NAT46/DNS46 機能

$Date: 2025/08/19 09:53:08 $

概要

NAT46/DNS46 機能とは、IPv4 パケットを IPv6 パケットに変換して転送する機能です。

本来、IP バージョンが異なるネットワークにあるホスト同士では、通信ができません。しかし、本機能を利用すると、LAN が IPv4 ネットワーク、WAN が IPv6 ネットワークという構成において、LAN にある PC から WAN にあるサーバーへのアクセスが可能になります。

すでに IPv4 アドレスで構築された LAN を変更することなく、IPv6 アドレスで提供されているサービスを利用できます。

以降、特に断りがない限り以下の構成で説明します。

注意事項

本機能では、ステートレス NAT46 に対応します。ポート変換を伴うステートフル NAT46 には対応していません。
本機能を使用するには、以下の条件があります。
- DNS リカーシブサーバー機能と同時に使用する必要があります。
- LAN の PC では、本機能が動作しているルーターを DNS サーバーとして指定する必要があります。
- WAN の設定は、IPoE の場合だけサポートします。
- 本機能を複数のトンネルインターフェースに設定した場合はサポートしません。
- LAN、WAN ともにタグ VLAN はサポートしません。
- LAN に NAT ディスクリプターを適用した場合はサポートしません。
本機能を使用した通信には、以下の制限があります。
- ICMP のように IPv4 と IPv6 で異なるプロトコルの通信はできません。
  そのため、LAN にある PC やルーター自身から WAN のサーバーに ping コマンドを実行しても応答は返りません。一方、ルーター自身から WAN のサーバーに ping6 コマンドを実行した場合は本機能を利用しないため、影響を受けません。
- IP ヘッダーを変換の対象にします。ペイロードに存在する IP アドレスは変換の対象外です。たとえば、FTP や SIP などのようにペイロードに IP アドレスを含むプロトコルはサポートしません。
- WAN から LAN に向けて始動する通信はできません。
- LAN から WAN のサーバーに IP アドレスを指定して通信する場合は、事前に nat46 static コマンドで WAN のサーバーの IPv6 宛先アドレス、および IPv4 宛先アドレスを設定する必要があります。
本機能で使用するトンネルインターフェースに以下の機能を設定してもサポートしません。
- QoS
- DPI
- 不正アクセス検知機能 ( IDS )
- 内部データベース参照型 URL フィルター
  ※WAN からの下り方向 ( LAN 側のインターフェースの OUT 、またはトンネルインターフェースの IN ) では使用できません。WAN への上り方向 ( LAN 側のインターフェースの IN 、またはトンネルインターフェースの OUT ) では使用できます
- NAT ディスクリプター
- OSPF ( OSPF、OSPFv3 )
- RIP
- BGP
- バックアップ機能
- メール通知機能
- ステルス機能
- 同一インタフェースに折り返すパケットを送信するか否かの設定
本機能で使用するトンネルインターフェースの情報を、以下の機能では取得できません。
- Yamaha Network Organizer ( YNO )
- SNMP
nat46 ip address pool コマンドや nat46 static コマンドの設定を変更したとき、LAN の PC に DNS キャッシュが残っていると正常に通信できない場合があります。その場合は、LAN の PC の DNS キャッシュを削除してください。

対応機種とファームウェアリビジョン

ヤマハ RT シリーズでは、以下の機種およびファームウェアで、NAT46/DNS46 機能をサポートしています。

機種	ファームウェア
RTX840	すべてのリビジョン
RTX3510
RTX1300
RTX1220	Rev.15.04.04 以降
RTX830	Rev.15.02.20 以降
NVR510	Rev.15.01.23 以降
NVR700W	Rev.15.00.23 以降

用語定義

NAT46 エントリー

IPv6 ネットワークに存在するホストの IPv6 アドレスと、変換用にプールした IPv4 アドレスを対応づけた一つの組。

NAT46 テーブル

NAT46 エントリーをキャッシュし、管理するテーブル。

詳細

動作の流れ

本機能は、NAT46 機能と DNS46 機能で構成されます。動作の流れは以下のとおりです。

PC は、DNS でサーバーの名前解決を行います。
ルーターは、DNS46 機能を用いて DNS サーバーから受け取った IPv6 アドレスを IPv4 アドレスに変換します。
PC は、名前解決で取得した IPv4 アドレス宛てに送信します。
ルーターは、NAT46 機能で IPv4 パケットを IPv6 パケットに変換します。

DNS46 機能による名前解決

DNS46 機能は、AAAA レコードを A レコードに変換する機能です。動作は以下のとおりです。

DNS46 機能は、PC から受け取った A レコードの問い合わせを AAAA レコードの問い合わせに変換して DNS サーバーに転送します。
DNS46 機能は、DNS サーバーから AAAA レコードを受け取ります。
DNS46 機能は、AAAA レコードから取得した IPv6 アドレスを、nat46 ip address pool コマンドで設定した IPv4 アドレスの 1 つと対応づけます。
対応づけた IPv4 アドレスを A レコードとして PC に返します。

DNS46 機能は、対応づけた IPv4 アドレスを A レコードとして DNS キャッシュに登録します。また、対応づけた IPv4 アドレス宛ての通信が発生したら、NAT46 機能によって、NAT46 テーブルにも登録します。

PTR レコードの問い合わせを中継する場合は、問い合わせる IPv4 アドレスを IPv6 アドレスに変換します。変換後の IPv6 アドレスには、A レコードを AAAA レコードに変換したときに、IPv4 アドレスに対応づけられたものを使用します。MX レコードなどの IP アドレスを含まないレコードの問い合わせを行う場合は、そのまま転送します。

フロー図

NAT46 機能によるパケットの変換

NAT46 機能は、IPv4 パケットを IPv6 パケットに変換する機能です。動作は以下のとおりです。

NAT46 機能は、PC から受け取った IPv4 パケットを IPv6 パケットに変換します。
- IPv4 送信元アドレスは、送信元 IPv4 アドレスに IPv6 プレフィックスを結合することで IPv6 送信元アドレスに変換されます。
- IPv4 宛先アドレスは、DNS46 機能によって対応づけられた IPv6 宛先アドレスに変換されます。
- IPv4 送信元アドレス、IPv4 宛先アドレスと IPv6 送信元アドレス、IPv6 宛先アドレスの組み合わせは NAT46 テーブルに登録されます。
1. で変換したパケットを、IPv6 ホストに転送します。

NAT46 機能では、IP ヘッダーを変換するインターフェースとしてトンネルインターフェースを使用します。

フロー図

IP フィルターの動作

NAT46 機能を利用した転送において、IP フィルターは以下の順に機能します。

WAN のホストに IPv6 アドレス、LAN のホストに IPv4 アドレスが設定されている構成にて、以下のように IP フィルターを設定するとそれぞれのホストが持つ本来の IP アドレスを指定できます。

LAN から WAN へ転送するパケット
- 送信元アドレスに対しては IPv4 フィルター、宛先アドレスに対しては IPv6 フィルターでフィルタリングする
WAN から LAN へ転送するパケット
- 送信元アドレスに対しては IPv6 フィルター、宛先アドレスに対しては IPv4 フィルターでフィルタリングする

LAN から WAN へ転送するパケットに対して、送信元アドレス、宛先アドレスの両方を指定して IP フィルターを設定したい場合は、以下のように指定できます。

IPv6 ホストが名前を持つ場合の設定
- 送信元アドレスに IPv4 ホストの本来の IP アドレス、宛先アドレスに IPv6 ホストの名前 ( FQDN ) を指定して、IPv4 フィルターでフィルタリングする
IPv6 ホストが名前を持たない場合の設定
- 送信元アドレスに IPv4 ホストの本来の IP アドレス、宛先アドレスに nat46 static コマンドで IPv4 宛先アドレスとして静的に設定しておいた IP アドレスを指定して、IPv4 フィルターでフィルタリングする

NAT46 変換した IPv6 アドレス

NAT46 機能では、WAN のIPv6 プレフィックス ( 96bit ) と LAN の IPv4 アドレス ( 32bit ) を結合して生成した IPv6 アドレスを使用します。
このため、プレフィックス長が /96 の IPv6 プレフィックスを使用する必要があります。
ルーターでは、RA または DHCPv6 で受け取った IPv6 プレフィックスから /96 の範囲を割り当てるように設定してください。

NAT46 変換した IPv6 アドレスを IPv6 フィルターなどで設定する場合は、以下のように IPv6 プレフィックスに続けて IPv4 アドレスを指定できます。

IPv6 アドレスの形式
   ( IPv6 プレフィックス ):( IPv4 アドレス )

例.
   IPv6 プレフィックス  2001:db8:abcd::/96
   IPv4 アドレス        192.168.100.2

   ipv6 filter 1 pass 2001:db8:abcd::192.168.100.2

なお、show config コマンドやログの表示などで、NAT46 変換した IPv6 アドレスを表示すると 8bit ごと ( ドットの区切りごと ) に 16 進数の 2 桁で表示されます。

ipv6 filter 1 pass 2001:db8:abcd::c0a8:6402
                          ↑    |    ↑
                          ｜         16 進数で表示した IPv4 アドレス ( 192.168.100.2 )
                         IPv6 プレフィックス ( 2001:db8:abcd::/96 )
     
   10 進数   16 進数
   192    -> c0
   168    -> a8
   100    -> 64
   2      -> 02

NAT46/DNS46 機能の設定例

NAT46/DNS46 機能の設定例を示します。ルーター全体の設定は、「設定例」を参照してください。

構成図

CONFIG

ip route 172.16.0.0/24 gateway tunnel 1 ------------ a
ipv6 prefix 1 ra-prefix@lan2::1:0:1/96 ------------- b
ipv6 lan2 address ra-prefix@lan2::1/64
ipv6 lan2 dhcp service client ir=on
tunnel select 1
  tunnel translation nat46 ------------------------- c
  nat46 ip address pool 172.16.0.2-172.16.0.254 ---- d
  nat46 ipv6 prefix 1 ------------------------------ e
  ip tunnel mtu 1480 ------------------------------- f
  ipv6 tunnel mtu 1500 ----------------------------- f
  tunnel enable 1
dns server dhcp lan2 nat46=1 ----------------------- g

NAT46 機能で処理するパケットの経路として、トンネルインターフェースを設定します。
IPv6 プレフィックスを設定します。LAN1 から受信した IPv4 送信元アドレスを IPv6 送信元アドレスに変換する際に使用します。IPv6 プレフィックスのプレフィックス長は、/96 にする必要があります。ここでは、RA で受け取った /64 のプレフィックスから、/96 の範囲を割り当てています。
トンネルインターフェースを NAT46 変換に使用する設定をします。
DNS サーバーから得た IPv6 アドレスと対応づける IPv4 アドレスを設定します。
b. で設定した IPv6 プレフィックスを NAT46 機能で使用する設定をします。
トンネルインターフェースの MTU を設定します。
DNS46 変換に用いる DNS サーバーを設定します。

トンネル情報

NAT46 機能を設定したトンネルインターフェースの情報は、show status tunnel コマンドで確認します。show status tunnel コマンドでは、以下の情報が表示されます。

トンネルインターフェースの番号
インターフェースの種類 ( "NAT46" )
接続状態
開始/終了
通信時間
受信
送信
NAT46 機能で送信元アドレスの変換に使用する IPv6 プレフィックス
NAT46 機能で宛先アドレスの変換に使用する IPv4 アドレスの範囲
NAT46 テーブルに登録された NAT46 エントリーの数

# トンネルUP時
show status tunnel
TUNNEL[1]:
説明：
  インターフェースの種類：NAT46
  トンネルインタフェースは接続されています
  開始: 2020/07/13 13:22:07
  通信時間: 38分31秒
  受信: (IPv6->IPv4) 0 パケット [0 オクテット]
  送信: (IPv4->IPv6) 0 パケット [0 オクテット]
  IPv6プレフィックス
    2001:db8:abcd::/96
  IPv4アドレスの範囲
    172.16.0.2-172.16.0.254
    10個使用中
  有効なNAT46エントリーの個数
    動的エントリー : 15
    静的エントリー : 1

# トンネルDOWN時(UPしたことがない場合)
show status tunnel
TUNNEL[1]:
説明：
  インターフェースの種類：NAT46
  トンネルインタフェースは一度も接続されていません

# トンネルDOWN時(UPしたことがある場合)
show status tunnel
TUNNEL[1]:
説明：
  インターフェースの種類：NAT46
  トンネルインタフェースは接続されていません
  開始: 2020/07/13 13:22:07  終了: 2020/07/13 14:00:38
  通信時間: 38分31秒
  受信: (IPv6->IPv4) 0 パケット [0 オクテット]
  送信: (IPv4->IPv6) 0 パケット [0 オクテット]

NAT46 エントリーの情報は、show status nat46 table コマンドで確認します。show status nat46 table コマンドでは、以下の情報が表示されます。

NAT46 機能で送信元アドレスの変換に使用する IPv6 プレフィックス
NAT46 機能で宛先アドレスの変換に使用する IPv4 アドレスの範囲
NAT46 テーブルに登録されたNAT46 エントリーの数
NAT46 テーブルに登録されたNAT46 エントリーの情報

show status nat46 table 
IPv6 プレフィックス
  2001:db8:abcd::/96
IPv4 アドレスの範囲
  172.16.0.2-172.16.0.254
有効なNAT46エントリーの個数
  動的エントリー : 15
  静的エントリー : 1

-------------------------------- 静的エントリー --------------------------------
No.   ホスト   IPv4 アドレス   IPv6 アドレス                           TTL(秒)
1     ローカル 192.168.100.2   2001:db8:abcd::c0a8:6402                100
      リモート 172.16.0.1      2001:db8:1234::1

-------------------------------- 動的エントリー --------------------------------
No.   ホスト   IPv4 アドレス   IPv6 アドレス                           TTL(秒)
1     ローカル 192.168.100.2   2001:db8:abcd::c0a8:6402                100
      リモート 172.16.0.2      2001:db8:1234::2
2     ローカル 192.168.100.2   2001:db8:abcd::c0a8:6402                50
      リモート 172.16.0.3      2001:db8:1234::3
3     ローカル 192.168.100.3   2001:db8:abcd::c0a8:6403                20
      リモート 172.16.0.3      2001:db8:1234::3
  :               :                              :                      :

設定・操作方法

コマンド

設定例

概要

IPv4 ネットワークから IPv6 ネットワークへ接続する。

構成

設定

ip route 172.16.0.0/24 gateway tunnel 1
ipv6 prefix 1 ra-prefix@lan2::1:0:1/96
ip lan1 address 192.168.100.1/24
ipv6 lan2 address ra-prefix@lan2::1/64
ipv6 lan2 secure filter out 200 299
ipv6 lan2 dhcp service client ir=on
tunnel select 1
  tunnel translation nat46
  nat46 ip address pool 172.16.0.2-172.16.0.254
  nat46 ipv6 prefix 1
  nat46 static 1 172.16.0.1 2001:db8:1234::1
  ip tunnel mtu 1480
  ip tunnel secure filter out 100 101 199
  ipv6 tunnel mtu 1500
  tunnel enable 1
ip filter 100 reject 192.168.100.10 *
ip filter 101 reject 192.168.100.11 example.com
ip filter 199 pass * *
ipv6 filter 200 reject * 2001:db8:1234::10
ipv6 filter 299 pass * *
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.191/24
dns server dhcp lan2 nat46=1

SYSLOGメッセージ一覧

本機能において出力されるSYSLOGメッセージの一覧を以下に示します。

レベル	出力メッセージ	意味
DEBUG	[NAT46] Translate error (IPv4 to IPv6). The packet need to fragment, could not fragment due to DF bit (mtu=XXX).	NAT46 変換 ( IPv4 アドレスから IPv6 アドレスへの変換 ) に失敗した。IP ヘッダーの DF ビットが原因でフラグメント化できなかった。
	[NAT46] Translate error (IPv6 to IPv4). Segments left in the routing extension header is not 0.	NAT46 変換 ( IPv6 アドレスから IPv4 アドレスへの変換 ) に失敗した。IPv6 ルーティングヘッダーの残りセグメントが 0 ではない。
	[NAT46] Prefix is updated to PREFIX/PREFIX_LEN.	NAT46 変換で使用する IPv6 プレフィックスが更新された。
	[NAT46] IPv4 address is exhausted.	NAT46 変換で使用する IPv4 アドレスプールを使い果たした。