2019-09-23

WXR-1900DHP3 が V6プラス接続時に外向きのパケットのエラーログを大量にはく件

ルーターは RTX830 に替えましたので、いまやこの問題は私にとっては意味がなくなったのですが、この機種をお使いの方にとってはイヤラシイ問題です。



本来のブロックログがこの大量の外向きパケットの拒否ログに埋没してログ自体が見にくいものになっています。

実害はないので、この拒否ログを出さないようにするには IP フィルターで自分のプライベートアドレスから出ていくパケットはすべて「通過」設定すればでなくなります。


本記事掲載時点での最新ファームウェア Ver 2.59 でもこれは治っていません。




バッファロー-にこの情報は過去に上げましたが、バッファローからの回答はもらわないままですし、修正もされていません。


バッファローのサポートは、情報をクレクレいうばかりで、実態的に問題修正の方向には向いていませんね。



さて、私なりの推察は次のとおりですが、その前に前提となる条件をいくつか挙げます。


まず、V6プラスで割当てられる IPv4 アドレスとポート番号ブロックを下記のサイトで調べることができます。

http://ipv4.web.fc2.com/map-e.html

このサイトの「
[計算]


の枠内にグレーアウトして記述例が記載されていますが、このアドレスを指定して [計算] すると、次の結果が得られます(ナンと例でもアドレスは実在するようです)。

CE :      240b:12:3456:7800:e:834:5600:7800
IPv4アドレス :  14.8.52.86
  6016-6031 10112-10127 14208-14223
        18304-18319 22400-22415 26496-26511
        30592-30607 34688-34703 38784-38799
        42880-42895 46976-46991 51072-51087
        55168-55183 59264-59279 63360-63375
     120 (10進)




*** WXR-1900DHP3 で外向きのパケットの拒否ログが出る件 ***

ルーターの LAN 側の出荷時設定値は 192.168.11.0/24(ルーター自身は 192.168.11.1)です。

 送信元 :  192.168.11.2 : 443
 宛先  :  www.yahoo.co.jp : 443

を例にどのような処理がなされるかを簡単に記載します。

ルーターは NAPT で送信元を次のようにアドレス/ポート変換をします。

 送信元 :  14.8.52.86 : nnn
 宛先  :  www.yahoo.co.jp : 443

       ※ nnn は CEでポートを割当ポートに変換(例: 6016 など)

【推察 ①】

 このときに nnn が 4096 〜 65535 の場合はそのままではないか?

 本来は、割当てられたポート番号の一つに変換するはずだが、
 これが割当て「候補」番号帯、すなわち 4096 以降の番号の場合、
 割当て外でもそのまま使い変換しない。

【推察 ②】

 NAPT あふれが発生してポート変換できないので、ポート番号は変換せずに
 そのまま使用した?


考えられるのは以上の2点ですが、【推察 ②】はまずないと思われる。
仮に NAPT が足りなくなってあふれた場合はそのパケットを捨てるしかありません。


結果、ウェブ閲覧などでは NAPT あふれ時は応答がない、あっても画像や広告類は抜ける、画面が真っ白になる、などという現象で現れるはずです。


私が2年間使ってきた限りでは NAPT あふれ事象には遭遇していません。



【推察 ①】のケースでは、CE でパケット違反として外向きなのに拒否ログを吐くということではないかと考えられる。

CE での拒否理由は自分側ポート番号が、割当てられた番号ではない、ということと思われる。


つまり NAPT 変換と CE での自己矛盾処理の結果生じている事象と思われます。



正常パケットの場合は次のようなカプセル化と送信処理に入リます。

 ⇓ 【CE/v6カプセル化】

 ⇓ 【JPNE/BR】アンカプセルと [宛先 IP:ポート] へのリクエスト

 ⇓   [宛先 IP:ポート] からの応答

 ⇓ 【JPNE/BR】カプセル化

 ⇓ 【CE/アンカプセル】

 ⇓

正常応答受信




《参考》


・通常の NAPT の場合

  送信元 : [ローカル IP : ポート番号1] ➡ [グローバル IP : ポート番号2(1024〜65535)]


  ポート番号1 と 2 との変換テーブルを保持しておいて、戻ってきたら逆変換する


・V6プラスでの NAPT の場合

 1.「ポート番号2」は「割当てられたポート番号」を使う

 2. NAPT 変換テーブル満杯(すでにすべての外向きに割当て済み)の場合は、そのパケットは破棄と思われる

 3. 外向きの場合、基本的にフィルターではすべて通すが、[グローバル IP : ポート番号2] 以外は不当とみなしている(割当てられたポート番号以外)。

 そこで LAN 側からの要求のうち、上記に引っかかるのもが「拒否ログ」として残る





時刻:

0 件のコメント:

コメントを投稿

登録: コメントの投稿 (Atom)