カテゴリー別アーカイブ: ネットワーク

WindowsUpdate後、RDPがつながらない


https://blogs.technet.microsoft.com/askcorejp/2018/05/02/2018-05-rollup-credssp-rdp/#menu4
「CredSSP と呼ばれる認証プロトコルの脆弱性に関する対策」の適用によって、「認証エラーが発生しました」などしてつながらい。
対策がいろいろと記載されていますが・・・サーバーなんて、そんな簡単にアップデートできませんので・・・
クライアント側の設定変更が早いです・・・が念のため、その都度戻しましょう・・・

TeraTermでコマンド流すときれいに流れない


YAMAHAネットワーク関係をよく扱っています。
最近はほんとGUIでさらり、とほぼ終わってしまいますが、多拠点になるとやっぱり流し込み。

でも、コマンドが飛んだり、うまく流れなかったりしますので
行間遅延を「100」にするとうまくいきます。

WIndows10 メジャーアップデートでVPNのTCP/IPが変更可能に


Windows10ですが、かなり、まだ機能していない機能や不具合が多いです。
先日、メジャーアップデートが公開され、早速インストールしてみましたが、
困っていた、VPNのTCP/IP変更が可能になりました。
今まではプロパティボタンを押して表示できませんでした。
DNSとか、デフォルトゲートウェイと違うIPを指定したい、など、結構あったので、ちょっと嬉しいです。
ただ、VPN接続後、再起動できない(きれいにシャットダウンできない)問題はまだ、そのままでした。
DSC_1273DSC_1277
L2TP

MAC,Windowsリモートメモ


MACでBOOTCAMPを使って、Windowsも、というお客様が増えてます。
いろいろなOSの仕組みやしぐさを勉強する、という点からも、
現時点でIT技術者向けにもベストなPC、と思います。

そこで、リモート関連のメモ

MacOSからWindowsは、MS提供の無料RDPソフトを利用

WindowsからMacOSへも無料のVNCを利用
参考URL

社内へは、どちらもOS標準のL2TPを利用。

いろんなソフトがたくさん出ていたり、Webだけで完結したりしますが
私はなるべくメーカー標準の技術、仕組みを利用するのがポリシーです。

Windows8でL2TP接続後、シャットダウンできない


ここ1ヵ月ごろ、いつからか、YAMAHA RTXなどへ
Windows8.1標準のL2TPde接続後、(接続中は問題なし)
OSシャットダウンしようとおもうと、きれいにシャットダウンできなくなりました。

まあ、しょうがないか、と電源長押しで落としておりましたが、
今度は、Cドライブがかなり肥大。

この2つの問題は関連性はないと思いますが、
そもそものL2TP接続後、シャットダウンできないことを解消したい。

しらべたところ、他の方も困っているようでした。
http://answers.microsoft.com/ja-jp/windows/forum/windows8_1-networking/vpn%E6%8E%A5%E7%B6%9A%E5%BE%8C%E3%81%AB%E3%82%B7/117c2283-d0da-4545-8e9f-7c5235d014ad

問題は「KB3000850」というアップデート。

他の問題は出ていませんが、VPNを使うとダメ見たいです。

今回、KB3000850が削除できない状態でしたので、
初めて、システムの復元を行ってみました。

たまたま、KB3000850のインストールより前の復元ポイントが残っていましたので何とか復旧。

KB3000850以外のWindowsUpdateを行い、L2TP接続後のきれいなシャットダウンも確認。

取り急ぎ、ひと段落です。

Cドライブの肥大がはWindows\Installが肥大してましたので
あれこれ調べ、いらないものを削除。

今回初めてのシステム復元、緊急時には利用できますが、
やはり、復元ポイント後にインストールしたアプリなど他の影響もありそうですので、できれば使いたくない機能ですね。

YAMAHA RTX1200,RTX810とWindows8でL2TP


以前、Windows7でテストし、問題なく動いていますが
Windows7の場合、レジストリ変更が必要でした。

Windows8は最初から設定されているようで、レジストリ変更なく、通信できました。
クライアント側はdocomoのテザリングでも接続確認済みです。

PPTPのセキュリティがいろいろといわれてますので、これからは
L2TP標準がよさそうですね。

YAMAHA無線アクセスポイントWLX302検証その1


ヤマハさんから無線アクセスポイントWLX302が発売され、早速お借りしてテストしています。
DSC_3385

やっと出た、という感じですが、ざっと触ってみっところ、とても設定しやすいです。
多機能なため、一般的なアクセスポイントの数倍しますが、
その分、長く、いろいろと利用できると思います。

・設定が思ったより簡単にできます。
アクセスポイントの初期IPが192.168.100.240ですので
ノートPC1台用意し、同じセグメントのIPを設定、ブラウザで上記IPにアクセスすれば
すぐに設定画面が出ます。

・VLAN対応
一度使うと対応でないと、逆に手間暇かかります。

・簡易RADIUS対応
これは展示会の時にほしい!とお願いしてましたが実装されてよかったです。

・お値段ちょっと高め。

・MDMはまだ開発中

・無線LAN見える化ツール
混線していないところではいらないかな・・・と思いますが
何かのトラブルの際に役立ちそうです。

・ルーターとの連携
現状でRTX1200のみ(RTX810ではWLX302の存在はわかりますが設定できず)
ルーターから設定管理が可能です。
※WLX302だけでも不通に設定できます。

その他、2,4/5Ghz nまで対応、複数SSID設定など多機能です。

基本的な設定はWeb画面だけでできます。
細かな設定をしたい場合はいつものコマンドでできますので
ヤマハルーターを触られてる方には違和感なく、簡単に管理で来ます。

この「簡単にできる」が一番よく感じました。

SWX2200がLAN冗長化に対応


http://www.rtpro.yamaha.co.jp/RT/docs/swctl/lan_duplication.html
徐々にバージョンアップされてます。
ファームウェアのアップデートは
RTX1200やRTX810につながっている(管理されている)状態で、
WEBからファームをダウンロードし、USBメモリに保存。
USBメモリをRTX1200またはRTX810に差し込み、スイッチ制御からアップが可能です。

RTX1100+Windows+RADIUS+AD+L2TP検証


YAMAHAのルーターでいろいろ資料をみてると、「お、こんなのも?」とか
いろいろ昔から機能があって、Windows7でL2TP接続を行ったついでに、いろいろやってみました。

今回はちょっと古いRTX1100でもL2TPがちゃんと動作するか、も含め、テストしてみました。
・Windows7からRTX1100へL2TPでリモートVPN接続
・認証はWindowsサーバーのRADIUS+ADを利用
をチェックしましたが問題なく通信できました。

Windows7からL2TPはこちらにまとめてますが
認証をRTX1100のローカル認証でなく、RADIUSを使うのにちょっと時間がかかりました。
RTX1100をRADIUSクライアントにするまではすんなりいきましたが
ID,PWのところでうまく認証されません。ログをみるとRADIUSまで通ってますが、認証方式がおかしい、というメッセージ。
調べると基本はCHAP認証なので、

・RADIUS側の認証をCHAP認証にする
・Windowsサーバーのレジストリを書き換え、
 ADの接続させるユーザーのアカウント設定画面で「暗号化を元に戻せる状態でパスワードを保存する」にチェックを入れる

の主に2つを注意すれば大丈夫でした。

RADIUSでユーザーを一元管理できれば、
複数拠点へのVPNなど、YAHAMAルーターとWIndowsの基本機能のみでできますね。

ご興味がありましたら、ぜひタイズまで。

RTX810とWindows7でL2TP/IPSec


PPTPは昔から暗号化強度など問題になってますが、Windowsや、Androidなど
標準で備えているので手軽で便利でした。

最近はL2TP/IPSecがはやりのようでPPTPよりも暗号化強度が高く
YAMAHAのルーター、RTX1200やRTX810,ちょっと前のRTX1100でも利用できます。
Android,iOSなども標準で対応し、YAMAHAルーター持っておるとかなり便利なんですが・・・
WindowsOSがサポートされていない・・・・だからPPTPも使い続ける・・・・という状況でした。

久しぶりに調べてみると、Windows7でL2TP/IPSec利用できました。

ルーター側の基本的な設定はここのものでOK。http://www.rtpro.yamaha.co.jp/RT/docs/l2tp_ipsec/index.html#setting3

<私の要点>
認証方式は
pp auth request mschap-v2
としました。
また
ipsec ike nat-traversal 1 on
nat descriptor masquerade static 1 3 192.168.100.1 udp 4500
というようにNATトラバーサルに対応させます。

あわせてPP側にフィルターを設定している場合は
ip filter 200083 pass * 192.168.100.1 udp * 4500
とフィルタールールを作って
pp select 1
ip pp secure filter in … 200080 200081 200082 200083 …
のようにPPのフィルターに適応させてあげます。

これでルーター側は完了。(すみません、すべての設定はYAMAHAのサイトを参照ください)

次にWindows7側で
http://support.microsoft.com/kb/926179/ja
に書いているようにレジストリを追加します。
ちょっとわかりずらいWebですが

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
までみつけ、
この中にDWORD(32ビット)値を作成し
名前を
AssumeUDPEncapsulationContextOnSendRule
値を
2
にし保存後、いったんPCを再起動

これで追加したレジストリが有効になります。
※レジストリを触るときは自己責任です。しっかりバックアップを。

再起動後
PPTPと同じように「新しい接続またはネットワークのセットアップ」から
「職場に接続します」を選んで、必要な項目を入力。
その場で接続はせず、「ネットワーク接続」で先ほど作成したVPNのアイコンを右クリック>プロパティで開きます。
自動でも接続できるかも、しれませんが・・・・念のため
VPNの種類をL2TP/IPSecにして、その下の詳細設定ボタンをひらいて
「認証に事前共有キーを使う」を選び、事前認証キーを入れておきます。
(ルーターに設定した
 ipsec ike pre-shared-key 1 text yamaha1
 のyamaha1のこと)

これで接続確認とれました。

YAMAHAさん自体は、「サポートしておりません」ということで
「出来たとしても、いろいろな大人の事情で保障ないです」っていうことだと思います。
レジストリをさわりなさい!とかってメーカーが安易にいえませんし、
そのサポート考えると・・・・大変だと思います。

この状態で、実際に使って検証してみようと思います。

「PPTPはちょっとね・・・・」といわれるお客様もこれで解消、ですね。

ご興味がありましたら、ぜひ 
タイズまで。

RTX810バージョンアップ


http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.11.01/relnote_11_01_06.html
機能追加、仕様変更、バグ修正含め
いつもYAMAHAさんはすごいな、と思います。
製造は中国であっても中身の考え方は日本的に的確に細かく、
そして「ユーザーはこうやってつかうんじゃないのかな?」的な考え方、提案で
進んでいるのがよいですね。

PPTPとL2TP同時利用も可能になり、
WindowsでPPTPとスマートフォンでL2TPが同時にできるようになりました。
これは使ってみると便利で、

外部からガッツリと、社内の仮想PCで仕事したり、仮想サーバー設定したりは
WindowsPC+PPTPで

急な対応、ちょっと、サーバーチェックしたい、というときは
Android携帯+L2TP+(RDPアプリ)
で十分対応可能です。

不正アクセス検知とPPTPの問題も直ってるかな?
と後でテストしてみます。(バグ修正の41番?)

ご興味のある方はお気軽にタイズまでどうぞ。

RTXとSWX2200でタグVLANその?もう一つ


RTX1200+SWX2200でRTX1200からSWX2200を管理しタグVLANを作っていくと
RTX1200のLAN1(8ポート)にVLANごとにIPを設定していきます。
普通であればそのセグメントのデフォルトゲートウェイになると思います。

VID100:192.168.1.0/24 LAN1:192.168.1.254
VID200:192.168.2.0/24 LAN1:192.168.2.254
VID300:192.168.3.0/24 LAN1:192.168.3.254

と設定した場合、そのままであればすべてのVLANで通信ができてしまう。(RTX1200がルーティングしてくれる)
これではあまり意味がないので・・・・
パケットフィルターで他からの通信を遮断したり
フォワードフィルターでPPやTUNNELの行先を設定したりが必要ですね。

RTXとSWX2200でタグVLANその?まだ続く予定・・・


RTX1200(RTX810でもOK)とSWX2200でタグVLANをいろいろ調査。
SWX2200は一般的な、独立したタグVLANスイッチとして利用する場合、
PCにツールを入れて設定すれば利用できます。

そしてRTX1200と接続し、RTX1200側から「管理する」というコマンド
(またはGUIからでもOK)
「switch control use lan1 on」
を設定すると
「SWX2200がRTX1200の支配下に置かれる」
というイメージがなんとなく理解できました。

発売時にネットでよく「RTX1200にポートを追加するイメージ」と書いてあったのはこういうことかな?と思っています。

ちょっと私の言葉足りずが多いのでわかりにくいですが

A:SWX2200単体+PCのツールで設定→独立したタグVLAN対応スイッチ

ですが、この状態で

B:RTX1200(スイッチを管理設定)+SWX2200→RTX1200のタグVLAN対応ポート追加

にすると、Aで設定した内容は反映されず、RTX1200の管理下に置かれ、設定は初期値にもどっていました。
そして、RTX1200から設定するとRTX1200側のコンフィグにSWX2200の設定が残っています。

「switch select MACアドレス
  switch control function set vlan-id 101 100
・・・・・」
という内容なのでMACアドレスごとに管理しているんですね。

と次にこの、RTX1200で設定した状態のSWX2200をRTX1200配下から外す(トランクとなっているLANケーブルをはずす)と、あらま、Aの設定に戻ってます。

まだ、メーカーに確認したわけではないですが。。。。
「Aの時はSWX2200に設定ファイルが保存されるが、RTX1200の管理下に置かれると、RTX1200の指示に従う。でも、管理から外れると自分の設定ファイルを読み、独立して動く。」

というイメージ。

ただ、もともとのRTX1200のLAN1 8ポートは個別にタグ設定できないようで
すべて、ハイブリッドポート(アクセス+トランク)になるようです。

VLANは設計が大事ですね。

まだまだ、不明点があるので調べてまいります。

RTX810でWinny/Share検知の設定で破棄するにするとPPTPがつながらない。


最近ではあまりつかわれてませんが、Windows標準で手軽につながることもあり
まだまだPPTPを利用する場面もあります。
そこでRTX810の導入設定後、PPTPテストしていましたがつながらない・・・
RTX1200やRTX1100とほぼ同じコンフィグなのに・・・
特にリジェクトされたログもなく・・・・
もしかしてブラックBOXの不正検知?と思い、一つずつチェックを外していくと・・・
Winny/Share検知の設定の「検知をしたときに破棄する」を2つとも外すとうまくいきました。

原因はまだはっきりしてませんが
・他のコマンドが間違っている??
・仕様?
・バグ?
というところですが、とりあえず原因はわかりました。

せっかく簡易不正アクセス検知機能があるのでもったいないですが・・・
あと、今回内部と同じセグメントのIPをPPTPユーザーに割り当ててますので
それも関係するかもしれません。

取り急ぎ、PPTPつながらない、っていう方は、チェックしてみてはいかがでしょうか。