最近の投稿
- Switchbot Requests reached the daily limit2025-01-04一昨日から朝になるとSwitchbotの情報が取れなくなっている。 Requests reached the […]
朝につながらないSwitchbot2025-01-03なぜか2日つづけて、朝7:00-9:00 の間に Switchbot につながらないのが発生。 […]
あけましておめでとうございます2025-01-01令和7年、新年あけましておめでとうございます。 […]
Windows 11のミニPC2024-12-28今まで使っていた Windows 10 のサポート切れもあるし、Windows 11 […]
きいぱすクリスマスキャンプ2024-12-22
vpnserver問題解決
SoftEtherのVPNサーバをインストールしたけど、 翌日にはうまく動かなくなり、原因を探っていたのだけど、 原因は、ケーブルテレビの光接続のルータだったみたい。 ALG設定で、IPsec,L2TP,PPTPの設定を外したら、動くようになった。
vpnserverの動作確認
vpnserverが動き出したのはいいけど、ちゃんと動いているのか、VPN接続があるのかを 把握したいので、icingaでモニタリングするようにしてみた。
(( check_vpnserver )) #!/bin/bash VPNCMD=/usr/local/vpnserver/vpncmd PORT=127.0.0.1:xxxx # VPNサーバに接続するポートを登録 HUB=VPN NAME=VPN # 0:OK, 1:Warning, 2:Critical, 3:Unknown if [ -x $VPNCMD ]; then # vpncmdで状態を読み込む ANS=`$VPNCMD $PORT /server /hub:$HUB /cmd:StatusGet` if [ "$?" -ne 0 ]; then # VPNサーバが動いていない echo "$NAME Critical - No server" exit 2 else ANS=`echo "$ANS" | /bin/grep "セッション数 (クライアント)" | /usr/bin/cut "-d|" -f 2` if [ -z "$ANS" ]; then # 接続無し echo "$NAME OK - Server waiting connection" exit 0 elif [ "$ANS" -gt 0 ]; then # 接続あり echo "$NAME Warning - $ANS clients" exit 1 fi fi else # vpncmd がインストールされていない echo "$NAME Unknown - No vpncmd" exit 3 fi
SoftEther VPNを導入
iOS10,macOS Sierraを導入すると、PPTP-VPNが使えなくなるようで、 Buffalo のVPN機能が使えなくなる。 ということで、Mac環境に macOS Sierra の導入ができなかった。
そこで、strongswan VPN サーバを導入しようと、色々試していたけど、失敗。 であればということで、SoftEther VPN(オープンソース版)を入れてみた。 色々試行錯誤のなか、ようやく動くようになった。
さあ、今から macOS Sierraをインストールするぞ。
職場のメインマシンには、ScanSnap のスキャナがあるけど、 macOS Sierraでトラブル報告があるので、 まずは、MacBook Air で試してみよう。
icingaのmap出力を派手に
nagiosからicingaに乗り換えた際に、map出力の アイコンが?だらけになっていたので、 設定を加えて、派手にしてみた。
イスラエルからの攻撃?
自宅サーバのVPNの設定がうまくいかないので作業中、 /var/log/syslog に以下のような出力が並ぶ。
Oct 2 19:19:01 perrine postfix/smtpd[13066]: connect from dsl212-143-40-109.bb.netvision.net.il[212.143.40.109] Oct 2 19:19:04 perrine postfix/smtpd[13066]: NOQUEUE: reject: RCPT from dsl212-143-40-109.bb.netvision.net.il [212.143.40.109]: 554 5.7.1 <eax_64@yahoo.com>: Relay access denied; from=<xo@ore.net> to=<eax_64@yahoo.com> proto=ESMTP helo=<192.168.0.46> Oct 2 19:19:04 perrine postfix/smtpd[13066]: lost connection after RCPT from dsl212-143-40-109.bb.netvision.net.il [212.143.40.109] Oct 2 19:19:04 perrine postfix/smtpd[13066]: disconnect from dsl212-143-40-109.bb.netvision.net.il[212.143.40.109] ehlo=1 mail=1 rcpt=0/1 commands=2/3O
イスラエル(.il)からみたい。この後も、SASL の LOGIN を試みるのが 止まらない。ブルートフォースアタックっぽいし、不気味なので、 国毎のIPアドレス表から作っている FireWall のブラックリストに、 中東、東ヨーロッパの国を追加。
# wc -l geoipdeny.store 26069 geoipdeny.store
ルータのWeb設定だけハングアップ
自宅サーバの警告でてたけど、 ルータのWeb設定のlogin画面が機能していない。 そのくせ、パケットは流れてる。
ルータ故障の前兆かもしれないので、メモ。
うーむ、Webハングアップが多発するな。
2016-10/02,23:13 2016-10/02,17:31 2016-10/02,06:44
症状の出始めからすると、IPv6パススルーに関係するのかな。 ということで、IPv6パススルーを切ってみる。
自宅内のIPv6ちょっと対応
iOS 10 の導入で、自宅サーバで IPSec の VPN サーバを動かしたいけど、 なぜかうまく動かない。光ファイバ通信の融通の利かないルータの中に、 融通の利く既存のルータの2段ルータ構造で、IPSec 関連のパケットが 落とされている可能性があったので、VPNパススルーやらIPv6パススルーを 試してみた。
ただ、IPv6パススルーを有効にすると、パソコンなどが IPv6 RA 情報を 拾って IPv6アドレスを取得する。これはいいんだけど、DNS として、 ルータを使うようになってしまう。我が家では自宅サーバ用に自宅内 DNS を動かしているので、グローバルなDNSに直接つながると、自宅内 で自宅 Web ページが見えなくなってしまう。
自宅内 IPv6 用 DHCP サーバ
そこで、IPv6用 DHCP サーバを以下のようにして動かした。
ただし、IPアドレスまで割り振りたかったが、RA 情報を使って V6アドレスをつかんでしまうので、自宅内 DNS サーバを使うように DNS サーバ情報を配るだけ。
(( /etc/default/isc-dhcp-server )) INTERFACESv4="eth0" + INTERFACESv6="eth0"
(( /etc/dhcp/dhcpd6.conf )) + option dhcp6.name-servers fe80::xxxx:xxxx:xxxx:xxxx; + option dhcp6.domain-search "自宅のドメイン名";
SPF(メール送信者認証)
職場で立てたサーバで、gmail などに送ったメールが spam 扱い などをされたので、DKIM の設定を試しているけど、 なかなか設定が面倒。
ふと、自宅サーバでも、メールの送信者認証を試そうとした。 そこで、mydns.jp によるドメイン名の DNS レコードを確認していたら、 特に DNS の設定をしていないけど、mydns.jp 側で SPF の情報を 出してくれているみたい。
$ dig @8.8.8.8 txt tsaitoh.net tsaitoh.net. 299 IN TXT
“v=spf1 +ip4:xxx.xxx.xxx.xxx a:auth.gate-on.net a mx -all”
であれば、gmail 宛てのメールで spf が pass しているかと調べたら、
Authentication-Results: mx.google.com;
spf=fail (google.com: domain of xxxxxxxx@tsaitoh.net
does not designate zzz.zzz.zzz.zzz as permitted sender)
smtp.mailfrom=xxxxxxxx@tsaitoh.net
Received: from
scan03-mds.s.noc.itscom.net
(scan03-md.ns.itscom.net [175.177.155.124]) :
メールヘッダには、上記のように記録されていて、 spf 認証に失敗している。 メールの経路に itscom.net というのが入っているので何かと思ったが、 プロバイダにしている丹南CATV関係。
よくよく考えたら、自宅サーバからメールを出すときには、 OP25B(公式メールサーバ以外は、25番ポートをブロック)されている(いた) ので、postfix の transport を設定し、smtp.ttn.ne.jp 経由でメールを 出していた。 このため、tsaitoh.net のメールが、itscom.net から 出ているので怪しいので 「spf=fail」となっている。
ただ、先日学生相手の情報セキュリティの説明を自宅を例に説明していたら、 OP25B でブロックされていないのを 見つけていた。 (たぶん、光ファイバ接続の nextr 導入で制限が外れているのだろう)
ただし、丹南CATVが OP25B を復活させる可能性もあるので、 icinga にて、丹南CATV以外のメールサーバと SMTP で繋がるかチェックを加えておいた。
ということで、postfix の transport の設定を、直接メールを出すように 直したら、無事に spf=pass となった。(^_^;
Received-SPF: pass (google.com: domain of xxxxxxxx@tsaitoh.net
designates xxx.xxxx.xxx.xxx as permitted sender)
client-ip=xxx.xxx.xxx.xxx;
メール受信時のチェック
せっかく、送信時のSPF認証が通ったし、受信時にSPF確認しようと思ったけど、 postgray を導入していて、特に spam の負荷も問題にならない状態なので、 (設定面倒だし)、そのままにしておこう。
メールアプリの使い分け
仕事やプライベートでメールアカウントを色々と使っていて、 デスクトップでは、Thunderbird で統一している。
同じように、iPhoneでのメールの読み書きは、Gmailのメール アプリとかもあるけど、操作感を同じにしたかったので、 標準のメールアプリを使っていた。 このためメールのプロトコルは IMAP4 を使っている。
それなりに満足してずっと使っていたけど、 最近は職場でWiFi環境も整備され、 どこでもネットの接続ができる。 ただ、プロトコルが HTTP,HTTPS に制限されているため、 自分の部屋のWiFiにつながっているときは問題ないけど、 職場WiFiにつながっているとメールが届いても気づくのが 遅れてしまう。
しかし、iPhoneのGmailアプリやOutlookでは、プロトコルに HTTPSを使ってくれるので、職場WiFiでもメールが読み書きできる。 そこで、起動しないでいた Gmail,Outlook,Yahooメール を 改めて使うようにしてみた。
利点としては、HTTPSに制限されててもメールが読めるのに加え、 アイコンバッジで、どのメールアドレスに どれだけメールが届いているのか分かる所。 (標準メールに統一していると、全メールアカウントの総数しか分からない)
でも、操作感がゴチャゴチャでイラっ。 慣れるのに時間がかかるかな。
自宅ルータ、管理画面HTTPとVPNだけ不調
今日は、職場の宿直。 でも自宅サーバで、ルータが変。
ルータの死活検出で、ping と管理画面のHTTP通信を使っているけど、 ping では生きているけど、HTTPが通らない。 そのくせ、ルータ機能は動いている。んで、VPN接続は動かない。
こういう時は、どんどん悪化する可能性もあるし、 LINE で奥さんに、電源リセットを頼んで無事復帰。
ルータの故障の前兆かもしれないし、ひとまずblogにメモ。
ネットワークトラブル
自警消防隊のネタで早起きしているけど、 自宅がインターネットに接続されていない。
[2016/07/08]追記
先日のネットワーク接続トラブルは、光のルータ電源リセットで復帰したけど、 我が家だけの問題かな…と思っていた。 だけど、ルータのネットワークトラヒック観察の出力を見ていると、 特に使っていない状態でもトラヒックがあったりで何か変….と思っていたけど、 ルータリセット後は、そのトラヒックが激減。 この雰囲気からすると、症状の発症した時間が00:00だったのもあるし、 ケーブルテレビ側で、ファームウェアリセットを遠隔実行したんだろうな。
Google 検索
