最近、IPoE を利用し IPv6 でインターネットへのアクセス、加えて IPv4 over IPv6 つまり IPv4 のパケットを IPv6 のパケットに載せてインターネットへ接続する VNE 事業者(Virtual Network Enabler)のサービスを利用することが多いです。

IPoE は、従来の PPPoE より、回線速度や安定性は格段に向上します。しいて弱点があるとすれば、PPPoE のように ID とパスワードを知っていればどこからも接続(フレッツ回線であれば)できるのに対し、IPoE は申請した ONU からしか利用できないので、本番環境とは別な回線からテストができない事くらいです。

さて、IPv4 over IPv6 にはいくつか方式ありますが、私が使った事があるサービスについて、実装時に注意するポイントや、IPv6 に対してのフィルタリングについて ヤマハルータを例にあげ、Tips を書いてみます。

 DS-Lite (transix)

コンシューマ向けの非常にシンプルで使いやすい(料金も極めて安価)サービスです。
VNE 事業者のゲートウェイまでは、ローカル IP アドレスのままで転送されるので、ルータの WAN 側には IPv4 のグローバル IP アドレスは設定されません。もちろん、IPv6 のアドレスは、直接インターネットへ接続されるグローバル IP アドレスです。

ルータの設定はヤマハの設定例で問題なく動作しますが…
https://network.yamaha.com/setting/router_firewall/ipv6/ds-lite#non-contract

ローカル側に IPv6 のグローバル IP アドレスを配布するには一点注意が必要です。

設定例では、ローカル側に RA(Router Advertisement)で IPv6 を構成するに必要な情報を広告(配布)します。この RA で配布される情報には、ネットワークのプレフィックス(ネットワークアドレスのようなもの)と、IPv6 で使うデフォルトゲートウェイ(IPv4 とは別に設定される)が含まれます。

また、上記に加えて設定例では DHCPv6 を使い、IPv6 で利用できる DNS サーバのアドレスも配布しています。
この IPv6 アドレスで記載された DNS サーバが曲者で、LAN 内にローカル用の DNS サーバが存在しなければ何も問題はないのですが、Windows AD server が稼働していたり、LAN 内の機器に対して名前解決が必要で、ローカルで DNS サーバを構築し稼働していると、このルータから配布される IPv6 で利用できる DNS サーバの設定により、問題が発生します。

一般的に Windows はもちろん、Linux サーバ等においてもデフォルト設定では、IPv4 より IPv6 が優先されるように設定されています。ですので、DNS サーバの指定として IPv6 アドレスで書かれた DNS サーバは、ローカルで利用している IPv4 アドレスで書かれた DNS サーバより優先的に利用されます。

ただし、この IPv6 で利用できる DNS サーバは、IPoE 接続時にプロバイダ(VNE 事業者)から指定される DNS サーバなので、グローバル側にある名前解決はできますが、当然ながらローカル側の名前解決はできません。その為、LAN内の名前解決が失敗してしまいます。

優先 DNS サーバ(Preferred DNS server)に対する問合せがタイムアウトしたり、そもそも優先 DNS サーバーが見つからない時(電源OFFとか)は、代替 DNS サーバ(Alternate DNS server)を参照しに行きますが、優先 DNS サーバから Host not found つまり、そういうホストは見つからない という返事があると、その時点で問合せ終了ということで、代替 DNS サーバを参照することはありません。
※よく聞くプライマリー DNS サーバとか、セカンダリ DNS サーバーという用語とは、意味が異なります。ちょっと古い記事ですが、この辺が参考 になるかも?

 Tips

ローカル側で独自 DNS サーバを動かしている場合には、ルータ側で DHCPv6 を使ってはいけません。

ipv6 prefix 1 ra-prefix@lan2::/64
ipv6 lan1 address ra-prefix@lan2::1/64
ipv6 lan1 rtadv send 1 o_flag=on
ipv6 lan2 dhcp service client ir=on

ここまでは OK ですが、以下の設定は削除というか入れてはダメです。
※上で書きましたが、ローカル側で独自DNSサーバを使っていなければ、削除は必要ありません。

ipv6 lan1 dhcp service server

これは、VNE から取得した DNS サーバの IPv6 アドレスを、DHCPv6 を使って配布する という意味になります。

 フィルタリング

次にフィルタですが、基本的にはヤマハの設定例で問題ありません。
例としてtransix(トランジックス)サービスを使った場合…

tunnel select 1
 tunnel encapsulation ipip
 tunnel endpoint remote address gw.transix.jp
tunnel enable 1

VNE のゲートウェイまで、ローカル IP アドレスで転送されるので、特別なフィルタリングは必要ありませんが、外部にあるログサーバ等へアクセスログを残したい場合には、PPPoE の設定でよく見るようなフィルタをセットします。
※netbios 関連の通信は止めますが、それ以外は全通しです。ただし、ログには相手先のアドレスが全て記録されます。

 ご参考

私が利用している DS-Lite のプロバイダは、こちら…