常時接続環境の日々・2014
常時接続環境の日々・2014
|
固定IP運用している側のWANプロバイダのインターリンクから、オープンリボルバ対策をしろ、との警告メールが届いている。あまり詳しくないのだが、DNSが外部からアクセス可能になっていて、DoS攻撃の踏み台などに利用されている(あるいは可能性がある)とのこと。ということで、インターリンクからのメールでの対策や、Webでの事例を参考に、対策を講じる。 まずは、WindowsのDNSの対策。DNSのプロパティから、"再帰を無効にする"にチェックを入れろとのこと。これだけで良いのかな・・と思っていたが、これだけだとダメで、ルータ側の対策もしたほうが良いとのこと。WAN側からのDNS要求を遮断しろとのことで、そのようなフィルタリングを適用する。この対策を行ったことにより、3つの対策確認サイトいずれでも、オープンリゾルバではないとの判定になった。  DNSの再帰設定  ルータのDNSポートも塞ぐ  チェックサイトで確認  別のチェックサイト  もう一つのチェックサイト だが実はもう一つ、インターリンクから警告が。もう一つは、NTPリフレクション攻撃対策。NTPのUDP123番がオープンになっているとのこと。しかし、これについてはルータの設定をみてもそれらしい項目はなく、対策確認サイトでチェックしても異常無しと出る。なぜ警告が来たか、不明。  NTPリフレクション攻撃対策の確認サイト  4台目ディスクのアップロード推移  5台目ディスクのアップロード推移線  合計5台分のディスクのアップロード推移 無線LANの強度を計測。inSSIDerとHeatmapper使用する。5GHz帯の無線LANは、部屋をまたぐと強度が落ちることがはっきりする。新たに導入したPR-500KIの電界強度は、自室内なら悪くはないが、遠くへの飛びはそれほどではない。 
1Fの802.11a(Aterm9500)アクセスポイントの電界強度マップ。 
1Fの802.11n(Aterm9500)アクセスポイントの電界強度マップ。 
1Fの802.11n(WHR-300HP2)アクセスポイントの電界強度マップ。 
1Fの802.11ac(PR-300KI)アクセスポイントの電界強度マップ。 
2Fの802.11ac(PR-300KI)アクセスポイントの電界強度マップ。 
2Fの802.11n(PR-300KI)アクセスポイントの電界強度マップ。 
2Fの802.11n(Aterm8300)アクセスポイントの電界強度マップ。 
2Fの802.11a(Aterm9500)アクセスポイントの電界強度マップ。 
2Fの802.11n(Aterm9500)アクセスポイントの電界強度マップ。 
2F自室の電界強度。 
2Fトイレの電界強度。 
1Fリビングの電界強度。 
1F玄関の電界強度。  musen-lan.comの上り新回線  musen-lan.comの上り旧回線  musen-lan.comの下り新回線  musen-lan.comの下り旧回線  ブロードバンドスピードテストの新回線  ブロードバンドスピードテストの旧回線  NTT FLET'Sの新回線  NTT FLET'Sの旧回線  rbbtoday.comの新回線  rbbtoday.comの旧新回線  USENの新回線  USENの旧回線 新しい回線のスピード計測。旧回線は工事日平日の16時頃。新回線は土曜日AM。単純には比べられないけど、体感的には特に変化は無し。  モールを追加して配線  ひかり電話の配線も行う  ルータからは3本のケーブルが延びる  無線APを一台撤廃して、代わりにハブを設置  UNI側ハブとの結線  メインハブと有線ルータ 週末になり、整線作業を行う。追加のLANケーブルとモールも買ってくる。そして無線アクセスポイントの移設も行う。これまで2Fで使っていた主の無線APのWR9500は1Fに移し、ロジテックのAPをお払い箱にする。それに伴い、SSID名を整理する。末尾に1F/2Fを付け設置場所をわかりやすくする。監視カメラなどの設定も併せて変更する。そして、使用周波数を調整して干渉を減らすようにする。  新しいONU一体ルータ  無線LANカードもセットになる  末尾KIは沖電気製  2.4GHz帯のExpressCardの無線カード・SC-40NE2  NEC製のカード。5GHz帯アンテナは本体に内蔵される  ルータ部とONU-UNIポートは内部LANケーブルで接続される  裏蓋を外すと光コンセント部も露わに  支給されたファイバ。シャッター付き  壁掛け用のスタンドを取り付け  ルータ部とONU部の間に、ハブを挿入するため分離  カバーを装着。LAN延長ケーブルを利用  ファイバをコンセントに装着  ルータを壁に取り付け  通電して、LEDは点灯 この日はギガの開通工事の日。工事と言っても、ONU&ルータの交換と機器の疎通確認程度で、工事らしき工事はしならと思われる。休日だと割り増しなので、平日にして、15-17時の時間帯にお願いした。が、以前も時間にルーズなことがあったのだが、今回も、17時になっても工事会社がこない。しびれを切らしてNTTに電話をしたら、ちょうどそのタイミングで施工業者から電話がかかってきた。 工事自体は、やはり工事というほどのこともなく簡単なもの。機器交換だけであとはこちらでやりますよ、と言ったこともあるのだけど、ルータを箱から出し、ファイバケーブルを差し替えて、通信確認を行って終わり。ラッキーだったのは、後日送付と言われていた5mの光ケーブルを持ってきてくれた。明細としては、 ・ひかり電話工事費:2,500円 ・交換器など工事費:1,000円 ・回線終端装置工事費:4,100円 ・基本工事費:4,500円 の合わせて12,100円(税抜き)。となっている。交換器などの工事費、が5mの光ケーブルの費用だろうか。愛三電機などで扱っている、八光電機製作所のシャッタ付き曲げフリー宅内光配線コードがBフレで使用できるケーブルだが、5mで3,700円するので、お得だ。 業者が帰った後に、自分で配線のやり直し。5mの光ケーブルをルータのある位置まで敷設し、ルータを壁面に取り付け。ルータを2台体制にするので、ONUとルータ部を切り離し、間にハブを挟む構成に結線する。結構骨の折れる作業で、腰が痛くなってしまった。PPPoEの接続自体はすぐにOK。うっかりしていたのは、IPマスカレードの以前の設定をメモしてなかったこと。設定を始めるが、気に入らないのが、今回のルータ、PR-500KIのWeb設定画面の動作がすごくもっさりしている点。それから、設定が分かりづらい。本機のLAN側IPを変える箇所がなかなか見つからなかった。詳細設定の、DHCPv4サーバ設定にあるのだが、これはおかしいだろう・・。それから、IPマスカレードの設定でも悩む。wwwとdnsだけなので簡単なはずなのに、公開できない。結果は、IPマスカレードの各行に、有効/無効のチェックがあり、それがONになっていなかっただけだった・・。ちなみにwwwの方はNAT設定の方にワンタッチ設定というのがあったので、そちらを使うことにした。 その他、光でんわの接続やVPNや無線LANの設定もしたかたのだけど、この日は平日で疲れてきたので、ここらで作業を打ち切り、週末に持ち越すことにする。ちなみに余談だけど、スピード計測でギガ導入前後の速度比較をしようとしたのだけど、導入前が平日15時過ぎ、導入後が0時近くになってしまい、スピードが導入後の方が遅くなる、という結果になってしまった。改めて昼間や朝に試してみたい。 全然ノーマークで知らなかったのだけど、BフレがWAN側200Mから1Gにスピードアップした新サービスを初夏から開始していた。802.11acのルータ購入を検討していたら、このギガサービス用のホームゲートウェイがacに標準対応・・ということで、偶然サービスの事を知った次第。調べると、新しいルータはONUとルータが一体型で、5GHz帯のアンテナは本体に内蔵。2.4GHzのアンテナはExpressカードで機能、という変則的な構成。無線部分はNECだが、本体は沖電気製と三菱電機製があるよう。ONUがルータと一体、ということは現在ウチで構成しているような、ルータ二台の構成は取れないのか・・と懸念を抱いたら、本体内部にONU部とルータ部を結線があり、必要に応じて間にハブを挟み分離できる事が判明。これなら移行できそうだ。工事費は9600円+ひかり電話の移行費用で2000円とのこと。ただ、ONUの位置を変更するため、ファイバの配線も変更になりそうで、追加料金取られる可能性があり。まあこれは、工事当日に交渉かな。休日工事だと割増料金なので、10/20の夕方に工事を依頼。それまでに構成や配線をFIXさせておこう。 Hyper-V環境のゲストOSには、物理NICを1枚だけ割り当てた仮想スイッチをゲストOS分用意して設定していたのだけど、冗長性やスピード向上を目指して、4ポートのリンクアグリゲーションの設定に変更する事にした。 まずは、Netgearのハブでリンクアグリゲーションの設定。 
・・クリックで拡大・・4ポートグループ化
・・クリックで拡大・・LAG TypeはLACPに設定そして、IntelドライバのNICチームの設定を使って、4つのNICをチーム化。そして、新しい仮想スイッチを作成し、チーム化したNICを割り当てる。  新規チームを作成  チーム名を指定  4つのNICを選択  802.3adを指定  チームの作成が完了  仮想マシンキュー(VMQ)がサポートされないと警告  続いて仮想スイッチを作成  SR-IOVを有効にする  ゲストOSに仮想スイッチを割り当てる そして、各ゲストOSの設定で、新しい仮想スイッチを設定。起動して、IPの設定をやり直す。 何故かドメインコントローラだけインターネット接続が有効にならない状態に陥ったが、何度か設定をし直していたら、治ってしまった。もう一つ、TwonkyのDLNAサーバがTVからアクセスできない、という問題も生じたが、これは前回にも経験した、ネットワークの場所がパブリックになったためだった。プライベートに変更したら、表示されるようになった。 ちなみに、チーミングした仮想NICは10Gbpsの表示になる。  リンクスピードは10Gbps Netgearのハブに変えてやりたかった、リンクアグリゲーションの設定にトライ。以前、QuadのINTEL NICを買ってトライした事もあったのだが、もの凄く不安定で断念したことがあるのだが、それ以来なので、5年ぶり以上か? Netgear GS724TにIPアドレスを設定して、WebコンソールからLAGの設定。設定自体は簡単そうで、LAGメンバーシップを作成し、そこに使用するポートを追加するだけ。  まずはWindows 8.1環境でチーミングを設定。INTEL PROSETドライバの機能を使用してチーム化の設定。こちらも、新しいチームを選び、構成するNICを選択するだけで簡単。しかし、チームかした途端、チーム化した仮想NICが通信不能となる。     取りあえずWindowsは保留にして、Macで設定。Macは、ネットワーク設定画面から、"仮想ネットワークを管理"を選び、次のダイアログで+ボタンを押し、新規リンクアグリゲートを選択。チーム化(Macではボンドと呼ぶ)するインターフェースを選ぶだけ。しかし、こちらも通信ができなくなる。   
ハブ側の問題か・・と半分諦めつつ、もう一台チーム化設定が可能な、ファイルサーバの設定にトライ。Windows Server 2012 R2は、OSレベルでチーム化の機能があるため、ここではOSの機能を使い、チーム化。半分諦めていたのが、何とこれはうまく通信ができる。何かしらの設定の影響なのか・・とさらに悩み、調べる。 
調べている過程で、Macの仮想インターフェースの、ボンドの状況と言うタブで、ハブが802.3adに対応していない・・というメッセージを発見。やはりハブの設定なのか・・と、ハブのLAG configを見直す。その中の、LAG Typeという設定が気になり、defaultがStaticなのをLACPに変更。そうしたら、Windows 8.1とMacのチーム化されたNICも通信可能となった。  LACPとは自動でネゴしてポートグループの登録を行うプロトコルのよう。スタティックはその名の通り静的にポートをあらかじめ固定する設定のよう。どうも、802.3adといっているのは、LACPのことのようだ。確かに、Windows 8.1の設定で、静的/802.3adの選択画面があった。 一方で少々疑問なのは、Windows Server標準のチーム化機能。LAG TypeをLACPにしたら、ハブのLAG config画面で、ポートがリンクダウン表示に変わってしまった。しかし実際にはリンクしており、通信も可能。MS謹製のチーム化は、802.3ad対応ではないのか?    それまで使っていた(実際には、調子が悪いので電源入れっぱで使っていなかった)居間に置いてある無線LAN中継機が、ACアダプタの抜き差しをしたら、全く電源が入らなくなり、ご臨終。代わりの無線中継機を探す。中継機はあまり種類が無く、amazonでLogitecとPlanexの製品に絞りかけるが、BUFFALOとIODATAから中継機が近日発売であることを知る。さらに調べると、BUFFALOの製品は、発売済みのWHR-300HP2/Nをベースにしたようで、同製品にも中継機の機能があり、しかも値段も安いので早速ヨドバシで購入。 早速取り付けて設定。中継機の設定はなんなく完了したが、中継機を経由してインターネット接続すると、接続が安定しない。しばし悩んで調べると、まずは中継接続先のAPのMACアドレスフィルタリングで弾かれていることが判明。それを修正しても今ひとつ調子が悪いため、SSIDの名称を、中継元と中継先で替えてみたら、安定するようになった。弱い方の中継先のAPの電波を掴んでいたのかもしれない。 余談だが、前述のLogitecやPlanexの中継機は、MACアドレスフィルタリングが使えないが、BUFFALOはOK。SSID名を中継先と中継元で変えられるのもBUFFALOだけ。無線ルーターのおまけ機能程度に思っていたけど、この機種は意外と良かった。        3月に購入済みの新しいハブとルータを設置。 ルータのNetGenesysは久しぶり。 LAN側アドレスを設定。 WANポート1を設定。Exciteのログイン設定を施す。 スタティックルーティングでPPPoEをデフォルトルートにする。 DHCPサーバをOFFにする。 3月に購入済みの新しいハブとルータを設置。これまで使ってきたDELLのPower Connect 2716は、一度ポート不良が起きて有償交換したが、それ以降は快調に動いていた。しかし、16ポートではポート数が不足気味なので、今回24ポートにアップグレード。Netgearのスマートスイッチは24ポートでも2万円以下と非常に安かった。余談だが、その後このNetgearのGS724Tは品薄になり、値段は急上昇してしまった。 GS724Tはファンレスで、幅はEIAフルサイズ。設置スペースが足りるか危惧したが、この後出てくるMICRO総研のルータも含めて、ギリギリ置く事ができた。インテリジェント機能は後日設定するとして、単純なレイヤー2ハブとして取り急ぎは使用する事とする。 続いてルータのMICRO総研のNetGenesis GL2000。久々のMICRO総研製のルータだ。WANポートが2つあり、冗長化構成を取れるのが特長のようだが、ウチはルータ2台運用なので、この機能は使わない。ヤマハやセンチュリーマイクロのルータと最後まで悩んだのだが、設定が楽なのと、最大セッション数が16384と多いのが購入の決め手となった。 既存のNECの無線ルータと置き換えを行う。肝はIPマスカレードくらい。VPNサーバへのNAPTと、P2P用PCへのNAPTを設定するだけ。前者がDUPの500と4500、後者が9981と443のポートの転送。しかし、設定はしたものの動作しない。いや、そもそもインターネットに繋がっていない。接続状態を見ても、おかしい。暫くハマったのだが、理由は簡単だった。ルーティング設定>>スタティックルーティングでPPPoEをデフォルトルートにする事でOK。この設定がデフォでOFFになっているため、いくらPPPoEの設定をしても通信が確立しなかった。簡単設定を行えば、自動でONになるようなのだが、手動設定でイチから行ったためハマってしまった。   続いてのトラブル・・というか不可解な挙動なのだが、ハブとルータの入れ替えをしたところ、既存のWindowsマシンの挙動がおかしくなって、解消に手間どった。具体的に言うと、ネットワークプロファイルが、パブリックネットワーク等に変わってしまい、ファイアウォールの設定がキツくなってDLNAの再生ができなくなったり、pingが通らなくなったりした。また、機器のIPアドレスの設定を間違えて、重複IPがあったりもしたので、さらに原因究明に時間が掛かってしまった。それにしても厄介なのがこのネットワークプロファイルの設定。調べると、Windows上ではNetwork Location Awarenessというプロトコルによる自動認識で、ネットワークの変化を察知するとプロファイルを切り替えるようなのだが、その動作ロジックが不明だ。パブリックになってしまったプロファイルを変更するのも、ローカルセキュリティポリシーの変更が必要だったり、結構面倒。もう少し、ロジカルにして欲しいところだ。   導入以来、謎のフリーズ現象に悩まされる。その後わかったことは・・・、 ・イニシャライズの旋回動作中は正常に動く ・定位置に停止すると、画面がフリーズしている ・夜間は何故か正常に動作する ・フィクサーから外して動作確認すると正常に動作する ・天吊りがいけないのかと思い、上向き設置をするものの同じようにフリーズ ・天井付近を映している状態だと正常だが、猫の居る床近傍にカメラを動かすとフリーズする ・チルト角度に起因しているのかと思い、フィクサー自体を下に向けるものの、ある一定の画角にはいるとやりフリーズする ということで、絞り込まれるのは、ある画面パターンになると映像がフリーズするのでは?という疑惑。そう言われると、画面には照明が大きく映り込んでいる。もしかして、この逆光のような状態がJPEGエンコーダあたりに悪影響を与えて、固まっているのか? 論理的に考えると、これくらいしか考えられない。試しに、同じチルト角でも照明が映り込まないようにパンさせると、フリーズしない。うーん。しかし困った現象だ・・。設置場所を変えるしかないのだろうか・・。 
・・クリックで拡大・・スカイツリーは原宿の方向だ
・・クリックで拡大・・遠くに新宿副都心や代々木のDoCoMoタワーが見える
・・クリックで拡大・・スカイツリーより大分南の方向で安定するあらかじめ、スカイタワーの方向を確認。ウチからだと原宿の方向だ。東京タワー方向を向いているアンテナを、新宿副都心のビル群等を見ながらスカイタワーの方向に修正。しかし何と、逆に感度低下。BRAVIAだと在来キー曲でも感度30台に落ち込んでしまった。今のTVではNHKが激しいノイズで視聴困難な状況に。再度修正のため屋根に登り、携帯電話でTVの受信感度を確認しつつ、アンテナを回す。すると、驚いた事に、東京タワー方向の南に向けた方が感度上がることが判明。東京タワーよりも南なのでは、という方向にまで回し、ステイが邪魔でそれ以上回転できなくなったので、そこで固定。屋根からの確認では50台の受信感度だったが、降りてみると40台後半に。でも、受信には全く問題無さそう。肝心のMXテレビも40台前半で受信は問題ない。ということで、この状態でFIXとする。何故、スカイツリーに向けると感度が落ちるかは不明。障害物や大きな建物があると、反射波の方が強くなるため、そのようなことがあるというが、ウチからはスカイツリーが視認することができるのに、何故このようなことになるか、謎。まあ、結果オーライとする。    猫が活発に活動中なので、夜間の状態を監視する為に居間にIPカメラを追加導入。今回は、foscamの8910Wを導入。前回購入した8918Wと比較すると、IRカットフィルターのON/OFF機能があるようで、確かに明るくしたり暗くしたりすると、カチカチとフィルターの切り替えの音が聞こえる。屋外光が差し込む状況でも色味がおかしくならず、夜間はIR光で明るく浮かび上がるのは、フィルター機能が聞いている証でもある。しかしながら、何故かイニシャライズ後、画面がフリーズして再起動を繰り返す・・という謎の症状に見舞われる。 |