NURO光がMAP-E方式の利用を開始し、拡大させる予定らしい。

この記事で扱うこと

NURO光がインターネット接続方式としてMAP-E方式を採用し、既に利用され始めていること、今後も利用拡大されていくことが予想されることをまとめ、2024-02-04現時点(2024-02-19更新)の記録としておく。

TL;DR(まとめ)

  • 2023年末(12月ごろ?)以降、 ZXHN F660P 利用者からONUの管理画面で接続が「MAP-E」と表示される例が報告されている。このとき、ポート開放やDMZ機能が使えず、利用者の期待する動作をしていないことが発生している。
  • 2024年1,2月ごろから、 NSD-G1000T 利用者においてもMAP-Eになったとの報告が複数ある。
  • F660P においてMAP-E方式から従来の方式に戻してもらえた例もあるようだが、あくまで公称していない運用上の仕様変更によるものとのことで、戻してもらえない可能性もある。
  • ONU側の実装やアプリケーションの仕様にもよるが、VPNクライアントの利用、ゲームの利用などにおいて悪影響が出る・利用できなくなる例が報告されている。
  • SGP200W でもMAP-Eと表示された報告があるものの、こちらは詳細不明。
  • 独自の調査では手元の NSD-G1000T にもMAP-E対応実装がされており、いつ適用されてもおかしくない状態と思われる。
  • NUROサポートデスクから、サービスの仕様としてMAP-E方式を他機種にも拡大していくという回答がなされている報告がある。

以下詳細

背景・報告例

従来、NURO光のONU(公式に合わせてそう呼ぶが、実際にはHGW相当のもの)にはグローバルIPv4アドレスが割り当てられ、ポート開放、DMZと呼ばれる機能が利用できるものでした。
しかし2023年末ごろから、一部ONU新規利用者、交換での利用者にて、MAP-E方式に切り替わっており、そのあたりの設定ができないとの報告が上がっていたようです。

私はこちらの方の、情報を求める投稿で本件を知りました。

また、MAP-E方式から従来の方式に戻してもらえた例もあるようです。

X(旧Twitter)での投稿の中には、最近流行りのパルワールドのサーバを立ててポート転送を設定しようとし、設定できなくて断念しているというものも見受けられました。

マイネ王というコミュニティサイトにも報告があります。こちらはMAP-E利用可能ポートという表示もあり、紛うことなきMAP-Eです。
https://king.mineo.jp/reports/262035

5chにも類似の報告が何件かあります。
https://mao.5ch.net/test/read.cgi/isp/1703498208/
また、SGP200WでMAP-E表示になったことも報告されています。詳細不明なものの、こちらはDMZ、ポート転送設定が存在するようです。
https://mao.5ch.net/test/read.cgi/isp/1703498208/685

(2024-02-19追記)さらには、NSD-G1000TにおいてMAP-Eになったという報告も複数あり、スクリーンショットも共有されています。
https://mao.5ch.net/test/read.cgi/isp/1707699716/38
https://mao.5ch.net/test/read.cgi/isp/1707699716/297

日本国内において、v6プラスなどの名称で知られるMAP-E方式は主に、フレッツ光の回線においてNGN IPv6網を用いることでPPPoEを使わない方式として利用拡大された方式です。そのため、NUROにてMAP-Eが採用されるとは思いもしていませんでした。
ただ、IPv4アドレスの枯渇が叫ばれる中、IPv4からIPv6への移行期の技術としてフレッツ以外でもMAP-Eが採用されるのは理にかなっているとは言えます。

現在はF660Pにおいてポート転送が一切できないらしい問題もありますが、MAP-E本来は割り当てられたポート番号の範囲でポート転送は可能なため、あくまで現時点でのONUの実装上の問題であり、今後改善される可能性は十分にあります。

また、とあるコミュニティのSlackにおいて、
NUROサポートデスクの回答としてNURO光ではサービス上の仕様としてMAP-E方式を採用したこと、F660P以外の機種においてもMAP-Eに切り替えていく
ということが回答された報告例がありました。
ただし、これが新規契約やONU交換の際以外の既存契約にも直ちに影響するのかは不明です。

独自調査

1年前の記事にもあるように、私はNSD-G1000Tの利用者ですので、少し調べてみます。
※1年前のこの件は問い合わせていたものの返事がなくなりましたのでWIPのまま追記事項もありません。

まず分かりやすい例として、NSD-G1000T管理画面のJavaScriptリソースなどを眺めると、 MAP-E, map_e という文字が多数あることは確認できるかと思います。
そこから、MAP-Eのステータスを確認するHTTP APIが存在することもわかります。
map_e_enabled: 0なので使われてはいませんが、port_rangeなどの表記から、これも紛うことなきMAP-Eの実装であろうと思われます。
これ自体は以前から存在していることは確認していました。しかし使われるかもしれないとは思いもしていませんでした。

無効ではあるものの、それっぽい実装があることが確認できます

※NSD-G1000TのAPIはパスとクエリパラメータの区切りが何故か ? ではなく & なので、あらゆるツールがその形式に対応しておらずパースされなくてちょっとしんどい。

また、たまたま私はNSD-G1000Tのログ出力を見ることができるため、そこにMAP-E対応の痕跡があることも確認できました。一部アドレスをxxxxでマスクしています。

check IPv6 prefix 240d:1a:xxxx:xxxx:: is for MAP-E or not
Print all SNC MAP-E rules:

SNC MAP-E rule#0:
	ipv6_prefix: 240d:000f:0000::/36
	ipv4_prefix: 219.104.128.0/20
	br_addr: 2001:3b8:200:xxxx::1/128
	ea_length: 20

SNC MAP-E rule#1:
	ipv6_prefix: 240d:000f:1000::/36
	ipv4_prefix: 219.104.144.0/20
	br_addr: 2001:3b8:200:xxxx::1/128
	ea_length: 20

SNC MAP-E rule#2:
	ipv6_prefix: 240d:000f:2000::/36
	ipv4_prefix: 219.104.160.0/20
	br_addr: 2001:3b8:200:xxxx::1/128
	ea_length: 20

SNC MAP-E rule#3:
	ipv6_prefix: 240d:000f:3000::/36
	ipv4_prefix: 219.104.176.0/20
	br_addr: 2001:3b8:200:xxxx::1/128
	ea_length: 20

	byte#0 24 : 24
	byte#1 0d : 0d
	byte#2 00 : 00
	byte#3 1a : 0f
	Rule#0 Not matched!
	byte#0 24 : 24
	byte#1 0d : 0d
	byte#2 00 : 00
	byte#3 1a : 0f
	Rule#1 Not matched!
	byte#0 24 : 24
	byte#1 0d : 0d
	byte#2 00 : 00
	byte#3 1a : 0f
	Rule#2 Not matched!
	byte#0 24 : 24
	byte#1 0d : 0d
	byte#2 00 : 00
	byte#3 1a : 0f
	Rule#3 Not matched!
	Not matched any MAP-E rule!
IPv6 prefix 240d:1a:xxxx:xxxx:: is not for MAP-E.

どうやら割り当てられているIPv6プレフィックスが特定の範囲内であれば、MAP-Eが利用されるようです。私は現在 240d:1a:xxxx:xxxx:: でしたので対象外です。
MAP-E BRのIPv6アドレスはマスクしましたが、要はこの範囲内であるということです。
http://whois.nic.ad.jp/cgi-bin/whois_gw?key=2001:03b8:0200::/40

試しに割り当てIPv4アドレスの先頭 219.104.128.1 を逆引きしてみます。

# dig +short -x 219.104.128.1
madb688001.ap.nuro.jp.

MAP-Eの場合は逆引きホスト名が maXXXXXXXX.ap.nuro.jp になるようですね。XXXXXXXXの部分は他のNURO光同様、IPv4アドレスをそのまま16進数表記したものです。ただし、他と異なり地域を示す文字列はホスト名に含まれません。

また、手元に保存していたログを確認したところ、2023/03/30時点で既にMAP-Eルールのチェックが行われていたことが確認されました。

なお、今のところMAP-E方式のプロビジョニング方法は判明していません。
HB46PPに従った問い合わせをしても、 v=v6mig-1 の値は返ってきませんでした。

# nslookup -type=txt 4over6.info
Server:         240d:10:4:5::33
Address:        [240d:10:4:5::33]:53

Non-authoritative answer:
4over6.info     text = "v=spf1 -all"

L2TP/IPsecなど主にIPsecを利用するVPNが繋がらない理由

私の憶測ではあるものの、NAPTの際にIPsec関連パケットの扱いに失敗しているのではないかと考えています。フレッツ光のMAP-Eと一部メーカーのみのルーターでL2TP/IPsecが使えない問題には遭遇したことがあり、同様の事象ではないかと疑っているものの、詳細な調査はフレッツ光、NURO光ともにいまだ行えていません。
なお、IPsecそのものはOS自体のVPNクライアントだけでなく、Cisco Secure Clientなどのサードパーティ製品においても内部で使われることがあります。

これはフレッツ光のv6プラスをはじめとしたMAP-Eでのトラブル

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です