「ネットワーク・セキュリティ」カテゴリーアーカイブ

【雑記】書きたかったこと。出来事。買ったものとか(2021年7月、8月)

ども。こんばんは。

いつもの雑記です。2ヶ月分。

■携帯用のネックストラップが壊れたの買い替えた(2021/07/03)

仕事用の携帯には紛失防止のためストラップをつけています。
ずっとHameeのHandLinkerを使ってたのですが、割と何でもいいやと思って似たようなのを買いました。

ネクストラップ ストラップ 2WAY 吊下げひも リングストラップ iPhone ストラップ 携帯 ひも 首掛け フィンガーリング 脱着式 ブラック
Amazonで¥1,199。

これ、まんまHandLinkerだわ。。

■あいみょんのライブBlu-ray(2021/07/06)

いやー、良かったわー。通算3本目のライブ映像ですね。

AIMYON TOUR 2020 “ミート・ミート” IN SAITAMA SUPER ARENA (初回生産限定盤) (Blu-ray)
Amazonで¥5,355。

■耳かきスコープ(2021/07/06)

なぜこんなものを買ってしまったのか。。。
なんかファイバースコープっぽいもの?WiFiで映像が飛ばせるカメラ?があれば便利じゃなかろうかとかそんな理由ですが意外と満足しています。自分の穴という穴の中を見ました。

耳かき カメラ みみかき 耳掃除 スコープ カメラ付き耳かき カメラiphone 対応 イヤースコープ 3.0mm 極細レンズ 500万画素 LEDライト照明 IP67防水 耳掃除 無線WIFI スマホ&タブレット対応 耳掻き 子ども お年寄り プレゼントIOS&Android対応 日本語取扱説明書付き
Amazonで¥2,899。

中華製の怪しい感じ、一応技適ついてんのよね。
※一応総務省のHPで番号チェックしましたがちゃんと載ってるぽいです。

普通の耳かきも入ってた笑

取説。
WiFiでスマホとアドホックにつないで専用アプリでみます。

アプリはGoogle Play ストアで配信されてます(以前はapk配布だったとか)。ものすごい権限要求してくるのねこのアプリ。取説で拒否しろってのもなかなかおもしろい。ってかこれ素人には使えないわな。

こんな感じ。結論から言うとアプリには写真へのアクセス含めなんの権限も与えなくても見るだけなら大丈夫。

■巷で流行りのバブルーン(2021/07/10)

完全にノリで買った。近所のドラッグストアでいくらだったかな。おいらんちの洗面台だとYouTubeやTikTokで見るほど汚れは出なかった。
てかもうすでに流行ってない気がする。

■Lenovo Yoga Table 2のタッチが反応しなくなってしまった(2021/07/11)

Windows Update経由でオプションのドライバを当てたら、何が悪かったのかタッチが反応しない状態に。。。

あとスリープも入らなくなたぽい。あと、画面の回転センサーもおかしくなったぽい。もういい加減退役かな。iPad買ってからは大して使ってないからいいけど。。。

で、切り分けのために、無駄にこんなものを買った。
※まぁこれのおかげでタッチ操作だけの問題だってことがわかったんだけど。
どうするかなー。どうやって直そうか思案中のまま放置中。

iBUFFALO USB(microB to A)変換アダプター ブラック BSMPC11C01BK
Amazonで¥399。

■憧れの超音波洗浄機(2021/07/22)

マイナポイントとau povoのキャンペーンでもらったポイントでau payの残高が結構あったので、買ってみた。

シチズン(CITIZEN) SWT-710
au payマーケットで¥7,680。

シチズン(CITIZEN) WL100 ※MICRO MAGICKとかいう専用の洗浄液(時計バンドとメガネ専用らしい)
au payマーケットで¥884。

使う前に、結構万能だと思ってたけど、あらっていいものといけないものがあるらしい。
時計なんかバンド以外を突っ込むのは絶対ダメらしい。
スマホ突っ込んでる人いるっぽいけど、たとえ防水でも細かい泡が入り込む可能性があるらしい。
一部Amazonの紹介ページから洗えるものとあらえないもの引用して起きますが、大事なことがいっぱい書いてるのでマニュアルは読むべし。

マニュアル:https://www.citizen-systems.co.jp/support/download/electronic/manual/health/data/ultrasonic/SWT710_torisetsu.pdf

洗浄できるもの:
貴金属、プラスチック類、ガラス類、陶磁器類。
例えば、メガネ、アクセサリー、時計バンドの他に、
・歯ブラシ、入れ歯
・シェーバーの刃
・化粧ブラシ
・印鑑
・ナイフ、フォーク
・缶切り
・万年筆のペン先 なども洗浄可能。

洗浄できないもの:
べっ甲(メガネなど)、宝石付きの貴金属やメガネ、象牙・石材・木製品、腕時計本体(防水型を含む)、コンタクトレンズ、宝石(真珠、トルコ石、オパール、翡翠、エメラルド、珊瑚、コハクなど)、偏光レンズ付のメガネやサングラス、メガネのレンズがプラスチックの場合、キズやはがれなどがあるメガネフレームなど

とりあえずメガネ洗う。

動作音はこんな感じ。

ちなみに時計のベルトはこんな感じで洗浄できます。

洗浄前

洗浄後。おおー。きれいになってる。

知り合で使い方いれば喜んでお貸しします。

■無線LAN中継機(2021/08/04)

無線LANコンバータ?WiFiコンバーター?イーサネットコンバータ?目的として購入。

会社で構築中のネットワーク機器なんかをラボまで運ばずに気軽にNTP同期したり、ライセンス認証したりファームウェア更新したりするのにいいかなーと思って購入しました。

TP-Link WIFI 無線LAN 中継器 11ac/n/a/g/b 433+300Mbps 11ac対応 3年保証 RE200
Amazonで¥2,100。

中継機ですが、電波を出さずいわゆるイーサネットコンバータ的に使えます。まぁ手軽で安いし満足です。

■Shuttle DH470他、新しい超小型ESXiマシン(2021/08/26)

こちらは以下の記事にアップしています。

Core i9-10900でまた超小型最強ESXiを作ってしまった…Shuttle DH470で作る10コア20スレッド 64GBメモリのESXi

■巻取り式ライトニングケーブル(2021/08/28)

6年くらい前?に買った巻取り式のライトニングケーブルが接触不良になったので買い替え。
正直かばんに入れっぱなしであんまり活躍はしてないけど無いのも不安なので購入。

オウルテック 超タフシリーズ 巻取りライトニングケーブル Apple認証 iPhone/iPad 用 2年保証 120cm ホワイト AO-CBRKLT12-WH
Amazonで¥1,780。

ちょっと誤算。でかかった。

お道具箱にいい感じに入らねえ。まぁいいか。。。

■細くて短めのAC電源ケーブル(2021/08/28)

まぁ何でもよかった。
後述のNECのルータが電源ケーブルが付属していないとのことだったので購入。
電源ケーブルは結構家の中に探せばあるんだけど、どれも太くて長いのでたまには新品を購入。

アイネックス AC電源ケーブル 極細ストレートタイプ 0.5m ACP-05S-BK
Amazonで¥562。

 

■NEC UNIVERGE IX2106(2021/08/29)

言わずとしれたNECのルータ。

IPoE(うちはOCNバーチャルコネクト)接続用に、WG1200HS3を使っていますが、まぁスタティックルートもかけないし、セッションテーブルかNATテーブルが貧弱なのか大量に通信流すとあふれるっぽいんですよね。

FortiGate 60Eか60Fが手に入ればForiOS 7.0でMAP-eなどIPoEが使えるのですが、60Fはまだ高いorz

ならば、思い切って業務用ルータでも買うかーと。
長いことYAMAHAのRTX830をヤフオクで狙っていましたが、正直結構高い。相場としては4万は覚悟しないとって感じです。
球数は結構あるんですが人気もありますねー。
まぁどうせ1GbpsならRTXじゃなくてもいいかなってことで初めてのNECです。なお、IX2107のほうが上位機種なのになぜかオークションの相場は安い。。。
IX2106も相場的には3万〜3万5千円くらいのようですが、今回は¥22,000で落札できました!なんやかんやで結構入札して負けてます。粘りがちですね。

思ってたよりだいぶ小さいですね。
勝手なイメージで、1Uの半分の幅かと思ってました。
おそらく1/3ですね。3台横に並べて1U(19インチ)かな。

コマンドはCiscoライクで触りやすいです。

それと、勝手な推測ですが、中古市場でUNIVERGEよりRTXが人気な理由って多分ファームウェアの入手性だと思います。
YAMAHA はすぐ手に入りますが、NECはそうも行かない。

以下のダウンロードページからはダウンロードできず、以下のリンクが案内されています。

UNIVERGE IXシリーズ ダウンロード
https://jpn.nec.com/univerge/ix/download.html

↓入手方法はこちら、をクリックすると・・・。

Q.1-1 最新ソフトウェアの入手方法を教えてください。
https://jpn.nec.com/univerge/ix/faq/common.html#Q1-1

本装置をバージョンアップするためのソフトウェアは、指定の販売代理店を通じてご提供致しております。

本装置をお買い上げ頂きました販売代理店にご相談ください。

ところがですね、これを個人でも申請すればダウンロードサイトを教えてもうことができました。

ただ、多分個人向けでは無いと思うので、あんまり手順は細かく書きませんが、まぁググれば申請書のようなものが手に入りますのでその記載のとおりに申請します。会社名は「個人」と書いて申請させていただきましたが、とてもレスポンスが良く20分くらいでお返事をいただけました。

とりあえずダウンロードした最新のファームウェアを適用するところまで終わったので、ぼちぼち暇を見つけて構築していきます。

ではでは。またの機会に。

【雑記】書きたかったこと。出来事。買ったものとか(2021年4月、5月)

ども。こんばんは。

雑記です。

■新しいマイク(2021/04/04)

こちらでの記事で。
サックス練習 – 40 – 新しいマイク!

■たこ焼き器(2021/04/26)

岩鋳 Iwachu たこ焼23穴 IH対応 黒焼付 南部鉄器 24025

¥4,177。

これでたこパしました。美味しく焼けて満足。

■サックスのおもちゃ?(2021/04/26)

後輩の子供にプレゼント。

BONTEMPI ボンテンピ シルバーサックスフォン 8keys 42cm (324331) 楽器 アルトサックス おもちゃ 知育玩具 子供 3歳 プレゼント

¥2,860。

もうちょっとで3歳になるくらいの子供でも音は出せるみたいです。キーは押しっぱなしにしないと音が出ない模様。開放音はない。
音色はピアニカ?ハーモニカ?的な感じ。
4キーと8キーがあり、今回は8キーを購入しました。
半音階は出ないので、ドレミファソラシドだけ1オクターブのみです。
これで楽器が好きになってくれたら嬉しいな。
もうちょっと大きくなったら本物買おうね。

■プラズマクラスター交換ユニット(2021/04/28)

年明け位からずっとユニット交換ランプが点滅していていい加減に変えないとと思って購入。
今日現在まだ交換していません・・・。

【純正品】 シャープ プラズマクラスターイオンイオン発生ユニット IZ-C90M

一個¥2,417。うちの加湿器は、SHARPの加湿空気清浄器KI-GS50。

■ゲーミングヘッドセット(2021/05/28)

Logicool G ロジクール G ゲーミングヘッドセット G533 PS5 PS4 PC Switch Xbox ワイヤレス Dolby 7.1ch usb ノイズキャンセリング 折り畳み式 マイク付き 軽量 15時間バッテリー 国内正規品

¥10,500。

色々あってちょっとゲームでもするかってことで購入。

特にこだわりはなく、ワイヤレスで遅延が少なそうなのを選択。
Bluetooth接続のものでもいいんだけど、低遅延なapt-X LLに対応したいい感じのがなかったので、独自ワイヤレス式のこいつを選択。

2017年の製品なので、充電がMicro-USB orz
Micro-USBはもう増やさないぞ!と決めてたけどまぁしゃーない。。。

PS4でも使えるけど、2chステレオでしか使えないので注意!
ワイヤレスサラウンドヘッドホンに関してはこちらの記事で。

【超絶妥協】2020年サラウンドヘッドホン選び

なにも考えずにPCに接続した様子。
PCはWindows 10 21H1。ASRockのDesk Mini A300

普通に音も出るしマイクも使えるけど、ステレオになっている。

Logicool G Hubっていうソフトをインストールする。

インストールして再起動すると、7.1chになる。

あと、G Hub側でもサラウンドをオンにしないとだめかな?

このG Hubは若干不安定だけど、よくできていて、ゲームを認識できるみたいで、ゲームごとにサラウンドの設定などが自動で切り替えられます。

Apex Legendsをインストールしてみましたが、ちゃんと認識しました。
Apex Legends起動時はサラウンドかつサラウンドモードをFPSに切り替わるようにしています。

ちなみに、今回のプレイ環境はDeskMini A300で、Ryzen 5 3400Gを載せており、GPUは内蔵のRadeon RX Vega 11です。

1920だと流石に厳しいですが、解像度を落とせば、Apex Legendsでもギリギリ30fpsくらい出ました。最初の降下シーンは結構きついですが・・・。

■ケーブルの長いUSB3.0ハブ(2021/05/28)

エレコム USBハブ U3H-FC04BBK 【超小型・軽量設計】 USB3.0 Aポート×4 ケーブル1.5m ブラック MacBook/Surface/Chromebook他 ノートPC対応

¥1.799。

DeskMiniをダイニングに置いてるんですが、リビングだとワイヤレスキーボードやマウスが届かないんですよね。。
※体ひねってダイニングの方に向けば届かなくもないですがとぎれとぎれです。普段は基本リモートデスクトップで操作するので困らないんですけど、流石にゲームするにはちょっとなーということで。

距離的には2mもないくらいなのですが、壁があるのがだめなようで、見通しできる場所までレシーバを延長するためにケーブルの長いハブを購入しました。

以前、USB Typeのハブを購入しており、そいつを延長でもいいのですが、USB Type-Cのメスは規格違反なので。。。売ってますけどね。

リビングまで引っ張り出せたので、受信環境が超絶向上しました。

■激安のBluetooth 5.0アダプタ(ドングル)(2021/05/28)

Bluetoothアダプタ 5.0 【TELEC認証済(認証番号:217-204183)】 Bluetoothアダプター Bluetooth USBアダプタ 【低遅延 無線 小型 ドングル 最大通信距離20m Ver5.0 apt-X対応 EDR/LE対応(省電力)】Windows 7/8/8.1/10(32/64bit) 対応 Mac非対応 (Bluetooth 5.0)

¥1,090。

ノリで買いました。レビューもそこそこで、とにかく安い。(さらに安いのもありましたが、現実的に使えるレベルだとこれが一番無難そう。)

ドライバーのダウンロード元がDropboxっていうなかなかのはっちゃけぶり。
※後になって8cm CD-ROMが入ってることに気づきました。

無骨なデザイン。シンプルイズベスト。

とりあえず、挿せば普通につかえました。
まぁ、チップはRealtekのが入ってますからね。

で、特にドライバは意識せず、LogicoolのM336をつないで使ってました。

Amazonのレビューを改めてみていると、ドライバを入れないと対応するBluetoothプロファイルが少ないらしい?という話があり、入れてみることにしました。
※AmazonのレビューをみててCDが同梱されてることに気づきました。。。

でまぁ、ドライバなんでDropboxのほうが新しいかな?と思いCDは放置して、Dropboxからダウンロードしました。

URLはこちら。(パッケージに記載の通り)
5.zipって。。。

https://www.dropbox.com/s/vcvemz9rwr711rl/5.zip

よかった。ちゃんとRealtekだ。

インストールしても、デバイスマネージャーの表記とかは変わってない気がしますね。ちゃんとドライバのバージョンとか控えとけばよかった。
あと、インストール後ペアリング済みだったM336が繋がらなくなったぽいので再度ペアリングしました。

うーん、まぁ、いいや。あんまり気にしないでおこう。

まぁそんな感じです。


以下、今後書こうと思っているネタのメモ。

・FortiGateでWANインタフェースで公開するサーバ用のVirtual IPのインターフェース設定を間違ってanyにしてたら、WAN以外のインターフェースから出ていくときも、Global IPアドレスにNATされて参った話。まぁVIP作り直しで解決するけど。

・2枚のNICでチーミング(ボンディング)してたら、片方のNICが認識されなくなったんだけど、もう一枚のNICはせっかく生きてるのに、いかれた方のNICが時折100Mbpsでリンクアップするもんだから、Catalyst側のether channelで、ミスマッチが起きてせっかく生きてるの方のNICをsuspendしやがって、結局全断した話。

OSが認識しなくなったNIC:100Mbps
いけてるNIC:1000Mbps

なぜイケてる方をsuspendしやがる・・・。

・ラズパイが起動しなくなった。4ヶ月ぶり、2回目。
PCに繋げば読み込めるのにbootできない。起動後緑LED点灯しっぱなし。ちなみにRaspberry PI 3 Mobdel B。
イメージ焼き直したら普通に起動した。
Pi 3 Bは、ネットワークブートはだめっぽいけど、USB bootは行けそうなのでUSBに変えるかなぁ。まぁ古いしそろそろSDカードは限界だろうなあ。

SDカード買い換えるなら、いっそPi 4の8GBのやつに買い換えようかなぁと思うけど、まぁ別に特段用途ないしなぁっていう感じ。

・kusanagiをyum updateしたら、

–> 依存性解決を終了しました。
エラー: パッケージ: kusanagi-php7-7.4.20-1.noarch (kusanagi)
要求: libonig.so.105()(64bit)
問題を回避するために –skip-broken を用いることができます。
これらを試行できます: rpm -Va –nofiles –nodigest

こうなって、こうやったら

# yum update –enablerepo=remi

エラー: パッケージ: php-pecl-zip-1.19.2-1.el7.remi.5.4.x86_64 (remi)
要求: php(api) = 20100412-64
削除中: kusanagi-php7-7.3.28-1.noarch (@kusanagi)
php(api) = 7.3.28
次のものにより更新された: : kusanagi-php7-7.4.20-1.noarch (kusanagi)
php(api) = 7.4.20
インストール: php-common-5.6.30-1.el7.remi.x86_64 (@remi-php56)
php(api) = 20131106-64
利用可能: kusanagi-php7-7.2.13-1.noarch (kusanagi)
php(api) = 7.2.13
利用可能: kusanagi-php7-7.3.0-2.noarch (kusanagi)
php(api) = 7.3.0
利用可能: kusanagi-php7-7.3.1-1.noarch (kusanagi)
php(api) = 7.3.1
利用可能: kusanagi-php7-7.3.2-1.noarch (kusanagi)
php(api) = 7.3.2
利用可能: kusanagi-php7-7.3.3-1.noarch (kusanagi)
php(api) = 7.3.3
利用可能: kusanagi-php7-7.3.4-1.noarch (kusanagi)
php(api) = 7.3.4
利用可能: kusanagi-php7-7.3.5-1.noarch (kusanagi)
php(api) = 7.3.5
利用可能: kusanagi-php7-7.3.6-1.noarch (kusanagi)
php(api) = 7.3.6
利用可能: kusanagi-php7-7.3.7-1.noarch (kusanagi)
php(api) = 7.3.7
利用可能: kusanagi-php7-7.3.8-1.noarch (kusanagi)
php(api) = 7.3.8
利用可能: kusanagi-php7-7.3.8-2.noarch (kusanagi)
php(api) = 7.3.8
利用可能: kusanagi-php7-7.3.8-3.noarch (kusanagi)
php(api) = 7.3.8
利用可能: kusanagi-php7-7.3.9-1.noarch (kusanagi)
php(api) = 7.3.9
利用可能: kusanagi-php7-7.3.9-2.noarch (kusanagi)
php(api) = 7.3.9
利用可能: kusanagi-php7-7.3.10-1.noarch (kusanagi)
php(api) = 7.3.10
利用可能: kusanagi-php7-7.3.11-1.noarch (kusanagi)
php(api) = 7.3.11
利用可能: kusanagi-php7-7.3.12-1.noarch (kusanagi)
php(api) = 7.3.12
利用可能: kusanagi-php7-7.3.12-2.noarch (kusanagi)
php(api) = 7.3.12
利用可能: kusanagi-php7-7.3.13-1.noarch (kusanagi)
php(api) = 7.3.13
利用可能: kusanagi-php7-7.3.14-1.noarch (kusanagi)
php(api) = 7.3.14
利用可能: kusanagi-php7-7.3.14-2.noarch (kusanagi)
php(api) = 7.3.14
利用可能: kusanagi-php7-7.3.15-1.noarch (kusanagi)
php(api) = 7.3.15
利用可能: kusanagi-php7-7.3.16-1.noarch (kusanagi)
php(api) = 7.3.16
利用可能: kusanagi-php7-7.3.17-1.noarch (kusanagi)
php(api) = 7.3.17
利用可能: kusanagi-php7-7.3.17-2.noarch (kusanagi)
php(api) = 7.3.17
利用可能: kusanagi-php7-7.3.18-1.noarch (kusanagi)
php(api) = 7.3.18
利用可能: kusanagi-php7-7.3.19-1.noarch (kusanagi)
php(api) = 7.3.19
利用可能: kusanagi-php7-7.3.20-1.noarch (kusanagi)
php(api) = 7.3.20
利用可能: kusanagi-php7-7.3.21-1.noarch (kusanagi)
php(api) = 7.3.21
利用可能: kusanagi-php7-7.3.22-1.noarch (kusanagi)
php(api) = 7.3.22
利用可能: kusanagi-php7-7.3.23-1.noarch (kusanagi)
php(api) = 7.3.23
利用可能: kusanagi-php7-7.3.24-1.noarch (kusanagi)
php(api) = 7.3.24
利用可能: kusanagi-php7-7.3.25-1.noarch (kusanagi)
php(api) = 7.3.25
利用可能: kusanagi-php7-7.3.26-1.noarch (kusanagi)
php(api) = 7.3.26
利用可能: kusanagi-php7-7.3.27-1.noarch (kusanagi)
php(api) = 7.3.27
利用可能: kusanagi-php7-7.4.19-1.noarch (kusanagi)
php(api) = 7.4.19
利用可能: php-common-5.4.16-48.el7.x86_64 (base)
php(api) = 20100412-64
利用可能: php-common-5.4.45-18.el7.remi.x86_64 (remi)
php(api) = 20100412-64
利用可能: kusanagi-php7-7.0-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.2-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.2-2.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.4-2.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.5-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.6-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.7-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.8-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.9-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.9-2.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.10-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.10-2.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.11-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.12-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.13-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.14-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.15-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.16-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.16-2.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.17-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.18-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.19-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.20-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.21-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.23-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.2.3-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.2.4-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.2.5-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.2.6-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.2.6-2.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.2.7-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.2.8-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.2.8-2.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.2.9-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.2.10-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.2.11-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.2.11-2.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.2.12-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.3.0-1.noarch (kusanagi)
見つかりません
エラー: パッケージ: php-pecl-zip-1.19.2-1.el7.remi.5.4.x86_64 (remi)
要求: php(zend-abi) = 20100525-64
削除中: kusanagi-php7-7.3.28-1.noarch (@kusanagi)
php(zend-abi) = 20131226-64
次のものにより更新された: : kusanagi-php7-7.4.20-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
インストール: php-common-5.6.30-1.el7.remi.x86_64 (@remi-php56)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.2.13-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.0-2.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.1-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.2-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.3-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.4-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.5-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.6-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.7-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.8-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.8-2.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.8-3.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.9-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.9-2.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.10-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.11-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.12-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.12-2.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.13-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.14-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.14-2.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.15-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.16-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.17-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.17-2.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.18-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.19-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.20-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.21-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.22-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.23-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.24-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.25-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.26-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.3.27-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: kusanagi-php7-7.4.19-1.noarch (kusanagi)
php(zend-abi) = 20131226-64
利用可能: php-common-5.4.16-48.el7.x86_64 (base)
php(zend-abi) = 20100525-64
利用可能: php-common-5.4.45-18.el7.remi.x86_64 (remi)
php(zend-abi) = 20100525-64
利用可能: kusanagi-php7-7.0-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.2-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.2-2.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.4-2.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.5-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.6-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.7-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.8-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.9-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.9-2.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.10-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.10-2.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.11-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.12-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.13-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.14-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.15-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.16-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.16-2.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.17-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.18-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.19-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.20-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.21-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.0.23-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.2.3-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.2.4-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.2.5-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.2.6-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.2.6-2.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.2.7-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.2.8-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.2.8-2.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.2.9-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.2.10-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.2.11-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.2.11-2.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.2.12-1.noarch (kusanagi)
見つかりません
利用可能: kusanagi-php7-7.3.0-1.noarch (kusanagi)
見つかりません
問題を回避するために –skip-broken を用いることができます。
これらを試行できます: rpm -Va –nofiles –nodigest

こうしたらいけた。

# yum update –enablerepo=remi,remi-php56

そして、ノリでphp7に移行するため、kusnagi php7してhash -rしたら

このサイトで重大なエラーが発生しました。

になった。話。kusnagi php-fpmで切り戻したけど、なんかのプラグインがphp7で動かない臭いので要調査してphp7への再移行する。

以下参考。

KUSANAGIモジュール更新情報

ではでは。またの機会に。

Enterprise Mobility + Security E3ではじめるゼロトラスト入門 – 7 – FortiGate のSSL-VPNをSSOにする

ども。こんばんは。

今回は、FortiGateのSSL-VPN接続(Webモード)をAzure ADを使ったSSO(シングル・サインオン)で実装します。

基本このあたりのチュートリアル通りです。

チュートリアル:Azure Active Directory シングル サインオン (SSO) と FortiGate SSL VPN の統合

Configuring SAML SSO login for SSL VPN web mode with Azure AD acting as SAML IdP

先にハマった?ポイントを・・・。

FortiGate SSL-VPNのSSOはSP-Initiatedのため、FortiGate側からフローを開始することで認証が行われます。(前回行ったAWSはIdp-Initiatedなため、Idp(Azure AD)からフローを開始します。)

完成形がこちらの画面ですが、「Single Sign-On」のボタンを表示させるためには、SAMLの設定をするだけではだめで、実際に「SSL-VPN」インターフェースから、LAN側等へのポリシーを設定し、そのポリシーの送信元にSAMLユーザを含むグループを指定する必要があります。。。

これを知らなくて、Single Sign-Onボタンを表示させるのにめちゃくちゃ時間かかりましたが、ここさえ把握しておけば設定はかんたんです。

■Azure ADの準備

まずは、エンタープライズアプリケーションにFortiGate SSL VPNを追加します。
※FortinetのドキュメントだとNon Galleryになっていますが、今は存在するようです。

アプリケーションにユーザを割り当てます。

シングルサインオンの設定からSAMLを選択します。

例にのっとって、識別子(エンティティID)、応答URL、サイオンURL、ログアウトURLを設定します。

次に、「ユーザー属性とクレーム 」を設定します。
※ここで指定した属性をFortiGateが受け取ってユーザ名などを処理するイメージです。デフォルトで「name」 があるのでこれでユーザ名使えるのかなと思ったのですがうまく行かなかったので、下記のようにusernameを追加しています。この”username”はFortiGate側にも設定します。

冒頭で記載したMicrosoftのチュートリアルでは、グループについても追加していますが、グループの追加はグレーアウトして押せなくかったので、やっていません・・・。

 

続いて、SAML署名証明書から、証明書(Base64)をダウンロードします。

■FortiGateの設定

ここからFortiGateの設定をします。
今回FortiGateはForiGate 60E、FortiOSは6.2.5で、VDOM環境です。

まずは、先程ダウンロードした証明書をインポートします。
証明書(Certificates)のGUIが標準では表示されていないので、まずは、そこから設定します。

Global VDOMの[System]->[Feature Visibility]から、Certificatesを有効します。

対象のVDOMに移動して、証明書をImportします。

インポートした証明書の名前を覚えておきます。
※画面では、「REMOTE_Cert_1」 です。

続いてコマンドラインで以下の設定を導入します。

idp-entity-id 、idp-single-sign-on-url、idp-single-logout-url は、Azure ADの画面からコピペします。
なお、idp-single-logout-url には「?(クエッションマーク、はてなマーク)」が入っています。

FortiGateにCLIで?を入力する場合は「Ctrl+v」のあとに「?」を入力すれば、コマンド候補の代わりに「?」が入力できます。

「set user-name “username”」のusernameは、Azure ADのユーザ属性に自分で追加した名前です。

config user saml
    edit "azure"
        set entity-id "https://[FortiGateのFQDN]/remote/saml/metadata"
        set single-sign-on-url "[FortiGateのFQDN]/remote/saml/login"
        set single-logout-url "https://[FortiGateのFQDN]/remote/saml/logout"
        set idp-entity-id "https://sts.windows.net/xxxx/"
        set idp-single-sign-on-url "https://login.microsoftonline.com/xxxx/saml2"
        set idp-single-logout-url "https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0"
        set idp-cert "REMOTE_Cert_1"
        set user-name "username"
        set group-name "group"
    next
end

作成したユーザをグループに入れます。
※グループに突っ込まないと、そもそもポリシーで利用できません。
Microsoftのチュートリアルでは、さらにmatchをつかって、Group-IDで絞り込んでいますが、今回はそこまでやっていません。

config user group
    edit "SSLVPN_from_AzureAD"
        set member "azure"
    next
end

最後にポリシーに適用します。
※ポリシーに設定して、初めてログイン画面にSingle Sing-onボタンが表示されます。

■テスト

今回はSP-Initiatedなので、FortiGateの画面から行きます。

おお。できた。

ちなみに、パーソナルブックマークとか作ってもちゃんと保存されます。

設定は、ユーザ名「xx@xxx.xx#SAML設定名」としてconfigに保存されるようです。

あと、FortiClientもSAML Logonというのができそうなのですが、どうもこれは、有償版?か6.4の機能っぽい?

こんなふうにできるはず?

https://sites.google.com/frellsen.se/kimfrellsen/fortinet-ssl-vpn-with-okta-mfa-using-saml?authuser=0

 

今回はSSL-VPNに関してSSOを設定しましたが、管理画面もできるようなので、今後は管理画面もSSO対応を検討したいと思います。

【バックナンバー】

ではでは。またの機会に。

FortiGateで特定のイベントだけSYSLOGに出力する

FortiOS 6.2.4 6.2.5で動作確認ずみ。

FortiGateからSYSLOGでログを飛ばす際にWebfilter(URLフィルタ)のログだけ出したいような場合のフィルターの書き方を見つけたのでメモ。

以下の例は2番目のsyslogサーバ(syslogd2)のでwebfilterだけを飛ばす場合。

set forward-traffic enable(デフォルトでenable)のままでもトラフィックログは飛んでこなかった。

ちなみにlogidでフィルタしてもいいのだけど、webfilterだけでいいとかの場合は、↓のほうが楽な気がする。

一応blockもallowも飛んできました。

# show log syslogd2 filter 
config log syslogd2 filter
set filter “webfilter-level(information)”
end

その他filterで使えるもの

Please input the logid list or level (or both) as filters.

[logid(…)] [traffic-level(…)] [event-level(…)] [virus-level(…)] [webfilter-level(…)] [ips-level(…)] [emailfilter-level(…)] [anomaly-level(…)] [voip-level(…)] [dlp-level(…)] [app-ctrl-level(…)] [waf-level(…)] [dns-level(…)] [ssh-level(…)] [ssl-level(…)] [cifs-level(…)] [file-filter-level(…)]

See the following 2 examples.

example 1

set filter “logid(40704,32042)”

example 2

set filter “event-level(information)”

The available levels are as the following:

emergency,alert,critical,error,warning,notice,information,debug

昔は、webfilterとかipsとかの単位でかんたんにenable/disableできたような・・・。

FortiOS 6.2.5が出ていた

リリースノート

https://docs.fortinet.com/document/fortigate/6.2.5/fortios-release-notes/760203

我が家では以下の問題が解決

みんな大好き!MTUのコーナー
→なぜかMTUを手動で調整しないとPS4がPSNにサインインできない。

なぜかiPadのFacebookアプリが記事の読み込みができない。

特にそれらしいresoved issueはなさそうだけど、多分MTU周りの修正が入っていると思われますね。

みんな大好き!MTUのコーナー

ども。こんばんは。

MTUの話です。

職場ではネットワークのトラブルを聞きつける度に「MTUが大っきいんじゃない?」と詳しく聞く前に口にしますが、たまに当たるから馬鹿にできないんですよね。しかもMTU(MSS)周りって気づきにくいことが多いので、とりあえずどんなトラブルでもMTUを疑うようにしています。
※もちろん切り分けはOSI参照モデルの物理層から順番に!

【関連】
くどいほどにMSSとかMTUの話

FortiGateをリプレイスしまして、何故かPS4がPlaystation Networkにサインインできないという事象が発生しました。

ネットワーク診断をやってみると、インターネット接続は成功するのにPlaystation Netowrkだけ失敗する状況です。

PS4は、固定IPアドレスのInterlink回線から、Virtual IPでスタティックNATをしています。
SD-WAN Rulesで、出口はPPPoEにしてるんですけどねー。

FortiGate リプレイス前は、こんなトラブルなかったのですが、MTUを1454に設定したら直りました。

FortiGate側のPPPoE Status ReportはMTU 1454をちゃんとひろってるのになー。なんでPS4側で調整しないとだめなんだろ。

もしかして、SD-WANインターフェース関連・・・?なのか・・・?

FortiOS 6.2の問題なのかSD-WAN利用時の問題なのかは不明です・・・。

以下おまけです。IPoE(OCNバーチャルコネクト)側はどうなってるのかmacOSで調べてみました。macOSでDFを有効にしたMTUの調査用Pingコマンドはこんな感じです。

# ping -D -s 1432 8.8.8.8 -c 1
PING 8.8.8.8 (8.8.8.8): 1432 data bytes
76 bytes from 8.8.8.8: icmp_seq=0 ttl=53 time=56.544 ms
wrong total length 96 instead of 1460

— 8.8.8.8 ping statistics —
1 packets transmitted, 1 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 56.544/56.544/56.544/0.000 ms

1432(MTU 1460)が最大です。IPv6でカプセル化してるしこんなもん?なのかな?

念の為、インターリンク回線に収容しているLinuxでもチェックしました。

# ping -c 1 -s 1426 -M do 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 1426(1454) bytes of data.
76 bytes from 8.8.8.8: icmp_seq=1 ttl=54 (truncated)

— 8.8.8.8 ping statistics —
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 5.724/5.724/5.724/0.000 ms

想定通り、MTU 1454(1426にICMPヘッダとIPヘッダを加えた値)ですね。

ブラウザでお手軽に調べるのは以下のサイトが便利です。

http://www.speedguide.net/analyzer.php

ではでは。またの機会に。

FortiGate 90D(FortiOS 6.0)からFortiGate 50E(FortiOS 6.2)へのリプレース完了。

ども。こんにちは。

GWを満喫するため、FortiGateをリプレースしました。

DSC_0024

だいぶ前に購入していたFortiGate 50Eにリプレースしました。
2019年の年末にリプレースする予定だったのですが、仮想基盤を吹き飛ばしたりするトラブルがあって先延ばしにしていました・・・。

リプレース前:FortiGate 90D FortiOS v6.0.9 build0335 (GA)
リプレース後:FortiGate 50E FortiOS v6.2.3 build1066 (GA)

今回のポイントを簡単にご紹介します。

■Fortinet OneからFortiCloud(FortiGate Cloud)への変更/アカウント切り替え

購入時の状態は、とある代理店さんのアカウントでFortinet ONEとやらに登録されていました。おそらく多数の台数を展開するには便利なしくみなのでしょうがこのままと自前のFortiCloudのアカウントへログのアップロードなどができません。

アクティベーションの画面で「FortinetONE」ではなく、「FortiGate Cloud Multi-Tenancy」に変更します。

ことのとき「Email」にもともと入っていた代理店さんのメールアドレスが残ったままなので、一見入力できないように見えるのですが上書きすることができます。

これでアカウントの切り替えができます。
ただ、これをやっても、FortiCare Supportのところは代理店さんのメールアドレスのままです。

■NFGWモードをやめた

今回は、やめました。もしかしたら6.2で改善されているかもしれませんがトラウマなのです。Profile-basedにしました。

参考:FortiOS 5.6のNGFWとDNSフィルタの使えなさがやばい

NGFWモードをPolicy-basedからProfile-basedに変更したので、NAT設定の移し替えが多少面倒です。ポリシーベースだと、Central NATを使うことになりますが、Profile-basedにすると従来どおり各ポリシーでNATの有無を設定することになります。

■SD-WANを設定して2本の回線を収容

今回FortiGate 50Eには合計3本の回線が収容されました。

簡単ですがこんな感じです。(draw.ioで描きました。)

固定8IPアドレスが付与されるInterlink回線、通常の動的IPのPPPoE回線、IPoE回線(※)の3回線を2つのVDOMに収容し、Interlink回線とIPoE回線でSD-WAN(旧WANリンクロードバランス/WAN冗長化)を設定しています。
※MAP-Eを利用するため別途ルータを利用。
参考:OCNバーチャルコネクトでIPoE + IPv4 over IPv6接続 – 2 –

今までは、スマートフォンなどの帯域を多く消費する機器は、Poliicy Base Rouringで送信元IPアドレスをもとに、VDOMリンクに渡して出口を変えるということをしていましたが、随分スッキリしました。

VDOMを複数またぐこともなくなったので、パフォーマンスも向上したようです。

なお、今回は回線のバランシングはせず、原則IPoE回線とし、AWSへの接続など固定IPで制限をかけている宛先等について、SD-WAN Rulesで制御しています。

SD-WANの設定はこんな感じ。
IPoE回線のコストを低くして寄せています。

この設定だけでは片寄できないようです。
というのも、デフォルトのSD-WAN Rulesの設定で送信元IPアドレスベースでバランシングされてしまいます。

このため、以下の様なルールを設定しました。

このルールを作ってあげるとImplicitが効かなくなり、コストの低いIPoE側を常に利用するようになります。
もし個別でどちらかの回線だけを使いたい場合は、StrategyでManualを選択します。

たぶん。

■FortiClientが無償で収容できなくなった

FortiOS 6.0までは、10台分のFortiClinentのライセンスが付いていましたが、なくなってしまったようです。残念。

SB C&Sさんの技術ブログに詳細が記載してありました。

FortiClient 6.2 Update

テレメトリー機能も、AVも使えなくなってしまいました。。。

以下、C&Sさんのサイトからの引用です。

■ VPNクライアント機能
Win/MAC/iOS/Android共に無償で利用可能

【ATTENTION!】 FortiClient 6.2移行、VPNクライアントは独立しFortiClient VPNとなります。FortiClient 6.0からアップグレードは出来ないため新しくFortiClient VPNのインストールが必要です。(※FortiOS6.2.1ではFortiClient 6.2でIP-sec/SSL-VPN接続することが可能です)

■ FortiClient向け アンチウイルス/Webフィルター機能
【ATTENTION!】 FortiClient 6.2以降有償利用となります。利用する場合にはFortiClient Security Fabric Agentライセンスが必須です。

■FortiClient Telemetry機能
【ATTENTION!】 無償利用可能な10ライセンスが廃止。FortiClient 6.2以降は全て有償利用となります。FortiClient Telemetry機能にはFortigateとFortiClientとが連携し動作する機能が該当します。OS6.0までFortiClient Telemetryのライセンスを購入していなくても(一応)使えていた「Security Fabricの脆弱性端末の可視化」や「エンドポイントの隔離機能」などは今後FortiClient Security Fabric AgentライセンスをFortiGateに適用した段階で利用することが可能となります。FortiClient 6.0にてFortiClient Telemetryライセンスをお持ちの場合、FortiClient 6.2では別ライセンス(FortiClient Security Fabric Agentライセンス)の再購入が必要になります。

■FortiOS 6.2に関する諸々

FortiOS 6.2 メモ(随時更新したい・・・)に追記したいと思いますが気づいた点はこんなところです。

NGFW ModeはProfile-basedでの確認です。

  • ポリシーごとにInspection ModeでFlow-based/Proxy-basedが選べるようになっており、VDOMごとのInspection Modeがなくなった。
  • アンチウイルス(Anti Virus)のScan ModeがなくなってFull/Quickがなくなったぽい。
    cliではset scan mode legacyが用意されている
    それぞれのモードの違いっぽいのが以下のドキュメントに記載があったけど、これであってるのかな?

    Inspection mode differences for antivirus

  • 5.6あたり?から見当たらんくなってたプロトコルオプション(Protocol Option)が復活。
  • 何故かデフォルトのCertificate-inspectionで、FULL SSL inspectionになる動きがあった。たまたま・・・か?
    しょうがないので自分でプロファイルを作った。
  • Virtual IPでインターネットから公開するNATをした場合の内部発通信について、VIPと同じインターフェースから出すにはSD-WAN Rulesに設定が必要。これをしないと、SD-WANのほうが勝ってしまい、VIPのDNATと自発の通信でグローバルIPアドレスがずれてしまう。

■配線が汚い

毎度毎度思いますが、相変わらず汚いですね。

ではでは。またの機会に。

OCNバーチャルコネクトでIPoE + IPv4 over IPv6接続 – 2 –

ども。こんばんは。

OCNバーチャルコネクトの続きです。

【関連記事】

BUFFALO WiFi 無線LAN ルーター WSR-1166DHPL/Nを購入して無事接続はできたのですが、ルータ上のパケットカウンタで1万数千パケットを超えたあたりから、パケット送信ができなくなる問題にあたっていました。

WSR-1166DHPLの「ステータス>システム」を見ると状態は「通信中」となっているものの、通信パケットのカウンタは「送信パケット数」のエラーが上昇します。WSR-1166DHPLを再起動するか、IPv6画面で設定変更してMAP-Eを再接続することで復旧するという感じで、通信量が一定を超えるとだめ?ぽいです。
どうも新規セッションが張れないんですよねー。ポートが涸渇したわけではなさそう。謎です。

バッファローさんのサポートにも問合せし、パケットキャプチャを送ったりして一緒に調査していたのですが、原因不明で行き詰まっていました。

一応今後の対応として、バッファローさんからデバッグ用ファームウェアの入った専用のWSR-1166DHPLとパケットキャプチャ用機材一式を貸してもらい継続調査する予定ですが、新型コロナウイルスの影響により滞っています。。。

で、流石に1日1回くらいMAP-Eのつなぎ直しをしないと行けないのもストレスなので、買ってみました。

NECプラットフォームズのAterm WG1200HS3(PA-WG1200HS3)です。ファームウェアVer.1.2.1以降でOCNバーチャルコネクトに対応しています。

2018年10月頃発売の割に人気なのか在庫がほとんどなく、Amazonでは相場の倍近い値段で売られていたりと、諦めていたのですが、ヤフーショッピングでなんとか手頃な値段のものが見つかったので購入しました。¥5,380なり。

「ドコモ光ルーター」やOCN v6アルファのレンタル用ルータである「IPoE対応ルーター 01」がWG1200HS3のOEMらしいという話なので、問題なく動いてくれることを信じています・・・。

まぁ特段ハマることもなく?設定できました。

が、設定が全体的に簡素すぎじゃね?

静的ルーティング(スタティックルート/static route)が設定できない\(^o^)/
バッファローでもできるのに・・・。
ログも見れないし、パケットカウンタも見れないし・・・。
NTPとかも見当たらないぞ・・・・。

まぁとりあえず繋がりました。

このまま数日様子見ですね。

今度はうまく行ってほしい・・・・。

■おまけ
昔はNECのルータが好きでよく使ってました。WarpStarって言ってた頃・・・。
Telnetでつなげたんですけどねー。いまはないのかな。
※aterm-maintenance-110/Aterm-Maintenance-119でTELNETログインできてた気がします。

恐ろしく古い記事があったのでおまけです。

配線がやばい。
いろいろ。

ではでは。またの機会に。

OCNバーチャルコネクトでIPoE + IPv4 over IPv6接続

2020/04/25追記

バッファローのルータでは通信に不具合がありにっちもさっちもいかないので、ルータ買い替えました\(^o^)/

OCNバーチャルコネクトでIPoE + IPv4 over IPv6接続 – 2 –


 

ども。こんばんは。

混雑時間帯のフレッツが激遅になるので、IPoE + IPv4 over IPv6でフレッツ網を迂回してヒャッハーしようという話です。

前回の記事はこちら:
いつからIPoEはIPv4トンネリングももれなく対応していると勘違いしていた?

結論、できました。

どうやら、OCNのOCN v6アルファは、OCNバーチャルコネクトと全く同じ方式(MAP-E)らしいという情報があり、対応ルータをかってみました。

対応ルータについては以下のサイトが参考になります。
※ちなみにホームゲートウェイであるPR-500KIも対応はしているようですが、フレッツ・ジョイントとやらからソフトウェアをホームゲートウェイに突っ込まないとだめ?らしいです。

無線LANルーターの「OCNバーチャルコネクト」対応状況(2020年3月)

本当は、OCN v6アルファ契約時にレンタルされるものとほぼ同等と製品思われる、NECプラットフォームズのAterm WG1200HS3がほしかったのですが、在庫が少なかったり、値段が高かったりといい感じにてにはいりませんでした。

参考:NEC製市販ルータ、ついに【OCNバーチャルコネクト】対応!

参考2:OCNのIPoE、自社設備への完全移行か

なので、今回は以下のルータを購入しました。

BUFFALO WiFi 無線LAN ルーター WSR-1166DHPL/N

Amazonのタイムセールで¥3,980で購入できました。

決めては、発売時からOCNバーチャルコネクト対応していることと、値段です。

今回購入したのは簡易パッケージのものらしく、かなり簡素です。けど、このくらいで十分な気がしますね。

さて、特に設定上困るポイントはないです。
OCNバーチャルコネクトを選んでぽちってやるくらいです。

すぐに繋がりました。

ちなみに、ホームゲートウェイ側では前回同様IPv6がちゃんと払い出されていますね。

で、きになる速度ですが、混雑しやすい21;00〜23:00の間に何度か図ってみました。

この差です。

・PPPoE

・OCNバーチャルコネクト

PPPoE側は有線かつマシンスペックもそこそこです。
それでも無線にあっさり抜かれるほどフレッツ網は詰まっているのですね。

約4000円で世界が変わるとは・・・。

なんやかんやインターリンク契約できなくてよかった。。。
OCN光にしたぶん月額もちょっと浮いたかな。

2020/03/14追記
—————————
どうやら4時間(もっと長いかも・・・)に一回くらい通信ができなくなる問題が発生しているようで、多分ホームゲートウェイのDHCPv6の払い出しに関連してると思われます。

なので、WSR-1166DHPLのIPv6設定をNDプロキシモードに変更しました。

これでホームゲートウェイ上ではDHCPv6払い出し状況には出てこなくなるけど、通信もできるし4時間超えてもちゃんと繋がるぽいです。
—————————
2020/03/13追記その2
上記ルータの変更をしてもまた切れました・・・。
インターリンクの以下のページが参考になりそうだったので、
・ホームゲートウェイ(ONU一体型ルーター)を利用している方
の設定をしてみました。
※「バッファロールーターを利用している方」はすでに実施ずみ。

これで収まるといいけど・・・。

https://faq.interlink.or.jp/faq2/View/wcDisplayContent.aspx?id=654
—————————
2020/03/14追記
上記ルータの変更をしてもまたまた切れました・・・。
最後に「IPv6ブリッジを使用する」にもしてみましたが、翌朝には切れてました。
きれるというか、通信できなくなります。エラーカウンタが上がっていく感じ。表示は「通信中」のまま。。
ルータ自身からのIPv6 Pingがホームゲートウェイまでは到達するものの、その先に行けない感じですねぇ。どこが悪いんだろうorz
—————————
2020/03/21追記
サポートに問合せたところ、原因は不明で、以下で改善するか試してほしいとのこと。
IPv6設定「インターネット@スタートを行う」を選択してすぐ右下の「IPv6ブリッジを許可する」のを外す。
改善せずorz
パケットキャプチャをとってみたところやっぱりWSR-1166DHPLから先にパケットが出ていない。ただIPv6は通ってるのでMAP-Eの問題かなぁ。
最後の手段でファームウェアを1.00にダウングレード(設定は全部やり直しorz)してみた。。これで改善しなかったらおとなしくNECのルータに買い替えかなぁ。

 

ではでは。またの機会に。

いつからIPoEはIPv4トンネリングももれなく対応していると勘違いしていた?

20021/08追記

FortiOS 7.0からOCNバーチャルコネクトにも対応しています。(7.0は残念ながら50Eには入りません。。。)

設定ガイド
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-ocn-ipoe-fixip.pdf?utm_source=social&utm_medium=twitter-org&utm_campaign=sprinklr

こちらの、対応端末リストにも60Fなどが追加されています。
https://www.ntt.com/content/dam/nttcom/hq/jp/business/services/network/internet-connect/ocn-business/option/v-access-ipoe/pdf/bocn_vc_router.pdf

 

2020/03/13追記
————————
結果、一台ルータを買いましたがうまくいきました。
詳細は以下の記事で。

ある種インターリンク契約しなくてよかったのでちょっと助かったかも。

OCNバーチャルコネクトでIPoE + IPv4 over IPv6接続
————————

ども。こんばんは。

いろんな勘違いが重なりました。

・混雑する時間帯のネットが遅い。2Mbpsとかに落ち込むし詰まってる感じがある
・DS-Liteでフレッツを迂回するのが良さそう
・フレッツv6オプションは無償で提供されているIPoEでやるのか
・OCNも対応しているな←勘違い
・でもうちはまだIPoEが対応してないっぽい←勘違い(※)
・OCN光ならIPoEが提供されている←せいかい
・OCN光に転用しよう!←まちがい
・OCNってDS-Liteじゃなくて OCN v6アルファとかいうサービスでMAP-Eだわ。しかも専用ルータ新型コロナウイルスの影響で出荷停止中だわ←げんじつ

※以下のページで見るとまだ準備中なのですが2019年3月にメールで開通したことが知らされていました。。。OCN光への申込時にカスタマーフロントの人に、OCN光に変わったらすぐにIPoE使えますか?と質問したところ、すでに使えますよ。。。とのことでした。
https://www.ntt.com/personal/services/internet/hikari/ipv6/ipoe/area.html

なんで、こんな勘違いをしたのでしょうかね。。

で、勘違いしたままFortiGateの設定をいじりまして、結論こんな感じでIPoEでIPv6接続はできました。

が、NTT東のゲートウェイにipv6-tunnel張っても全然パケットが帰ってこなくて発覚しました。。。

FortiGateの設定としては、こんな感じ。うちはひかり電話ありです。

今回は専用のvdom(ipv6)を切り出しています。

config system interface
    edit "ホームゲートウェイにつないだI/F"
        set vdom "ipv6"
        set type physical
        set snmp-index 17
        config ipv6
            set dhcp6-prefix-delegation enable
            set autoconf enable
        end
    next
end

これをやると、こんな感じでIPv6が降ってきます。

ftg (ipv6) # diagnose ipv6 address list

dev=xx devname=xxx flag=P scope=0 prefix=64 addr=2400:4050:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx

この時、ホームゲートウェイ(うちはPR-500KI)の「DHCPv6サーバ払い出し状況」を見ると、ちゃんと払い出されます。

ちなみにWAN側?というかNGN側?はひかり電話の場合は/56をもらってくるようです。そこからFortiGAteに/60で払い出してもらっています。(Prefex Delegation?なのかな。。。)

んで、DS Liteようにトンネルを作ります。

 

config system ipv6-tunnel
    edit "ds-lite"
        set source FortiGateのIPv6(オプションなので不要かも?) 
        set destination 2404:8e00::feed:101 ←100か101
        set interface "internal13"
    next
end

で、あとはここでつくったds-liteというインターフェースにipv4のデフォルトゲートウェイをstatic routeで設定し、さらにポリシーを書きます。NATは有効?にしておきました。

が、結局冒頭のとおりOCNはDS-Lite非対応なので、diagnose ipv6 ipv6-tunnel listで確認したところ、TX は増えるもののRXが増えません。

ちなみにこの状態でもIPv6での通信はできます。おいらがやりたいのはあくまでのこのIPv6網にIPv4をトンネルさせて混み合っているフレッツ網を迂回したいのです。。

ということで、インターリンクのzoot nativeに申し込みます。
これ、OCN解約してもいいのに、無駄に光コラボで逃げれなくなってしまった。まぁいいか・・・。

で、インターリンクのページからNTT東日本のお客IDとアクセスキーを入れてみたところ、以下のように出てしまいました。

入力いただいたフレッツ回線は、既に当社以外のIPoEサービスをご利用中のようです。

申込には他社のIPoE契約をご解約いただく必要があります。現在のご契約を確認してください。

まず、OCNのIPoEを解約しないと行けないようですが、やり方が分からいので、フレッツのサービス情報サイトからv6オプションを廃止しようとしてみても、

お客様のご利用の回線ではフレッツ・v6オプションを廃止できません。

と言われて先に進めません。

うーん。詰んだ。

一旦ここまで。

ではでは。またの機会に。

 

 

 

インターネット(IPv6 IPoE)に対応したプロバイダサービスをご利用の場合、インターネットがご利用いただけなくなります。