TP-Link AX23＋ER605で自宅ネットワークを再設計した話：IPv6は外部、内部はIPv4でセキュアに分離する構成例

はじめに

自宅ネットワークの構築において、IPv6の導入を試みたところ
v6プラス特有の制限やルーターごとの機能差に直面し、思い通りに構成できない状況に悩まされました。

そこで今回は、TP-Link製のルーター「AX23」と「ER605」を組み合わせて、
「IPv6は外部専用、内部はIPv4に限定してセキュリティと管理性を確保する」というハイブリッド構成に落ち着いた経緯をまとめました。

本記事では以下のような内容を扱います：

• 実際に運用しているネットワーク構成の紹介
• IPv6とv6プラスの落とし穴
• なぜ内部はあえてIPv4運用に切り替えたのか
• 構成上の工夫点やセキュリティ上の考慮
• 試行錯誤の過程で発見したハマりポイントと回避策

「TP-Link製ルーターを活用しながら、v6プラス環境でも柔軟なネットワーク管理をしたい」と考えている方の参考になれば幸いです。

使用機器と構成の全体像

今回のネットワーク構成で使用している機器は以下の通りです。

• TP-Link Archer AX23（Wi-Fi 6対応ルーター）
  • 楽天ひかり（v6プラス）に接続
  • 外部インターネットおよびIPv6接続を担当
  • 内部ネットワーク向けにはDHCP（192.168.5.0/24）を提供
    　
• TP-Link ER605（有線VPNルーター）
  • AX23の下流に配置し、内部ネットワークをIPv4でセグメント化
  • セキュリティ管理、内部機器の固定IPを担当
  • サブネット：192.168.10.0/24（LAN側）
    　
• スイッチ：TP-Link TL-SG105（ギガビットハブ）
  • 複数端末をER605経由で接続
    　

ネットワーク構成図

## ルーティングとIP設計

・ AX23：DHCPで 192.168.5.100～200 を払い出し
・ ER605：WANを 192.168.5.2 に固定、LANを 192.168.10.1 に設定
・ AX23に以下のスタティックルートを設定：
  - 宛先：192.168.10.0/24、ゲートウェイ：192.168.5.2
・ NAT：ER605側で有効（必要に応じてICMP許可）

この設定により、AX23配下からER605への通信は双方向可能となり、
AX23がインターネットとIPv6通信を担当、ER605が内部の安定運用を担う構成が実現しています。

---

以下は、実際に構成に使用している機器の写真です。
実物のサイズ感や設置イメージが参考になればと思います。
一番上のラックにメインPCを配置しています。

※LAN配線は一部見やすく整理しています。

IPv6構成に挑戦して感じた課題と制限

当初の構想では、ER605をメインルーターとしてv6プラス環境にも対応させ、内部ネットワーク全体をIPv6で統一することを目指していました。
しかし、実際に構成を進めていく中で、以下のような壁に直面しました。

v6プラス環境における制約

• Prefix Delegation（PD）の再配布ができない
  • AX23が取得したv6アドレスプレフィックスをER605に再配布できず、ER605配下にIPv6を展開できなかった。
• RA（Router Advertisement）の透過が難しい
  • v6プラス環境ではRAがルーター止まりになることがあり、複数ルーター構成との相性が悪い。
• ER605がv6プラスの特殊仕様に非対応
  • PPPoEやPassthrough（Bridge）設定でも、v6の通信が不安定または不可になった。

その結果の判断

• v6はAX23までで止め、内部はv4のみでセキュアに分離する構成に切り替え
• IPv6での外部アクセスは必要最小限にとどめ、内部通信はNAT + IPv4固定構成で安定化
• ER605は内部ルーターとしての役割に専念させ、セキュリティや構成管理を優先

このように、構想と現実のギャップを踏まえて構成を見直すことで、
「無理にIPv6を内側に引き込むより、明確な役割分担で安定性を優先する」設計に切り替えました。

　

セキュリティと構成上の工夫点

今回のネットワーク構成では、ただ接続できることだけでなく、
運用の安定性・セキュリティの分離・トラブル時の切り分けのしやすさを重視しました。

以下は、構成時に意識した主な工夫点です。

1. 外部と内部を明確に分離（ゾーン設計）

• AX23（上位ルーター）は 外部向けインターフェースとして動作
  → 楽天ひかり（v6プラス）に直結し、IPv6接続はここで完結
• ER605（下位ルーター）は 内部ネットワーク専用に特化
  → NAT＋IPv4での固定アドレス運用に限定

これにより、IPv6の不安定性を内部に持ち込むことなく、
「インターネット ⇄ AX23」までがIPv6、それ以降はv4オンリーという境界管理を実現しています。

　

2. スタティックルートによるセグメント接続制御

• AX23にスタティックルートを追加し、192.168.10.0/24 や 192.168.20.0/24 などの
  ER605配下サブネットへのアクセスを許可

この方法により、**「特定のルートだけ許可してそれ以外は閉じる」**という構成も可能になり、
ネットワークトラフィックの流れを明示的に制御できます。

　

3. NATの制御とローカル向け通信の最適化

• ER605ではNATを有効にしつつ、ICMPなどの必要な通信は手動で通過させるよう調整
• ローカルセグメント内ではARPと静的アドレスにより、IP衝突やDHCPの混乱を防止

　

4. VLANによる内部分離

• スイッチ側で VLAN10（PC）/ VLAN20（Server） を設定
  → セキュリティレベルや用途ごとに分離したネットワークを構成
  → 将来的なゲストWi-FiやIoTネットワークとの分離も容易に想定可能

　

5. 管理アクセスの制限とローカル専用機器の保護

• ER605の管理画面は 192.168.10.0/24 内部からのみアクセス可能
• AX23側のIPv6アドレスはあくまで外部接続専用とし、LAN側へは再配布しない

このようなポリシーにより、外部から内部への直通アクセスを論理的に排除できています。

　

このように、家庭用構成でありながら業務レベルに近いネットワーク分離と可視性を意識することで、
今後の拡張（VPN・監視・自宅サーバ公開など）にも耐えうる設計となっています。

　

ハマったポイントとその対策まとめ

今回の構成に至るまでに、いくつかの技術的な“つまづきポイント”がありました。
ここではその中から、特に対処に時間を要したものを共有します。

　
　

🔸 1. ER605がv6プラスに対応していない？

現象：
ER605単体ではIPv6通信が通らず、v6プラス（MAP-E/NAT64）環境でアドレスが取得できない。

原因：
v6プラスはMAP-Eなどの特有な方式を採用しており、
プロバイダ依存のIPv6接続方式にルーター側が対応していないと使えない。
ER605はv6プラスに対応していないため、AX23でIPv6終端する必要があった。

対策：

• AX23にIPv6対応を任せ、ER605配下はIPv4に限定
• WAN側を192.168.5.2（AX23配下）に固定し、v4通信のみに切り替え

　

🔸 2. AX23のルーティングでER605配下の通信が通らない

現象：
AX23からER605配下（192.168.10.0/24など）にPingが通らない。

原因：
AX23はスタティックルートを設定しないと、WAN側の「向こう側」を認識しない。

対策：

• AX23にスタティックルートを追加：
  宛先: 192.168.10.0/24, ゲートウェイ: 192.168.5.2
• 必要に応じて ICMP通過の許可/NATの確認 も実施

　

🔸 3. サブネットの重複でER605がエラーに

現象：
ER605のWANとLANで同じ192.168.0.0/24系を使うと「同一サブネットエラー」で接続不可。

原因：
TP-Linkルーターでは、WANとLANが同じサブネットだとルーティングループ防止の制限がかかる。

対策：

• WAN：192.168.5.2（AX23配下）
• LAN：192.168.10.1（ER605内部）
  というようにサブネットを完全に分離

　

🔸 4. IPv6で内部通信を展開できない

現象：
AX23はIPv6に接続できるが、ER605以下にv6が伝搬しない。

原因：

• v6プラスではPrefix Delegation（PD）の再配布ができない
• RAやDHCPv6がルーターをまたげない構成になっている

対策：

• v6はAX23までで終端
• 内部はv4に限定して、明確にセグメントを分離

　

これらの試行錯誤を通じて、
構想を「すべてv6にしたい」から「役割に応じてv4/v6を使い分ける」に転換したことで、
構成が安定し、トラブル対応や拡張も容易になりました。

　

まとめと今後の展望

本記事では、IPv6対応に苦戦した経緯と、それを踏まえて構築した
「外部はIPv6、内部はIPv4でセキュアに分離する」自宅ネットワークの構成をご紹介しました。

構成のポイントを改めて整理すると：

• AX23がIPv6終端装置としてv6プラス対応を担当
• ER605は内部向けにIPv4のみで管理性と安定性を確保
• スタティックルートによるサブネット間ルーティング
• VLAN構成でセキュリティと用途を分離
• NATやICMP設定を細かく調整して双方向通信を実現

これらの工夫により、家庭用ながらも小規模事業所レベルの構成管理と拡張性を実現できたと感じています。
　
　

今後実装する予定一覧

今後はさらに以下のような要素を組み合わせて、実用性と面白さを兼ねたネットワーク環境に進化させていく予定です。

• ✅ Zabbixによる内部監視体制の強化
  • サーバ稼働状況やトラフィックを可視化し、異常の早期検知を実現
• ✅ VPN（WireGuardまたはOpenVPN）の導入
  • 外出先から内部ネットワークへのセキュアなアクセスを確保
• ✅ DDNS（Dynamic DNS）の活用
  • 固定IP不要で外部からのSSH／Webアクセスの利便性を向上
• ✅ Raspberry Piを用いた自作スクリプトや定時Ping監視
  • ネットワークダウンの自動通知やログ収集にも挑戦

---

最後に

「IPv6で悩んでいる」「構成に迷っている」という方の一助になれば幸いです。

✍️ 最後までお読みいただき、ありがとうございました！
何か気になる点や改善アイデアがあれば、ぜひコメントで教えてください。