Network」カテゴリーアーカイブ

システム

最近の投稿

アーカイブ

カテゴリー

CAA レコードが未設定で dehydrated (Let’s Encrypt) が失敗

自宅ドメインの SSL 証明には、Let’s Encrypt (実体は dehydrated) を使っているけど、CERT の有効期限の確認の処理で警告がでてきて、月に1度実施の更新でエラーを吐いているみたい。

DNS に CAA レコードが無いと失敗する

更新を実行すると、以下の表示が出ている。

ERROR: Challenge is invalid! (returned: invalid) (result: ["type"] "http-01"
:
["error","detail"]      "CAA record for tsaitoh.net prevents issuance"

Let’s Encrypt が更新する際に、ドメイン名の CAA レコードを参照しているけど、CAA レコードが正しくないために、SSL 更新に失敗している。

DNS Certification Authority Authorization とは、ドメイン名の所有者が認証局に対して、自分のドメイン名の公開鍵証明書の発行を許可するかどうかを指定できるようにするインターネットセキュリティポリシーのしくみである。(Wikipedia)

CAAレコードに letsencrypt.org を登録

自宅ドメインは、Dynamic DNS に mydns.jp を使っているので、mydns.jp の設定画面の “DOMAIN INFO” の所で、
「@ CAA 0 issue “\000”」 となっていたので、下記の設定を追加する。

Hostname Type Content Target ID
@ CAA 0 issue “letsencrypt.org” mydnsXXXXX

この設定の後、nslookup では、下記のようなデータが取れるようになった。

$ nslookup -query=CAA tsaitoh.net
tsaitoh.net     rdata_257 = 0 issue "letsencrypt.org"

他の仕事関連のドメイン名も同様の症状が発生するようになるはずなので、mydns.jp 関連の他ドメインで同様設定を追加する。

Edgerouter-x 2.0.9-hotfix4

ふと、ファームウェアの確認などをしたら、Edgerouter-x の最新が数日前に出ていたみたい。

過去の記事をみて、インストール。暑い時期だったのか、最初ファームのルータへのアップロードに失敗して心配だったけど、リトライしたら普通に成功。

nagios4 をインストール

icinga が最新パッケージではサポートされていないので、icinga2 や zabbix をインストールしようとしたけど、データベースの初期化やらが面倒で上手く動かせていない。でも改めて確認したら、nagios3 から 更新しようとしたけど一度諦めた nagios4 のパッケージがインストールしやすくなっていた。しかもDebian12(bookworm)でも使える。

もともと、icinga は nagios からの派生だし、nagios3時代の名残りのファイルも残ってたし、設定ファイルのそれなりの変更は必要だったけど、監視コマンドなどの設定はそのまま流用できた。

設定ではまったこと

設定がそれなりに完成したけど、最初警告メールが飛ばずに悩んだ。

原因は、サービスの設定ファイルのテンプレート generic-service だった。いい加減な設定でメールが飛ぶのを防ぐために、templates.cfg で設定している generic-host や generic-service をそのままサービス監視の定義に使うと、テンプレートの設定の generic-service の定義の最後についている “register 0” によって、これはテンプレートだから…ということで、通知などの機能が動かない様になっている。

そこで generic-service から派生させた local-service などを使うべき。

# ダメなサービス定義
define service{
        use                     generic-service    ; Name of service template to use
        host_name               localhost
        :
}
# 有効なサービス定義
define service{
        use                     local-service    ; Name of service template to use
        host_name               localhost
        :
}

もう少し調整したいところもあるけど、ひとまず使えるようになってきた。

北陸情報通信協議会会長表彰

コロナ禍のなか、CTFを用いた情報セキュリティ教育の活動にて表彰していただきました。
{CAPTION}といっても、ict4e の原さんや、講習会で協力いただいた電子情報OBのおかげです。

postgreyの更新トラブル

postgrey に更新があった(1.36-5.2 ⇒ 1.37-1)ため、外部からのメールが届かなくなり、設定の変更が必要となった。

postgrey trouble

職場で動かしている WordPress の2段階認証メールを自宅サーバに転送しているが、2段階認証のメールが届かなくなった。原因は、怪しいメールは一旦拒絶することで spam を拒否してくれる postgrey がうまく機能していないと思われる。

/var/log/mail.log を見ると、下記のようなエラーで postgrey が起動していない。

May 5 16:53:15 ...: warning: problem talking to server
   127.0.0.1:10023: Connection refused

エラーを探すと /var/log/syslog に以下のメッセージを残して、postgrey 起動に失敗しているので、

May  5 17:11:53 ... postgrey[974882]:
   Option greylist-text requires an argument

/etc/default/postgrey の POSTGREY_TEXT のオプションをコメントアウト。

((( /etc/default/postgrey )))
- POSTGREY_TEXT=""
+ # POSTGREY_TEXT="reject by postgrey"

しかし、この変更後も職場からのメールが reject されている。

May  5 17:19:20 ... postfix/smtpd[975541]:
  NOQUEUE: reject: RCPT from unknown[xxx.xxx.xxx.xxx]:
  450 4.2.0 <t-saitoh@tsaitoh.net>: Recipient address rejected:
  reject by postgrey; from=<www-data@...> to=<...@...> ...

たぶん、職場のサーバは Azureで動かしているが、今回の更新による拒否判定が厳しくなったんだろう。仕方がないので、/etc/postgrey/whitelist_clients.local に、自分の管理している Azure サーバのIPアドレスを書き並べる

((( /etc/postgrey/whitelist_clients.local )))
xxx.xxx.xxx.xxx 職場のWordPressサーバのIPアドレス

でも、postgrey-1.37 の更新は本家の changelog を見ると 2016年 みたいだけど、debian パッケージでは随分遅れての 更新だな。手法的にも、もっと確実な、SPF とか DKIM の対応がすすんで、postgrey は時代遅れなのかな。自宅サーバでは、postgrey で reject しそうな接続元は GEOIP で SMTP 拒否しまくりだし、あまり役に立ってないかも。

postfix backward compatibility

今回のトラブルで改めて、postfix のエラーログを見ているとpostfixの再起動時に以下のようなメッセージが出ている。

May  5 19:06:07 ...: Postfix is running with backwards-compatible default settings
May  5 19:06:07 ...: See http://www.postfix.org/COMPATIBILITY_README.html for details
May  5 19:06:07 ...: To disable backwards compatibility use "postconf compatibility_level=3.6" and "postfix reload"

設定ファイルでは、compatibilty_level が 2 とかになっていたので、書いてある通り 3.6 に上げておく。

((( /etc/postfix/main.cf )))
compatibility_level = 3.6

G.ROOT-SERVERS.NET が繋がらない

自宅のDNSのトラブルで、ルートサーバが国ドメイン単位での接続拒否でつながらないのが原因? だったかもしれないのだが、職場の自室で動かしている Cache DNS でも同様のトラブルが出るので、ルートサーバの接続確認。G.ROOT-SERVERS.NET. だけつながらない。自宅でも職場でも同様。

$ grep 3600000 /etc/bind/db.root \
  | grep A | grep -v AAAA | grep -v NS \
  | awk '{print $4}' | fping
199.7.91.13 is alive
192.203.230.10 is alive
:
192.58.128.30 is alive
192.112.36.4 is unreachable ← G.ROOT-SERVERS.NET. だけつながらない

G.ROOT-SERVERS.NET. はアメリカ国防総省の管理か….単に一時的な問題なのかな…

接続拒否国ドメインに PA, IO を追加

相変わらず、メールなどに怪しい所からの接続。国ドメインを確認したら、PA(パナマ共和国) と IO(イギリス領インド洋地域)。

大変申し訳ないけど、我が家のようなサイトは縁がない国なので、接続拒否。

現時点、我が家では下記ドメインが管理している IP アドレスは接続を拒否している。

AE, AF, AM, AZ, BD, BG, BR, BY, CL, CN, ES,
HK, ID, IN, IL, IO, IR, IQ, JO, KG, KP, KR, KW, KZ,
LB, MY, NL, OM, PA, PH, PS,
QA, RO, RU, SA, SY, TH, TJ, TR, UA, UZ, VN, YE

2022-03-26-クラス●さんへのメモ

このページは、息子の入居先のネットワークトラブルの原因を(私が自宅に帰るため)、ネットワーク関連の担当者に状況を伝えるためのメモです。

本格入居までの状態

  • 2月末に契約を行い、荷物運び込みなどを順次行い、3月上旬に入居。
  • ルータは、Buffalo WSR-1800AX4S ver 1.03 で、今回の新居にあわせ新規購入品。
    この際にはルータのデフォルト設定(Auto/Router)のスイッチで接続。
  • 「インターネット@スタート」で初期化が行われたが最初は繋がったが、すぐに切れてしまった。
    しかし、色々と接続設定を変えていたら、何らかの”偶然”だったのか接続できるようになった。入居日から翌日までは、そのまま接続ができていた。
  • この後、帰省先に帰り1週間後に本格的な入居(3/26)

3/26のメモ

  • 入居先に到着し、インターネットを接続するが、ここでも「最初の10秒?から30秒ほどは繋がったがすぐにインターネットに接続できない状態」となる。
  • ルータのWAN状態は…
    • つながる時は 192.168.200.6 などのIPアドレスリースをうけている。
    • 切れた状態になると「インターネット@スタートで接続するが繋がらない状態」になる。
  • クラス●さんに連絡を入れ、担当者さんからの連絡を受ける。

担当者さんのアドバイス以降

  • 担当者さんのアドバイスにより、ルータをManual / Access Point モードにしたが、一時的に繋がったが30秒程度接続ができた後、繋がらなくなる。(過去の状態と同じ)
    • PCは、192.168.200.15 が割り当てられた。
    • ping 192.168.200.1 を実行したが30秒ほど後で応答が途切れる。
  • こちらの判断で、ルータを Manual / Router モードに変更し、再起動したが、同様の症状。
    • 自宅ルータも Buffalo で、過去に「インターネット@スタート」でトラブったことがあるので Auto / Router モードは信用していない。
  • 動かない原因が古いファームウェアのバグといったトラブルを避けたいので、別途Webで入手したファームウェアに更新。ただし、バージョン番号は同じ ver 1.03なのでファーム更新はただの気休めの予定だった。
  • しかし、ファームウェア更新ご再起動したら、安定してつながる状態となった。
    (意味不明!?!?!?!?)

原因の推測

  • つながったのにすぐに切れる。
  • 他の居住者からはトラブル連絡はない。
    • トラブルが全建物的なものなら別途クレームがあるはず
  • 今回のこのルータは、帰省中の1週間使われていなかった。
  • ルータからのDHCPのリース時間は、259200sec = 3日間
  • 一旦繋がったら、安定して使えている。

これらのことより

  • リース済みIPアドレスの再利用(リース延長/DHCP Request)は正しく動いている。
  • 新規接続はつながるけど、すぐに切れる。DHCP Offer が失敗する?
  • リース期間の情報が、サーバと端末で、ずれていることが原因ではないか?
  • 上流のDHCPサーバ(192.168.200.1) の時計がずれているのではないか?
  • すぐに繋がらなくなるのは、他のPCにリース済みのIPアドレスを、時計がずれることが原因で、間違って再延長許可(DHCP Request に ACK を返答)するため、他のPCとIPアドレス重複を起こして繋がらなくなる?(他の重複したIPアドレスを使っているPCがパケットを出すまでは一時的に使える)
  • リース期間が切れる前にリース延長(DHCP Request)を行う端末は、安定してつながる。

2022-03-27 追記

  • 朝、ネットワークを使ったら無事に使える状態であった。
  • しかしながら、10分ほど安定して利用できていたが、再び繋がらない状態となる。
  • 繋がらない状態になった時に、改めてルータの通信パケットを見ると、エラーパケットが0なので、ケーブルが抜けかかっているとか、コリジョンが発生しているとかの原因ではないと思われる。
  • ルータの通信LOGには、WAN側接続のトラブルに関する記録なし。

長男の新しいアパートのWiFiルータ

長男の新しいアパートで、ルータを更新。WSR-1800AX4 を導入したけど、ネットワークの設定が終わったら、接続ができなくなる。

最初、インターネット@スタートで繋がらない状態だったので、過去の経験からPPPoE とかを使うのでもなければDHCP設定にすれば一発で繋がる….と思って設定したけど、最初繋がったのに接続が切れたり。設定を色々変えたけど症状が改善せず、最初から接続を疑い有線ケーブルを別ケーブルに変更するとすぐに繋がった。

どうも、大学のアパートで使っていたケーブルを引越しの時に微妙にダメージを与えたみたい。明日は、卒業式が終わったらひとまず1週間だけ帰省なので、(コロナ禍で卒業式には参加できないし)ケーブルだけ新しく買っておこうかな。

(追記)

ケーブルを交換しても、相変わらず不安定。次は壁のネットワークのプラグの接触不良を疑う。LANの爪を引っかからない状態にして電極がこすれあうように抜き差しを繰り返す。ひとまずこれで安定したと思う。

 

新しいアパート

長男が新社会人として大学のアパートからの引越し。
今日何度か往復してほぼ終了。今日の夜は大学のアパートの引き渡しを前に、新しいアパートで初のお泊まり。テレビやインターネット回線の接続も、繋ぐだけで簡単に終了。
ネットワーク速度もそれなりかな。

掃除がいい加減な埃だらけの大学アパートが原因なのか、大量飛散の花粉が原因なのかわからないけど、目が痒い。急遽薬屋でアレルギー用目薬と、花粉用の目洗いを購入となった。
枕が変わってなのか、引越し疲れの筋肉痛が原因なのか、なかなか寝付けなかった。YouTubeで「波の音」を小さな音で流しながら寝た。

Google 検索

My Google   Yahoo

Microsoft

ファンサイト