戯言雑記

ipip接続をあきらめてIPsec接続にしたい。安定している。ただし130mbps程度だ。

なぜかipip通信が切れる、RTX1210側は切れるが、RTX1200側からping等を打つと、つながる。何だったら、RTX1200側のネットワークに新しいPCを接続するだけでつながる・・・・？ 月は見ていなくもそこにあるはずなのに、見ないとつながらない？？？？？ で、RTX1210側のconfigを確認すると記憶にない ip keepalive 1 ～～～～～ の１行が。取りあえず消してみたら、なんとなくつながっている。 いつの間に入ったのか、あんまり記憶が無いのだが。 でもダメだった。

 RTX1210－RTX1200でipipトンネルを構築しているが、しばらくすると通信が断する。 RTX1200側からpingを投げると再接続される。 なのでluaスクリプトで定期的にpingを打つプログラムを組んで実行した。 ping.lua idle_time = 60 while (true) do rt.sleep(idle_time) rt.command("ping -c 192.168.0.254") end で60秒おきにpingを打っているはずなのに結局切れたままになる、何が問題なのか。。。。

 IPIP接続以外に遅いな300Mbpsくらいしか出ない・・・・。1Gbpsのローカルネットの上にのせているのに・・・・・、CPU食いつぶしている感じ。 https://www.nedia.ne.jp/blog/tech/2014/11/27/3836 こちらの記事もipip接続しているがフレッツ網を利用してで ※アップロード：32.4Mbps　　ダウンロード：45.2Mbps 機材に何を使っているか明らかではないが ほかの記事からするとRTX1200同士の接続のようだ、大体速度的に一致する・・・・。暗号化していないからもうちょっと速度出ると思っていたが。 あと、この記事にも書かれているが、RTX1200にipip接続だと、keepaliveがないので、どちらかのルータやネットワークが落ちるとトンネルは存在するのに接続ができないというややこしい状態になる。 あとトンネルから来た通信でsshやweb管理画面が開けないのが困りものだ。 LAN2でsshやweb管理画面にアクセスできるようにすればよいような気がするが、どうもうまくアクセスできない。 細かいところで困った物だ。 －－－－－－－－－－－－－－－ いま接続はRTX1210とRTX1200かんでやっているが、RTX1200側からpingがくると通信が開始する感じ。RTX1200から定期的にpingを打つようなluaスクリプトを書けばいいのか、luaスクリプトまで手を出すことになるとは

 構内lanのなかで、独立したipネットワークでテスト等で、ドメイン認証したいので、独自ネットワークを組んでいる。が遠隔地の端末からドメインログインするためにvpnと思ったが、IPsec等はトラフィックにロードがかかるので、ヤマハルーターのipip接続を試した。特に経路内での盗聴は考慮しなくてもいいようなネットワークなので、 設定はヤマハの http://www.rtpro.yamaha.co.jp/RT/docs/ipip/index.html#setting1 の設定通り、ルーティングと、対向へのトンネルを作るだけでOKだった。 あまりにも簡単にVPNをひける、そもそも認証すらせずにつながった。

いきなり予定がついえた。 Clonezilla(1)　2023/11/29 で「PXEでClonezilla起動できてクライアント展開できると結構魅力的(そんなに管理台数あるわけではないが、と思う次第です」 と書いたが、 Yamaha RTXのDHCPサーバは詳細なパラメタを指定する事ができません。例えば、DHCPサーバやPXE bootで使用するoption60などは指定できません。 PXEできないらしい、自前でDHCP立ててもいいのだが、RTXやめたときにはDHCP自前で立てるのだが、取りあえず、今はメインDHCPがRTXだからなーーー。 まあ、取りあえずClonezilla使えるようになろう。  

 softether とyamaha RTX-1210 のL2TP接続。なんかうまくいかないので調査 無防備のubuntuにsoftetherインストールしたときにnmap は PORT     STATE SERVICE 22/tcp   open  ssh 443/tcp  open  https 992/tcp  open  telnets 5555/tcp open  freeciv 500/udp  open          isakmp 514/udp  open|filtered syslog 631/udp  open|filtered ipp 4500/udp open|filtered nat-t-ike 5353/udp open|filtered zeroconf 500と4500が問題か  問題のサーバーは、500と4500だけスキャン 500/udp  open          isakmp 4500/udp open|filtered nat-t-ike あいてるね  でもつながらない。 ファイヤーウオールをオフにするとつながるけど、特定アドレスからのすべての通信を通してもだめ、何でだろう。 ふとお思ったがの、外部をマルチホーミングにしたこと（softetherの動いているPCのファイヤーウオールのログを見ていて気づく） LAN内のIPアドレスによって接続先のプロバイダーを切り替えて，負荷分散をする。 のだが、softetherの動いているPCのファイヤーウオールのログを見ていると、見知らないIPからUDP:500に定期的にアクセスがある。気持ち悪いと思って見ていた。アドレスを探すと、最初はNTT系のIPで四国からのアクセスってでていた。さらに気持ち悪かったのだが、さらにIPアドレス検索すると、付近のIPでNTT。。。。！！！ マルチホームにしたときに、設定としてはプロバイダーAから出ていると思っていたが、実はプロバイダーBから出ているのではないか。 でRTX...

 久々にYAMAHA RTX1210を動かすことにしたので、ファームウェアの確認 # show exec list No.   Revision ----- --------------------------------   0   Rev.14.01.20 * 1   Rev.14.01.32 Rev.14.01.32のままだったので、現時点で最新の14.01.40にアップデート TFTPを使ったバージョンアップは環境を構築するのが面倒くさかったので、SDかUSBメモリでアップデートしようと思ってメディアを捜索。とりあえず、SDカードが見つかり、FAT32でフォーマットして、ダウンロードした.binファイルを書き込んで、RTX1210の元へ・・・・。マイクロSDじゃん・・・・。 マイクロSDを探して・・・・・つなぐと、死んでいる。 USBメモリを見つける。FAT32でフォーマット。ファイル書き込んで、RTX1210に接続。 WEBの管理画面から操作して書き換え。 # show exec list  Searching files in USB Memory... Done. No.   Revision ----- --------------------------------   0   Rev.14.01.40 * 1   Rev.14.01.32  EXT  Rev.14.01.40 [usb1:/rtx1210.bin] ----- --------------------------------    #  set-default-exec 0 で起動ファームを0番に変更 ＃ restart　 で再起動 # show exec list  No.   Revision ----- -------------------------------- * 0   Rev.14.01.40   1   Rev.14.01.32 ----- ------------------...

 最近のAterm静的ルーティングできない問題(1) で、牛刀で鶏肉をさばく設定RTX1200を持ち出してきたわけだが、DHCPの機能もDnsmasqからRTX1200に移そうと計画、 isc dhcp serverで静的ルーティングを配布したいけどできなかったのでDnsmasqで 計画の直接の理由は、RTX1200にデフォルトGWを変更したら、PC系は問題ないのだが、ipadの通信が不安定。ipadなので詳細には調べられなのだが、ipV6のルーティングも含めてRTX1200へ持って行こうというところである。 小手調べにHDCPv4を移動、これが全くうまくいかない。 dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.x.2-192.168.x.150/24 dhcp scope bind 1 192.168.x.2  00:0c:29:xx:xx:xx dhcp scope bind 1 192.168.x.3  00:0c:29:yy:yy:yy dhcp scope option 1 dns=192.168.3.253 dhcpを起動して、 接続確認windowsはつながるが、その他が・・・・。とりあえずubuntu系がつながらない。というか、つながったり、つながらなかったりする。どうしたものか、

 中古でYamaha RTX1200を手に入れたので調整 まずはファームウェアのアップデート RTX-1210でやっていたのでそれをふまえて。ファームウェアのコピー 参考： https://ysa256.blogspot.com/2017/09/rtx1210.html 0にRev.10.01.38が入っていたので、シリアルコンソールから入って　administratorになって > administrator      現在のファームを確認 #  show exec list ファームのバックアップ  # copy exec 0 1 今回ネットにつないでいないのでSDで アップデート MicroSDカードを準備FAT32でフォーマット、 ヤマハのページ からファームをダウンロード(rtx1200.bin)をそのままSDにコピー MicroSDをRTX1200にセット、ピッっという音がしてLEDが点灯。 webの管理画面から「管理者向けトップページ」に入って、左メニュー保守で「ファームウェアファイルのコピー」を実行 「コピー元のファイル名」を「SDメモリ」にして参照で先ほどのrtx1200.binを選択。コピー先はexec0を選択で実行、しばらくすると再起動がかかる 再起動後 show exec list　を実行ファームはアップされているけどSDから起動しているような感じ No.   Revision ----- --------------------------------   0   Rev.10.01.78   1   Rev.10.01.38 *EXT  Rev.10.01.78 [sd1:/rtx1200.bin] ----- -------------------------------- なのでSDを抜く、SDカード挿入部の横にボタンを2秒以上長押しするとビープ音がしてLEDが消灯するのでSDを抜いて再起動 # show exec list  No.   Revision ----- -------------------------------- * 0...

SoftEther VPNのページの内容(https://ja.softether.org/4-docs/2-howto/Other_VPN_Appliance_Setup_Guide/9-yamaha-rtx-l2tpv3 )で基本問題ないが一部舌足らずな点もあるので、追加しておく。 lan1とtunnel1をブリッジしてbridge1を作る。そのために「LAN1」という項目が利用できなくなる。その結果、一般的な設定である sshd host lan1 httpd host lan1        ip lan1 proxyarp on の設定をbridge1にする必要がある。これをしないと。 ・SSHで接続しようとしてもアクセス拒否をうける。 ・webコンソールにアクセスしようとしても表示されず。 ・pptpやl2tpでリモートアクセスを許可していても、VPNには接続されるのにVPNで接続したネットワークの内部と通信できないということが起こる。 sshd host bridge1 httpd host bridge1        ip bridge1 proxyarp on に変更する必要がある。 現在softethrとRTX-1210でl2tpv3で拠点間VPNができるようになった。 正しいかどうかは別にして以下の様に接続されている。Softether設置サーバー内にL3仮想スイッチを設置、別ネットワークのスイッチをルーティングしている。 https://ja.softether.org/4-docs/1-manual/A/10.6 の方式をとっている。 実験用ネットワークなのでRTX-1210とsofetherは物理1Gbpsのネットワークでつながっている。サーバーはかなり古い約10年前のAthlon X2搭載HDDのデスクトップPCを使っている。 それで、1Gbpsのネット経由でRTX-1210を経由してsambaで10.0.0.xがわにアクセス。時代だね。300Mbps程度の性能 同じサーバーに192.168.5.21でアクセスすると100Mbps手度の性能まあ、まあか。ただしこのときのRTX-1210のCP...

Configで指定しているのに、再起動後機能が有効にならないので シリアルで接続してwebコンソールをbridge1から接続してやれるようにして httpd host bridge1 webコンソールからsshのアクセス設定の許容する暗号方式に追加か、抜いて（パスワードでも良いが）変更を加えてやるとアクセスできるようになる。 起動して設定してしまえば問題は無いが、いちいちはめんどくさいな

前回の時も同じサイトに教えていただいたかも。 外部サイト(http://www.marronkun.net/network/yamaha/vpn_000053.html) ありがとうございます。サイト開いた瞬間にこれだと思った。 # VPNクライントからLAN側へ通信できるようになります。 # 結構忘れる設定ですので必ず有効にしましょう。 ip lan1 proxyarp on ↑なぜかブリッジ作ったときに消していた・・・・・ ip bridge1 proxyarp on を追加することでおまく動くようになった。

RTX-1210のコメントの付け方頭のシャープは有効だが 行中の＃はダメなのか #~~~~に関する設定はOK pp bind tunnel1-tunnel5         #トンネル1-5を作る がダメだった。確証はないがもしかしたら空白が全角スペースだったのかもしれないが とりあえず、tftpでアップしたファイルがうまく動かない現象があった。 なかなか気づかなくってかなり苦しんだ。

RTX1210でブリッジ作ったら。webの管理画面にアクセスできなくなった。 アクセス制限がかかったからです。 通常アクセスはLAN1に限られているが。LAN1がトンネルとブリッジしているのでbridge1になってしまっている。 アクセス可能にするには # httpd host bridge1 でアクセス可能になる。

ubuntu 16.04 で起動後pptpdサーバーにクライアントとして自動接続する方法 あまりスマートではないがとりあえず、切断時でも再接続できるようになったので記録しておく。 $ sudo pptpsetup --create pptp1 --server xxx.xxxx.xxx.xxx --username test --password hogehoge --encrypt  で/etc/ppp/peers/pptp1が作成され、/etc/ppp/chap-secretsにユーザーが追加される 。 /etc/ppp/peers/pptp1に再接続するために最終行に以下を追加する。 persist /root/script/vpn.shを作成し #!/bin/sh sudo pppd call pptp1 updetach sudo  route add -net 192.168.0.0 netmask 255.255.255.0 ppp0 なぜか　sudoをつけないとうまく接続されない・・・・。 で実行権限をつける. $ sudo chmod +x /root/script/vpn.sh これをwebｍminでcronに登録するシステム起動時に実行の設定で。 起動時にpptpdサーバに接続されるが経路情報が更新されないので、通信できない。 /etc/ppp/ip-up.d/pptp1 を作成  #!/bin/sh sudo route add -net 192.168.0.0 netmask 255.255.255.0 ppp0 実行権限をつける $ sudo chmod +x /etc/ppp/ip-up.d/pptp1 VPNの向こうのネットワークへの ルーティングを追加 これで起動時にpptpdに接続される。 やり方としては多分正式な方法ではないが、とりあえずOK

ubuntu 16.04でpptpクライアントにする場合、他のサイトでもあるよう奈設定でとりあえずOKだが sudo apt-get install pptp-linux の後にリブートしないと MPPEが有効にならないらしく以下のエラーが出る。 pppd[17985]: MPPE 128-bit stateless compression enabled pppd[17985]: MPPE disabled リブートすると有効になって接続できる

あんまりちゃんと検証していないけどyamahaのRTX-1210でpptpユーザのパスワードに_(アンダーバー)を入れるとうまく認証されない？ 記号も使えるという情報もある けど、うちではうまくいかないな？なぜだろう

RTX1210 Ver.14.01.20 リモートVPN接続できず　でl2tpを接続できなかった問題が一応解決した、NATの設定ミスだったようだ。(その前は動いていたが・・・・） nat descriptor type 200 masquerade nat descriptor address outer 200 primary nat descriptor address inner 200 auto だったのを nat descriptor type 200 masquerade nat descriptor address outer 200 ［LAN2のipアドレス］　←明示的に指示 nat descriptor address inner 200 auto nat descriptor masquerade static 200 1 ［LAN2のipアドレス］ esp nat descriptor masquerade static 200 2 ［LAN2のipアドレス］ udp 500 nat descriptor masquerade static 200 6 ［LAN2のipアドレス］ udp 4500 ↑LAN1のアドレスを記入していた。 で接続できた。めでたしめでたしとおもったが、Windows10から利用すると接続が切れる。？？？？？(macだと無線だと安定しているけど、有線にするとだめだった？？？？） l2tpのMTUを疑う。 ここを参考にMTUの設定を変更する ダメ・・・・ RTXのログに [IKE] invalid cookies: というエラーがでている。 ？？？？ ＃クッキーが不正である（相手側で以前のSAがまだ消えていない＃ときに起こりやすい）。 だそうだ、とりあえず、ここまで、なにか対策を検討しなければ。 ipsec ike keepalive use 1 off で接続が安定した。解説ページによってはoffではなく有限の数字（600くらい）を入れた方が安定するとの例もあるが、うちの環境ではoffで安定

yamahaのルーターが「ARP: Illegal packet at LAN・・・・」がむごいので対策を考える． これはとりあえずRTXのインターフェイスと同じ物理ネットワークにちがうセグメントのARPが流れているのが原因，現在ひとつのハブに複数のネットワークが混在しているので（ダイナミックVLAN)多分ARPがもれてきているのかと考える．であるならARPをもれないようにポートベースVLANで区切ってしまえばいいのではないか． うちの構成が超特殊なのだが以下のような構成になっている． これを してやればいいのかな．検討してみる