ホーム » コンピュータ » Network (ページ 15)

「Network」カテゴリーアーカイブ

EdgeRouter-Xが届く

2016-10-22

iOS 10でPPTP/VPNが使えなくなったので VPNサーバの導入を試していたけど、 SoftEther VPNで、まだWindowマシンから接続できなかったりするので、VPNルータを探していた。

でも専用機はどれも高く悩んでいたら、知り合いの方がEdgeRouter-Xを紹介してくれた。スループットも早いし、設定も自由度が高そうということで即ポチ。

といってもAmazon japanでは高く、アメリカより輸入代行会社経由で購入。ルータ自体は5500円ほどだったけど、手数料込みで約9000円。

他の購入者のblogを参考に、設定中。

check_dig が ADDITIONAL SECTION

2016-10-15

自宅サーバを運用するなか、自宅ドメインを外部でも使えるように、 mydns.jp で公開するが、 Dynamic DNS だからこそ、自宅ドメインのアドレスが引けない時がある。

そこで、icinga を使って、外部で自宅ドメインのアドレスが引けるか確認をしている。ただ、この中で、

DNS WARNING - 0.017 seconds response time
(Server not found in ANSWER SECTION)

のエラーが１日に１回程度不規則に発生する。 DNS の応答時間の問題かと思っていたが、エラーが出ている時の方が、応答時間が短い。 Webで、"Server not found in ANSWER SECTION"をググると、check_dig が、 "ANSWER SECTION"の文字列を、大文字小文字区別で比較して、小文字で情報が帰ってくるとアドレスが取れないという記事が見つかった。しかし、ある程度古い記事だし、対応はとられていそう。しかしめったに発生しない状況の時に、dig 出力が確認できて、ようやく原因が見えてきた。 check_dig が呼び出している dig の応答が、問題みたい。

 $ dig @dns1.ttn.ne.jp tsaitoh.net
:
;; ANSWER SECTION:
tsaitoh.NET.        278     IN      A       xxx.xxx.xxx.xxx

と表示されるのが普通だけど、時々、

 $ dig @dns1.ttn.ne.jp tsaitoh.net
:
;; ADDTIONAL SECTION:
tsaitoh.NET.        278     IN      A       xxx.xxx.xxx.xxx

といったように、ADDITIONAL SECTION でアドレスが帰ってくる。この現象は、Google DNS (@8.8.8.8) では発生しない。

vpnserver問題解決

2016-10-07

SoftEtherのVPNサーバをインストールしたけど、翌日にはうまく動かなくなり、原因を探っていたのだけど、原因は、ケーブルテレビの光接続のルータだったみたい。 ALG設定で、IPsec,L2TP,PPTPの設定を外したら、動くようになった。

vpnserverの動作確認

vpnserverが動き出したのはいいけど、ちゃんと動いているのか、VPN接続があるのかを把握したいので、icingaでモニタリングするようにしてみた。

(( check_vpnserver ))
#!/bin/bash
VPNCMD=/usr/local/vpnserver/vpncmd
PORT=127.0.0.1:xxxx  # VPNサーバに接続するポートを登録
HUB=VPN
NAME=VPN
# 0:OK, 1:Warning, 2:Critical, 3:Unknown
if [ -x $VPNCMD ]; then
# vpncmdで状態を読み込む
ANS=`$VPNCMD $PORT /server /hub:$HUB /cmd:StatusGet`
if [ "$?" -ne 0 ]; then
# VPNサーバが動いていない
echo "$NAME Critical - No server"
exit 2
else
ANS=`echo "$ANS" | /bin/grep "セッション数 (クライアント)" | /usr/bin/cut "-d|" -f 2`
if [ -z "$ANS" ]; then
# 接続無し
echo "$NAME OK - Server waiting connection"
exit 0
elif [ "$ANS" -gt 0 ]; then
# 接続あり
echo "$NAME Warning - $ANS clients"
exit 1
fi
fi
else
# vpncmd がインストールされていない
echo "$NAME Unknown - No vpncmd"
exit 3
fi

SoftEther VPNを導入

2016-10-04

iOS10,macOS Sierraを導入すると、PPTP-VPNが使えなくなるようで、 Buffalo のVPN機能が使えなくなる。ということで、Mac環境に macOS Sierra の導入ができなかった。

そこで、strongswan VPN サーバを導入しようと、色々試していたけど、失敗。であればということで、SoftEther VPN(オープンソース版)を入れてみた。色々試行錯誤のなか、ようやく動くようになった。

さあ、今から macOS Sierraをインストールするぞ。
職場のメインマシンには、ScanSnap のスキャナがあるけど、 macOS Sierraでトラブル報告があるので、まずは、MacBook Air で試してみよう。

icingaのmap出力を派手に

2016-10-04

nagiosからicingaに乗り換えた際に、map出力のアイコンが？だらけになっていたので、設定を加えて、派手にしてみた。

イスラエルからの攻撃？

2016-10-03

自宅サーバのVPNの設定がうまくいかないので作業中、 /var/log/syslog に以下のような出力が並ぶ。

 Oct  2 19:19:01 perrine postfix/smtpd[13066]:
connect from dsl212-143-40-109.bb.netvision.net.il[212.143.40.109]
Oct  2 19:19:04 perrine postfix/smtpd[13066]:
NOQUEUE: reject: RCPT from dsl212-143-40-109.bb.netvision.net.il
[212.143.40.109]: 554 5.7.1
<eax_64@yahoo.com>: Relay access denied; from=<xo@ore.net>
to=<eax_64@yahoo.com> proto=ESMTP helo=<192.168.0.46>
Oct  2 19:19:04 perrine postfix/smtpd[13066]:
lost connection after RCPT from dsl212-143-40-109.bb.netvision.net.il
[212.143.40.109]
Oct  2 19:19:04 perrine postfix/smtpd[13066]: disconnect from
dsl212-143-40-109.bb.netvision.net.il[212.143.40.109]
ehlo=1 mail=1 rcpt=0/1 commands=2/3O

イスラエル(.il)からみたい。この後も、SASL の LOGIN を試みるのが止まらない。ブルートフォースアタックっぽいし、不気味なので、国毎のIPアドレス表から作っている FireWall のブラックリストに、中東、東ヨーロッパの国を追加。

 # wc -l geoipdeny.store
26069 geoipdeny.store

ルータのWeb設定だけハングアップ

2016-10-02

自宅サーバの警告でてたけど、ルータのWeb設定のlogin画面が機能していない。そのくせ、パケットは流れてる。

ルータ故障の前兆かもしれないので、メモ。

うーむ、Webハングアップが多発するな。

2016-10/02,23:13
2016-10/02,17:31
2016-10/02,06:44

症状の出始めからすると、IPv6パススルーに関係するのかな。ということで、IPv6パススルーを切ってみる。

自宅内のIPv6ちょっと対応

2016-09-25

iOS 10 の導入で、自宅サーバで IPSec の VPN サーバを動かしたいけど、なぜかうまく動かない。光ファイバ通信の融通の利かないルータの中に、融通の利く既存のルータの2段ルータ構造で、IPSec 関連のパケットが落とされている可能性があったので、VPNパススルーやらIPv6パススルーを試してみた。

ただ、IPv6パススルーを有効にすると、パソコンなどが IPv6 RA 情報を拾って IPv6アドレスを取得する。これはいいんだけど、DNS として、ルータを使うようになってしまう。我が家では自宅サーバ用に自宅内 DNS を動かしているので、グローバルなDNSに直接つながると、自宅内で自宅 Web ページが見えなくなってしまう。

自宅内 IPv6 用 DHCP サーバ

そこで、IPv6用 DHCP サーバを以下のようにして動かした。

ただし、IPアドレスまで割り振りたかったが、RA 情報を使って V6アドレスをつかんでしまうので、自宅内 DNS サーバを使うように DNS サーバ情報を配るだけ。

 (( /etc/default/isc-dhcp-server ))
INTERFACESv4="eth0"
+ INTERFACESv6="eth0"

 (( /etc/dhcp/dhcpd6.conf ))
+ option dhcp6.name-servers fe80::xxxx:xxxx:xxxx:xxxx;
+ option dhcp6.domain-search "自宅のドメイン名";

SPF(メール送信者認証)

2016-09-06

職場で立てたサーバで、gmail などに送ったメールが spam 扱いなどをされたので、DKIM の設定を試しているけど、なかなか設定が面倒。

ふと、自宅サーバでも、メールの送信者認証を試そうとした。そこで、mydns.jp によるドメイン名の DNS レコードを確認していたら、特に DNS の設定をしていないけど、mydns.jp 側で SPF の情報を出してくれているみたい。

 $ dig @8.8.8.8 txt tsaitoh.net
tsaitoh.net.  299 IN TXT

“v=spf1 +ip4:xxx.xxx.xxx.xxx a:auth.gate-on.net a mx -all”

であれば、gmail 宛てのメールで spf が pass しているかと調べたら、

 Authentication-Results: mx.google.com;
spf=fail (google.com: domain of xxxxxxxx@tsaitoh.net
does not designate zzz.zzz.zzz.zzz as permitted sender)
smtp.mailfrom=xxxxxxxx@tsaitoh.net
Received: from

scan03-mds.s.noc.itscom.net

(scan03-md.ns.itscom.net [175.177.155.124])
:

メールヘッダには、上記のように記録されていて、 spf 認証に失敗している。メールの経路に itscom.net というのが入っているので何かと思ったが、プロバイダにしている丹南CATV関係。

よくよく考えたら、自宅サーバからメールを出すときには、 OP25B(公式メールサーバ以外は、25番ポートをブロック)されている(いた) ので、postfix の transport を設定し、smtp.ttn.ne.jp 経由でメールを出していた。このため、tsaitoh.net のメールが、itscom.net から出ているので怪しいので「spf=fail」となっている。

ただ、先日学生相手の情報セキュリティの説明を自宅を例に説明していたら、 OP25B でブロックされていないのを見つけていた。 (たぶん、光ファイバ接続の nextr 導入で制限が外れているのだろう)

ただし、丹南CATVが OP25B を復活させる可能性もあるので、 icinga にて、丹南CATV以外のメールサーバと SMTP で繋がるかチェックを加えておいた。

ということで、postfix の transport の設定を、直接メールを出すように直したら、無事に spf=pass となった。(^_^;

 Received-SPF: pass (google.com: domain of xxxxxxxx@tsaitoh.net
designates xxx.xxxx.xxx.xxx as permitted sender)
client-ip=xxx.xxx.xxx.xxx;

メール受信時のチェック

せっかく、送信時のSPF認証が通ったし、受信時にSPF確認しようと思ったけど、 postgray を導入していて、特に spam の負荷も問題にならない状態なので、 (設定面倒だし)、そのままにしておこう。

tsaitoh.net

「Network」カテゴリーアーカイブ

システム

最近の投稿

アーカイブ

カテゴリー

EdgeRouter-Xを導入しネットワーク構成変更

GPONのポートフォワーディング設定

ネットワーク構成