昨日はなんだか色々な人が来た。
朝からNTTの人がルーターの交換。
お昼には東芝の人が洗濯機リコールの修理。
午後には佐川の人がウーファーを持ってきた。
なんかバタバタした一日だったかも。
ウーファーはまた別の日にメモるとして、今日はルーター交換の話。
実は5月下旬くらいから、NTTのサポートの人と色々やり合っていた。
一応、今回で一旦様子見となったので、少しまとめてみたい。
きっかけはカミさんが最近ネットの調子が悪いと言った事。
ボクはそんな感じはしなかったが、注意深くみてると確かにページを開くと読み込み中のマークが結構長くクルクルまわっている。
ボクは普段タブで裏に開くので気付かなかった。
色々調べてみるとルーター(PR-S300SE)のセキュリティログに変なログが出ている。
ローカルから外に出ているhttpのパケットがSPIで破棄されているのだ。
具体的にはこんな感じのログが大量に出ていた。
日時 ローカルのアドレス:52374 グローバルのアドレス:80 TCP 廃棄[SPI]
ローカルのアドレス、ポートはソースで、グローバルのアドレス、ポートは宛先だ。
どうやらSPIの機能が上手く動いていないようで、通常のアクセスまで破棄してパケットの再送が起きているのが原因かもしれないと考えた。
残念な事にSPIはルーターの設定ではOFFに出来ない。
仕方がないのでNTTに連絡をしてみた。
まずはNTTの回答としてはローカルのポートがおかしいhttpだったら80ではないかとの事だ。
ボクはちょっとげんなりしながら通常httpのポート80は宛先ポートの事でソースのポートはランダムに振られるのが一般的ではないかと説明した。
やっと納得したようで再度調べますとの事。
一週間後くらいにやっと調査が終わったのか、回答が来た。
今度はLANで輻輳が起きていると言ってきた。
どうも家庭内LANでLANコンセントが全て塞がっていないから輻輳が起きるとの話らしい。
LANコンセントが全て埋まっていないケースなんてどこにでもあるしNTTさんのサイトの図でも家庭内LANの絵が色々載っている。
うーん、NTTさんとしてはLANコンセントが全て塞がっていないとダメなんですか?と聞くと正式にはサポートしてませんとの事だ。そんなおかしな話があるのだろうか?NTTさんのサイトではどこにもそんな事は詠っていない。
まぁ取りあえずLANコンセントが原因か調べてみましょうとの事でNTTのサポートの人と話しながらルーターから全てのLANケーブルを外し、カミさんのMacBookを直結してみる。
その状態で幾つかのサイトを見た後にルーターのセキュリティログを見てみると思いっきり同様のログが出ていた。
結局輻輳は関係無しで再度調査しますとの事で振り出しに戻る事に。
その後も色々メールや電話で調査の話を続けていたが、NTTさんの環境ではどうしても再現しないとの事で一度現地調査とルーターの交換をして確認したいとの話になった。
ということでNTTの人がルーターを交換しに来たのだが、現地調査の話は一切聞いていないらしく、本当に同じ機種の新しいルーターに交換しに来ただけだった。
そしてルーター交換後も同じく試してみたが、やはり再現している。
という事で再度調査します&製造元にも問い合わせてみますとの話になった。
ところがボク→NTTさん→製造元さんと伝言ゲームになっているので、製造元さんからの回答が噛み合ない。
製造元さんは一般的なSPIの仕様を今更説明しようとするのだが、ボクが欲しいのは我が家でなぜローカルからグローバルへのパケットをSPIが破棄してしまうのかだ。
ブラウザで閲覧するタイミングで破棄されているので本来は通すべきパケットだと思われる。
宛先のIPアドレスも調べてみたが、閲覧しているサイトにある楽天の広告サーバなど問題ないと思われるアドレスだ。
破棄される理由が良く分からない。
結局NTTさんの方でもう一度現地調査をさせてほしいとの事になる。
今度はNTTさんの方でPCを持参して調査を行うとの事だ。
ボクとしてはSnifferなんかを使用して調べるのかと思っていたが、普通にサイトを閲覧したりTraceRouteをしているくらいだった。
調査の結果、
・NTTさんの持ってきたPCでもわずかだが再現する。
・NTTさんの事務所で使用している同型のルータでもわずかだが発生している。
・我が家で使用しているMacだとさらに顕著に発生する。
・NTTの調査に来た人もやはりローカルからのパケットが破棄されるのはおかしいとの事。
という事で再度今回の調査結果を踏まえ、持ち帰って製造元も含め調査を行うとなった。
そしてやっと昨日の話になるが、東京では殆ど使っていないらしいが別の型のルータPR-S300NEに交換して試してみたいとの事で、交換にやってきた。
結果としてはパケットの破棄のログは出なくなった。
というよりも、そもそもログの出方が違うのでSPIのログを出していないだけなのか、ホントに破棄されていないので出ていないのかは不明だけど。
NTTさんも、製造元さんもPR-S300SEでパケットが破棄されている事象は原因不明との事だ。
いい加減面倒くさくなってきていたので、とりあえずこれで様子見となった。
パケットが破棄されても再送されてweb自体は見れるので中々気付きにくい事象だ。
事象としてはMac、WindowsというよりもTCPの並列度が関係しているように個人的には思う。
速度の速いカミさんのMacの方が顕著にでるし、広告などが沢山あるページの方が出やすい。PR-S300SEを使用している人は一度セキュリティのログを見た方が良いかもしれない。
24 件のコメント:
はじめまして。
私の家のPR-S300SEで、同じような現象がおきています。私の家ではPCではないのですがある機器から外向けhttpのアクセスで「破棄[SPI]」のログが最短で5秒おきにでます。また逆に、PCから外のHTTPのアクセスの帰り部分でも「破棄[NAT]」がでます。これ頻発すると、WEBコンテンツとして画像はX印が頻発して困っています。今月PR-S300SEのファームウェアがアップしてからひどくなりました。特に夜にこの現象がひどくなります。
連絡してみようと思います。
はじめまして。
結構簡単に再現するのにネットにも情報がなく、ボクだけかと思っていました。
やはり同じ様に出るのですね。
NATの方は宛先がルータのアドレスでポート80であれば只のアクセスかもしれません。
戻りだとランダムなポートが宛先になるはずです。
(サーバーとか立ててなくても色々なIPアドレスにアクセスを試みている人はいるようです。我が家も出ていました。)
我が家は結局原因不明(というか調べる気なさそう)でNEに交換になりましたが、ぜひ連絡してみてください。
進展ありましたら、またコメント頂けると嬉しいです。
最初にコメントを出した者です。
私もいろいろ調べてみたところ、どうも夜に、破棄[SPI]が多いのと、夜は破棄[NAT](これはこちらがアクセスしたWEBサーバTCP80番ポートからこちらのグローバルIP
へのアクセスを破棄しているので再送...)ということが頻発することから、22時以降は夜中までインターネットが使える状況ではないくらいひどくなりました。最初はルータかと思ったのですがあまりにも1週間以上前と差があったので、プロバイダの問題ではないかと思って、調べると加入者が異常に少ないプロバイダであまり情報がなかったのですが、夜が全くつながらないということは一致していました。このことから、プロバイダを先ほど変更してみたところ、今まで頻発していた、破棄[SPI]とwebサーバからの帰りの破棄[NAT]が全くでなくなりました。(クラッカーからの破棄[NAT]は増えたけど)
これで全てがよくなりました。フレッツスクエアのスピードテストでは、97Mbps(以前は70Mbpsチョットが最高)、プロバイダ間のスピードテストでは、80Mbps(このところは1Mとか4Mbpsとか、コネクションできなくて測れないでしたが、最高で60Mbps)となりPR-S300SEがプロバイダ側との相性があるのではないと推測しています。
今のところ快適になりましたのでこれで様子を見たいと思っています。
コメント遅くなりましたが解決したようでなによりです。
プロバイダが原因でしたか。
最近はプロバイダも色々ポート塞いだり帯域制限かけたりとやってるみたいなので、その辺の絡みもあるのかもしれませんね。
#どちらにしても内側からのパケットを破棄するSPIはダメだと思いますが…
我が家はルーター交換後はログ上は発生しなくなりました。(やっぱりそもそもログに出していない気がしますが)
時間があるときにでもtcpdumpでも取って見てみようと思ってます。
初めまして。
我が家のPR-S300SEでも同様の事象が起きていまして、色々と調べていましたらこちらのサイトにたどり着きました。
同じ事象で悩まれている方が多いのでビックリしました。
なぜNTTは、この機能のOn/Offを出来る様にしなかったのでしょうかね?
私の方は、NTT側では詳細が調査できないという事で、PR-S300SEの製造元にSPIの破棄基準について確認をしている最中です。
また結果が出ましたら投稿させていただきます。
上記のコメントを書き込ませて頂いた者です。
本日、NTTのサポート窓口から連絡がありました。
回答は「ログに表記されている破棄パケットは、送信パケットではなく受信パケットかもしれない・・・」と言う事や「SPIでは送信パケットも破棄します」との回答でした。
さすがにそれはおかしいでしょ(笑)・・・と、送信か?受信か?はIPアドレスの後に表記されているポート番号で判断できますし、そもそもSPIで送信パケットを破棄するって・・・本当ですか?
と、強く反論すると、実は「社内窓口」なる所に確認を取っただけで、約束していた「PR-S300SEの製造元にSPIの破棄基準について確認をする」という事は行っていないという事でした。
挙句の果てに、私どもの窓口ではこれ以上の事は分かりかねますので、他の窓口に問い合わせし直してくださいと・・・・
結局、その指定された窓口に連絡し直して、事象から話し直し、SPIの一般的動作内容説明から電源のOff/Onのやり直しまでの繰り返しです。
全く時間の無駄でした。
今度こそ「PR-S300SEの製造元にSPIの破棄基準について確認してもらいたい(本当に送信パケットも破棄するのか?どうかを含めて)」という事を依頼して、やり取りを終了しました。
また進展がありましたら書き込ませて頂きます。
こんばんは。
他にも同じ様に再現している方がいるのですね。
というより、まだ解消されていなかったのかと驚いています。
少なくともON/OFFさえ付けていれば回避は簡単なのにと思うのですが、残念です。
ボクの件がルーター交換で有耶無耶になったので、その後の調査が打ち切られてしまったのかもしれません。
#ちなみにコメントは名前/URL選択で、URL無しでもコメントできます。分かりにくいコメント欄ですみません。
ローカルからの送信パケットを破棄するのは明らかにおかしいですが、なぜそんな仕様なのか問い合わせても、以下のような回答でした。(噛み合っていない回答ですが)
> SPI機能
> ・ルーターを経由するすべてのパケットの整合性を確認し、ポートを開放・遮
> 断する機能。
> ・一定時間無通信の場合にポートを閉じる機能。
>
> ・お客様が指摘しているLAN側からのパケットがSPIによって破棄されてしまっ
> ている現象は上記の説明からWAN側からのパケットだけではなく、LAN側から
> のパケットも監視しているためLAN側からのパケットも破棄する場合がある。
>
> ・お客様のログを確認したところ、80番ポートのパケットを破棄しているので、
> LAN側から(IPアドレス192.168.XXX.XXX)意図しない通信が発生したためルー
> ターでパケットを破棄したと思われます。
> しかし、このパケットが本当に意図しない通信なのかどうかの確認は出来ま
> せん。
破棄基準についても同じような質問をしましたが、余り有益な回答は貰えませんでした。
以下、回答の抜粋です。
> 【LAN側のパケットを破棄する理由を教えて下さい。】
> SPI機能はルータを経由する全てのパケットを監視しているためWAN側だけでな
> くLAN側のパケットも破棄する場合があります。
>
> 【LAN側からのパケットも破棄する場合の条件を教えて下さい。】
> 一般的な通信手段(RFC等で規定されている各種通信手順)を逸脱していると判
> 断された時にパケットを破棄する場合とSPI設定タイマにより破棄する場合もあ
> ります。
>
> 【意図している通信を破棄する可能性は無いのでしょうか?】
> パケットの整合性を判断している為、意図している通信だとしても整合性が合
> わなければパケット破棄し、意図しない通信だとしても整合性が合えばパケッ
> トを通す可能性もあります。
>
> 【意図していない通信かどうか確認をお願いします。】
> 実際の通信パケットを取得することによって、逸脱した通信手順かどうか確認
> することはできると思いますが、どうして逸脱した通信手順になるかの確認は
> 難しいと思います。
NTTさんのサポートがマトモであれば、ボクのときのサポートログを取っているかと思います。
ボクのサポートは案件番号2100033とメールのサブジェクトについていましたので、合わせて聞いてみると
良いかもしれません。
ボクさん、レスありがとうございました。
投稿者の名前だけでも記入できたのですね。。。よく見れば良かったです。
夜になってNTTから再度の連絡が入りました。
結果的には明日(もう日付が変っているから今日ですね)、調査に来る事になりました。
ただ、そこに至るまでの電話でのやり取りで、NTTの担当者が答えるコメントと言うか回答が、ボクさんからレスして頂いた回答とほとんどと言うか、全く同じなのには驚きました。
もしかしたらNTT側も、同様の事象という事で、ボクさんとのやり取りを確認したのかもしれないですね。
恐らく調査したところで、送信パケットの破棄理由などの詳細は分からずじまいな気がしますねぇ・・・
SPIのOffが出来ればそれで済む事だと思うのに・・・と、ホント思います。
ではまたコメントさせて頂きます。
本日、NTTの方が調査にやってきました。
しかし調査とは名ばかりで、発生している事象もサポートからは聞いていない様で、ただルーター交換に来ました・・・みたいな対応でしたね。
結局はPR-S300SEでのセキュリティログに目を通す事無く、PR-S300NEに交換してしまいました。
色々と話しを聞いてみると、やはり他でも同様の事象がかなり起きているらしく、その時にはPR-S300NEに交換してしまう・・・という流れが出来ている様です。
結果的にはボクさんと同様で、セキュリティログにはSPI関連のログが全く載ってこない所から考えると、ただ表示させていないだけでは?という感じは否めません。
ただ一つ改善された事がありました。
それは上り方向の通信速度が劇的に改善されたというものです。
交換前に数回測った時は、下り90M程度で上り40M程度でした。
それが交換後に測ると、下り90M程度で変らずですが、上りが90M程度とかなりの速度アップとなりました。
時間を変えながら10回ほど測ってみましたが、同様の速度で安定しています。
WEB閲覧時のもたつきに関しては、もう少し長い期間で判断しなければならないと思いますが、現在のところは発生していませんね。
調査に来た方も、この上りの速度アップを見て「やっぱりPR-S300SEには問題があるのかなぁ?」とぼやいていました。
ちなみに製造メーカーはSE:住友製、NE:NEC製という事でした。
しばらくは様子をみてみます。
ボクさん、色々とアドバイスありがとうございました。
悩んじゃってる子羊さん
解決?したようで何よりです。
あまり騒ぐつもりもないですが、なんかNTTの対応も相変わらずという感じですね。
せめてSPIのON/OFFをつけるだけでも良いのにと思います。
#昔のフレッツルーターには合ったようですが…
ついでに速度向上も図れたようで、良かったです。
それにしても上下90Mって凄いですね。
ほぼ限界まで出ている感じですね。
また、何かありましたらコメント下さい。
はじめまして!!
同様の現象が強烈な勢いで出ていまして、ただ当方のはRV-230SEなのですが。
情報としてご報告しておきます。
オフィス環境でWinPCを5台管理していますが、宛先IP/80への廃棄[SPI]が頻発するものが特定されていました。
5台中3台なのですが、なぜ??を数時間検証したところ、なんと当方ではウイルス対策ソフトが原因でした。
・頻発する3台 ‥‥ avast!4.8 → 5(free) (ver.いずれも出現)
・ごく希にしか出ない2台 ‥‥ ノートンアンチウイルス
試しに頻発の3台中1台のavast!を削除してみたところ、その時点では廃棄パケットは全く出なくなりました。
次、それにAVG 9.0(free)をインストール。すると「ごく希に出る」というレベルになりました。
この「ごく希に‥」は一日監視していて1度出るか出ないかですから無視して大丈夫な程と思います。
当方で問題となったavast!ですが、使いやすさ/動作の軽さ/メールフィルタで良くウイルスを検出してくれている/無料、というメリットから自宅でも2台に入れています。自宅でのルータは市販のバッファロー製の無線モノなのですが、セキュリティーのログはあるもののSPIでのそれに当たるものは無い様子で不明です。ただそう思うと一般の多くの環境で「不明」があり得そうですよね。
また、avast!環境でWEB閲覧等での動作に不満は無く、速さなど逆に他社ソフトより快適な使用感でもありました。
どう理解すれば良いものか、ああ他ソフトに乗り換えるべきなんだろうなどうしよう、とか少々考えてしまってる今です。
いかがでしょう?皆さんの環境でも当てはまる部分あります?
ここを参考にして交渉して別の機材(VH100-4E(住友)とRT-S300NEの2台体制)に交換してもらったものです。
【NTT】フレッツ光・ひかり電話対応ルータ Part12
の 693に報告しました。(*)
そのあととりあえず問題なく動作しているようです。
私はNorton Internet Security をいれてましたが、それが関係するかどうかは不明です。NIS を使っている状況はかわりませんが、新しいルータにしてもらってからはこの問題はでてないようです。このルータではちゃんと「外」からの怪しいプローブをSPIを使うことで落していることがログからわかりますし、中のWindows PC がときどき出している137のブロードキャストもルール設定によって落していることがログに残っているので、ルールもSPIも働いているのだろうと思います。
(*)
上の投稿は現在でも次のページとかにも残っています。:
http://2bangai.net/read/47470b457d577f81379132e520ebe1384d6f0634c797845d44dfe86764cad827/all
ルータ ハング FLETS spi でgoogle 検索するとこういったキャッシュ(?)が多数みつかります。
ドリーファンクJr さん
匿名さん
初めまして。
すみません。コメント気づいてなくて遅くなりました。
この問題ってまだ続いていたんですね…
SE系で発生、NE系で落ち着くってパターンが多いのかな。
取りあえず発生した人はNE系に交換を依頼してみるのがオススメだと思います。
ウィルス検知ソフトでも動作が変わる場合があるのですか。
ボクもavastはデュアルブートしているwindows側で使っていますが、今のところ引っかかるような動きは出ていません。(といってもwindows側は余り起動しないのでサンプリングとしては少ないですが)
いい加減対応出来ないのであれば、SPIをON/OFF出来るようにすれば良いのにと思ってしまいます。
->NTTさん
私もPR-S300SEです。家を新築して回線を引いた当初からいくつかのページが読み込み中の状態が終わらなくなっていたをのでおかしいことに気付き、楽天のログインページが表示されないことに気付いて解決法を調べ続けていたのですが、ようやく解決したのでもし私のケースがみなさんと同じであれば解決の為の参考にしていただければ幸いです。
まずURLで「192.168.1.1」を開きます。
[基本設定]→[接続先設定]の順に開き、[ 接続先の選択設定 ]のメインセッションの文字をクリックするとページが切り替わりますので、[ PPPキープアライブ ]の[□使用する]の□のチェックを外します。
[設定]を押します。もう一度切り替わったページで[設定]を押します。
以前はびっくりするほど出ていたのですが、これで[情報]→[セキュリティログ]に
"廃棄[NAT]"や"廃棄[SPI]"が出てこなくなりました。
NTT→プロバイダ→楽天 とたらいまわしにされていたので、こんな簡単な設定で解決してしまって拍子抜けました。
ついでにさっきの接続先設定のページで「PING応答機能 □使用する」のチェックも外しておきました。
シマンテックのセキュリティチェックでopenになっているのが気になったので。
しかしNTTのサービス担当の方の言った、「NTTのプロバイダでは正常に表示されるのでご契約のプロバイダーに問い合わせてください」ってのはちょっとずるいと感じました。なんでNTTのプロバイダは平気なの??
kさん
はじめまして。
そんな解決方法があったんですね。
PPPキープアライブと内側からのパケット廃棄の関連性が良く分かりませんが、実際には繋がっているにもかかわらずPPPoEの再接続が発生していたのかもしれませんね。
光回線だと安定しているのでPPPキープアライブはオフの方が無難ですかね。
#我が家はNEに交換されたので、もう確認出来ないですがNEの方でも必要なさそうなのでOFFにしてみます。
プロバイダの件はホントずるい言い訳ですね。
そんな制約があるんであれば、ちゃんと事前に告知しておくべきだと思います。
はじめまして。
やっとのことで、このページにたどりついて、
kさんのコメントを見て、解決いたしました。
とても感謝しています。ありがとうございました。
ルータ:PR-S300SE、楽天トップページからのログイン画面がうまく表示されない。リロードするような感じ。全く同じ状況でした。
無線LAN端末で家だけ、この状況なのでプロバイダを疑いましたが、まさか、PR-S300SEとプロバイダの相性が原因とは。これは分かりませんよね。ちなみにプロバイダはソネットですが、kさんも同じでしょうか?
こんばんは。初めまして。フレッツ光ネクストとひかり電話を導入することになり、PR-S300SEを使うようになったのですが、IPアドレスの払い出しができない等のトラブルがあり、リモートサポートに何回か電話をしました。
ところが、解決したかなぁ、と思ったらまた不具合が出てしまいました。
PR-S300SEで検索すると、いろいろなトラブルが出ているようですね。サポートの人間は頓珍漢な事しか言わないし。
消費者庁や国民生活センターにその旨
を伝えるつもりです。
こんばんは。
もう見てるかわかりませんが。
去年の9月くらいから有線LANでも何故か繋がらなくなる(Webラジオなど常時受信し続けているものは平気)現象に見舞わされて大変困っているところです。
ルータのNAT溢れなどと言うところから辿って来たらこのブログに着きました。
これが私の所のセキュリティログのスクリーンショットです。
色の付いている所が80番ポートで弾かれています。
http://up2.iyhoo.net/up/download/1301305844.png
はじめまして、こんばんは。
相変わらず、不具合のまま放置されているみたいですね…
現象的にはボクのと同じだと思います。
相手先のサーバもIPから調べてみるとakamaiのサーバのようなので、本来SPIで弾くようなサイトでもないです。
#そもそもローカルからのリクエストを弾くのがおかしいですが…
PR-S300NEですと同事象は発生していないようなので、サポートに連絡して交換してもらう方が良いと思います。
ありがとうございます。
しかしどうやって交換まで持ち込めばいいですかね…
いちいち担当の人を家に呼んで見てもらうのも手間も時間もかかりますし、
かといっていきなり違うルータに交換して下さいと言っても応じてもらえそうにもないですし…
3月28日に投稿した者です。
本日NTTの専属業者が来て交換してくれました。
ただ交換したのが同じ機種の300SEですが…
セキュリティログは相変わらず出ていますが取り敢えず繋がらないという事は今の所無くなりました。
私は自宅のPCをサーバとして動作させていて、それでポート開放などを行っているのでセキュリティログはそれで起きているのかも知れません。
次不良が出たら今度こそ違う製品に交換してもらうつもりです。
返信遅くなりました。
すみません。
交換&繋がるようになったようで、良かったです。
ログが出ているのがちょっと不安ですが。
NTTも説明出来ない、オカシイと認めているログなので
それだけでも十分に他製品への交換は出来ると思います。
フレッツ光の不正アクセスログで、内>外 に対して「SPIによる破棄」が出ている方は、もしかしてFireFoxを使っていませんか?
そうだったら、InternetExploerかOperaを使って同様に試して下さい。
http://www.asahi-net.or.jp/~aa4t-nngk/ipttut/output/newnotsyn.html
そのパケットは、NEW ステートと判断されるが、SYN ビットを欠いているので上記のルールにマッチしてしまう。
ここに書かれているこの現象が関係しているのではないでしょうか
同じPCでもwindowsで接続しているときだけ廃棄[SPI]がずらっと並んでいました
コメントを投稿