホームゲートウェイ)
RT-400(ブロードバンドルーター)
資格確認端末
i7 16GB win10 Home
連携電子カルテ
カルテメーカー

 

とりあえず通信できるようにした構成

セキュリティもなんにも考えないで、とりあえず資格確認サーバーと通信ができて資格確認アプリケーションが動作することを確認するために、既存の院内LANの空いてるPCにインストールした状態です。

Untitled-4

院内LANの各PCからは、IPv4でHGWを経由してインターネットに接続してます。資格確認端末も同様です。

カルテメーカー(電子カルテ)と資格確認端末はファイル共有で通信用のフォルダを共有してます。院内LANは従来通りのIPv4ベースのネットワークです。ファイル共有自体はMacとWinが混在した環境ですので、SMBプロトコルのファイル共有ですね。カルテメーカーと資格確認端末はこの共有フォルダにファイルを書き込むことで通信します。通常はカルテメーカー側から要求(コマンド)ファイルを書き込み、それを端末側が見て処理をして、結果ファイルが出力されます。共有フォルダは資格確認端末側にありますので、常に、カルテメーカーから資格確認端末の共有フォルダを見にいきます。逆に資格確認端末からカルテメーカー側のフォルダにはアクセスしません。(ここ重要)

資格確認端末とサービスを提供する資格確認システムのサーバーとは、IPv6のIPoEで接続します。

IPv6ね、ふ〜んIPv4の上位互換みたいなもんだよね。簡単簡単

IPv6舐めてました。m(_ _)m

ぜんぜ〜ん、もう、全く、完全に別物です。

IPv4ではISP(インターネットプロバイダ)まではPPPoEという仮想の専用線で1対1で接続してます。途中にあるNTTの回線とかは意識する必要はありません。オンライン請求でも同じで、基金や国保まではPPPoEで接続されていますので、途中の経路を気にしないでつながっています。

でもIPv6はそうではありません。IPv6で繋がってる先は広大なコンピュータネットワークです。NTT東(西)が運営するNGNという日本の半分を覆う巨大なネットワークに直接つながり院内LANはシームレスにそのネットワークの一部になります。繋がる先も実は単一のサーバーではなく資格確認ネットワークというネットワークにつながります。IPv6では院内LANの個々の端末のPCにもグローバルなIPアドレスが振られて、原則的にはこの広大なネットワークに参加している全ての端末(PCでも、プリンタでも、ネットワークカメラでも、エアコンでも、冷蔵庫でも)に(から)アクセス可能になります。さらに、このNGNから繋がったインターネットも同じ扱いになりますので、全世界の端末と自由に通信できるのです。

すばらしい!!

でも、セキュリティとかプライバシーとか、ガバガバだよねw

IPv4では、グローバルIPはHGWにしか割り振らず、HGWの内側はローカルのIPですので、直接繋ぐってことが原理的にできませんでした。逆に、外からの侵入はそれなりに難しくとりあえず何もしなくても比較的安全です。

ところがIPv6では上記のように原則開放されていますので、安全を確保するには対策が必要です。その対策はHGWがまず担います。HGWにはIPv6FW(ファイアーウォール)とIPv6パケットフィルター機能がありますので、これで対策します。

ところがところが、このNTTのHGW、初期設定だとちょっと不味い状態になってます。IPv6で通信するために加入する「v6オプション」に加入した場合、外からの侵入が可能な状態になってます。この件はまた改めて記事にしますが、とりあえずは次のように操作して穴を埋めておきましょう。

HGWの管理画面に入り→詳細設定→IPv6パケットフィルタ設定(IPoE)→IPv6セキュリティのレベルを「高度」に変更→設定→保存

次に本命の資格確認端末の設定ですが、セットアップマニュアルによると大きく分けて「ルーターがある」場合と「ルーターがない」場合とにわかれています。

HGWってルーターだから「ルーターがある」場合だよね?

ブッブー!

NTTが設置したHGWは「IPv6パススルー」モードで動作してるので、ルーターとしては動作してないんです。なので、ここは「ルーターがない」場合にしたがって設定します。

これがわからなくてねぇ、マニュアルにでてくるRAだとかDHCP-DPだとかIPv6の用語が分からなくて苦労しました。専門書を久しぶりに買って勉強しちゃいました。いい機会でしたけど、IPv4だと、HGWがルーターで、DHCPサーバーで、DNSの設定もここで、FWも、GWも、セキュリティもほぼ全部HGWだけど、IPv6ではそうではないんですよねぇ。IPv6だとHGWはそもそもルーターじゃないけど、FW機能があったり、でもGWじゃないし。実際、未だによくわかってません。

で、資格確認端末の設定ですが、これ自体はとっても簡単です。ここがIPv6の良い点で特別なソフトや装置を使わなくてもネットに参加できてしまいます。詳細はマニュアルに任せますが、大まかな手順としては。

コントロールパネル→ネットワークと共有センター→アダプターの設定の変更→ネットワークを選択して右クリック・プロパティを選ぶ→インターネットプロトコルバージョン6(TCP/IPv6)をチェック→プロパティを開いて

  • IPv6アドレスを自動的に取得するをチェック
  • 次のDNSサーバーのアドレスを使うをチェック、アドレスに指定されたオンライン資格確認ネットワーク用のDNSアドレスを設定

IPv6の回線への設定はこれだけです。あとは証明書のインストール、関連ソフトのインストール、Edgeのインストールと設定、プラグインの導入などをマニュアルにしたがって行います。

資格確認端末には要求ファイルを書き込むフォルダ(reqという名前にしました。名前はなんでもいいです。)と結果ファイルが書き込まれるフォルダ(res)を作り、その2つを共有フォルダとして公開します。カルテメーカーのサーバーで、この2つのフォルダをマウントして読み書きできるようにします。これらの設定はIPv4ベースで行います。

これで無事に動き出すはず。確かに動作は確認できました。でも、なんだかとても不安定。オンライン資格確認のネットワークに繋がったり切れたり安定しません。

何故に不安定?

数日悩んで閃きました!デフォルトゲートウェイだ!!

デフォルトゲートウェイとは、インターネットやオンライン資格確認とかの外への通信をするための玄関みたいなものです。外への通信経路は今設定したIPv6のはずです。IPv6のデフォルトゲートウェイは自動的に設定されています。

と同時にIPv4はファイル共有のため院内LANの通信経路と利用していますが、こちらもインターネットに接続しているので、IPv4用のデフォルトゲートウェイが自動的に設定されています。

そうです、この資格確認端末には外への玄関が2つ同時に存在していて、優先順位が同じなので、資格確認のアプリケーションはその時々に応じてランダムに通信経路を選択していたのです。たまたまIPv6側が選ばれれば正常に動作し、IPv4が繋がると送信先がなくてエラーになるというわけです。

というわけで、IPv4のデフォルトゲートウェイを無効化します。ただIPv4アドレスの取得を自動にしたままデフォルトゲートウェイを無効化できないので、手動設定にして無効化します。

コントロールパネル→ネットワークと共有センター→アダプターの設定の変更→ネットワークを選択して右クリック・プロパティを選ぶ→インターネットプロトコルバージョン4(TCP/IPv4)を選択→プロパティを開いて

次のIPアドレスを使うを選択。IPアドレスとサブネットマスクを設定。デフォルトゲートウェイは空欄のまま

これで安定して通信できるようになりました。

げっ、他のPCにもIPv6のアドレスが割り振られてる!

安定して気持ちよく接続試験をしていて、ふと気になって関係ないPCのIPアドレスを確認してみると、IPv6アドレスが振られてる!!!

考えてみたら当たり前ですよねぇ。IPv6が有効なら、自動的に割り振られるのがIPv6です。IPv4もそうですけど、でもIPv4と違ってIPv6はグローバルアドレス。使ってないのに割り振られるのはなんとも気持ち悪い、HGWで阻止しているとはいえ必要ないなら振ってほしくはない。というわけで次のように設定して無効化します。

PC:
コントロールパネル→ネットワークと共有センター→アダプターの設定の変更→ネットワークを選択して右クリック・プロパティを選ぶ→インターネットプロトコルバージョン6(TCP/IPv6)のチェックを外す。

Mac:
システム環境設定→ネットワーク→ネットワークを選択して詳細...→TCP/IPのタブを選択→IPv6の設定を「リンクローカルのみ」にする。

これでPCもMacも安全。と思ってiPadとiPhoneをみると...こっちにもorz

続く...

 

 


 

歯科電子カルテシステム・カルテメーカーは月額15,000円
MacとWinの両方で利用可能、介護保険対応にも対応してます。

 

カルテメーカーの詳細はカルテメーカー・ホームページまで。
カルテメーカーを実際に動かしてみたいときは評価版をダウンロードできます。

 

 

 

 

 

| | コメント (0)