IPv6でVPN接続できない原因と対策

IPv4からIPv6に変更したところ、VPN接続できなくなったというのはよくあることです。これには様々な要因が関係しており、原因を特定することはなかなか難しいです。この記事では、そもそもなぜ接続できないのかという原因を多角的に解説し、その対応方法もご紹介いたします。

IPv6でVPN接続できない原因

IPv6でVPN接続できない理由として、VPNプロトコル、PPPoEとIPoEの違い、FVNOの問題、IPv4 over IPv6の方式、VPNルーターという観点から解説します。

VPNプロトコルの問題

VPNには様々なプロトコルがあり、それぞれIPv6に対応しているかどうかが異なります。

主なVPNプロトコルを表にすると、以下のようになります。

この中で一番問題となりそうなのが、L2TP/IPsecです。

SSTPとPPTPは、そもそも使われていることが少ないので、問題にもなりにくいです。

L2TP/IPsecは広く普及しています。

PPPoEとIPoE

インターネットに接続するための方式としてPPPoEとIPoEがありますが、しばしばIPv6の問題と混同されています。何が異なるのかを解説します。

PPPoEとは

「PPPoE（Point-to-Point Protocol over Ethernet）」とは、通信プロトコルの一つで、認証とセッション管理機能を持っていることが特徴です。そのため、ほとんどのISPでの接続方式として使用されてきました。

PPPoEでは接続時に「NTE（Network Termination Equipment、ネットワーク終端装置）」という機器を通過する必要があります。

これが、コロナ禍以降にリモートワークが増えると、アクセスが集中し、通信速度が低下する原因となりました。

IPoEとは

「IPoE（IP over Ethernet）」とは、通信プロトコルの一つで、認証やセッション管理機能を持たない、シンプルなものです。基本的には、通常のLANで行なわれている方式と同じです。

ISPは、PPPoEの代わりにIPoEを用いることで、NTEを経由する必要がなくなり、高速化が期待できます。

ただしIPoEは認証機能を持っていないため、IPv6アドレスやMACアドレスによる回線認証をおこなっています。

つまり、IDやPWの入力は必要なく、提供された機器それ自体で認証が行なわれるということです。

IPv4/IPv6との関係

技術的に言えば、PPPoE/IPoEと、IPv4/IPv6に関係はなく、以下の全ての組み合わせがあります。

• PPPoE - IPv4
• PPPoE - IPv6
• IPoE - IPv4
• IPoE - IPv6

しかし実際には、技術的に可能かどうかではなく、ISPがどのような方式を採用し、サービスとして提供しているかが問題となります。

そのため、次の2択となっていることが多いです。

• PPPoE - IPv4
• IPoE - IPv6

VPN接続できない場合、IPoEではなくIPv6の問題であることが多いのですが、「IPoE≒IPv6」という誤解が、問題をややこしくしてしまいます。

FVNOとFVNEの問題

日本では、自社で固定回線を持っているのはNTTやKDDIなど一部の事業者に限られています。これらの業者は「NO（Network Operator、電気通信事業者）」とも言われます。

「FVNO（Fixed Virtual Network Operator）」とは、「仮想固定通信事業者」のことで、NOから回線を借りて、自社サービスとして提供している事業者のことです。「◯◯光」などの名称でサービス提供をしていることが多く、「光コラボ事業者」とも言われます。

「FVNE（fixed virtual network enabler）」とは、FVNOに対して、顧客管理や請求管理などのサービスを提供する事業者のことです。

NO、FVNO、FVNEと、業務内容が分割されているため、VPNで接続できない問題が発生した際に、原因を特定するのが難しくなっています。

また、FVNOが提供するサービス名は、NOが提供するサービス名と変えなくてはいけないというルールがあり、もともと同じ機能なのに異なる名前が使われるという状況も、分かりにくい原因となっています。

IPv4 over IPv6の問題

「IPoE（IPv6）」でインターネット接続することで、通信の高速化が期待できますが、IPv6で接続したということは、IPv6に対応したサイトしか閲覧できないことを意味します。

Googleの統計によると、2024年現在のIPv6の対応状況は50%未満です。

そのためISPは、IPv6で接続しながらも、IPv4とIPv6の両方のサイトを見ることができるような機能を提供しており、「IPv4 over IPv6」と呼ばれています。

IPv4 over IPv6には、様々な方式があります。

4rd（IPv4 Residual Deployment）

4rdは、IPv4パケットをIPv6パケットにカプセル化し、IPv6ネットワーク上でトンネリングして、目的地でIPv4パケットに復元します。

DS-Lite（Dual-Stack Lite）

DS-Liteは、家庭や企業に置かれたユーザー側のルーターでIPv4パケットをIPv6パケットにカプセル化し、ISP側のAFTR（Address Family Transition Router）でIPv4に復元します。

MAP-T（Mapping of Address and Port using Translation）

MAP-Tは、IPv4アドレスとポート番号をIPv6アドレスにマッピングし、IPv4アドレスのヘッダをIPv6アドレスのヘッダに変換をします。

MAP-E（Mapping of Address and Port using Encapsulation）

MAP-Eは、IPv4アドレスとポート番号をIPv6アドレスにマッピングし、IPv4パケットをIPv6パケットにカプセル化します。

VPN接続できない原因

この中でVPN接続で問題となりやすいのは、DS-Liteです。DS-Liteは、AFTRでNATを使用するため、NATを通過できないIPsecで問題となることが多いです。

MAP-TやMAP-Eは、ポート番号をマッピングするため、特定のポート番号が必要なVPN接続で問題となることがあります。

また、IPv4アドレスに変換する時に、複数の契約者で同一のIPアドレスを共有している場合も、VPN接続できない原因となります。

VPNルーターの問題

VPN対応ルーターを使用している場合、IPv4では正常に接続できるのに、IPv6で接続できなくなることがあります。

ISPに接続できない

VPNの話ではなく、そもそもIPv6でISPに接続できない場合があります。

多くのISPはIPoEによる回線認証を使用しているので、指定されたルーターでしか接続できません。

VPNプロトコルの問題

VPNルーターは、機能として搭載されているVPNプロトコルでしか接続できません。

このプロトコルが、IPv6に対応していなければ、接続できないことがあります。

また細かな挙動の違いは、スペック表を見ても分からず、メーカーのテクニカルサポートに問い合わせる必要がありますが、サポート対象外として回答を得られない可能性も十分にあります。

IPv6でVPN接続できない場合の対応方法

IPv6でVPN接続できない場合の具体的な対応方法として、固定IPアドレス、VPNプロトコルの変更、IPv4とIPv6の併用をご紹介します。

接続方式を正しく確認する

まず、ISPがどのような接続方式を提供しているのか、正しく理解しましょう。

FVNOが独自のサービス名で提供しているので、本来の機能が分からなくなりがちです。

次の項目が確認できるとよいでしょう。

• PPPoEか、IPoEか
• IPv4 over IPv6の方式
• IPv4アドレスは共有か、専有か

専用IPアドレスを利用する

複数名で共有のIPv4アドレスを利用している場合、固定で専用のIPアドレスをもらえないか確認してみましょう。

多くのISPは、有料のオプションサービスとして提供しています。

VPNプロトコルを変更する

会社の情報システム部や、VPNプロバイダーに、利用可能なVPNプロトコルを確認しましょう。

VPNプロトコルが、「L2TP/IPsec」「SSTP」「PPTP」の場合は、IPv6でVPN接続できない可能性が高いです。

他の、「OpenVPN」「WireGuard」「IKEv2/IPsec」などに変更できないか確認しましょう。

IPv4とIPv6を併用する

どうしてもIPv6でVPN接続できない場合、回線を分岐し、IPv6対応ルーターと、IPv4対応ルーターを両方接続することで、問題が解決できることがあります。

ただし、別の問題を引き起こす可能性も高いので注意が必要です。

最低でも、ISPが複数接続に対応しているかの確認は必要となるでしょう。

IPv6でVPN接続できない原因のまとめ