nuroのNSD-G1000TSが届いたので初期設定を見た

以前はF660Pを使っていましたが、紆余曲折あってNSD-G1000TSに変わったので再度初期設定を調べました。

前提条件

• 2025/11に新規契約
• ONTはSONY製 NSD-G1000TS
  • ソフトウェアバージョンはMIOV4.0.06
  • SercommのOEMらしい？？
• マニュアルはここから ご提供する光回線機器に関して | NURO 光
• 届いた後に「工場出荷時へのリセット」をかけている

良かったところ

• デフォルトでWPAは切られておりWPA2のみ
  • F660PはWPAが有効になっていたので嬉しい
  • ただWPA3も切られている。こっちは有効だと嬉しい

微妙なところ

• クライアントから外部のDNSサーバへのIPv4アクセスができない
  • 普通に考えて動かない訳がないのだが、動かす方法は見つからなかった。つらい
    • ファイアウォールを切ってみたがNG
    • DNSプロキシ という謎の機能を切ってみたがNG
  • IPv6だと問題ないのでIPv6でDNSサーバを指定するか、ルーターをDNSサーバとして指定すると動く

      # 動かない。タイムアウトしてしまう
      dig google.com @8.8.8.8
      # pingは通る
      ping 8.8.8.8
      # これは動く
      dig google.com @192.168.1.1
      dig google.com @2001:4860:4860:0:0:0:0:8888
    

• WebGUIのIDはadmin固定、デフォルトパスワードは無線LANのパスワードと同じ
  • WebGUI初回ログイン時のパスワード強制更新も無くなった
  • 正直気にするほどでもない
• 時刻同期が出来ておらず、ルーターの現在時刻が1970年になっている
  • デフォルトで指定されているNTPサーバは以下3つ。sntpコマンドで試したが上二つは反応が無かった
    1. 172.30.255.1
    2. 87.235.0.10
    3. clock.fmt.he.net
  • 色々いじったものの、結局同期できなかったので諦めた
• 無線ネットワーク設定の「セキュリティ強化」の設定値に説明が無い。製品マニュアルにも無い
• MAP-Eモードだと DMZ, UPnP, ポートマッピング が無効化される

危なそうなところ

• IPv6のファイアウォールがかかっていない気がする（後述）
  • ひとまず[基本設定]->[その他の設定]->[IPv6 LAN設定]でDHCPv6とルーター広告を切った
  • なんか下策な気がするが、クライアント群はIPv6アドレス取得できなくなるはず

IPv6ファイアウォールの検証

NSD-G1000T の IPv6 FW(?) NSD-G1000T の IPv6 FW(?) - tosuke を見ると、とても恐ろしい事が書いてある

[IPv6] は [TCP] の SYN パケットを無条件で落としていることでFWっぽいことをしている
このため [UDP] や [ICMP] は(たとえファイアウォールの設定を「最高」にしていたとしても)普通に届く

あくまでNSD-G1000Tでの話なので、NSD-G1000TSではどうなのか検証する

テスト方法

1. NSD-G1000TSのファイアウォールレベルをデフォルトの 中 にする
2. ローカルで適当なLinuxサーバを立てる
3. Oracle Cloud Infrastructureで適当なLinuxサーバを立てる
4. ローカルでtcpdumpしつつ、OCIからncやらなんやらでパケットを投げつける

テスト結果

早速OCIのホストから投げてみる

ubuntu@instance-xxxx:~$ nc -vz (ローカルに立てたホストのIPv6アドレス) 22
Connection to xxxx::xxx 22 port [tcp/ssh] succeeded!

TCPすら通った。つらすぎる

まとめ

IPv6のFWは無いと思った方が良さそう