この記事で扱うこと
2022年11月末(11月29日頃)に配信された NSD-G1000T のファームウェア v1.0.17には不具合があり、その問題の調査、ワークアラウンドを実施した記録。
一般的にはFF14などのPCゲームやNintendo Switchなどの家庭用ゲーム、Discordなどのボイスチャット・通話、SwitchBotなどのIoT機器が使えなかったり、
仕事などではVPNやSSHといった専用のポートを使うようなアプリケーションがエラーで使えないといった問題が発生していた模様。(ここに挙げたものに限らない。)
対処方法(ここだけ見ればOK)
ONUの設定画面にログインし、「接続設定」→「ファイアウォール設定」→「ファイアウォールのレベル」が「最高」もしくは「高」になっていた場合、「中」にしましょう。
11月29日にサポートセンターに問い合わせましたが、その対応で良いとのことでした。
設定画面はおそらく http://192.168.1.1 もしくは http://broadcom.home で開けます。

ユーザー名は admin
デフォルトパスワードはONU裏に貼られていたシールに書かれていたKey(WPA)

「ファームウェアバージョン」が 「v1.0.17」であることを確認して、「接続設定」を選ぶ

「ファイアウォール設定」を選ぶ

「ファイアウォールのレベル」を「中」に変更してページ下部の「適用」を押して完了
※この記事は2022年12月10日現在での内容を記載しています。今後行われるであろうソニーによる公式アナウンス、アップデートに従うようにしてください。
以下、専門的な解説が知りたい人向けの詳細
問題発生時の流れ
NSD-G1000T はNURO光 2Gの利用時にレンタルされるONUの中でも、2022年現在最新であり、2.5GbE対応というのもあり「当たり」だとも言われるソニー製ONUです。
そのNSD-G1000Tのファームウェア v1.0.17が2022年11月末に配信されたのち、11月29日に全国のNSD-G1000T(の一部?)が再起動され、v1.0.17が適用されました。
ただし、私の場合は自動で再起動される前日に、手動で再起動した際に適用されました。
バージョン上げたら「ファイアウォールのレベル」が「高」になってて、アウトバウンドのIPv4 TCPのごく一部の宛先ポート以外DROPされてしまってて、外のサーバにSSHできなかったり、RADIUSパケットも落とされ、いろいろ崩壊して困ってた。選択肢の中で一番低い、「中」にして解決。
— F@L (@falms) November 27, 2022
設定画面に目立った変化はなかったが、徐々に問題に気付き始める、の図
常時接続していたVPNが切れていたり、その管理サーバであるVPSにSSH接続できないことに気づきました。
また、自宅のWi-FiにWPA2-EAPのSSIDを使っており、RADIUSサーバとしてCloud RADIUSを使用していたのですが、一度Wi-Fiを切ると認証が通らなくなってしまいました。
いろいろと崩壊していることに絶望しながら調査したところ、IPv6ではSSH接続もでき、IPv4でのみ様々な通信ができなくなっていることに気付きました。ただし、HTTP/HTTPSは使えたため、ブラウザでのWebページ閲覧やTwitterアプリなどは問題なく使えていました。
挙動的にファイアウォール周りだと考え、「ファイアウォールのレベル」を「高」から「中」に下げたところ、問題が解消されたように見えました。
失礼しました、NSD-G1000Tの再起動はメンテナンスっぽいです!https://t.co/3wn1odyHb2
— F@L (@falms) November 28, 2022
75ページ目まで見るかい!https://t.co/La042uBeix
1ページにまとまってても探せるかい!
> 影響範囲:下記エリアでNSD-G1000Tをご利用中の一部のお客様
>・全国
> 備考:停止期間は、期間中の 5 分 程度です
見づらいメンテ予定告知ページに苦戦する

PC向けメンテ予定告知ページのスクショ
私は手動で再起動した際にアップデートが適用されていたのですが、11月29日1時前、勝手にONUが何度も再起動したことに気付きます。
メンテナンス情報を見たところ、どうやら11月29日0時~8時に全国のNSD-G1000Tが同様に再起動される雰囲気を感じ取りました。
全国の多数のNURO ONU NSD-G1000TにFW v1.0.17がたぶん今日、適用されるっぽい雰囲気がある。
— F@L (@falms) November 28, 2022
「ファイアウォールのレベル」が「高」になってたのは気のせいではないっぽくて、ゲームなりなんなりで非標準ポートを使っているものが全部使えなくなる可能性がとても高い。https://t.co/Nk5UgwptkV
非標準ポート、と呼んだのは不適切だったかもしれない
状況を鑑みるに、翌朝から阿鼻叫喚になるのではないかと心配をし、その旨をツイートしました。のちに判明しますが、実際には必ず問題が起こるわけでもなく、割合は不明ながら一部だけに留まったように思います。
アップデート後もIPv4で通信できる宛先ポートは
— F@L (@falms) November 28, 2022
TCP: 80,443,21,23,25,587,143,109,110,995,137,138,139,445
UDP: 53,137,138,139,445
だけだと推測しています。
それ以外の宛先ポートは「高」設定では繋がらず、「中」に下げる必要がありそうです。
「ファイアウォールのレベル」が「高」の際にどういった通信がブロックされるのか具体的に調べたところ、HTTP/HTTPSでのWebブラウジング関連以外はほとんどが使えないような状態でした。NTPも使えないので、徐々に時刻同期ができないことも問題になってくるでしょう。
手元で試した。L2TP/IPsec、OpenVPNはやはり繋がらず。
— F@L (@falms) November 28, 2022
AnyConnectは443/tcpにフォールバックされたので繋がった。(パフォーマンスは当然かなり落ちた
VPNは基本的にUDPなため、繋がらないか、もしくはTCPにフォールバックしてパフォーマンスが落ちがち
そして気付いてしまう、VPNなど全国の企業にもとても大きな問題が起こりうる可能性。
急いで勤務先のサーバ設定も調整し、朝イチで問題が発生しても他のメンバーが即座に対処できるようにバックアップ設定を整えておきました。
が、勤務先では問題が発生した人は現れませんでした。ONUが違うのか、たまたま発生しなかったのかはわかりませんが、問題が起きなかったのならそれでよし、です。
続報。想定していたほどは発生例が多くありません。
— F@L (@falms) November 29, 2022
状況を調べるに、アップデートでファイアウォールのレベル設定が「中」から「高」になってしまう事例は、なんらか条件がありそうです。
ただ、今からでもv1.0.17で「高」にすると障害かのような状況は体験できるかと思います。
昼には、そこそこリツイートもされていましたが、「ファイアウォールのレベル」が「高」以上になる問題が起こったという人は全員ではなく、そこまで多くない雰囲気がわかってきました。一安心です。
ポート番号の選定に意味を見出す必要はたぶんなく、これは障害だろうと私は判断してもろもろ問い合わせしてあります。
— F@L (@falms) November 29, 2022
夕方には念のため、サポートセンターに問い合わせもしました。問題が発生していたこと、「ファイアウォールのレベル」の変更で解消されたが対応方法としてそれでよいことを確認しました。
その後
2022年12月10日現在、新しいファームウェアの配信や、不具合に関するアナウンスはWeb上には見当たりません。
ツイートを見て問題解決できました、とのメンションは今もたびたび頂いており、この問題はまだしばらく続くことになりそうです。
進展がありましたら追記・編集します。