Windows10でルータにL2TP/IPsec接続に無事成功(2)
こんばんは。L2TP/IPsec接続の続きになります。ルータとWindows10との間をインターネットVPNでL2TP/IPsec接続が上手く行かなかったことの続きになります。
先に結論から行きますと、「ルータ側の認証アルゴリズムをHMAC-SHAにする」「PC側の設定で、『認証プロトコルの許可』のCHAPにチェックを入れる」の2点が解決のポイントのようでした。
前者の設定変更前は、「セキュリティ層でリモート コンピューターと互換性のあるパラメーターをネゴシエートできなかったため、l2tp 接続に失敗しました。」と表示されました。前者を上述の通り変更しましたが、PCの設定変更前の状態で接続を試みた際には「リモートコンピューターにより接続が拒否されました」と表示されて、接続に失敗しました。
そこで、後者の設定にPC側を変更してみたところ、無事に接続出来ました。ここまでの設定で、レジストリの変更もすることもなく、PCに接続されているルータ側のVPNパススルー設定もせずに済みました。
Windows10でもOKでしたので、同様の設定(CHAPの許可)を行うことでWindows7や8.1でもOKなはずなのですが、手持ちのWindows7機がないので確認は出来てません。
端末に問題がない場合は、VPNパススルー設定の可能性もあります。NATトラバーサル関連の問題もありそうです。このへんも引き続き調査して行きます。
RTX1210とFWX120の動的フィルタと静的フィルタの考え方を理解するのに苦戦中
こんばんは。今回はRTX1210とFWX120のパケットフィルタリングについて少し書いてみます。「YAMAHAのルータ・ファイアウォールでのパケットフィルタリングの記述方法や考え方には独特のクセがある」的なコメントをよく見かけます。
LAN1とLAN2との間の通信制御を設定するとします。「受信」と「送信」の考え方に少々注意が必要ですね。私もハマりそうになりました。(^^;
簡単な図を書いてみました。LAN1とLAN2が以下のようになっているとします。
[LAN1]-------○[RTX1210]○-------[LAN2]
→ LAN1からLAN2へ向かうパケット
左側の○がLAN1側I/Fだとします。LAN1内端末からLAN2に向かうパケットをLAN1側I/Fが「受信」するので、「受信」(IN)と表現するようです。逆にLAN2からLAN1に向かうパケットは、LAN1側I/FからLAN1内端末に向けて「送信」するので、「送信」(OUT)と表現するようです。ここが混乱を引き起こす元凶なんですよね。(^^;
と、「動的パケットだけではフィルタリングしない」という点にも注意が要るんですよね。動的フィルタと静的フィルタを組み合わせないといけないのも要注意事項ですよね。慣れていればいいのですが、そうでないと「あれ?どうだっけ?」になりがちなのでたいへんですね。(^^;
追加ですが、「静的フィルタより動的フィルタの設定を優先する」という点もポイントですね。と、「トリガとなるパケットを通過させることが重要」ともありました。
(YAMAHAのマニュアルページは後日リンクしておきます)
仮に「LAN1からLAN2への通信は許可するが、LAN2からLAN1への通信は禁止する」とすると、少なくともLAN2からLAN1への通信は静的フィルタで禁止設定しておく必要があります。(動的フィルタが上書きしてくれるので、リプライパケットは通してくれます)
トリガとなるパケットを通さないといけないことを考えると、LAN1からLAN2へ静的フィルタで許可しておく必要があるのかな?と思っています。このあたりもう少し調べてから記事を修正します。<(_ _)>
【速報】Windows10でルータにL2TP/IPsec接続に無事成功
こんばんは。諸般の事情でルータにL2TP/IPsec接続出来るように設定しました。無事iPhoneやiPadやMac(手持ちがないので、Android機では試せてません。<(_ _)>)では簡単に接続出来たのですが、なぜかWindowsマシンでは接続出来ませんでした。
そこでいろいろ調べてみたのですが、なかなか思うように行かず。中にはレジストリをいじれというようなページも出てきました。パワーユーザならいざ知らず、一般ユーザに「レジストリをいじって下さいね(はあと)」なんて言えるはずもなく。
iPhoneやiPadやMacで問題なく接続出来た(Android機でも行けるはずなんですが、私個人としては未確認)ので、ルータ側の問題でもなく、各種設定の問題ではないことは間違いないです。
レジストリをいじることなく、どうにかこうにか手元のWindows10ノートPCでは接続することが出来ました。ここまでの経緯を後日まとめようと思いますので、少々お待ち下さい。<(_ _)>
MVNOでSIMロックフリー版iPad miniを取り扱ってくれないものだろうか
こんばんは。WannaCryネタの続きとして、もう少し書いてみたいことがあるのですが、そのへんは後日にさせて下さい。
今日は別の話題を。実は昨日あたりから「AppleはiPad miniを段階的に発売停止に持って行くのではないか?」という推測が流れました。私が最初に読んだブログがこちらです。
出来ればこの伝聞情報が誤報であってほしいとひたすら祈っている次第です。iPadの売れ行きが芳しくないというのは、以前から言われていることではあります。まぁ、タブレット自体の売れ行き自体があまりよくないもの事実ではあります。スマホに比べると買い替えサイクルが長いですから、新製品がスマホと違って出づらいという面はあります。
最近の流れからすると、既定路線なのか???
で、iPad miniですが、「なくなるのでは?」という推測の根拠は、最近iPad mini 2をラインナップから廃止し、iPad mini 4も128GBタイプだけになってしまいました。こうなってくると、縮小→廃止という流れが既定路線だろうなとも思えてきます。9.7インチiPadとiPhone7Plusとに挟まれて、どうしても存在感が薄くなりがちでした。見方を変えると、iPhone7Plusでは小さいし、かと言って9.7インチiPadでは大きいし…という印象ですしたので、個人的にはちょうどいいサイズなんですよね。おまけにバッテリーの持ちもいいし。電話を掛けることが出来ないことを除けば、スペックは落ちますが、コスパで考えると、iPhoneよりもいいなという話になります。
それと、セルラー+Wi-FiタイプとWi-Fi専用タイプと両方リリースせずに、前者のみにして、後者的使い方をしたい人にはダミーSIMを突っ込むようにするとか出来そうではあります。
他にもこんな記事があります。
個人的にはAppleには踏みとどまってほしいのですが。プロモーション次第で売れそうな気はするんですよね。
タブレットやノートPC向けにデータ通信専用SIMをMVNOで
そこでApple及びMVNO各社に提案です。「MVNO各社向けにSIMロックフリー版iPad mini(他のサイズもあればなお良し)を取り扱えるように出来ないものでしょうか?」
今でこそMVNO各社は音声通話付きSIMを扱っていますが、元々はデータ通信専用SIMから始まりました。前者は1年程度の縛り(縛りの度合いは各社異なりますが)がありますが、後者はせいぜい1ヶ月程度です。割と緩いですし、MNPを気にする必要もまずありません。実際にタブレットを使うハードルも低いと思います。メインのスマホはMNO(大手キャリア3社)でいいと思います。サブ機となるタブレットこそMVNOのデータ通信専用SIMで安く上げるという提案がもっと積極的になされてもいいような気がします。
「気軽に使える」「スマホと違って、さほど悩むことはない」という点をもっとアピールしても良さそうです。
タブレット以外にもLTE対応のノートPCや、LTE通信用USBドングル用にもデータ通信専用SIMの活用の余地はありそうです。これらに関しては、そこまで手厚いサポートはなくても大丈夫だと思います。2台目・3台目の需要を狙いに行くのは戦略として十分ありだとは思いますが、いかがでしょうか?
【報告】WLX202のweb管理画面に無事辿り着けたお話
こんばんは。先日の記事に「WLX202の管理画面にアクセス出来なくなった!」という内容を書きました。こちらです。
karasuma-kitaoji.hatenablog.com
ブラウザに無線APのIPアドレスを指定して接続を試みても、403 Forbiddenの文字しか表示されず、どうしたものかと途方に暮れていました。「IPアドレス的には間違ってないので、SWX2200のポート1つを無線AP管理用VLANのみのアクセスVLANに設定して、そこから接続すればログイン出来るだろう。」と判断したのですが、夜遅くなって時間切れでした。
で、今日(日付は変わりましたが)試してみたところ、無事にWLX202のログイン画面にアクセス出来ました。「HTTPサーバへの接続」の設定が「同じLAN内からの接続に限る」を指定していたので、一時的に「全てのIPアドレスから許可する」に変更しました。自分の使う端末からのみ接続出来るように設定を変更する必要があります。(^^;
少々不便だなと感じるのは、WLX202がhttp接続しか出来ないところでしょうか。telnetなりsshをサポートしてくれれば、こういう場合でも慌てなくて済んだところですが。(^^; いや、出来ればシリアルコンソールをサポートしていてくれれば、TCP/IPで接続出来なくても接続可能なので、最後の砦として考えてもらえないものでしょうか。
分かってしまえばなんてことはないのですが、いざ動かない場面に直面すると焦りますよね。一段落ついたので、RTX1210+SWX2200+FWX120+WLX202で無線LAN環境設定(4) について、近日中に書いてみようと思います。特にIEEE802.1X周りのことを書いてみる予定でいます。<(_ _)>
WannaCryについてもう少し追ってみた感想など・川崎市の事例
こんばんは。今日ももう少しWannaCryについて言及してみようかと思います。結構いろいろ考えさせられる問題ではあります。
まずは、こちらの記事です。日経ITproiからです。
昨日は大阪市が感染した(のではないかという疑い)とされる報道がありました。今回は川崎市の事例です。感染があったことを即座に公表するのはいいことなのですが、どうも端末の管理が杜撰だという印象を受けました。
この記事によると、「庁内LANは問題なかったが、この端末は直接インターネットに接続していた。」とのことです。「担当者が海外出張中で詳細は不明」だという時点で適切に管理出来てない証拠ですよね。これは。担当者任せになっていたことがこの記事からも明らかに読み取れます。「パッチ適用は現場に任せていた」ということは、パッチを適用してなかったんじゃないかと推測されます。きちんと出来ていたら「パッチはちゃんと当ててます」と言えるでしょうから、推して知るべしでしょう。
ここで問題なのは、「インターネットに剥き出し(記事の内容をそのまま信用するとして)で接続していたこと」「適切にパッチやウイルス定義ファイルを最新化していないこと」「管理体制が全くできてないこと」に集約されると思われます。
この記事で取材に対して、担当者不在だとか、庁内LAN以外の端末は野放しだとか、スパムメールを大量に受信していたとか、いろいろ問題があるにも関わらず、誰も責任を取らない(取ろうとしない)体質に問題があると思います。
さて、ここで気になるのは「本当に庁内LANも大丈夫なのか?」という疑問が出てきます。この感染したPCと庁内LANのPC間でのデータのやり取りが全くなかったとも思えないのですが…。実は庁内LANにも影響が及んでいるのではないかと邪推したくなります。なせこうも地方自治体でサイバー関係の問題が頻発するのでしょうか。
専門家を自前で雇っていないからなんじゃないかと思います。ベンダに任せているといっても、現状を正しくベンダに伝えないとどうしようもありません。中の職員のスキルがベンダ社員と丁々発止で渡り合えるぐらいないと、今後も同様の事件はなくならないのではないかと危惧しています。
「本当に2020年の東京オリンピックを無事に終えられるのか?」という疑問が拭えません。orz
WannaCryについてもう少し追ってみた感想など
こんばんは。WannaCryが世間を騒がせてますねぇ。日立とか大阪市でも影響が出ているようですね。じわじわと被害が出ている印象があります。
他にもいろいろと被害が出ているようです。こちらは朝日新聞の記事です。
今回の事例で、SMBで使うポートが外部から接続可能にはなっていない(=FWでフィルタリングされている)ものの、内部(LAN内)で感染した端末が横に(LAN内の管理の甘い端末)感染させるというケースも見られます。
今回の事件で感じたことのうちの一つに「外部からの攻撃から守れば、内部は緩くても大丈夫」という考え方はもう通用しなくなったということでしょうか。「クローズドネットワークなら大丈夫」」という思考停止した状態でサポート切れの端末を使っているケースも少なからずあるようです。
今となっては、サポート切れの端末を使い続けることもリスクですし、「FWがあるから大丈夫」と油断せずに、内部端末に対してもきちんとした管理が必要になってくることを改めて立証したのだと思います。
一連の報道を追いかけていると、以下のように基本的な対応が出来ていれば、そんなに恐れることもないような印象です。
- ウイルス定義ファイルを最新のものにアップデートしておく
- WindowsUpdateを行い、常に最新の状態にしておく
- サポート切れのOSは使わない
- 怪しい添付ファイルは開かない
あたりを押さえていれば、被害に遭う確率は下げられたと思われます。普段からきちんと対応しておきましょうということのようです。PCの世界も「自分の身は自分で守る」という姿勢が大事だということを印象付けた事件でした。