NURO光がMAP-E方式の利用を開始し、拡大させる予定らしい。

この記事で扱うこと

NURO光がインターネット接続方式としてMAP-E方式を採用し、既に利用され始めていること、今後も利用拡大されていくことが予想されることをまとめ、2024-02-04現時点（2024-02-19更新）の記録としておく。

TL;DR（まとめ）

2023年末（12月ごろ？）以降、 ZXHN F660P 利用者からONUの管理画面で接続が「MAP-E」と表示される例が報告されている。このとき、ポート開放やDMZ機能が使えず、利用者の期待する動作をしていないことが発生している。
2024年1,2月ごろから、 NSD-G1000T 利用者においてもMAP-Eになったとの報告が複数ある。
F660P においてMAP-E方式から従来の方式に戻してもらえた例もあるようだが、あくまで公称していない運用上の仕様変更によるものとのことで、戻してもらえない可能性もある。
ONU側の実装やアプリケーションの仕様にもよるが、VPNクライアントの利用、ゲームの利用などにおいて悪影響が出る・利用できなくなる例が報告されている。
SGP200W でもMAP-Eと表示された報告があるものの、こちらは詳細不明。
独自の調査では手元の NSD-G1000T にもMAP-E対応実装がされており、いつ適用されてもおかしくない状態と思われる。
NUROサポートデスクから、サービスの仕様としてMAP-E方式を他機種にも拡大していくという回答がなされている報告がある。

NURO光がMAP-E方式の利用を開始し、拡大させる予定らしい。 https://t.co/PiznKGZURJ

現在報告のあるONU ZXHN F660Pだけでなく、独自に調査したNSD-G1000Tでの対応状況もあわせて現時点での記録として残しておきます。
— F@L (@falms) February 4, 2024

以下詳細

背景・報告例

従来、NURO光のONU（公式に合わせてそう呼ぶが、実際にはHGW相当のもの）にはグローバルIPv4アドレスが割り当てられ、ポート開放、DMZと呼ばれる機能が利用できるものでした。
しかし2023年末ごろから、一部ONU新規利用者、交換での利用者にて、MAP-E方式に切り替わっており、そのあたりの設定ができないとの報告が上がっていたようです。

NURO 光 F660P にて IPv4 のアドレスが 0.0.0.0/0.0.0.0 となっており、
パケットフィルタ設定 / ローカルサービスコントロール /
ALG / DMZ / ポート転送が設定できない件について、再度電話しました

(続く pic.twitter.com/qIiDF2w8NY
— shibata (@shibata_work) December 18, 2023

NURO F660P で DMZ やポート転送が設定できない –> VPN 接続できない問題はサポート対象外だけど不具合の可能性が高い。とのことです。

NUROユーザーの皆様、しばらくまともにネット使えないと思いますが頑張って下さい。

健闘を祈ります。 pic.twitter.com/DqI8HyfzSA
— shibata (@shibata_work) December 19, 2023

私はこちらの方の、情報を求める投稿で本件を知りました。

NURO(個人向け)ってグローバルIPv4アドレス1個がそのまま割り当てられる仕様だった認識だけど、最近新規開通分はMAP-Eの仕様に変更されてるらしい？
ONU一体型ルーターの設定画面でMAP-Eの表示&ポート開放不可になってるのを見たという情報が。
誰か詳しい人いませんか？
— 関口亞聖 (@asei1997) January 28, 2024

また、MAP-E方式から従来の方式に戻してもらえた例もあるようです。

NURO光
F660TからF660Pに交換したら、DMZがグレーアウトした件
サポートに相談したら、グレーアウト解除してくれました、、、なんだったんだ？ pic.twitter.com/Bgd5GR0LC5
— しーちゃん@V推し器用貧乏 (@seaquels) January 12, 2024

X（旧Twitter）での投稿の中には、最近流行りのパルワールドのサーバを立ててポート転送を設定しようとし、設定できなくて断念しているというものも見受けられました。

マイネ王というコミュニティサイトにも報告があります。こちらはMAP-E利用可能ポートという表示もあり、紛うことなきMAP-Eです。
https://king.mineo.jp/reports/262035

5chにも類似の報告が何件かあります。
https://mao.5ch.net/test/read.cgi/isp/1703498208/
また、SGP200WでMAP-E表示になったことも報告されています。詳細不明なものの、こちらはDMZ、ポート転送設定が存在するようです。
https://mao.5ch.net/test/read.cgi/isp/1703498208/685

（2024-02-19追記）さらには、NSD-G1000TにおいてMAP-Eになったという報告も複数あり、スクリーンショットも共有されています。
https://mao.5ch.net/test/read.cgi/isp/1707699716/38
https://mao.5ch.net/test/read.cgi/isp/1707699716/297

日本国内において、v6プラスなどの名称で知られるMAP-E方式は主に、フレッツ光の回線においてNGN IPv6網を用いることでPPPoEを使わない方式として利用拡大された方式です。そのため、NUROにてMAP-Eが採用されるとは思いもしていませんでした。
ただ、IPv4アドレスの枯渇が叫ばれる中、IPv4からIPv6への移行期の技術としてフレッツ以外でもMAP-Eが採用されるのは理にかなっているとは言えます。

現在はF660Pにおいてポート転送が一切できないらしい問題もありますが、MAP-E本来は割り当てられたポート番号の範囲でポート転送は可能なため、あくまで現時点でのONUの実装上の問題であり、今後改善される可能性は十分にあります。

また、とあるコミュニティのSlackにおいて、
NUROサポートデスクの回答としてNURO光ではサービス上の仕様としてMAP-E方式を採用したこと、F660P以外の機種においてもMAP-Eに切り替えていく
ということが回答された報告例がありました。
ただし、これが新規契約やONU交換の際以外の既存契約にも直ちに影響するのかは不明です。

独自調査

1年前の記事にもあるように、私はNSD-G1000Tの利用者ですので、少し調べてみます。
※1年前のこの件は問い合わせていたものの返事がなくなりましたのでWIPのまま追記事項もありません。

[WIP] NURO光のソニー製ONU NSD-G1000T FW v1.0.17に不具合があったので調査した。

まず分かりやすい例として、NSD-G1000T管理画面のJavaScriptリソースなどを眺めると、 MAP-E, map_e という文字が多数あることは確認できるかと思います。
そこから、MAP-Eのステータスを確認するHTTP APIが存在することもわかります。
map_e_enabled: 0なので使われてはいませんが、port_rangeなどの表記から、これも紛うことなきMAP-Eの実装であろうと思われます。
これ自体は以前から存在していることは確認していました。しかし使われるかもしれないとは思いもしていませんでした。

うちはNSD-G1000Tなので今のところ有効化対象外でしょうけど、ONU自体にはMAP-E実装がされていて、管理画面用にそれっぽいHTTP APIが実装されているのは観測しています。 pic.twitter.com/5xriRymQmo
— F@L (@falms) January 28, 2024

無効ではあるものの、それっぽい実装があることが確認できます

※NSD-G1000TのAPIはパスとクエリパラメータの区切りが何故か ? ではなく & なので、あらゆるツールがその形式に対応しておらずパースされなくてちょっとしんどい。

また、たまたま私はNSD-G1000Tのログ出力を見ることができるため、そこにMAP-E対応の痕跡があることも確認できました。

どうやら割り当てられているIPv6プレフィックスが特定の範囲内であれば、MAP-Eが利用されるようです。私は現在対象外でした。

試しに割り当てIPv4アドレスの先頭 219.104.128.1 を逆引きしてみます。

# dig +short -x 219.104.128.1
madb688001.ap.nuro.jp.

MAP-Eの場合は逆引きホスト名が maXXXXXXXX.ap.nuro.jp になるようですね。XXXXXXXXの部分は他のNURO光同様、IPv4アドレスをそのまま16進数表記したものです。ただし、他と異なり地域を示す文字列はホスト名に含まれません。

また、手元に保存していたログを確認したところ、2023/03/30時点で既にMAP-Eルールのチェックが行われていたことが確認されました。

なお、今のところMAP-E方式のプロビジョニング方法は判明していません。
HB46PPに従った問い合わせをしても、 v=v6mig-1 の値は返ってきませんでした。

# nslookup -type=txt 4over6.info
Server:         xxxx
Address:        [xxxx]:53

Non-authoritative answer:
4over6.info     text = "v=spf1 -all"

本当に、持ち込みさせてほしいですよね。
その点には同意したうえで、もしかしたらフレッツとは設定の配布方法が違うかもしれません。網内から 4over6[.]info のTXTレコードを引いても設定は見えませんでした。ハードコードのURLがあるのか、はたまた全く別の方法なのか。https://t.co/tRWRIZvvIw
— F@L (@falms) January 28, 2024

L2TP/IPsecなど主にIPsecを利用するVPNが繋がらない理由

私の憶測ではあるものの、NAPTの際にIPsec関連パケットの扱いに失敗しているのではないかと考えています。フレッツ光のMAP-Eと一部メーカーのみのルーターでL2TP/IPsecが使えない問題には遭遇したことがあり、同様の事象ではないかと疑っているものの、詳細な調査はフレッツ光、NURO光ともにいまだ行えていません。
なお、IPsecそのものはOS自体のVPNクライアントだけでなく、Cisco Secure Clientなどのサードパーティ製品においても内部で使われることがあります。

これまたハマってるんだけど、MAP-Eテスト環境が手元になくて詳細調査できない。
ひとつの可能性として、NAPTするときにUDPの500だか4500だかをsrc port変えずにトンネルに流してるんじゃないかと疑ってはいるけども、確認できてない。 https://t.co/nWwEIjey71
— F@L (@falms) August 6, 2021

これはフレッツ光のv6プラスをはじめとしたMAP-Eでのトラブル