ひかり電話 HGW PR-600MIのfirmware更新とIPv6パケットフィルターの不具合

５月13日の朝、メールが届いていた

DHCPv6の「Reconfigure」を受けたって事は、もしかして「IPv6 Prefix」が変化した？と思って（IPv6 IPoEに移行時にこれを受けた）確認

PR-600MIの画面を確認

表示されたままの画面から

更新ログを確認してみた

ファームウェアが「01.00.0005」から「01.00.0007」に更新されていた

「障害ログ」によれば、夜中に自動更新されたようだ


ひかり電話HGWが再起動されると「DHCPv6のリースした情報」もクリアされる
起動後、「Reconfigureメッセージ」でPrefix Delegationの再取得を指示する

再取得が行われたが、Prefixの順序が変化してしまった。「NVR510[ac:44:f2:aa:bb:cc]」が「2409:10:XXXX:YY10::/60」、「OpenWrt(WZR-HP-G300NH[00:1d:73:dd:ee:ff]」が「2409:10:XXXX:YY20::/60」、「NVR500[00:a0:de:11:22:33]」が「2409:10:XXXX:YY40::/60」で運用しているためホームネットワーク内の通信ができなくなる。

OpenWrtとNVR500のWANコネクタを外し、PR-600MIを再起動し、NVR510に「2409:10:XXXX:YY10::/60」を取得させる
次にOpenWrtのWANコネクタを接続しWANインターフェースを再起動し「2409:10:XXXX:YY20::/60」を取得させる。
OpenWrtにsshでログインしGetPrefixスクリプトを実行して「2409:10:XXXX:YY30::/60」をダミー取得する。

/root/GetPrefix
#!/bin/sh
CID="00030001c025e9445566"
IF="eth1"
PID="/var/run/odhcp6c-sh.pid"
SCRIPT="/root/odhcp6c-sh"
DHCPV6CL="/usr/sbin/odhcp6c -k -P0"

for CL in $CID; do
    $DHCPV6CL -c$CL -s$SCRIPT -d -p$PID $IF
    while [ ! -e "$PID" ]; do sleep 1; done
    while [ -e "$PID" ]; do sleep 1; done
done
# -l 5xn
logread -l 20 -e "odhcp6c-sh:\sPrefix="
echo "Finish..."

/root/odhcp6c-sh
#!/bin/sh
[ -z "$2" ] && echo "Error: should be run by odhcpc6c-sh" && exit 1

(
        flock 9
        case "$2" in
                bound)
                        logger -t "odhcp6c-sh" -s " Prefix=$PREFIXES Clinet-ID=$O
                        [ -e "/var/run/odhcp6c-sh.pid" ] && kill -HUP `cat /var/
                        [ -e "/var/run/odhcp6c-sh.pid" ] && rm /var/run/odhcp6c-
                ;;
                *)
                        logger -t "odhcp6c-sh" -s $2
                ;;
        esac

) 9>/tmp/odhcp6c-sh.lock.$1
rm -f /tmp/odhcp6c-sh.lock.$1

この後、NVR500で「ipv6 lan2 dhcp service client」を実行して「2409:10:XXXX:YY40::/60」を取得させる。PR-600MIを再起動させるとこのような手順が発生してしまう。対応方法を検討中。

更新後の問題
・「セキュリティログ（IPv6）」が突然「0 entries」になる
・ログ記録が止まる
・数時間後にIPv6通信ができなくなる（ルーティングされなくなる）
・その他の機能は、動作している（不具合を認識できない）

修復方法
PR-600MIの・再起動

NTTサポート
・バージョンを「01.00.0005」に戻したいのでダウンロード場所を問い合わせたが、ダウンロードサポート無しとの事（NTT）
・技術者派遣で状況確認が必要（NTT）
・コロナ下で対面対応を避けたいので様子見とした

ひかり電話 HGW PR-600MI のオフライン設定

「ひかり電話 HGW PR-600MIのセキュリティログからポートスキャンログを排除する」や「ひかり電話 HGW PR-600MIのIPv6スループットを確認する」でPR-600MIの「情報」「DHCPクライアント取得情報」「DHCP再取得（IPoE）」を短時間に繰返すと再取得が出来なくなり、「以前に取得した情報で起動」となってしまう。
NTTのひかり電話サポートに問い合わせた結果、再度交換を提案された。機器の不具合と思えなかったが、交換手配をお願いした。
交換に当たり、「MAC address」が変わるため設定も大事となる。機器交換をしない決定をした時そのまま返送すれば良いか聞いたところ、交換しない事を連絡するように言われた。12日後にシステム側で送付した機器のMAC addressに自動変更されるため、交換前の機器で接続が出来なくなるとの事。
手配された機器は、「PR-600MI(GV-ONU)」2020年10月製造 RFコネクタは、銀メッキ仕様


「ひかり電話 HGW PR-S300SEからPR-600MIに変更された」で光ファイバー未接続状態で事前設定が出来なかった（DHCPによるIPアドレス取得が出来なかった）。
固定IPアドレスから出来るか未確認だったので確認した。結果、固定IPアドレスでも接続出来なかった。
（「初期状態」点灯、「登録」消灯。約５分毎に全ランプ点灯で再起動を繰り返す）

１）Debian10のDHCPサーバに接続
「ひかり電話HGW PR-S300SEのIPv6スループットを確認する」「ひかり電話 HGW PR-600MIのIPv6スループットを確認する」の構成で

Debian10サーバの「enp7s0」インターフェースにDHCPv6サーバを稼働し、「PR-600MI」のWANインターフェースを接続して起動した

/etc/default/isc-dhcp-server
INTERFACEv4=""
INTERFACEv6="br0 enp7s0"

DHCPv6サーバー設定

/etc/dhcp/dhcpd6.conf
subnet6 fe80::/64 {
	default-lease-time 14400;
	preferred-lifetime 12600;
	option dhcp-renewal-time 7200;
	option dhcp-rebinding-time 10800;
	option dhcp6.name-servers 2404:1a8:7f01:a::3,2404:1a8:7f01:b::3;
	option dhcp6.domain-search "flets-east.jp","iptvf.jp";
	option dhcp6.sip-servers-addresses 2404:1a8:YYYY:ZZZZ::1;
	option dhcp6.sntp-servers 2404:1a8:1102::a,2404:1a8:1102::b;
	option dhcp6.vendor-opts 00:00:00:d2:
		00:c9:00:06:
		28:e9:8e:12:34:57:
		00:ca:00:0a:
		30:33:33:31:32:33:31:32:33:34:
		00:cb:00:0a:
		30:33:33:31:32:33:31:32:33:35:
		00:cb:00:0a:
		30:33:33:31:32:33:31:32:33:36:
		00:cc:00:10:
		08:6e:74:74:2d:65:61:73:74:02:6e:65:02:6a:70:00:
		00:d2:00:1f:
		03:77:77:77:07:76:65:72:69:6e:66:6f:03:68:67:77:0a:66:6c:65:74:73:2d:65:61:73:74:02:6a:70:00;
	prefix6 2409:10:XXXX:YY00:: 2409:10:XXXX:ZZ00:: / 56;
	host pr-600mi {
		host-identifier option dhcp6.client-id 00:03:00:01:28:e9:8e:12:34:57;
		fixed-prefix6 2409:10:XXXX:YY00::/56;
	}
	host pr-600mi-2 {
		host-identifier option dhcp6.client-id 00:03:00:01:28:e9:8e:12:34:59;
		fixed-prefix6 2409:10:XXXX:YZ00::/56;
	}
}

DHCPv6サーバーからPrefix Delegationが成功すると「登録」が点灯する（18回程度点滅後、点灯）。
この状態では、LAN側に接続したPCからDHCPによるIPアドレス取得が出来ない。PR-600MIのLAN側「192.168.1.1」なのでPCに「192.168.1.2/255.255.255.0」を静的設定して接続が出来る。
DHCPv4サーバーも稼働させるとPCからDHCPによるIPアドレス取得が出来る。

/etc/default/isc-dhcp-server
INTERFACEv4="enp7s0"
INTERFACEv6="br0 enp7s0"

DHCPv4サーバー設定

/etc/dhcp/dhcpd.conf
set vendor-string = option vendor-class-identifier;
option sip-servers code 120 = { integer 8, ip-address };
option classless-static-routes code 121 = array of integer 8;
subnet 118.177.39.12 net mask 255.255.255.252 {
	pool { range 118.AAA.BBB.14; }
	option subnet-mask 255.255.255.252;
	option routers 118.AAA.BBB.13;
	option sip-servers 1 118.AAA.CCC.1;
	option classless-static-routes 16,118,AAA,118,AAA,BBB,13;
	option vivso 00:00:00:d2:5f:
		c9:06:
		28:e9:8e:12:34:59:
		ca:0a:
		30:33:33:31:32:33:31:32:33:34:
		cb:0a:
		30:33:33:31:32:33:31:32:33:35:
		cb:0a:
		30:33:33:31:32:33:31:32:33:36:
		cc:10:
		08:6e:74:74:2d:65:61:73:74:02:6e:65:02:6a:70:00:
		d2:1f:
		03:77:77:77:07:76:65:72:69:6e:66:6f:03:68:67:77:0a:66:6c:65:74:73:2d:65:61:73:74:02:6a:70:00;
	max-lease-time 14400;
	option dhcp-server-identifier 118.AAA.BBB.13;
	option dhcp-renewal-time 7200;
	option dhcp-rebinding-time 10800;
}

「AAA」「BBB」「CCC」は、「0-255」までの任意の異なる数値
DHCPv4サーバーから情報が取得出来ない場合、約3分後位に「保存済み自動設定情報にて起動」となり、LANインターフェースに接続したPCからDHCPでIPアドレス情報を取得出来るようになる。

２）PR-600MIのオフライン起動状態
接続が可能となると「機器設定用パスワードの初期設定」を行う


設定ウィザードで「インターネット接続先を設定しない」として各種設定画面へ


ログ#3の「DHCPv6アドレス取得」で接続が出来るようになる

約３分後のログ#2で「DHCPv4保存済み自動設定情報にて起動」でPC端末からDHCPでIPアドレス取得が出来るようになる。


DHCPv4の情報が取得できると「ひかり電話」サーバーへの登録が実行される

登録できないので「時刻の同期」も出来ない。時刻同期に「NTP」が使用されず、SIPサーバー登録時の応答情報内にある時刻が使用されているようだ。

DHCPv4/DHCPv6の取得情報

DHCPv6の「pr-600mi」と「pr-600mi-2」でPrefix情報を変えているが、同じ「2409:10:XXXX:YY00::/56」Prefixを設定し、インターネットからのアクセスを可能とする。「PR-600MI-2」からのアドレスは、「2409:10:XXXX:YY01:2ae9:8eff:fe12:345A」となる（DNSの名前解決もこのアドレスがソースとなる）。インターネットからこのアドレス宛のパケットは、「PR-600MI」へ送られてしまうので、Debian10でルートを追加する。ルートは、「ip -6 route add 2409:10:XXXX:YY01:2ae9:8eff:fe12:345a/128 via fe80::2ae9:8eff:fe12:3459 dev enp7s0」
「メンテナンス」「ファームウェア更新」で更新が可能となる。最新バージョン「01.00.0005」に更新。

「PR-600MI」は、LAN側にDHCPv4/DHCPv6サーバーが稼働する。Prefix長が「56」から「60」になる。「PR-600MI-2」のDHCPv4がリースするアドレスを「192.168.1.0/24」から「192.168.2.0/24」に変更して「PR-600MI-2」のWANを「PR-600M(」のLANに接続してみたが、無応答状態になってしまった。

３）DHCP再取得（IPoE）
DHCP再取得（IPoE）を連続して実行すると「以前に取得した情報で起動」となる状態は、同じだった。
一度この状態になると再起動か一定時間経過後でないと更新されない。

NTTひかり電話サポートに「機器の変更を行わず様子を見る」事を伝え、12日後のMACアドレス自動変更を停止してもらった。
交換機器は、返却。

ひかり電話 HGW PR-600MIのIPv6スループットを確認する

「ひかり電話 HGW PR-S300SEのIPv6スループットを確認する」と同様にPR-600MIで計測してみた

（１）構成

PR-S300SEのIPv6スループット計測と同様の構成だがPR-600MIのUNI/WANとブリッジポート（enp1s0f0/enp1s0f1）接続が逆になっている（接続変更の理由は無い）。isc-dhcp-serverとdhclientをブリッジポート（br０)で稼働させ、起動・停止スクリプトを準備した。

スイッチ各ポートとVLAN接続


切替手順
通常時Port16は、Vlan3でPR-600MIのWANとUNIが直接接続された状態

切替
Port16Vlan3からVlan4へ変更（ブリッジ接続）

chg-route.sh
"!/bin/sh
#set route
/sbin/ip route add default via fe80::0212:e2ff:feab:cdef dev br0
/sbin/ip route add 2409:10:XXXX:YY00::/56 via fe80::2ae9:8eff:fe12:3457 dev br0
#blocking IPv6 packet from the internet to 2409:10:XXXX:YY02::1
/sbin/ebtables -A INPUT -p 0x86dd -s 00:12:e2:ab:cd:ef -i enp1s0f1 --ip6-dst 2409:10:XXXX:YY02::1 -j DROP
#blocking dhclient access from br0 to DHCPv6 server on br0
/sbin/ip6tables -A INPUT -p udp -s fe80::215:17ff:fe34:abcd -i br0 -m udp --dport 547 -j DROP
#start DHCPv6 server
/etc/init.d/isc-dhcp-server start
#blocking PR-600MI DHCPv6 Solicit to Alaxala NTT-GW on br0
/sbin/ebtables -A FORWARD -p 0x86dd -s 28:e9:8e:12:34:57 -o enp1s0f1 --ip6-proto udp --ip6-dport 547 -j DROP
#chg the route from NGN->Alaxala->pr-600mi to NGN->Alaxala->Debian10
/sbin/dhclient -6 -nw -P -D LL br0
#add Global IPv6 address for iperf3
ip address add 2409:10:XXXX:YY02::1/64 dev br0

PR-600MI： 「情報」「DHCPクライアント取得情報」「DHCP再取得（IPoE）」の実行でPR-600MIをAlaxalaGW(NTT GW)からDebian10へ経路を変更する

復帰

chg-route-restore.sh
"!/bin/sh
#stop dhclient
/sbin/dhclient -6 -r br0
#stop DHCPv6 server
/etc/init.d/isc-dhcp-server stop
#remove the blocking PR-600MI DHCPv6 Solicit to Alaxala NTT-GW on br0
/sbin/ebtables -D FORWARD -p 0x86dd -s 28:e9:8e:12:34:57 -o enp1s0f1 --ip6-proto udp --ip6-dport 547 -j DROP
#remove the blocking dhclient access from br0 to DHCPv6 server on br0
/sbin/ip6tables -D INPUT -p udp -s fe80::215:17ff:fe34:abcd -i br0 -m udp --dport 547 -j DROP
#remove the blocking IPv6 packet from the internet to 2409:10:XXXX:YY02::1
/sbin/ebtables -D INPUT -p 0x86dd -s 00:12:e2:ab:cd:ef -i enp1s0f1 --ip6-dst 2409:10:XXXX:YY02::1 -j DROP
#remove the route
/sbin/ip route del default via fe80::0212:e2ff:feab:cdef dev br0
/sbin/ip route del 2409:10:XXXX:YY00::/56 via fe80::2ae9:8eff:fe12:3457 dev br0
#remove the Global IPv6 address for iperf3
ip address del 2409:10:XXXX:YY02::1/64 dev br0

PR-600MI： 「情報」「DHCPクライアント取得情報」「DHCP再取得（IPoE）」の実行でPR-600MIをDebian10からAlaxalaGW(NTT GW)へ経路を変更する
Port16Vlan4からVlan3へ変更

DHCPv6サーバー設定
br0で稼働させる事を除き「ひかり電話 HGW PR-S300SEのIPv6スループットを確認する」と変更無し。

/etc/default/isc-dhcp-server
INTERFACEv4=""
INTERFACEv6="br0"

DHCPv6クライアント設定

/etc/dhcp/dhclient.conf
option dhcp6.vendor-class code 16 = {integer 32, integer 16, string};
#vendor-specific information for NTT
option space NTT code width 2 length width 2 hash size 8;
option NTT.mac-address code 201 = string;
option NTT.tel-number code 202 = text;
option NTT.additional-tel-number code 203 = text;　#array of text;が望ましいが未実装
option NTT.sip-domain code 204 = domain-list;
option NTT.hgw-server code 210 = domain-list;
option visa.NTT code 210 = encapsulate NTT
interface "br0" {
    send dhcp6.client-id 00:03:00:01:28:e9:8e:12:34:57; #PR-600MI WAN
    send dhcp6.vendor-class 210 6 28:e:9:8e:12:34:57; #NTT Enterprise ID & PR-600MI MAC address
    also request dhcp6.sntp-servers, dhcp6.sip-servers-addresses;
    alse request dhcp6.vendor-opts; #request contracted HIKARIDENWA inf.
}

「dhcp6.vendor-opts」をrequestする事でDHCPv6サーバから「dhcp6.vendor-opts」定義のひかり電話情報を取得できる。取得したデータは、定義したvendor-specificで表示されるが、textの配列定義が未サポート（isc-dhcpd-4.4.1)。複数設定された「additional-tel-number」のうち最後の一つしか表示されない。
option「Authentication」は、PR-600MIへシミュレートしていないが、現時点で問題発生は無い。dhcrelayで対応を考えたが、global IP address設定が解決出来ず保留中。

経路確認

PR-600MIとNTT-GWの間でDebian10が中継している経路が確認出来る。

（２）計測
ひかり電話未使用時

iperf3でUpload（LAN->WAN）とDownload（WAN->LAN）を60秒間5回計測
概ねGBTの最大スイッチ速度（926Mbps）

ひかり電話使用時

ボイスワープ折返しで２回線使用時にiperf3でUploadとDownloadを60秒間計測
受話器で保留音を確認する限り「音声音質」に変化なし。「なし」設定で良いかと思う。

「スピードテスト」で確認
iperf3サーバ（2409:10:XXXX:YY02::1）に稼働しているspeedtestで確認

ひかり電話 HGW PR-600MIのSPI設定とIPv６パケットフィルタ設定（IPoE）で不具合

「ひかり電話 HGW PR-600MIのセキュリティログからポートスキャンログを排除する」でPR-S300SEのIPv6パケットフィルタ（IPoE）と同様の不具合がある事が判った。PR-600MIのWANとLANポートのパケットをキャプチャして不具合の確認を行った。

（１）構成
PR-600MIのWANポート(PORT15/VLAN03) とLAN(PORT14/VLAN02)をミラーポート（PORT6/VLAN06)に設定し、パケット入出力をWireSharkでキャプチャした。


ぷららのメールサーバは、IPv6アクセス用「v6mail.plala.or.jp」で「imap4s/pop3s/smtp(587startTLS)/smtps(465)」のサービスが提供されている。
このメールサーバをMacbook proのMailからimap4sとsmtp(587startTLS)でアクセスしている。
「v6mail.plala.or.jp」は、「2400:7800:0:502f::240」であるが、セキュリティログ（IPv6）の記録（「ひかり電話 HGW PR-S300SEのSPI設定とIPv6パケットフィルタ設定（IPoE）」「ひかり電話 HGW PR-600MIのセキュリティログからポートスキャンログを排除する」参照）から「2400:7800:0:502e::51-4:imaps(993)」からもアクセスがある（下記）。


メールアドレス「2400:7800:0:502f::240:imaps(993)」へと「2400:7800:0:502e::51-4:imaps(993)」からのアクセスを「IPv6パケットフィルタ設定（IPoE）」で許可設定している。


（２）キャプチャ結果
許可設定しているにも関わらず下記のログが記録される

「2400:7800:0:502f::240」サーバー

セキュリティログ（IPv6）
 17. 2021/03/18 11:56:43 SRC=2409:0010:XXXX:YY10:0000:0000:0011:0017/57601 DST=2400:7800:0000:502f:0000:0000:0000:0240/993 TCP 廃棄[パケットフィルタ]
 18. 2021/03/18 11:56:39 SRC=2409:0010:XXXX:YY10:0000:0000:0011:0017/57601 DST=2400:7800:0000:502f:0000:0000:0000:0240/993 TCP 廃棄[パケットフィルタ]
 19. 2021/03/18 11:56:36 SRC=2409:0010:XXXX:YY10:0000:0000:0011:0017/57601 DST=2400:7800:0000:502f:0000:0000:0000:0240/993 TCP 廃棄[パケットフィルタ]
 20. 2021/03/18 11:56:32 SRC=2409:0010:XXXX:YY10:0000:0000:0011:0017/57601 DST=2400:7800:0000:502f:0000:0000:0000:0240/993 TCP 廃棄[パケットフィルタ]
 21. 2021/03/18 11:56:28 SRC=2409:0010:XXXX:YY10:0000:0000:0011:0017/57601 DST=2400:7800:0000:502f:0000:0000:0000:0240/993 TCP 廃棄[パケットフィルタ]
 22. 2021/03/18 11:56:24 SRC=2409:0010:XXXX:YY10:0000:0000:0011:0017/57601 DST=2400:7800:0000:502f:0000:0000:0000:0240/993 TCP 廃棄[パケットフィルタ]
 23. 2021/03/18 11:56:22 SRC=2409:0010:XXXX:YY10:0000:0000:0011:0017/57601 DST=2400:7800:0000:502f:0000:0000:0000:0240/993 TCP 廃棄[パケットフィルタ]
 25. 2021/03/18 11:56:20 SRC=2409:0010:XXXX:YY10:0000:0000:0011:0017/57601 DST=2400:7800:0000:502f:0000:0000:0000:0240/993 TCP 廃棄[パケットフィルタ]
 27. 2021/03/18 11:56:17 SRC=2409:0010:XXXX:YY10:0000:0000:0011:0017/57601 DST=2400:7800:0000:502f:0000:0000:0000:0240/993 TCP 廃棄[パケットフィルタ]
 29. 2021/03/18 11:56:15 SRC=2409:0010:XXXX:YY10:0000:0000:0011:0017/57601 DST=2400:7800:0000:502f:0000:0000:0000:0240/993 TCP 廃棄[パケットフィルタ]
 30. 2021/03/18 11:56:14 SRC=2409:0010:XXXX:YY10:0000:0000:0011:0017/57601 DST=2400:7800:0000:502f:0000:0000:0000:0240/993 TCP 廃棄[パケットフィルタ]
 32. 2021/03/18 11:56:13 SRC=2409:0010:XXXX:YY10:0000:0000:0011:0017/57601 DST=2400:7800:0000:502f:0000:0000:0000:0240/993 TCP 廃棄[パケットフィルタ]
 33. 2021/03/18 11:56:12 SRC=2409:0010:XXXX:YY10:0000:0000:0011:0017/57601 DST=2400:7800:0000:502f:0000:0000:0000:0240/993 TCP 廃棄[パケットフィルタ]
 35. 2021/03/18 11:56:12 SRC=2409:0010:XXXX:YY10:0000:0000:0011:0017/57601 DST=2400:7800:0000:502f:0000:0000:0000:0240/993 TCP 廃棄[パケットフィルタ]
 36. 2021/03/18 11:56:12 SRC=2409:0010:XXXX:YY10:0000:0000:0011:0017/57601 DST=2400:7800:0000:502f:0000:0000:0000:0240/993 TCP 廃棄[パケットフィルタ]
 37. 2021/03/18 11:56:12 SRC=2409:0010:XXXX:YY10:0000:0000:0011:0017/57601 DST=2400:7800:0000:502f:0000:0000:0000:0240/993 TCP 廃棄[パケットフィルタ]

キャプチャしたパケットをPR-600MIのLAN側とWAN側に分離して確認した

（Mail<->）NVR510<->PR-600MI


PR-600MI<->UNI port（AlaxalaGW@NTT<->Mail server）


パケット#69-72通信後、約30分後に#73-74パケットがサーバからクライアントに送信される。
#74は、「FIN/ACK」でセッションの終了宣言。
#75-82は、クライアントからの応答が無いため「+0.2秒」「+0.4秒」「+0.8秒」・・・「+27秒」と8回再送パケットを送る。
#83は、クライアントからサーバーへ#73の応答？を送信するがPR-600MIが#37「廃棄[パケットフィルタ]」で廃棄
#84-98は、サーバーから応答が無いため#83の再送をするがPR-600MIが#36-#17「廃棄[パケットフィルタ]」で廃棄

「2400:7800:0:502e::51-4」サーバー

セキュリティログ（IPv6）
  3. 2021/03/18 13:16:56 SRC=2400:7800:0000:502e:0000:0000:0000:0054/993 DST=2409:0010:XXXX:YY10:0000:0000:0011:0017/49337 TCP 廃棄[パケットフィルタ]
  6. 2021/03/18 13:16:29 SRC=2400:7800:0000:502e:0000:0000:0000:0054/993 DST=2409:0010:XXXX:YY10:0000:0000:0011:0017/49337 TCP 廃棄[パケットフィルタ]
  9. 2021/03/18 13:16:16 SRC=2400:7800:0000:502e:0000:0000:0000:0054/993 DST=2409:0010:XXXX:YY10:0000:0000:0011:0017/49337 TCP 廃棄[パケットフィルタ]
 12. 2021/03/18 13:16:09 SRC=2400:7800:0000:502e:0000:0000:0000:0054/993 DST=2409:0010:XXXX:YY10:0000:0000:0011:0017/49337 TCP 廃棄[パケットフィルタ]
 17. 2021/03/18 13:16:06 SRC=2400:7800:0000:502e:0000:0000:0000:0054/993 DST=2409:0010:XXXX:YY10:0000:0000:0011:0017/49337 TCP 廃棄[パケットフィルタ]
 26. 2021/03/18 13:16:05 SRC=2400:7800:0000:502e:0000:0000:0000:0054/993 DST=2409:0010:XXXX:YY10:0000:0000:0011:0017/49337 TCP 廃棄[パケットフィルタ]
 27. 2021/03/18 13:16:04 SRC=2400:7800:0000:502e:0000:0000:0000:0054/993 DST=2409:0010:XXXX:YY10:0000:0000:0011:0017/49337 TCP 廃棄[パケットフィルタ]
 28. 2021/03/18 13:16:03 SRC=2400:7800:0000:502e:0000:0000:0000:0054/993 DST=2409:0010:XXXX:YY10:0000:0000:0011:0017/49337 TCP 廃棄[パケットフィルタ]
 29. 2021/03/18 13:16:03 SRC=2400:7800:0000:502e:0000:0000:0000:0054/993 DST=2409:0010:XXXX:YY10:0000:0000:0011:0017/49337 TCP 廃棄[パケットフィルタ]
 30. 2021/03/18 13:16:03 SRC=2400:7800:0000:502e:0000:0000:0000:0054/993 DST=2409:0010:XXXX:YY10:0000:0000:0011:0017/49337 TCP 廃棄[パケットフィルタ]

（Mail<->）NVR510<->PR-600MI


PR-600MI<->UNI port（AlaxalaGW@NTT<->Mail server）


パケット#44までは、「2400:7800:0:502f::240」サーバーとの送受信
約30分（1800秒）後に#45のパケットが「2400:7800:0:502e::54」から送信される
#46で「FIN/ACK」が送信される
#47-54まで#46が再送信される
#45-54までIPv6パケットフィルタ設定で許可されているが#30-3「廃棄[パケットフィルタ]」で廃棄

（３）まとめ
・IPv6パケットフィルタで許可設定しても「廃棄[パケットフィルタ]」で廃棄される
・SPI(Statefull Packet Inspector)は、「FIN/ACK」で誤遷移し「廃棄[パケットフィルタ]」廃棄が推定される

NTTに確認する必要がある。。。

2021/03/24追記：SPI設定のTCPタイムアウト値（デフォルト値）

ひかり電話 HGW PR-600MIのセキュリティログからポートスキャンログを排除する

China Telecom領域からのIPv6(IPoE)ポートスキャンをPR-S300SEでは「China Telecom領域からのIPv6スキャンをフィルタする」で対処した。「ひかり電話 HGW PR-S300SEのSPI設定とIPv6パケットフィルタ設定（IPoE）」の不具合調査の過程で「ひかり電話 HGW PR-S300SEからPR-600MIに変更された」。PR-600MIの「詳細設定」「IPv6パケットフィルタ設定（IPoE)」では、「セキュリティログ保存可否」指定が出来なくなり、最大100行の「セキュリティログ（IPv6）」がポートスキャンで埋め尽くされてしまう。
NTTのフレッツ・ネクストGWとPR-600MIの間にGWを挿入して不要なChina Telecom領域からのポートスキャンを叩き落とし、必要なログが残るよう構成した（「ひかり電話HGW PR-S300SEのIPv6スループットを確認する」と同等の構成）

（１）構成
PR-600MIのUNIとWAN間をDebian10でブリッジ接続し、ebtablesでChina Telecomからのポートスキャンを遮断する

ブリッジ接続装置
XPS8300( Intel Core i7-2600 @3.4Ghz / Memory 8Gbytes)
debian10(4.19.118-2)
bridge-utils(1.6-2)
Intel Pro/1000PT EXPI9402PT（82571EB） enp1s0f0/enp1s0f1

（２）接続
PR-600MIのUNI端子（ジャック）とenp1s0f1、WAN端子（プラグ）とenp1s0f0を接続する。
直接接続でも良いが、Netgear GS-116EにVLAN設定して下記のように接続した


（３）フィルタ設定
ブリッジポート間を通過する「China Telecom(240e:f7:4f01:c::/64))からのIPv6パケット」を「ebtables」で遮断する

FORWARD chain
eatables -A FORWARD -p 0x86dd -s 00:12:e2:ab:cd:ef -i enp1s0f1 --ip6-src 240e:f7:4f01:c::/64 -j DROP

遮断ログを記録する場合は、「--log-prefix "China Telecom " --log-ip6」を加える

（４）PR-600MIセキュリティログ（IPv6）
China Telecom領域からの不要なポートスキャンログが排除されると必要なログだけが記録される

「240e:00d9:d800:0200」China Telecom領域
「2001:4ca0:0108:0042」Germany
からのポートスキャンと思われるパケットが記録されるが、頻繁で無いので未対処

「2400:7800:0000:502e:0000:0000:0000:0053/993」は、「ぷららのメールサーバ」なので遮断する必要の無いパケット。
遮断してはいけない。。。。。PR-S300SEと同じだ。。。。