戯言雑記

内部のハブにつながる物がなくなると、VPNが接続できなくなるので, WAN側GE0にNAPTをかけて、アクセス制限してつなぐことにする。内部ネットワークの中のルーターなので、あんまりセキュリティーについては考えていない。外部ネットワークする場合は注意が必要。 まず。インタフェースを選択、NAPTを設定する。 interface GigaEthernet0.0 ip napt service ssh [GE0のIPアドレス] ip napt service ping [GE0のIPアドレス] ip napt service snmp [GE0のIPアドレス] EXITして。アクセスリストを作成する。 ip access-list SERVER_SNMP permit ip src [接続元IP] dest any ip access-list SERVER_SNMP permit ip src [接続元IP]  dest any ip access-list SERVER_SSH permit ip src  [接続元IP]  dest any ip access-list SERVER_SSH permit ip src  [接続元IP]  dest any 接続元IPは192.168.0.0/24のように、範囲でも、192.168.1.1/32でもOK SNMPのサービスを起動、上記のアクセスリストからのみアクセス可とする。 snmp-agent ip enable snmp-agent ip community public snmp-agent ip community public SERVER_SNMP ro これでOK 

 VPNで接続できたのだが、以下のローカルネットがVPNによってよって接続されているのだが、192.168.0.0側から192.168.5.254のIXに「 snmpwalk -v 2c -c public 192.168.5.254　」を打つと 192.168.0.0  --+～～～～～～～＋----- 192.168.5.0 192.168.5.254のIX配下にクライアントがいると返事をしてくれるが、クライアントが無いと返事を返してくれないという意味不明な状態が発生。 ちなみにSSHもpingも通らない。何かがぶら下がっていないと外から通信できない？ NAPTで外部に公開？でいけるのか。

Yamaha RTX1210とのNEX IX2215のIPsecに挑戦中だが、簡単だと思っていたが、うまくつながらない。 UNIVERGE IXシリーズ IX-YAMAHA(RTX)とのIPsec接続資料 YAMAHAとNECのルータでVPNをつなぐには？ NVR700W と UNIVERGE IX を IKEv2/IPsec で拠点間接続 ヤマハRTXとNEC IXで拠点間VPN（IPSec）設定をしてみました と記事はあるものの、ちゃんと読み込めていないのか当環境ではうまくいっていない。こまった。IKE1とかSAが馬うつながっていないようだが、 RTX-RTXはうまくいっているので、基本は悪くないはずだが、どちらかの設定がずれているのだろう。 最終的には YAMAHA RTX1200とNEC IX2015による両側動的IPでのIPSec VPN相互接続 ここの設定を参考にさせてもらった、 相互900Mbpsくらい出ている。

 NEC UNIVERGE IX2215のファームをNetMeister経由でアップしてみた。 NetMeisterで装置を選び、右上の「 閲覧 」「 編集 」を編集に変更。装置の画像近くの「アクション」でファームの更新で5分くらいで勝手に再起動までされた。 これは便利ですな。

 取りあえずコンソールのためのシリアルを接続、 スーパーリセットを実行 電源オン、シリアル画面でルーターが起動するので途中、Loadingで　########って出ている間に Ctl+C で停止。 boot[0]> とプロンプトが出るので、 cc と入力して、 y で実行。スーパーリセットがかかる。 リセットがかかったら、 boot[0]>  のプロンプトに b と入力ブートする。これでOK ファームのバージョンの確認 グローバルコンフィグモードに移行。Router # の後のプロンプトに以下のように入力 Router# configure  Router(config)# に変わるので、バージョン確認のコマンドを入力 Router(config)# show version →  System image file is "ix2215-ms-10.1.15.ldc" ファーム10系にすでにバージョンアップされている模様。2025.1.4現在最新が10.10.27なので、ちょっと古い感じ。 ホスト名の変更 取りあえずホスト名を変更する。 Router(config)# hostname IX2215-1 → IX2215-1(config)#   ログイン名を設定する  IX2215-1(config)# username testadmin password plain 1 xxxxxxxxxx plain 1 コンフィルに平文でパスワードを残こすそうです。 LANインターフェースの設定 取りあえずLAN側にIPアドレスを与える、ここでは192.168.0.220を付与 IX2215-1(config)# interface GigaEthernet2.0 IX2215-1(config-GigaEthernet2.0)# show ip address IX2215-1(config-GigaEthernet2.0)# ip address 192.168.0.220/24 IX2215-1(config-GigaEthernet2.0)# no shutdown IX2215-1(config-GigaEthernet2.0)# exit IX2215-1(config)# 保存 IX...

　NEC UNIVERGE IX2215(1)を中古で購入した。　 　RTX1200を使っていたが、IPsecがそれほど早くないことと、外とつないでいるわけではないが、2021年5月末に保守終了して、ファームもアップされていなさそうなので、なんか心配で。 　NEC UNIVERGE IXはずっと気になっていたが、中古のハードウェアのあつかいが面倒なので、購入しにくかった。 　大きな理由はファームウェアが NECにソフトウェアダウンロードの接続申請手続きをしないといけなかったりで手間であると言うことが理由である。ところが、最近NECのルータのファームの配信が自由になったようだ。 　NEC UNIVERGE IXはYamahaのRTXとならぶVPNルータだが、ファームの取り扱いが厳格で扱いづらいためか、中古価格は安い傾向にある。ところが、ファームが手に入りやすくなっているが、価格は安い目に抑えられている気がする。 　今回購入した NEC UNIVERGE IX 2215は2012年6月7日発売で、RTX1210の2014年11月より古いが、2024年12月現在、現行機種であり、ファームも更新されている。 　その割に中古がわりと安いRTX1210が1万5000円くらいに対して IX2215は5千円ちょっとくらいである。 　2019年製の個体があったので、今回中古で購入してみた。

ipip接続をあきらめてIPsec接続にしたい。安定している。ただし130mbps程度だ。

なぜかipip通信が切れる、RTX1210側は切れるが、RTX1200側からping等を打つと、つながる。何だったら、RTX1200側のネットワークに新しいPCを接続するだけでつながる・・・・？ 月は見ていなくもそこにあるはずなのに、見ないとつながらない？？？？？ で、RTX1210側のconfigを確認すると記憶にない ip keepalive 1 ～～～～～ の１行が。取りあえず消してみたら、なんとなくつながっている。 いつの間に入ったのか、あんまり記憶が無いのだが。 でもダメだった。

 IPIP接続以外に遅いな300Mbpsくらいしか出ない・・・・。1Gbpsのローカルネットの上にのせているのに・・・・・、CPU食いつぶしている感じ。 https://www.nedia.ne.jp/blog/tech/2014/11/27/3836 こちらの記事もipip接続しているがフレッツ網を利用してで ※アップロード：32.4Mbps　　ダウンロード：45.2Mbps 機材に何を使っているか明らかではないが ほかの記事からするとRTX1200同士の接続のようだ、大体速度的に一致する・・・・。暗号化していないからもうちょっと速度出ると思っていたが。 あと、この記事にも書かれているが、RTX1200にipip接続だと、keepaliveがないので、どちらかのルータやネットワークが落ちるとトンネルは存在するのに接続ができないというややこしい状態になる。 あとトンネルから来た通信でsshやweb管理画面が開けないのが困りものだ。 LAN2でsshやweb管理画面にアクセスできるようにすればよいような気がするが、どうもうまくアクセスできない。 細かいところで困った物だ。 －－－－－－－－－－－－－－－ いま接続はRTX1210とRTX1200かんでやっているが、RTX1200側からpingがくると通信が開始する感じ。RTX1200から定期的にpingを打つようなluaスクリプトを書けばいいのか、luaスクリプトまで手を出すことになるとは

 構内lanのなかで、独立したipネットワークでテスト等で、ドメイン認証したいので、独自ネットワークを組んでいる。が遠隔地の端末からドメインログインするためにvpnと思ったが、IPsec等はトラフィックにロードがかかるので、ヤマハルーターのipip接続を試した。特に経路内での盗聴は考慮しなくてもいいようなネットワークなので、 設定はヤマハの http://www.rtpro.yamaha.co.jp/RT/docs/ipip/index.html#setting1 の設定通り、ルーティングと、対向へのトンネルを作るだけでOKだった。 あまりにも簡単にVPNをひける、そもそも認証すらせずにつながった。

 懲りずにAliexpressでSFP+を購入している 今回は ONTi 10G FSP+ DUAL MM LC DDM 　と　 LC UPC to LC UPC ケーブル SFP+が2コで3190円　光ファイバーが10mで1160円　独身の日の購入なので結構なバーゲンか これCRS305-1G-4S+INと、QSW-M2106-4Sで認識、通信してくれている。ラッキーだ。 これで10GbE構成、かなり安価に行けるか。 以前、これもAliexpressで10Gb PCI-E NIC Network Card 82599EN Chipset for Intel X520-DA1を5000円ほどで購入している。X710のカードになると結構高いけど。X520だと、かなり安いね。

 10GbEのハブQSW-M2106-4Sを導入。 大きな落とし穴に気付く、こんなに高機能なのにSNMPが非対応(調べたつもりだったが抜け落ちていた。） どうしたものか、 あと、最近買ったのだがファームのバージョンが1.2.0.236140　2022.07.18のものらしい すでに1.2.0.431116　20221003が出ているらしい。がこれも結構古くないか？ と思ったら発売が2022/11/4らしい（OCNオンラインショップ参照）、価格コム掲載が2023年 4月17日。こんなに古いんだ、2.5GbEついているので最近かと思っていたが。 ちなみに1.2.0.236140のファームでは 過去にアリエクスプレスで購入した TP-LINKのTL-SM410U-2.5G→ケーブルをつなげばリンクアップしてそうだが通信できない。10GbEと認識する Go-FibereasyのGSFP-2.5G-T：認識しない FB-LINKのSFP-2.5GE-T：認識しない 散々たる結果ですね。 TL-SM410U-2.5GがUS$17.99、GSFP-2.5G-Tが3249円、SFP-2.5GE-Tが1860円、どっかでも書いたが安物買いの銭失いです。 ただ、Aliexrpressで購入したMikrotik S+RJ10はちゃんと認識した（ ゴミのように送られてきたが ）し、一番初めに買った SFP+のダイレクトアタッチケーブル3m　 MikroTik SFP+ 1m direct attach cable はちゃんと認識する。 ファームをアップしたらまた変わるか確認しよう。 ちなみに、この作業中にちゃんと動く、Mikrotik S+RJ10のラッチが折れるという、不運がありました。 さて、ファームのアップはボタン一つで自動的にダウンロードしてくれて、(外部接続があれば）、再起動されました。画面上は特に変化はない感じですね。

 少し特殊な設定をしたchromeの自動運転する場合デフォルトのプロファイルだとうまく対応できないので。設定方法。 以下を参考にしたが、うまくいかなかったのでその分の修正も含めて https://programan.org/seleniumbasic-browsers-profile/ まず、Chromeでプロファイルを作成する。なんでもいいし、google アカウントに紐付いてなくても良い。(紐付けると、紐付いた状態で起動できるかもしれない、確認していない。） Chromeのプロファイルパスを確認する Chromeを起動して chrome://version/ で確認できる。 プロフィール パス  C:\Users\XXXXX\AppData\Local\Google\Chrome\User Data\Profile 3 とかって出ていると思われます。「Profile 3」はすでに作成しているプロファイルの数に応じて書かれる、1つ目だと・・・・じぶんで調べて vbsエディタで Dim driver As New ChromeDriver driver.SetProfile "C:\Users\XXXXX\AppData\Local\Google\Chrome\User Data\Profile 3\" driver.Get "http://www.yahoo.co.jp" で記載するだけで、プロファイルが使われるがここで一つ落とし穴が。 この設定でSeleniumuBasicで読み込まれるプロファイルは  "C:\Users\XXXXX\AppData\Local\Google\Chrome\User Data\Profile 3\Default" というわなが・・・・・ 通常の方法で手動起動したChromeのプロファイルが"C:\Users\XXXXX\AppData\Local\Google\Chrome\User Data\Profile 3\"に保存されるので、 ここのファイルディレクトリのうち 「Default」以外を 「Default」にコピーする これで、例えばテストサイトで証明書とかとっていないサイトからダウンロードする際に、 安全で無いダウンロードがブロックされました...

 CRS305-1G-4S+INのRouterOSを7系にアップグレードした。 と言っても「 激安10GbE計画(27)アップデートできない（ERROR: connection timed out）  」と同じ方法で、 https://mikrotik.com/downloadからRouterOS v7のARM Main Package（routeros-7.13.1-arm.npk）をダウンロード Winboxか、webコンソールのFilesでもいいと思うが、ファイルをドラッグアンドドロップ。 リブート、しばらく待つ でアップグレードされた。 webから、「interface」→そのインターフェイス、開かれたページの中頃に「Auto Negotiation」の設定があるこれを初期値はOFFにすると2.5GbEの選択肢がある。期待大。 ジャンボフレームの件と、安物SFP+の件が解決しているといいな。 ジャンボフレームダメでした。

 全然何もしていないが、 ちろっとAliexpressを見ていたら以下のようなレビューがあった 消えるとあれなので以下に引用（自動翻訳まま） 説明どおりに機能します。ホストデバイスは2.5G速度をサポートする必要があります。Mikrotik CRS3xxデバイスでは、自動ネゴシエーションをオフにしてRouterOS 7.3以降を使用する必要があり、強制的に2.5gbpsになります。その後はうまくいきます。ありがとう! 原文は Works as described. Host device must support 2.5G speed. On Mikrotik CRS3xx devices, you need to be using RouterOS 7.3 or newer with auto negotiation off, forced to 2.5gbps. Works well after that. Thanks!  現在うちの  CRS305-1G-4S+IN はバージョン6系を使っている。ここは1回7系にアップグレードして試してみるか。それでいままでのSFP+がつかえたらごめんなさい。 特に何もしていないですが。

 ClonezillaのLiveDVDや、USBの初期版が、I225-Vに対応していない問題についてVirtialPCがインストールされていれば以下の方法でアップデートができて、ドライバをインストールできる。I225-V搭載PCしかない時に 1．Clonezillaのubuntuベース版「alternative stable - 20231102-mantic」のiso版をダウンロードする。rufusを用いて、USBに書き込む。 2．VirtialPCに仮想マシンを用意する。（HDDとか無しでOK)。システムで「EFIを有効」にチェックを入れる 3．リアルPCにUSBポートに接続し、仮想PC起動時に自動的に接続されるようにUSBの設定をする。 4．この状態で仮想PCを起動すると、UEFIのシェルが起動するの「exit」で抜ける 5．BIOS?が立ち上がるのでBoot Managerを選択し、次の画面で「UEFI　～～～」で表示されるUSBメモリを選択する。これでclonzillaが起動する。 6．OSの選択から少し時間がかかるが、言語選択のが面が出てくるので、clonzillaの設定を行っていく。一度「Start_Clonezilla」ですすめてsamba接続などを選択して、dhcp等でIPをもらう(これをしないと、ここまでIPをもらえない）dhcpでIPをもらった、途中で処理をやめる。何段階かすすむと「cmd コマンドラインプロンプトに移行します」を選択する。 7．コマンドプロンプトになるので、この状態で　sudo apt update 、upgradeでアップデートできる。 8．アップデートできたらシャットダウンすれば、I225-Vに対応した状態になっている。

 Realtekのドライバーを最新版に入れ替えた。 Realtek PCIe FE / GBE / 2.5G / 5G Ethernet Family Controller Software　の Win11 Auto Installation Program (NetAdapterCx)　の Ver.　1124.015 , 1125.015 , 1126.015, 1166.015 , 1168.015 2023/11/28 をインストールした、結果・・・・・・・ジャンボフレームは通らなかった。

Mikrotik S+RJ10を購入して2.5GbEでリンクアップしたが、問題が生じた。 問題は内部のhttpサーバーとRealtekのGbEのNICと通信できない現象が起こった。他のチップで確認していないのだが、現状Realtek→FX2G-08EM→Mikrotik S+RJ10→httpサーバーのアクセスだとジャンボフレームを設定するるとつながらない 外部のwebサーバーはつながるが、内部がつながらない？？？？？。 取りあえずジャンボフレームoffでOK Realtekのジャンボフレーム設定値4088 Byteと9014 Byteがあるが、どちらもダメ、向こうのみ通信可能？？？？ Realtekのドライバーの問題か(現在はHPが配付しているドライバーをインストール2022/06/16の日付の10.60.615.2022と言うバージョンが入っている。 取りあえずRealtekからダウンロードしてインストールしてみますかね。

 SFP+で失敗し続けたので結局Mikrotik S+RJ10にした、ただ、懲りていないのはAliexpressで一番安いところで買うというところである。価格は送料込みで1万程度，いままでの死屍累々のやつと足すと大体1.8万円くらい、国内で流通しているS+RJ10を買えたのでは無いか，いま調べたらAMAZONで1.3万くらいであったいるする。勉強代。 さて、来た商品だが、いままでで一番高いパーツなのに、一番クソな包装だった。これ本物か。 マジで、本物かな。ちょっと心配。安いから仕方ないとは思いつつ、2000円くらいのでちゃんと箱に入っていたぞ。

  Clonezilla(2)Yamaha RTXでできない　- 2023/11/30 YamahaのRTXのDHCPでPXEできないって書いたけど、調べてみるとproxy dhcp機能という仕様があって、Dnsmasqで使えるらしい。Dnsmasq、以前使ったけどなんちゅー有能なソフトなんでしょ。というわけでさいどPXEに挑戦するが、それよりも先に、取りあえず、USBメモリなどでクローンできることを先にする。