ひかり電話 HGW PR-600MIのIPv6パケットフィルターがネットボランチDDNS登録をTCP廃棄

公開アドレスのWebページがアクセス出来なくなった。
調べてみるとDDNSアドレスが更新されていない。DDNSは、NVR510のNetvolanteサーバーを利用しているので再登録を試みると

登録できない。

PR-600MIのセキュリティログ（IPv6）に「TCP廃棄［パケットフィルタ］」でNetvolanteサーバへの登録パケットが廃棄されている

「01.00.0005」では、登録されていた。「01.00.0007」からおかしい。。。
内部（イントラネット内）からインターネット（NGN網を含むグローバルアドレス）への通信は、基本「許可」だろう。SPIの不具合か？

NVR510以外に、OpenWrt上のDDNSからも登録ができていない。「2409:10:XXX:YY00::/64」のPrefixを持つ（PR-600MIのLAN側と同じ）機器からのアクセスがIPv6パケットフィルターで遮断されている。DHCPv6サーバ払い出しを全て停止しても状況に変化なかった。

その他の確認
VAIO(VJP131B01N)にDebian10を稼働させ、PR-600MIのLAN側に接続し、

「192.168.1.10/24」「2409:10:XXXX:YY00:2a48:9cba72e6:6d1」のIPアドレスを得る
・ぷららのWebサービスサーバー（ http://www.plala.or.jp/ ） 「接続できず」 「セキュリティログ（IPv6）でTCP廃棄[パケットフィルタ]」
・ぷららのメールサーバー（ v6mail.plala.or.jp:imaps ） 「接続できず」 「セキュリティログ（IPv6）でTCP廃棄[パケットフィルタ]」
・ping6/ping -6は、応答あり

「192.168.11.18/24」「2409:10:XXXX:YY10:d6be:1a00:ab70:42dd」のIPアドレスを得る
・ぷららのWebサービスサーバー（ http://www.plala.or.jp/ ） 「接続」
・ぷららのメールサーバー（ v6mail.plala.or.jp:imaps ） 「接続」

「ひかり電話 HGW PR-600MIのfirmware更新とIPv6パケットフィルターの不具合」との関連が疑われる。
対策を検討するも術が無い。
「詳細設定」「IPv6パケットフィルタ設定（IPoE）」で「IPv6ファイアウォール機能」の「無効」が考えられるが、ポートスキャンの現実を考えると問題。

ひかり電話 HGW PR-600MIのfirmware更新とIPv6パケットフィルターの不具合

５月13日の朝、メールが届いていた

DHCPv6の「Reconfigure」を受けたって事は、もしかして「IPv6 Prefix」が変化した？と思って（IPv6 IPoEに移行時にこれを受けた）確認

PR-600MIの画面を確認

表示されたままの画面から

更新ログを確認してみた

ファームウェアが「01.00.0005」から「01.00.0007」に更新されていた

「障害ログ」によれば、夜中に自動更新されたようだ


ひかり電話HGWが再起動されると「DHCPv6のリースした情報」もクリアされる
起動後、「Reconfigureメッセージ」でPrefix Delegationの再取得を指示する

再取得が行われたが、Prefixの順序が変化してしまった。「NVR510[ac:44:f2:aa:bb:cc]」が「2409:10:XXXX:YY10::/60」、「OpenWrt(WZR-HP-G300NH[00:1d:73:dd:ee:ff]」が「2409:10:XXXX:YY20::/60」、「NVR500[00:a0:de:11:22:33]」が「2409:10:XXXX:YY40::/60」で運用しているためホームネットワーク内の通信ができなくなる。

OpenWrtとNVR500のWANコネクタを外し、PR-600MIを再起動し、NVR510に「2409:10:XXXX:YY10::/60」を取得させる
次にOpenWrtのWANコネクタを接続しWANインターフェースを再起動し「2409:10:XXXX:YY20::/60」を取得させる。
OpenWrtにsshでログインしGetPrefixスクリプトを実行して「2409:10:XXXX:YY30::/60」をダミー取得する。

/root/GetPrefix
#!/bin/sh
CID="00030001c025e9445566"
IF="eth1"
PID="/var/run/odhcp6c-sh.pid"
SCRIPT="/root/odhcp6c-sh"
DHCPV6CL="/usr/sbin/odhcp6c -k -P0"

for CL in $CID; do
    $DHCPV6CL -c$CL -s$SCRIPT -d -p$PID $IF
    while [ ! -e "$PID" ]; do sleep 1; done
    while [ -e "$PID" ]; do sleep 1; done
done
# -l 5xn
logread -l 20 -e "odhcp6c-sh:\sPrefix="
echo "Finish..."

/root/odhcp6c-sh
#!/bin/sh
[ -z "$2" ] && echo "Error: should be run by odhcpc6c-sh" && exit 1

(
        flock 9
        case "$2" in
                bound)
                        logger -t "odhcp6c-sh" -s " Prefix=$PREFIXES Clinet-ID=$O
                        [ -e "/var/run/odhcp6c-sh.pid" ] && kill -HUP `cat /var/
                        [ -e "/var/run/odhcp6c-sh.pid" ] && rm /var/run/odhcp6c-
                ;;
                *)
                        logger -t "odhcp6c-sh" -s $2
                ;;
        esac

) 9>/tmp/odhcp6c-sh.lock.$1
rm -f /tmp/odhcp6c-sh.lock.$1

この後、NVR500で「ipv6 lan2 dhcp service client」を実行して「2409:10:XXXX:YY40::/60」を取得させる。PR-600MIを再起動させるとこのような手順が発生してしまう。対応方法を検討中。

更新後の問題
・「セキュリティログ（IPv6）」が突然「0 entries」になる
・ログ記録が止まる
・数時間後にIPv6通信ができなくなる（ルーティングされなくなる）
・その他の機能は、動作している（不具合を認識できない）

修復方法
PR-600MIの・再起動

NTTサポート
・バージョンを「01.00.0005」に戻したいのでダウンロード場所を問い合わせたが、ダウンロードサポート無しとの事（NTT）
・技術者派遣で状況確認が必要（NTT）
・コロナ下で対面対応を避けたいので様子見とした

Netgear JGS524E GS116E GS308E GBT スイッチでVLAN

「Netgear GS116E GBTスイッチが寿命を迎えた」でJGS524EとGS308Eを導入した。「Netgear GS116E ライフタイム保証」でGS116Eが再び蘇った。3台のL2スイッチでホームネットワークをVLANで構成してみた。


JGS524Eを中核に「ひかり電話ホームゲートウェイPR-600MI」と「NTT-East NGN GW」間に「Debian10 Bridge Gateway」をVLAN設定で接続・分離可能な構成とする（「ひかり電話HGW PR-S300SEのIPv6スループットを確認する」「ひかり電話 HGW PR-600MIのセキュリティログからポートスキャンログを排除する」「ひかり電話 HGW PR-600MIのIPv6スループットを確認する」）。PR-600MIの配下にYamaha NVR510ルータを接続し、配線済み4居室へホームネットワークを構成する。各居室では、5ポートのL2スイッチ（LSW3-GT-5EP）などで接続。他の居室、モバイル機器、IoT（電話機、インターホーン、車充電器監視）は、WiFi接続。


PR-600MI（UNI/WAN/LAN）の3ポート、NVR510（WAN/LAN）2ポート、Debian10（enp3s0/enp6s0/enp7s0/enp1s0f0/enp1s0f1）5 ポート、NVR500（WAN/LAN）2ポート、OpenWrt(WZR-HP-G300NH WAN/LAN）2ポート、Synology NAS DS-216J（LAN）1ポート、TimeCapsule（ブリッジモード WAN）1ポート、室内５居室への接続5ポート、Mirror専用1ポートでJGS524Eの22ポートを使う。JGS524EとGS116Eは、LAG(Link Aggregation Group)設定が利用できるので、最大1Gbps帯域2Gbpsで結合し、VLANを拡張した。現在は、GS116Eに100MbpsのSilex USB Device Serverを一つ接続している。
2F東居室では、5ポートL2スイッチにTVとTVレコーダが接続されている。このスイッチを中継してGS308EへVLAN接続する（VLAN01をUntagとしVLAN02から08までTag付で接続。VLAN01は、Native VLAN）。他の居室へもVLAN設定でGS308Eの移動やGS105Eなどの増設でVLAN接続が利用できる。

各スイッチの設計は、下記の通り

GS308Eのポート4は、192.168.1.0/24(2409:10:XXXX:YY00::/60)のネットワークでPR-600MIのDHCPでIPが配布される。ポート5は、192.168.5.0/24(2409:10:XXXX:YY40::/60)のネットワークでNVR500のDHCPでIPが配布され、NAPTで192.168.1.0/24のネットワークに接続される。ポート6は、192.168.12.0/24(2409:10:XXXX:YY20::/60)のネットワークでOpenWrtのDHCPでIPが配布される。
macOSは、Tagged VLANを仮装インターフェースとして設定できるので、接続ポートをTrunk Portとし、「システム環境」「ネットワーク」で選択する方法も可能
（Windows10でもTagged VLAN毎にインターフェースを設定可能）。

Debian10 Bridge Gatewayは、JGS524Eのポート24をVLAN08(PVID=08)からVLAN02(PVID=02)へ変更すると切り離される。

ネットワーク構成上の問題点
PR-600MIのDHCPv6-Prefix Delegation Serverは、ルータ毎にPrefixを指定出来ない。Delegationは、未使用のPrefixを要求の順番に割り当てる。一度割り当てられたPrefixもreleaseすると未使用状態となり他のクライアントに早いもの順で割り当てられる。DHCPのIP割当と異なる。
上位DHCPv6サーバーからReconfigureが指示されると、Prefix割当が対応順位で異なったPrefixに変更されてしまい、IPv6通信ができなくなる（IPv4 over IPv6なのでIPv4も通信できなくなる）。
同様に、停電復帰時に「シャットダウン」が行われるとルータ機器の起動順位でPrefixが変化（「APC SMT500J にSynology DS216J (USB)とDebian10(Serial)から同時接続」）してしまう。

今後の予定
・DHCPv6-PDの問題解決
・NVR500/510, OpenWrt, Debian10などのインターフェースでTagged VLANを扱う
・IPv4/IPv6 Tagged VLANのRouting

Netgear GS116E GBTスイッチに設定したVLAN上のIPv6 Multicast

「Netgear GS116E(1.00.16) GBTスイッチに設定したVLAN上のIPv6 Multicastが？」でPORT VLANの不具合とIPv6 Multicast動作を確認したが、「Netgear GS116E GBTスイッチが寿命を迎えた」で調査が出来なくなった。新たに調達した「JGS524Ev2」と「GS308E」、「Netgear GS116E ライフタイム保証」のGS116Ev2でPORT VLANとIPv6 Multicastを確認してみた。


（１）PORT VLAN
この記事によると「GS116Ev2のPORT VLANの不具合（Aug.2014）」があるようだ。
GS116Ev2(2.6.0.48）
GS308E(V1.00.08JP)
JGS524Ev2(2.6.0.48)
で「ポートベース（基本）」設定でNVR500 WANポートを各スイッチポートP01へ接続し、PR-600MI LANポートをP02へ接続し、P01とP02をVLAN=02に設定して、「ぷらら」にIPv4 PPPoE接続した。
結果、各機種とも問題なかった。
GS116Eのファームウェア バージョンが「1.00.16」だった事が原因かもしれない。
現時点で最新のバージョンは、「1.00.21」だが、確認の術が無い。

PR-600MI WANとUNIをP03 P04 VLAN=03で同時接続して確認を行いたかったが、「ひかり電話」との関係で実施しなかった。

（２）IPv6 Multicast
JGS524Ev2、GS116Ev2、GS308E共にTAG VLAN(802.1q)を設定し確認した。
各機種VLANのスコープ内だけにIPv6 Multicastされ問題無かった。

JGS524EのポートP01がミラーポート(VLAN=100 Untag/PVID=100)
ポートP24がPR-600MIのUNI(VLAN=08 Untag/PVID=08)
ポートP20がPR-600MIのLAN(VLAN=02 Untag/PVID=02)


PR-600MIのUNIポートでIPv6 Multicastをキャプチャー(DHCPv6/Router Solicit/Router Advertise)

VLAN02に接続された機器は、PR-600MIのWAN、Debian10のbridgeを介してVLAN08上のUNIポート先にあるNGNゲートウェイ機器
VLAN02以外のネットワークからのIPv6 Multicastは確認されなかった

PR-600MIのLANポートでIPv6 Multicastをキャプチャー(DHCPv6/Router Solicit/Router Advertise)

VLAN03に接続された機器は、NVR510/NVR500/OpenWrt/Debian10
VLAN03以外のネットワークからのIPv6 Multicastは確認されなかった
「表示フィルター」は、Wiresharkを起動しているDynaBook SSからのパケットを取り除いている

Netgear GS116E ライフタイム保証

JGS524E GBTスイッチとGS308Eを購入後に「Unlimited Lifetime Hardware Warranty」対象製品だった事を思い出した。
このProgramは、2007年11月1日から2019年9月30日までに購入されたProSafe製品が対象。
「2011年9月19日購入のGS116E」は、対象（購入証明は、amazonの領収書）で30日以内登録が2011年9月20日。

と言うことで、RMA番号受領後、送料負担でGS116Eをサポートセンター指定場所へ送付。

ライフタイム ハードウェア保証品が送付されてきました

GS116Ev2（最新のハードウェアのようだ）
ファームウェア（2.6.0.43）から（2.6.0.48）にアップデート
JGS524E+GS308E+GS116Eで合計48ポート。。。