オンライン請求とオンライン資格確認

オンライン請求
オンライン資格確認
コメント

レセプトオンライン請求

前提知識→（ネットワークの仕組み）

オンライン請求の前の準備

オンライン請求の申請を行う前に、下記が準備されているかを確認しましょう。

パソコン1台
→スペック：オンラインシステム動作環境
LANケーブル
→PCとモデムをつなぐため
ネット回線契約
→オンライン請求及びオンライン資格確認接続回線事業者（IP-VPN、ISDN、IP-sec+IKE対応事業者）
（IP-VPNのIPv6を利用する場合は、フレッツ光のv6オプション）

オンライン請求開始および変更申請

オンライン請求を行うためには予め支払基金に申請を行っておく必要があります。

オンライン請求開始および変更申請は医療機関等向け総合ポータルサイトから行います。

topページ→オンライン資格確認/オンライン請求→オンライン請求→各種申請一覧→オンライン請求の申請画面に進む→利用開始・変更申請→オンライン請求に関する届け出画面へ進む

初めて開始の際は、開始を選択、PCの変更の際は、変更を選択する（変更手順（PDF）。

ISDN接続を選択している場合は「ISDNダイヤルアップ番号」が入力必須となります。

IP-sec+IKE接続を選択している場合は「インターネット接続Ipsec+IKE提供事業者名」が入力必須となります。

IP-VPNでもフレッツ光ではなく、CTCまたはQTnetの利用者は、「1: IP-VPN接続【IPv4】」を選択してください。

お客様IDのCAFやCOPはフレッツ契約IDのことなので契約書を見て選んでください。オンライン資格確認等システムと同じ回線を通常は使用します。

支払基金のサーバーのファイアウォールはアクセスしてきたデータに対して「お前はどの光回線（CAF等お客様ID）から来たんだ？」と、NTTの回線情報を直接読み取るシステム（回線認証）を持っています。事前にオンライン請求の利用申請書で「うちの薬局のCAF番号はこれです」と登録しておくことで、支払基金側が「あ、このCAF番号からのアクセスなら本物の薬局だ。通してヨシ！」と許可を出します。

「IP-sec+IKE接続」と「IP-VPN接続」

この2つの決定的な違いは、「公共のインターネットを通るか、通らないか」になります。

IP-VPN接続（閉域網接続）・・・通信事業者（NTTなど）が用意した、関係者しか入れない「専用のトンネル（閉域網）」を通って支払基金（国保中央会→連合会ではない）へ直結。回線自体には暗号化のための電子証明書設定は不要。
IP-sec+IKE接続（インターネット接続）・・・通常のWebサイトを見るのと同じ、公共のインターネット回線（公道）を使用。ただし、そのままでは誰でも覗き見できてしまうため、「IPsec」と「IKE」という暗号化技術を使い、インターネット上に「強力な鍵のかかった仮想的なトンネル」を構築します。電子証明書を使って通信を暗号化することで、IP-VPNと同等のセキュリティを確保する仕組みです。

道のりがIP-VPNであれIPsec+IKEであれ、最終的に「支払基金・国保中央会のサーバー」にアクセスしてレセプト（請求データ）を送信するためには、データを送るパソコン側に「電子証明書（クライアント証明書）」がインストールされている必要があります。

この電子証明書は、「このデータは、間違いなく〇〇薬局から送られた本物です」と証明するための、強力なデジタル身分証（実印のようなもの）です。

電子証明書（クライアント証明書）は発行に4000円の手数料がかかります。なお、有効期限が3年間なので、継続して利用する場合は3年に1度、4000円払って再度電子証明書をダウンロードしてPCにインストールする必要があります。

IP-sec+IKE接続の機器認証用の電子証明書はIPsec+IKE接続サービス提供事業者が提供するルーターに最初から組み込まれていたり、事業者側からネットワーク経由で自動設定・自動更新されたりするため自身で何かを行う必要はないし、費用もかかりません。

CTCまたはQTnetの利用者がIP-VPN接続【IPv4】しか使えない訳

オンライン請求における「IP-VPN（IPv6）」という接続方式は、NTT東西のフレッツ光（光コラボ含む）のNGN網（次世代ネットワーク＝next generation network）専用に作られた仕組みです。

NGN網内はフレッツ光でv6オプションを契約（IPoE契約）している人のみがIpv6アドレスを使ってやり取りをする場所で、その中に支払基金のサーバーがあるということです。

そのため、独自回線を持っているCTC（ビジネスコミュファ光等）やQTnet（BBIQ）、NURO光などでは、そもそもこの「IPv6の閉域網」に入ることができないのです。

オンライン請求の手続き

例えば4月からオンライン請求をしたいとすると、

１、2月20日までに届出書類（通常は、電子情報処理組織の使用による費用の請求に関する届出と電子証明書（発行・失効）依頼書の２つ）を提出
２、3月12日～15日までに設定ツール等が到着
３、3月15日～月末まで（国保連合会は15日～25日）に設定作業と確認試験（任意）を行う。
４、4月5日～10日までにオンライン請求

という流れになる。

オンライン請求を利用する場合は、安全対策規定を策定しておく必要があります。（安全対策の規定の策定（例））

オンライン請求の設定

次はネットワークの設定について触れます。

請求開始・変更の項で説明したように、私たちがオンライン請求を利用できる回線として、ダイヤルアップとIP-VPN、IPsec+IKEの3つのパターンがあります。

ISDNのダイヤルアップを使っている人はほぼいないと思います。ADSLや光の回線はISDNとは同時には引けない（引かない）ので、これらを使ってネットをしていれば、あなたは該当しません。

IPsec+IKEは、インターネット網に暗号化した通信経路を提供するサービス提供業者と契約することで利用できます。もう少し詳しく言えば、あなたはフレッツと契約して回線を使用する権限を得て、プロバイダ（ぷららとかニフティとか）と契約してインターネットを利用することが今現在可能かもしれません。

IPsec+IKEサービス提供業者は別のプロバイダと考えてください。このプロバイダはインターネットを利用させてくれるわけではなく、専用の暗号化通信経路を利用させてくれるわけです。それゆえ、もしインターネットも利用したいならば、インターネットサービスプロバイダとIPsec+IKEプロバイダの2つと契約する必要がありコストがかかるというデメリットがあります。

そこで、最後のIP-VPNを利用している薬局が多いのではないでしょうか？

IP-VPNは支払基金とNTTが共同で構築してる閉域IP網を利用して接続する方式です。フレッツを利用してさえすればこの回線網は無料で利用できます（IPsecのように別プロバイダと契約する必要もありません。ただし、オンライン請求だけでなくインターネット接続もしたい場合は別途プロバイダ契約が必要となります。インターネットをしないならフレッツのみの契約でOKということです。）。

IP-VPNにはIPv4での接続とIPv6での接続方法があり、オンライン資格確認はIPv6での接続方法しか選択できず、オンライン請求はIPv4とIPv6どちらかを選ぶことができます。

IPv4ではPPPoE認証になるため、ルーターに専用の接続IDとパスワードを入力して『NGN網を通り抜ける通信トンネル』を構築する手間がかかります（その分速度も遅くなる）が、IPv6（IPoE方式）ではNTTの光回線そのもの（CAF番号）で自動認証されるため、IDやパスワードの設定が一切不要になるという大きな違いがあります。

オンライン資格確認が導入できていればIPv6のIP-VPNを利用できるので、オンライン請求の方もIPv6になっていなければ、変更依頼をかけて変更することをお勧めします。

具体的な接続方法（IP-VPNの場合）

今のルータは、IPv6のIP-VPNとIPv4のインターネット接続に同時アクセス（スプリット・トンネリング）」できる能力を持っているため、昔のように「ルータにアクセスして切断と接続を切り替える」ようなことはしなくても、同時接続することは可能です。

しかし、オンライン請求のシステムは「レセプトという超機密データの塊を送信している最中は、絶対に他の通信を許さない」というルールで動くため、レセプト請求の間はインターネットへの道は全て遮断するように設定されています。

一方で、オンライン資格確認においてはマイナンバーカードで暗号化されており、リスクが低いため同時アクセス可の設定となっています。

１、IP-VPN回線への切り替え

ここからが最も難しく重要な部分です。

詳しくは以下に説明があります。

「手順書・マニュアル」の一覧（ポータルサイト）
- オンライン資格確認等システム接続ガイド(IP-VPN接続方式）（PDF）
- 接続方式別の導入例（PDF）
YAMAHAテクニカルノーツ

現在のオンライン請求対応ルーター（YAMAHAのルーター）は、以下のような「ルーティング（経路制御）」を自動で行うようにベンダーが設定しています。（NTT側はこれによって何か特別なことはしません）

写真のルータはYAMAHAのNVR510（取扱説明書）になります。

インターネットを見たい時（Yahooなど）：「あ、これは外の世界への通信だ」とルーターが判断し、プロバイダ（ISP）側の回線へデータを流す。
オンライン請求をする時（支払基金など）：「あ、これは支払基金宛てのURL/IPアドレスだ」とルーターが判断し、自動的にNTTのIPv6閉域網（NGN）側へデータを流す。具体的には、YAMAHAルーターの中に以下のようなルール（ルーティングテーブル）が書き込まれています。
- DNSの振り分け: 「もし *.oqs.mhlw.go.jp（オンライン資格確認のURL）のIPアドレスを聞かれたら、プロバイダのDNSではなく、NTT閉域網（NGN）内の専用DNSサーバーに聞きに行きなさい」
- 通信の振り分け: 「もし宛先のIPアドレスが 10.x.x.x や特定のIPv6アドレス（支払基金のサーバー群）だったら、プロバイダへ繋がる出口（PPPoEやIPoE）ではなく、NTTの閉域網（NGN）へ直結している出口からデータを流しなさい」

このように、回線は常に両方とも繋がりっぱなし（常時接続）であり、ルーターが宛先を見て賢くデータを振り分けているのが現在の姿です。

YAMAHAルータ内のRA設定

まず、PC側の設定。資格確認端末やレセコンのTCP/IPv6プロパティにチェックを入れ、IPアドレスとDNSサーバーを自動取得にチェックし、IPv6を使えるようにします。これらの項目はルーターの方で設定するので自動でOK。

続いてルータ内の設定。上記マニュアルを抜粋して説明します。

ルータにて、IPv6をオンライン資格確認端末にIPv6アドレスを再配布する設定を行います。PCに対し、光回線（NGN網）より払い出されたIPv6アドレスを再配布する設定（光電話なしの場合はRA設定、光電話ありの場合はDHCP-PD設定）を行います。

IPv6アドレスの再配布とは、NTTのNGN内のルータから受け取ったRAを一旦YAMAHAルータが受け取りますが、ここで受け取ったIPv6プレフィックスをPCへ流すこと（IPv4でいうDHCPのこと）です。一般的なインターネット環境でもルータがあれば同じ操作を行っているため、デフォルトでは再配布になるはずです。

ここで、インターネット（So-net等）とIP-VPN（NTT）が共存し、さらにVLAN等でネットワークを分割している環境では、この「再配布」の設定が非常に重要かつ複雑になります。VLANとはバーチャル（仮想）LANの意味で、1つのルータから出るLANポートを2つに分けて、あたかもルータが2つ、IPアドレスも2つあるかのような挙動を示すようにします。

もしルーターが無差別に再配布してしまうと、一般インターネット用のPCにもNTTのIPv6アドレスが配られ、資格確認用のPCにもSo-netのIPv6アドレスが配られ、大混乱（マルチプレフィックス問題）が起きる可能性があります。

そのため、YAMAHAルーターの中で、以下のような「的確な再配布の指示（ルーティングと広告の設定）」を個別に行う必要があります。

「vlan1（資格確認・レセコン用のグループ）には、NTT網から来たIPv6プレフィックスだけを再配布してあげなさい！」IPv4は192:168.100.1等
「vlan2（一般インターネット用のグループ）には、So-net側のインターネット設定（IPv4のみ、またはSo-netのIPv6）だけを適用し、NTTのIPv6は絶対に教えない（再配布しない）ようにしなさい！」IPv4は192:168.200.1等

一方、VLANを作らず、ルーターの同じLANポートからハブで分岐し、オンライン資格確認用PCとインターネット可能なオンライン請求用レセコンがぶら下がっているような環境で、、「インターネットはIPv4、オンライン資格確認とオンライン請求だけがIPv6のIPoE」であれば、言語が違うので特に意識せずにつながります。

「So-net（インターネット）もIPv6」「NTT（VPN）もIPv6」という、完全な【IPv6同士の共存環境】だった場合は、「NTTのNGN網から配られる1種類のIPv6プレフィックスのみ」になります。なぜなら、So-netのIPoE接続は「NTTのNGN網のインフラをそのまま使ってインターネットに出る仕組み」だからです。この場合、同じIPv6アドレスを使うことになるので、ルーターでの宛先ルーティング（スタティックルーティング）が必要になります。

それでも厚生労働省がVLANを推奨するのはセキュリティの関係からです。

ただ、1台のレセコンでインターネットとIP-VPNを兼用で使う際のリスクは、VLANを使って2本のLANを引こうと、1つのLANで引っ張ろうとレセコンにおけるセキュリティの危険性は同じです。メインのインターネットは他のルータを使っているのであれば特にどちらを選択してもよいかもしれません。

YAMAHAルータNVR510で設定

下図は自分の薬局での配線図です。

NVR510は回線の契約状況に合わせてRA設定またはDHCP-PD設定を実施することで、IPv6アドレスをLAN側の端末へ再配布することができます。IPv6 IPoEの設定例に従って設定することで、オンライン資格確認等に必要な通信ができます。

リンク先にあるように、NVR510ではコマンド設定かWebGUIからの設定を選ぶことができます。

コマンドはメーカーごとに異なるため、ここで説明しているコマンドはあくまでYAMAHAルータでのコマンドと言うことに注意します。

コマンドで対応する場合は、WebGUI画面の管理→保守→コマンドの実行のテキストボックスにコマンドを入力します。

ただ、RAの設定をルータのWebGUIから行う場合、1つしか設定できないので、インターネットは「PPPoE（IPv4）」、CATVは「DHCP」、NTTの閉域網は「IPv6 IPoE」のように接続方法が異なる端末がルータに接続されていると競合されてしまいます。

なので、こうしたケースではWebGUI（簡単設定画面）は使わず、コマンドから設定する方法を取ることになります。

そのコマンドこそがYAMAHAのテクニカルノートに書いてあるコマンドになります。コマンドのlan1はLAN側、lan2はWAN側ポートを差しています。

VLAN設定は行わないので無視し、光電話無しのRAプロキシ方式、（So-net IPv4 ＋ NTT IPv6で接続）を前提にすると、

# =============================================
# 1. 基本設定（ルーターのIPアドレスとデフォルトの道案内）
# =============================================
# LAN1（ハブ側）のIPアドレスを 192.168.100.1 に固定する。WebGUIで設定した方が早いかも。/24はサブネットのビット数
ip lan1 address 192.168.100.1/24

# IPv4のデフォルトの出口は「pp 1（So-net）」にする。ppはpoint-to-pointの略でルーターの中に作られたプロバイダと直接つながるPPPoEトンネルでWANポート内側に作られている。
ip route default gateway pp 1

# IPv6のルーティング機能をONにし、デフォルトの出口を「lan2（NTT網）」にする。こちらはPPPoEトンネルに入れずにそのままWANポートからNTT網に出すということ。
ipv6 routing on
ipv6 route default gateway lan2

# =============================================
# 2. IPv4 インターネット（So-net PPPoE）の設定
# =============================================
# トンネル1番（So-net）の設定。1番のトンネルを選択し、
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
# 【書き換え必須】So-netの接続IDとパスワードを入力。最大サイズ1454バイト（LANケーブルの範囲内）、IPCPにグローバルIPとDNSサーバIPの要求、
pp auth myname [So-netの接続ID] [So-netのパスワード]
ppp lcp mru 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp mtu 1454
# NAT（アドレス変換）の適用。トンネルを通るデータには後で作る1000番NATルールを適用
ip pp nat descriptor 1000
# 最低限のセキュリティ（外からの不正アクセスを遮断。外からのデータには100000番のルールを内から外へのデータには100001版のルールを適用する）。最後にトンネル1番のシステムを起動しろ。
ip pp secure filter in 100000
ip pp secure filter out 100001 dynamic 100001
pp enable 1

# NATルールの定義（IPマスカレード）1000番ルールはIPマスカレードのこと
nat descriptor type 1000 masquerade

# IPv4用ファイアウォール（フィルター）の定義。10000番は全て遮断、10001番は安全なので許可。内から外（out）に自分から要求を出した通信（tcp, udp, icmp）に限り、その返事が外から内（in）へ帰ってくるためのドアを、一時的（dynamic）に自動で開けなさい！」
ip filter 100000 reject * * * * *
ip filter 100001 pass * * * * *
ip filter dynamic 100001 * * filter-side=out pass-side=in tcp,udp,icmp

# =============================================
# 3. IPv4 の自動割り当て（DHCPサーバー）
# =============================================
# ルーター内部の「DHCPサーバー機能」のメインスイッチをONにし、ハブに繋がっているPCに、192.168.100.50～100 の間でIPv4を配る
dhcp service server
dhcp scope 1 192.168.100.50-192.168.100.100/24

# =============================================
# 4. IPv6 閉域網（NTT NGN）とRA再配布の設定
# =============================================
# 外側WAN（lan2）の接続先をNTT網に指定し、最適化する
ngn type lan2 ntt

# 外側（lan2）でNTTのRAからIPv6のプレフィックス（住所）を受け取って自動で設定。外側（lan2）のDHCPv6クライアント機能を動かし、DNSサーバーの場所などの『その他の情報（ir = Information Request）』だけ教えてもらう（RAの中にDNSサーバー情報も含まれているがWindowsがDHCPv6からしか受け取らないので）。「lan2で受け取ったプレフィックス（住所の前半）をコピーして、『1番の変数ボックス』に保存。
ipv6 lan2 address auto
ipv6 lan2 dhcp service client ir=on
ipv6 prefix 1 ra-prefix@lan2::/64

# 受け取ったプレフィックスを使って、ルーター自身のIPv6アドレスを作る。もしNTTから降ってきた前半が 2001:c40:abcd:1234 だった場合、ルーターの内側の顔（デフォルトゲートウェイ）は自動的に 2001:c40:abcd:1234::1 に設定されます。
ipv6 lan1 address ra-prefix@lan2::1/64
# 内側（lan1）のハブに繋がっているPCたちへ、IPv6プレフィックスを再配布（RA）する
ipv6 lan1 rtadv send 1 o_flag=on
ipv6 lan1 dhcp service server

YAMAHAルータ内のDNS設定

続いて、IPv6での接続先DNS設定です。

接続先によってDNSサーバーを切り替えなければならないので必須の設定項目になります。

a. 光回線（NGN）のDNSサーバーを設定・・・もし宛先が flets-east.jp なら → NTTのDNSへ
b.以下の6つのドメインに対しそれぞれ、オンライン資格確認NW基盤のDNSサーバーを設定・・・もし宛先が onshikaku.org など6つのどれかなら → 支払基金のDNSへ
c.★デフォルト（上記以外すべて）・・・もし宛先が google.com や yahoo.co.jp など、上のリストにない名前だったら → So-netのDNS（またはGoogleの 8.8.8.8 など、プロバイダ側の標準DNS）

接続がうまくいかない原因の多くがこのDNSの設定にあると思われます。

オンライン請求の回線をIPv4→IPv6に変えたら、オンライン資格確認のIPv6とバッティングしてつながらないとか。WebGUIの画面で下手に接続方法をPPPoEに試しに変えてみたりすると、ルーターが勝手に気を聞かせてIPv4専用してしまって、コマンドで設定したIPv6設定が消されてしまうという最悪なケースに陥ります。

YAMAHAルータNVR510でDNS設定

まずは基本的な設定。これが基本。

# =============================================
# 5. 【超重要】DNSの条件分岐（交通整理）ルール
# =============================================
# ルーターがDNSサーバーとして機能させる為に必要
dns service recursive
# 【基本】普通のインターネットの名前は、すべてSo-net（pp 1）のDNSに聞く
dns server pp 1

# 【例外1】NTTフレッツのサイトの時は、NTT東日本のDNSに聞く
dns server select 1 2404:1a8:7f01:a::3 2404:1a8:7f01:b::3 a flets-east.jp

# 【例外2】オンライン資格確認の時は、支払基金の専用DNSに聞く
dns server select 2 2404:01A8:F583:0D00::53:1 2404:01A8:F583:0D00::53:2 a onshikaku.org lineauth.mnw base.oqs-pdl.org managedpki.ne.jp cybertrust.ne.jp secomtrust.net

# 設定をルーターのメモリに保存する
save
# =============================================

テンプレートな設定（全て）

推奨コマンドを参考にしたきちんとした設定です。

# =============================================
# 1. 基本設定（IPアドレスとデフォルトの出口）
# =============================================
ip route default gateway pp 1
ip lan1 address 192.168.100.1/24

# =============================================
# 2. IPv6 IPoE（オンライン資格確認・NTT網向け）
# =============================================
ngn type lan2 ntt
ipv6 prefix 1 ra-prefix@lan2::/64
ipv6 lan1 address ra-prefix@lan2::1/64
ipv6 lan1 rtadv send 1 o_flag=on
ipv6 lan1 dhcp service server
ipv6 lan2 dhcp service client ir=on

# =============================================
# 3. IPv4 PPPoE（既存機器向けインターネット / So-net）
# =============================================
pp select 1
pp keepalive interval 30 retry-interval=30 count=12
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
# 【書き換え必須】So-netの接続IDとパスワード
pp auth myname XXXX XXXX
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp nat descriptor 1000
# ▼PPPoEトンネルに対する強力なファイアウォールの適用
ip pp secure filter in 200003 200020 200021 200022 200023 200024 200025 200030 200032
ip pp secure filter out 200013 200020 200021 200022 200023 200024 200025 200026 200027 200099 dynamic 200080 200081 200082 200083 200084 200085 200098 200099
pp enable 1
nat descriptor type 1000 masquerade

# =============================================
# 4. DHCPサーバー（IPv4の自動割り振り）
# =============================================
dhcp service server
dhcp server rfc2131 compliant except remain-silent
# ハブに繋がれた機器に 192.168.100.2 ? 191 までを割り振る
dhcp scope 1 192.168.100.2-192.168.100.191/24

# =============================================
# 5. IPv6/IPv4 DNS（条件分岐・交通整理）
# =============================================
dns host lan1
dns service recursive
dns service fallback on
dns private address spoof on

# NTT東日本・オンライン資格確認用DNS
dns server select 1 2404:1a8:7f01:a::3 edns=on 2404:1a8:7f01:b::3 edns=on any flets-east.jp
dns server select 10 2404:1a8:f583:d00::53:1 edns=on 2404:1a8:f583:d00::53:2 edns=on any base.oqs-pdl.org
dns server select 11 2404:1a8:f583:d00::53:1 edns=on 2404:1a8:f583:d00::53:2 edns=on any onshikaku.org
dns server select 12 2404:1a8:f583:d00::53:1 edns=on 2404:1a8:f583:d00::53:2 edns=on any lineauth.mnw
dns server select 13 2404:1a8:f583:d00::53:1 edns=on 2404:1a8:f583:d00::53:2 edns=on any managedpki.ne.jp
dns server select 14 2404:1a8:f583:d00::53:1 edns=on 2404:1a8:f583:d00::53:2 edns=on any cybertrust.ne.jp
dns server select 15 2404:1a8:f583:d00::53:1 edns=on 2404:1a8:f583:d00::53:2 edns=on any secomtrust.net
# 上記以外（インターネット）はすべてPPPoE（So-net）へ流す
dns server select 99 pp 1 any .

# =============================================
# 6. IPv6フィルター（NTT網側の防波堤）
# =============================================
ipv6 lan2 secure filter in 100999 101000 101001 101002
ipv6 lan2 secure filter out 101099 dynamic 101098 101099
ipv6 filter 100999 reject * * icmp6 128 *
ipv6 filter 101000 pass * * icmp6 * *
ipv6 filter 101001 pass * * tcp * ident
ipv6 filter 101002 pass * * udp * 546
ipv6 filter 101099 pass * * * * *
ipv6 filter dynamic 101098 * * tcp
ipv6 filter dynamic 101099 * * udp

# =============================================
# 7. IPv4フィルター定義（PPPoE用・192.168.100.x環境へ修正済）
# =============================================
ip filter 200000 reject 10.0.0.0/8 * * * *
ip filter 200001 reject 172.16.0.0/12 * * * *
ip filter 200002 reject 192.168.0.0/16 * * * *
ip filter 200003 reject 192.168.100.0/24 * * * *
ip filter 200010 reject * 10.0.0.0/8 * * *
ip filter 200011 reject * 172.16.0.0/12 * * *
ip filter 200012 reject * 192.168.0.0/16 * * *
ip filter 200013 reject * 192.168.100.0/24 * * *
ip filter 200020 reject * * udp,tcp 135 *
ip filter 200021 reject * * udp,tcp * 135
ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 200024 reject * * udp,tcp 445 *
ip filter 200025 reject * * udp,tcp * 445
ip filter 200026 restrict * * tcpfin * www,21,nntp
ip filter 200027 restrict * * tcprst * www,21,nntp
ip filter 200030 pass * 192.168.100.0/24 icmp * *
ip filter 200031 pass * 192.168.100.0/24 established * *
ip filter 200032 pass * 192.168.100.0/24 tcp * ident
ip filter 200033 pass * 192.168.100.0/24 tcp ftpdata *
ip filter 200034 pass * 192.168.100.0/24 tcp,udp * domain
ip filter 200035 pass * 192.168.100.0/24 udp domain *
ip filter 200036 pass * 192.168.100.0/24 udp * ntp
ip filter 200037 pass * 192.168.100.0/24 udp ntp *
ip filter 200099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 200080 * * ftp
ip filter dynamic 200081 * * domain
ip filter dynamic 200082 * * www
ip filter dynamic 200083 * * smtp
ip filter dynamic 200084 * * pop3
ip filter dynamic 200085 * * submission
ip filter dynamic 200098 * * tcp
ip filter dynamic 200099 * * udp

# =============================================
# 8. その他設定
# =============================================
telnetd service off
# 毎日深夜0時に支払基金のNTPサーバーと時刻同期を行う
schedule at 1 */* 00:00 * ntpdate ntp.base.oqs-pdl.org
httpd host lan1
statistics traffic on

# 【重要】設定をメモリに保存する
save

なお、ルータ側でオンライン請求中はインターネットを切断するという設定は行えないので、やりたい場合はレセコンの機能等を利用してWindowsの方から行う必要がある。

接続障害への対処法

まずはipconfig /allで確認。

PC ～ルーター間の障害（LAN側）
- 確認箇所: デフォルトゲートウェイ
- 状態: ここが空欄、または正しく取得できていない場合、PCはルーターを見失っています。（※IPv6の場合、デフォルトゲートウェイは fe80:: から始まる「リンクローカルアドレス」になるのが正常です）
- 原因: LANケーブルの抜け、ハブ（L2スイッチ）の故障、PCのネットワーク設定の不具合など。
ルーター～ NTT（支払基金）間の障害（WAN側）
- 確認箇所: IPv6アドレスおよび一時IPv6アドレス
- 状態: fe80::（ローカル用）のアドレスしかなく、2001: や 2404: 等から始まる「グローバルなIPv6アドレス」が表示されていない場合。
- 原因: NTT網（NGN）からルーターに対して、プレフィックス（ネットワークの住所）が降りてきていません。ルーターのWAN側の異常、またはNTT回線自体の障害です。

ipconfigが問題ないようなら、ルーターが正しく振り分けできていないことが原因の可能性があるため、

① nslookup （名前解決の振り分けテスト）・・・ルーターが「専用DNSサーバー」へ正しく質問を投げ分けているかを確認します。
- 使い方: nslookup (オンライン資格確認や請求システムのURL)
- 正常（成功）: 支払基金側の閉域網IPアドレス（例：10.x.x.x のような特殊なアドレスや、特定のIPv6アドレス）が返ってくれば、DNSの振り分けは完璧に機能しています。
- 異常（失敗）: 「サーバーが見つかりません（Non-existent domain）」などと出た場合、ルーターが普通のインターネット用DNSに質問を投げてしまっており、専用DNSへの振り分け（DNSルーティング）が壊れています。
② tracert または tracert -6 （通信経路の振り分けテスト）・・・DNSでIPアドレスが分かった後、ルーターが「正しい出口（NTT閉域網側）」へデータを流しているか、実際のルートを可視化します。
- 使い方:tracert -d (オンライン請求システムのURL または IPアドレス) （※IPv6の場合は tracert -6 -d (宛先)）
- このコマンドは、宛先までに通過するルーター（関所）を順番に表示します。
- 1行目: 必ず自分のルーターのIPアドレスになります。
- 2行目以降: ここが重要です。通常のインターネット（Yahooなど）へtracertした時と、違う経路（IPアドレス）に進んでいれば、ルーターの経路振り分け（スタティックルーティング）は正常に動いています。
- もし、Yahoo行きと全く同じプロバイダ側の経路を通ろうとして途中で行き止まりになっている場合は、ルーターの経路設定が飛んでしまっています。

２、IP-VPN回線の開通（IPv6使用の場合）

予め、IP-VPN接続のための特別な契約（NTTやCTC、QTnetとの契約でIPv6を利用するならフレッツ光のv6プラス一択）はすでに完了しておく必要があります。

昔のIPv4を使ったIP-VPNの時は、PPPoEの認証設定をパソコン側でやるかルータでやるかの2択で行っておりましたが、IPv6を使ったIP-VPNでは接続のための認証作業自体が存在せず、IDやアクセスキーも使いません。

IPv6のIP-VPN接続は、IDとパスワードを使って電話をかけるような「PPPoE方式」ではなく、LANケーブルを挿すだけで繋がる「IPoE方式」を採用しているからです。「IPoE（IP over Ethernet）方式」は混雑しやすい従来のPPPoE接続（接続ポイント）を回避し、夜間でも安定・高速なインターネット通信を行うことができます。

NTT側で「この物理回線は〇〇薬局さんのものだ」と回線そのものを自動で識別する「回線認証」が行われます。回線認証は自動で行われるため、ユーザー側で何かIDやパスワードを入力したりする必要はありません。

IP-VPNを使う通信にはプロバイダは不要です。では、プロバイダがないのに、誰がIPv6プレフィックスを割り振るのか？

プロバイダを通さずにNTTの巨大な閉域網（NGN）に直結しているため、NTT側のルーター設備が、薬局のルーター（またはPC）に対して「RA（ルーター広告）」を投げます。

RAはプレフィックスを含んだ「町内放送（メッセージ）」のようなもので「こちらは〇〇町です！郵便番号は123-4567ですよ！案内所（NGN内にある専用DNSサーバー）はあそこですよ！」という定期的なアナウンスです。

プレフィックス（ネットワークの住所＝郵便番号）
デフォルトゲートウェイ（外に出る時の最初の関所）
DNSサーバーの情報（案内所の場所）など

以上がNTTからのRAに含まれる情報になります。

IP-VPNでなく、普通のインターネットの場合は、プロバイダから「この住所の束を使いなさい」と指示を受けた家庭内ルータが家のPCやスマホに向けてRAを投げます。

これを受け取り、SLAAC（またはDHCPv6）の仕組みを使って、機器が自力でIPv6アドレスを生成します。

SLAAC（スラック）はIPv6アドレスのプレフィックス（前半）に、PCがランダムに作成したインターフェースID（後半）を組み合わせて1つの完全なIPv6アドレスを完成させる仕組みです。

DNSサーバーの情報は、Google（8.8.8.8）のようなインターネット用のものではなく、「閉域網専用のDNSサーバー」です。このDNSサーバーは、インターネットのサイト（Yahooなど）の場所は全く知りませんが、「支払基金」や「国保連合会」の閉域網内専用URLだけは知っており、それを正しいIPv6アドレスに変換してくれます。

通常はベンダー（レセコン会社）が提供するルータはIPv6に対応しているはずで、レセコンの方からインターネット回線とオンライン請求回線の切り替えを行えるようになっているはずなので、それに従います。