ネットワーク 一覧

この前の記事に、環境を載せていなかったので、マルチポイントトンネルの検証環境を記載します。

maltipointtonnel_kensyo.png

 

この環境で、VPNは繋がって、PC間の接続はできたのですが、内線IP電話を行おうとすると、エラーがでます。前にも記載しましたが、SIPのエラーが下記のようにでます。

これは発信下側(NVR700W)です。

2017/10/27 14:29:29: [SIP] SIP Call to [sip:honsya01@192.168.10.253] from [sip:os] disconnected with cause UNSUPPORTED MEDIA TYPE (3057).

 

sip codec permitコマンドで、指定しても同じ状況だったのですが、Yamahaから連絡があって、やっぱりファームの不具合みたいです。まだ新しいファームを作成中らしいので、修正版はまだ出ていませんが、内線VoIPを使い人は、新しいファームがでるまで、通常の1対1のVPNで行った方がよいです。

 

もちろん今までのVPN接続だと、内線VoIPができますよ。

ここを参照に、やってみた。

 

http://www.rtpro.yamaha.co.jp/RT/docs/multipoint-tunnel/index.html

 

これがうまくいけば、お客様にも設定費用を安く提示できるし、拠点が増えた時に、拠点側だけのconfigを作成すれば良いわけで、良いかなって思いました。

 

一応スタティックではなく、OSPFでルーティングテーブルを回して、うまく行ったのですが、NVR700Wを使って、拠点間の拠点間の内線電話もやってみたのですが、ネットワーク的には、間違いなく繋がっているのですが、電話ができない・・・・・

 

なんで?ってなってログを見ると、

disconnected with cause UNSUPPORTED MEDIA TYPE (3057)

 

ってログが・・・

ちなみに、センター側は、RTX1210がVPNをはり、その下のNVR500をIP電話端末として、拠点側は、NVR700Wを使用してVPNとIP電話を使用する形にしました。

 

Yamahaに問い合わせてみたのですが、いまだ原因がわからず・・・・・・IP電話付の場合は、従来通りのここにVPNをはればうまくいくのはわかっているので、この原因がわかるまでは、IP電話付の場合は、マルチポイントトンネルで構築できないな~~

 

残念。そのうち原因がわかるとは思いますが、わかればまたブログにアップにします。

 

 

メールアドレスは、詐称等が結構簡単です。そこで、迷惑メール業者は、実際に存在するメールアドレスを詐称してメールを送信します。


その為、正当性を検証する仕組みがあります。SPFです。


SPFについては、左記を参照してください。http://salt.iajapan.org/wpmu/anti_spam/admin/tech/explanation/spf/


レンタルサーバを使用していて、独自ドメインをもっている場合、レンタルサーバによりますが、DNSにTXT情報として、SPFを記述する事ができます。


レンタルサーバ業者に依頼したり、自分でやったりとかですが、書き方が色々で、どうやって記述したら良いんだろう?って事があるかもしれません。


あくまで、自分の経験上ですが、メールの送信元サーバをIPアドレスで指定するやり方がよいと思います。


TXTレコードの書き方はそれぞれのレンタルサーバによって違いますので、やり方は記述できませんが、TXTレコードにSPFを書くには以下のように記述します。(IPアドレスは、XXXで表現しています)


v=spf1 +ip4:XXX.XXX.XXXX.X/26 +ip4:XXX.XXX ~all


上記はネットワーク指定と、あるIPを決め打ちで指定した感じです。

それと、設定を解説したりするサイトとかで、ip4の前に+がなかったりするのがあるのですが、これの場合は、失敗する事がありますので、+を入れた方が無難です。

 

 

SPFを設定した後に、実際に、メールを送って、メールをソースを見れば、SPF認証が通っているか確認できます。

ソースのヘッダー内のAuthentication-Resultsを確認します。下記は、実際にSPFを設定したメールから、googleにメールを送った場合です。(メールアドレス、IPは記述しません)

Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of xxxx@xxx.com designates XXX.XXX.XXX.XX as permitted sender) smtp.mailfrom=xxxx@xxx.com


passって出ていますので、SPF認証が通った事になります。


ちなみに、上記の+を記述しなかった時ですが、下記のように表示されました。

Authentication-Results: mx.google.com;
       spf=softfail (google.com: domain of transitioning xxxx@xxx.com does not designate XXX.XXX.XXX.XX as permitted sender) smtp.mailfrom=xxxx@xxx.com



それと、SPFが設定できているかを確認できるサイトもありますので、実際にメールを送る前に確認してみてもよいかもしれません。

確認サイト
http://mxtoolbox.com/spf.aspx

HPをみて連絡をくださったお客様からのご依頼で、新しくWindows10で、Fortigateにアクセスしたいとの事だったのですが・・・・・ Fortigateは、僕が構築したわけではなかったのですが、話を聞いてみたら何とかできるかもしれなかったので、伺ってみてみました。

 

FortigateにVPN接続するのに、パソコンでやる場合は、Forticlientというソフトを使うのですが、Windows10と明記してあるのものは、Windowsストアで、ダウンロードしないといけなかったので、伺う前に、お客様にWindowsストアから、ダウンロードしてインストールだけしておいていただきました。

 

ところが、ForitgateにVPNユーザを追加して、アクセスしようとしても、認証で弾かれているように見えます。あれ?って思ってFortigateのログを見ると、認証でエラーになるログ自体が表示されない・・・・・

 

う~~~んと少し悩んで、やり方を速攻で変えました。

 

ForticlientのWindows Vista moretって書いてあるバージョンをダウンロードして、インストールして設定したら、すんなりログイン! ってなんでかな~~?

(ちなみに、詳細を確認しないと、Windows Vista moreって書いてあるバージョンは、Windows10 32bit ,Windows10 64bitに対応しているのは確認できませんでした。Windows10に対応とかいてあるのは、ここhttps://www.fortinet.com/content/dam/fortinet/assets/data-sheets/FortiClient.pdf

 

ま~設定できて、お客様から感謝されたのはうれしかったですが、人が設定したものを触るのはさすがにドキドキしたな~

(ちなみに構築業者と保守契約をしていなかったので、お客様の了承のもとにFortigateの設定を触りました)

2か月ぶり!!!

 

忙しさにカマかけて、全然書いていませんでした、今あるお客様の社内ネットワークを構築しているのですが、ファイルサーバの構築もしていて、NASでファイルサーバを構築しています。

 

セキュリティ的に固くしてほしいという事で、どうしようかな・・・・・って思っていたら、NASでも2段階認証の物が最近出始めているのを発見!!

 

2段階って何?って所ですが、通常のパスワード認証+Google authenticator(goolge認証っていう、スマホアプリ)で、2つがそろって初めてNASにログインできる形です。

 

google authenticatorは、NASで設定した時に、スマホに入れたアプリとの連携設定した後、ワンタイムパスワードを発行するタイプのもので、時間によって、どんどん変化していきます。

 

その為、固定のパスワードとランダムに変化するパスワードをいれて初めて入れるという代物です。

 

会社に勤めていた時に、VPN用のワンタイムパスワードの機械があって、やっているのを見たことあったのですが、今はこんな感じでできるんだ~~~って妙に感動しました。

 

今は管理者用のアカウントのみ、2段階認証を設定していますが、どこまでやるかは、お客様と相談って感じです。

 

 

久しぶりにブログを書いているのですが、11月12月が久しぶりに濃厚な日々で、年始の仕事の準備もそれなりに忙しい感じです。

 

急にこんな事になったので、ちょっとパニクリましたが、やはり仕事があるのはありがたい事です。

 

ただ、試験用のバッチファイルを作成しようとして、久しぶり過ぎて、書き方を忘れていて恥ずかしかったです。

 

ただ単に、バッチを動作させた後自動的に、ログファイル名に、コンピュータ名と日付を付けるようにしたかったのですが、日付を付けるとうまく動作しない・・・・・

 

当たり前の事ですが、ファイル名とかに「/」がついていてはいけないのですが、何も考えなさすぎて、dateをそのまま使った為、そんなファイルはない!!ってな事をいわれました。

 

実際 Windowsでdateってやると下記のように表示されます

C:\Users\mh\Desktop>echo %date%
2015/12/24

このように、スラッシュ入りになってしまう為、ダメってことでした。普通に皆が知っていることですが、すっかり忘れていました。はずかしい(´Д`)

 

色々なサイトに書いてあることですが、バッチファイル内のログファイルの設定を以下のようにしました。

SET fdate=%date:~-10,4%%date:~-5,2%%date:~-2,2%
SET  LOG_File=%fdate%_%COMPUTERNAME%.log.txt

LOG_Fileという引数で、ログファイルを設定したのですが。%fdate% で日付、%COMPUTERNAME%でコンピュータ名を指定しています。

 

fdateは、一行目で設定していますが、

%date:~-10,4% は後ろから10文字目から4文字分を取り出す

%date:~-5,2%  は後ろから、5文字目から2文字分取り出す

%date:~-2,2% は後ろから、2文字目から2文字取り出す

ってことを書いています。

 

実際どうなるかというと

C:\Users\mh\Desktop>echo %date:~-10,4%%date:~-5,2%%date:~-2,2%
20151224

って感じにスラッシュ抜きになります。

 

こんな事をわざわざ書かなくても皆が知っているのですが、忘れてしまった為に、忘備録で書いておきます。

 

ついでなんで、実際にPing試験とかの場合はこんな感じで設定し、動作させました。

SET fdate=%date:~-10,4%%date:~-5,2%%date:~-2,2%
SET  LOG_File=%fdate%_%COMPUTERNAME%.log.txt


ECHO IP取得 : ipconfig >> %LOG_FILE%
ipconfig >> %LOG_FILE%
ECHO ======================================== >> %LOG_FILE%
echo:>> %LOG_FILE%
echo:>> %LOG_FILE%


ECHO Ping試験_1:ping 192.168.21.254 >> %LOG_FILE%
ping 192.168.21.254 >> %LOG_File%
ECHO ======================================== >> %LOG_FILE%
echo:>> %LOG_FILE%
echo:>> %LOG_FILE%


ECHO ---- "%LOG_FILE%" -- ----
TYPE %LOG_FILE% | MORE

 

これも、元々ネットワークを教えてくれた僕より若かった子のを参考に作りました。

 

ちなみに、echo:>> %LOG_FILE% は、ログファイルに改行をいれたいので、入れています。

 

今は、PowerShellでやったほうが良いのでしょうが、使えない事情があって、バッチファイルを使ってやってみました。

 

 

さるお客様の、VPN環境を構築することになったのですが、お金の問題で、ルータを入れるとかはなしで、いう話になりました。

 

そこで、お客様のところに、使っていないWindowsVistaのPCがあったため、それにSoftetherVPNを入れて、設定することにしました。

 

今回のお客様は、拠点が少なく、拠点のPCの台数も少ない為に、これで十分と判断しました。

 

ただ、結構時間がたっている機器なので、Vistaで動かすと重たい・・・・・・ そこで、CentOSを入れて、そこにSoftetherVPNServerのソフトを入れて、各拠点からVPNを張れるように設定しました。

 

L3での接続も今回はしなかったため、結構すんなり各拠点がつながり、本社側のサーバとのアクセスも良好でした。よかった!

 

これから、金額的に難しく、PC台数が少ないお客様は、SoftetherVPNでの接続を提案していこうと思います。

 

 

こんな内容の詐欺メールだったのですが、・・・・・・・・・・・

 

-----------------------------------------------------------

こんにちは。

 NCSOFTサービスチームです。

 株式会社营团社サービスシステムをご利用いただき、ありがとうございます。

システムはお客様のアカウントが異常にログインされたことを感知しました。

下記のログイン時間を照らし合せてご本人様によるログインであるかどうかご確認お願いします。


https://www.ncsoft.jp/login/login?retURL=http%3A%2F%2Fwww.ncsoft.jp%2F

もし、ご本人によるログインでしたら、お手数ですが本メールの破棄をお願いいたします。

 ■ 何かご不明な点がある場合は、こちらのメールに折り返しご連絡ください。

 ■ 2015/2/2

-------------------------------------------------------

 

このメールのリンク先は、まったく違うところで、agues.jpで調査した結果は、下図の通りです。

aguse.jp_調査結果.png

SSLで暗号化もしていないし、逆引きもできないし、わけのわからない島にサーバがあるみたいだし・・・・ってことで、怪しさテンコ盛りです。

 

怪しいと踏んだところは、上記のhttp://www.aguse.jp/で調べるが簡単でよいですよ

 

自分でネットワーク構築をしていないお客様の所に、NASを設定して設置しました。

 

そうしたら、NASにうまくアクセスできないとの申告があったので、見に行ったら、インターネットVPNが接続している1拠点だけが、うまくできないとのことでした。(他のインターネットVPNの拠点はアクセスができるって状態でした)

 

そこで、現地に行ってみたら、共有フォルダにはアクセスできるのですが、その中に入ろうとする、クライアントPC(Win7)で、エクスプローラーの表示の緑のバーがゆっくりと流れて、結局ネットワークパスがないか、アクセス権がありませんって出てしまいました。

 

ただ、中身にフォルダがひとつだけある、共有フォルダにアクセスすると、すぐに表示されました。

 

????なんだこれ?

 

共有フォルダにアクセスできる時点で、Pingとかも問題なかったので、もしかしたらMTUかな~って思って、Pingでパケットサイズを変えてPingを打ったら、1202でやっとPingが飛び始めました。!?ってことは。MTUは1202 + 8(ICMPヘッダ) + 20(IPヘッダ)ってことで、1230ってことで、なんだこれとは思ったのですが、VPNルータは僕が設定設置したわけではなかったので、さてどうっしようか・・・・って感じになりました。

 

 

そうしたらお客様が、ルータを設置した業者に問い合わせをしてくれて、業者の方からログインIDとか、パスワードを聞き出して頂けたので、ルータの中に入ってみたら、PPPにMTUがなぜか1280に設定してありました。

 

そこで、PPPのMTUの設定を通常のものに修正(回線でMTUのサイズが違うので、サイズは記述しません)し、それに合わせてVPNのmssサイズも修正したら、ばっちり先ほどの問題がうそのようにすぐにNASにアクセスできました!!やった~(^◇^)

 

と言っても、恥をさらすようですが、そんなにすぐに出来たわけでもなく、ネットワークの問題だとは思ったのですが、Pingは届いているしとか思って、ネット上でも、Windows7とNASでのアクセスの不具合っていう記事がたくさんあったので、そちらから色々調べてしまったので、結構時間がかかってしまいました。すぐに自分のPCをネットに接続してパケットをキャプチャしたほうが話が速かったな~ と今更ながら思ってしまいました。

 

というのも、Windowsが怪しいと思って色々調べていて、「う~~ん、やっぱりネットワークしかあり得ない!!」と思ってから、NASへのアクセスのパケットをキャプチャしたので・・・・・・・(ここまで正味4時間ぐらい・・)

 

パケットをキャプチャしたら、tcp segment not caputuredっていうのが、エラーを返す時に出ているのをみて、そうだ!ルータのメーカーに聞いてみよって思って、この状態を行ったら、MTUのサイズを調整したらいかがですかって感じでアドバイスを頂き、やっぱりそうか~って思って、前述したくだりになってって感じです。(申告を受けてから正味6時間ぐらいかかったます)

 

決めつけてかかってはいけないけど、今回の場合の僕もミスは、レイヤーの下層から順に必ず確認することって部分で、Pingが飛ぶのをうのみして、MTUのサイズとかをすぐに調べなかった点です。

 

当たり前すが、基本は大切に、『レイヤーの下層から順に必ず確認すること』を改めて感じました。

 

 

 

 

 

 

 

今、ファイルサーバをNASで構築しているのですが、設定項目に、AmazonS3にデータバックアップができるのをはじめて知りました。

 

実際他のお客様で、Amazonではないけど、クラウドストレージでバックアップしていますが、まだ、amazonのサービスは使っていないんですよね~

 

というのも、Amazonの料金が僕が勉強不足のせいもあるのですが、わかりにくい・・・・・・

 

一応料金はこんな感じ

http://aws.amazon.com/jp/s3/pricing/

 

見積もりツールも恥ずかしい話ですが、

・リージョン間データ送信
        
・データ送信:
        
・データ受信:
        
・VPC Peering Data Transfer:
        
・リージョン内データ転送:
        
・パブリック IP/Elastic IP のデータ転

等の所をどう算出してよいか、今はまだ分からない状態です。(本当に恥ずかしい話ですが・・・・・・)

 

クラウドは、機器を用意しなくて良い点だけでも、結構主流になると思うので、上記のこともわかるようにならないと・・・・・・

 

 

このページの上部へ

ネットワーク、パソコン サーバ設定

ネットワーク構築ホリテック

 

紆余曲折しながら、独立して中小企業様向けのネットワーク構築
保守、パソコン サーバ、設定運用管理を行っています。ホームページの作成も行っています

ホームページ

 

facebook

 

icon icon

 

マウスコンピューター/G-Tune マウスコンピューター/G-Tune Microsoft Store (マイクロソフトストア) Microsoft Store (マイクロソフトストア)

サイト内検索

にほんブログ村 IT技術ブログへ
にほんブログ村

にほんブログ村 IT技術ブログ ネットワーク・SEへ
にほんブログ村

最近のピクチャ

  • maltipointtonnel_kensyo.png
  • 検証用ネットワーク.png