2012年4月からフレッツ光ネクスト ファミリー・ハイスピード(D:200Mbps/U:100Mbps)+ひかり電話+フレッツTVを契約しホームゲートウェイ PR-S300SE(GV-ONU)がレンタルされている。インターネット接続(ISP)には、2003年5月からフレッツ光と共に「ぷらら」のIPv4/IPv6(PPPoE)接続を利用している。
「NVR500でIPv6 PPPoEインターネットとフレッツ情報サイトへの同時接続(2012年5月)」
「PR-S300SEとNVR-500のフレッツ情報サイトIPv6常時接続方法を変更する(2012年6月)」
「ヤマハNVR500の簡単設定でひかり電話とぷららIPv4 PPPoEとIPv6 PPPoEの同時接続設定(2018年6月)」
とIPv6環境を整え、2018年6月にTransixのIPv6(IPoE)とIPv4 over IPv6(DS-Lite)が「ぷらら」から提供され「ヤマハ NVR500で「ぷらら」のIPv6 IPoE接続を行う」でMacbookもIPv6アクセスが可能になった。メールアクセスや時刻同期(NTP)などのアプリケーションもIPv6接続する設定を進めて来た。
IPv4 over IPv6で夜間帯のインターネットアクセスが改善された。しかし、時たまウェブページ表示が異常に遅かったり、メール更新が異常に遅い事が発生していた。
何が原因か判らなかったが、「China Telecom領域からのIPv6スキャンをフィルタする」で不要なログ表示を停止設定した事により、セキュリティログのアクション「廃棄[SPI]」でimapsポート993のパケットが廃棄されている記録が見つかった。
詳細に調べる事にした。
1)確認環境構築
「ヤマハ NVR500で「ぷらら」のIPv6 IPoE接続を行う」「ヤマハNVR500で「ぷらら」IPv6 IPoE接続 Transix DS-Lite」の稼働環境(NVR500不具合でNVR510に変更)で確認を行う。
確認を行うPC(Macbook pro)は、IPv6でアクセス。それ以外のPCはIPv4でアクセスし、IPv4 over IPv6でSPIとパケットフィルタを回避する環境を構築する。
具体的には、「ぷらら」のIPv4 PPPoE接続で通知される「A応答専用」DNSアドレスをDHCPで配布する。Macbook proは、手入力で「フレッツ光ネクスト」のホームゲートウェイ(PR-S300SE)から通知される「A/AAAA応答」DNSアドレスを設定して実現する。
環境変更後、IPv6 IPoE変更以前のIPv4/IPv6 PPPoE環境に戻ったような状態。感覚的だが良好な状態と思える。
2)確認
IPv6パケットフィルタ設定(IPoE)
China Telecom領域からのパケットスキャンが廃棄[SPI]記録されるのをパケットフィルタで通過拒否+記録拒否設定し、セキュリティログを見易くする。
「ぷらら」のIPv6 IMAPサーバ間のアクセスをパケットフィルタで通過設定する。これで、IMAPサーバとのパケットは、SPIの影響を受けないはず。
Macbook proのMailアプリでimapプロトコル使用して状況を確認
IMAPサーバへのアクセスが廃棄[SPI]記録される場合がある。通過フィルタ設定下で廃棄[SPI]が発生する条件を確認するためWiresharkでパケットキャプチャを行う。
Wiresharkパケットキャプチャ
「TCP Retransmission」パケットが廃棄[SPI]されているようだ。
3)NTTへ問合せ
2月18日(木)に問合せの結果、機器交換で改善確認する事になる。最短で19日午前中に配送。機器交換後、NTT電話でMACアドレス登録を依頼し使用可能状態になるとの事。ハードウェアに問題が無いので異なるファームウェアとなるようPR-S300SE以外の代替えを依頼する。
「NVR500でIPv6 PPPoEインターネットとフレッツ情報サイトへの同時接続(2012年5月)」
「PR-S300SEとNVR-500のフレッツ情報サイトIPv6常時接続方法を変更する(2012年6月)」
「ヤマハNVR500の簡単設定でひかり電話とぷららIPv4 PPPoEとIPv6 PPPoEの同時接続設定(2018年6月)」
とIPv6環境を整え、2018年6月にTransixのIPv6(IPoE)とIPv4 over IPv6(DS-Lite)が「ぷらら」から提供され「ヤマハ NVR500で「ぷらら」のIPv6 IPoE接続を行う」でMacbookもIPv6アクセスが可能になった。メールアクセスや時刻同期(NTP)などのアプリケーションもIPv6接続する設定を進めて来た。
IPv4 over IPv6で夜間帯のインターネットアクセスが改善された。しかし、時たまウェブページ表示が異常に遅かったり、メール更新が異常に遅い事が発生していた。
何が原因か判らなかったが、「China Telecom領域からのIPv6スキャンをフィルタする」で不要なログ表示を停止設定した事により、セキュリティログのアクション「廃棄[SPI]」でimapsポート993のパケットが廃棄されている記録が見つかった。
詳細に調べる事にした。
1)確認環境構築
「ヤマハ NVR500で「ぷらら」のIPv6 IPoE接続を行う」「ヤマハNVR500で「ぷらら」IPv6 IPoE接続 Transix DS-Lite」の稼働環境(NVR500不具合でNVR510に変更)で確認を行う。
確認を行うPC(Macbook pro)は、IPv6でアクセス。それ以外のPCはIPv4でアクセスし、IPv4 over IPv6でSPIとパケットフィルタを回避する環境を構築する。
具体的には、「ぷらら」のIPv4 PPPoE接続で通知される「A応答専用」DNSアドレスをDHCPで配布する。Macbook proは、手入力で「フレッツ光ネクスト」のホームゲートウェイ(PR-S300SE)から通知される「A/AAAA応答」DNSアドレスを設定して実現する。
NVR500/510 configuration変更前
dns server select 500000 dhcp lan2 any .
dns server select 500001 pp 1 any . restrict pp 1NVR500 configuration変更後
dns server select 499999 pp 1 any . restrict pp 1
dns server select 500000 dhcp lan2 any .NVR510 configuration変更後(NVR510はAAAA応答を抑止する事が出来る)
dns server select 500000 dhcp lan2 any .
dns server select 500001 pp 1 any . restrict pp 1
dns service aaaa filter onMacBook pro変更
IPv6アドレス:手入力:2409:10:XXXX:YY10::11:4/64
DNS: PR-S300SEのLAN側IPv4アドレス
DNS: PR-S300SEのLAN側IPv6アドレス2)確認
IPv6パケットフィルタ設定(IPoE)
China Telecom領域からのパケットスキャンが廃棄[SPI]記録されるのをパケットフィルタで通過拒否+記録拒否設定し、セキュリティログを見易くする。
「ぷらら」のIPv6 IMAPサーバ間のアクセスをパケットフィルタで通過設定する。これで、IMAPサーバとのパケットは、SPIの影響を受けないはず。
Macbook proのMailアプリでimapプロトコル使用して状況を確認
IMAPサーバへのアクセスが廃棄[SPI]記録される場合がある。通過フィルタ設定下で廃棄[SPI]が発生する条件を確認するためWiresharkでパケットキャプチャを行う。
Wiresharkパケットキャプチャ
「TCP Retransmission」パケットが廃棄[SPI]されているようだ。
3)NTTへ問合せ
2月18日(木)に問合せの結果、機器交換で改善確認する事になる。最短で19日午前中に配送。機器交換後、NTT電話でMACアドレス登録を依頼し使用可能状態になるとの事。ハードウェアに問題が無いので異なるファームウェアとなるようPR-S300SE以外の代替えを依頼する。
アクセス
トータル
