「無線(Wireless Access Point(WAP))」カテゴリーアーカイブ

Android 12へWiFi証明書をインポートする方法のメモ

ども。こんばんは。

前回ハマった件の個人的なメモです。

参考:■AQUOS R5G(SHG01)の画面を割ってしまう(2022/07/25)

Android 11の2020年12月のアップデートより、802.1xを使う無線LANの設定で、CA証明書を「検証しない」設定ができなくなったようです。(メーカによって例外ありかも。Unihertz Titan Pocketは少なくとも前述のアップデーより新しいものが適用されていますが、「検証しない」が選べます。Chromebookも特にこの操作は不要です。)

以下のブログが大変詳しいので、詳細はこちらをご参照ください。

■環境

・Android
機種:AQUOS R5G(SHG01)
バージョン:Android 12

・NPS
Windows Server 2012 R2 (AD、NPS、RADIUS)

・AP
Cisco WAP150

・その他
PEAPを利用しています。

■ハマったことまとめ

AndroidにWiFiの証明書を入れるには秘密鍵も必要。(証明書だけじゃだめ。)

第1のハマりポイントは、証明書(PKCS#12な.pfx)をOneDrive経由でやり取りしたこと。(Windows Server→macOS→OneDrive→Android)

第2のハマリポイントは、自己署名なのでCA証明書もAndroidにインストールする必要があったこと。

■OneDriveに.pfxをおいてはいけない

詳細は調べてないのですが、どうもOneDriveに置くと、壊れるようです。

AndroidにOneDrive経由で証明書をインストールしようとすると、正しいパスワードを入れろと言われて、抽出できませんでした。

PKCS#12がだめなのかも?と思って、certとpemに変換しようとして、macOS(OneDriveからデスクトップのコピーして)のopensslコマンドで色々しようとしていたときのエラー。
正直どうやってもこれの原因がわからずかなり苦労しましたが、普通にOneDriveに一旦おかずに直接コピーしたらOKでした。

4307043884:error:0DFFF0A8:asn1 encoding routines:CRYPTO_internal:wrong tag:/AppleInternal/Library/BuildRoots/20d6c351-ee94-11ec-bcaf-7247572f23b4/Library/Caches/com.apple.xbs/Sources/libressl/libressl-2.8/crypto/asn1/tasn_dec.c:1144:
4307043884:error:0DFFF03A:asn1 encoding routines:CRYPTO_internal:nested asn1 error:/AppleInternal/Library/BuildRoots/20d6c351-ee94-11ec-bcaf-7247572f23b4/Library/Caches/com.apple.xbs/Sources/libressl/libressl-2.8/crypto/asn1/tasn_dec.c:317:Type=PKCS12

また、Exchange Onlineだとpfxファイルは規定ではメールに添付できないみたい。(設定変更で許可できる)
今回はGmailでAndroidに転送しました。

■AndroidへのWiFi証明書のインストール

NPSのPEAPのプロパティはこんな感じ。
※今回NPSはADと同一サーバです。

いい感じにpfxをエクスポートします。
この辺そんなに詳しくはないんですが、まぁいい感じに証明書ストアから抜きます。
※秘密鍵もセットでエクスポートする必要がある。(これがなぁ、Android意味不よなー。macOSとかはべつに秘密鍵なくてもつながるのに。)

で、これを抜いたやつをすぐにOneDriveにおいたのが良くなかった、というのが第1ハマりポイント。

で、これをインポートします。

なんだかんたんじゃん。OneDriveにさえ置かなければ!!!

だがしかし。まったくWiFiにはつながらねぇ…

正直エラーメッセージも何も出ないので、仕方なくADBログを確認(logcat)。

あ、M2のMacbook Airでも、以前のIntel版で使ってたADB(platform-tools)をファイルでコピーしたらそのままADBは使えました。(というか、iCloudでデスクトップ同期してたので勝手にデスクトップにいた。。)

すると、こんなエラーが。

08-14 00:29:59.545 1642 1663 I EthernetTracker: interfaceLinkStateChanged, iface: wlan0, up: true
08-14 00:29:59.558 3042 3042 I wpa_supplicant: wlan0: Associated with xx:xx:xx:xx:xx:xx
08-14 00:29:59.558 3042 3042 I wpa_supplicant: wlan0: CTRL-EVENT-SUBNET-STATUS-UPDATE status=0
08-14 00:29:59.558 3042 3042 I wpa_supplicant: wlan0: CTRL-EVENT-EAP-STARTED EAP authentication started
08-14 00:29:59.568 3042 3042 I wpa_supplicant: wlan0: CTRL-EVENT-EAP-PROPOSED-METHOD vendor=0 method=25
08-14 00:29:59.568 3042 3042 I wpa_supplicant: wlan0: CTRL-EVENT-EAP-METHOD EAP vendor 0 method 25 (PEAP) selected
08-14 00:29:59.582 3042 3042 I wpa_supplicant: wlan0: CTRL-EVENT-EAP-PEER-CERT depth=0 subject=” hash=xxx
08-14 00:29:59.583 3042 3042 I wpa_supplicant: wlan0: CTRL-EVENT-EAP-PEER-ALT depth=0 DNS:hoge.fuga.domain.com
08-14 00:29:59.583 3042 3042 I wpa_supplicant: wlan0: CTRL-EVENT-EAP-PEER-ALT depth=0 DNS:fuga.domain.com
08-14 00:29:59.583 3042 3042 I wpa_supplicant: wlan0: CTRL-EVENT-EAP-PEER-ALT depth=0 DNS:fuga
08-14 00:29:59.583 3042 3042 I wpa_supplicant: wlan0: CTRL-EVENT-EAP-TLS-CERT-ERROR reason=1 depth=0 subject=” err=’unable to get local issuer certificate
08-14 00:29:59.587 3042 3042 I wpa_supplicant: wlan0: CTRL-EVENT-EAP-FAILURE EAP authentication failed

うーん、CA証明書付でエクスポートしたやつをインポートしたのにー…

もうよくわからんので、ADのCA証明書(これは秘密鍵は不要)をAndroidにインストール。

CA証明書を入れた状態で改めてWiFiの接続設定を開いたところ…

なるほど。こういう感じで本当は表示されないとだめだったけど、CAが信頼されていない(オレオレ)が故に、選択肢に出てこなかったということか!(多分)

ということで無事繋がりました。

この仕様どうなんだろう…

ではでは。またの機会に。

自分の尻拭いプロジェクト – 1 –

ども。こんばんは。

先日のオペミスで仮想マシンを全台虚空に返したわけですが、昨日(2019/12/30)午後〜夜まで時間をかけてなんとか復旧しました。

結局ほぼ元通りの構成で面白みはないですが、バージョンがだいぶ新しくなりました。

  • AD(Windows Server 2008 R2)
    • Windows Server 2012 R2をインストールして再構築。
      ※手持ちのライセンスが2012 R2しかないので・・・。
    • NPS(RADIUS)の構築までサクッとできた。
      • ちなみにAD DSはインストールしていたけど、証明機関のをインストールしておらずPEAPが使えなくてハマった。
        証明機関さえインストールすれば解決できる。
        (旧ADはIISの証明書とかも発行してたので証明機関入ってたみたい。)
    • MacBook Airは一旦Active Directoryのバインド解除して再度バインドした。無事AD上のコンピュータに表示されたし新しい証明書もインストールされているので多分大丈夫だと思う。。。プロファイルも消えなかった。
    • 過去もハマったけど、評価版にそのままライセンス入れようとして、「このエディションのWindowsのライセンス認証にそのキーは使えません。別のキーを試してください」とか言われたので以下のコマンドでキーを登録。

      DISM /online /Set-Edition:ServerDatacenter /ProductKey:xxxxx-xxxxx-xxxxx-xxxxx-xxxxx /AcceptEula

  • 大昔から動いているLinux(CentOS 5)
    • 正直作り直しは困難と判断・・・。DHCPの設定ファイルも抜き出したかったし。思い出はなかなか消せなかった。
    • あと、基本DNSがこいつで、ADもDNSはこいつを参照/更新している関係で意外と大事な役割になっている。
      (今回もADにはDNSサーバをインストールせずに作ってしまった・・・。)
    • Acronisで取得したバックアップ(tibファイル)から復元 
      • vSphere Converter Standaloneでは6.0までしかサードパーティのイメージ変換機能が実装されておらず、手元の5.0でtibをvmdkに変換・・・するも失敗。
      • しょうがないのでAcronis TrueImageのブータブルCDで頑張って復元。
      • vSphere 6.7だと、マウスが動かない。
        TABキーとかの操作だとどうもうまく行かず、マウス機能(F10とか押すとテンキーでカーソルが動かせる)で頑張った。(わざわざMacBook Airにキーボード取り付けて・・・)
      • 一部どうしても見えないボタンがあったのでTABキーとか駆使してなんとか復元。結局これが一番うまくいくなー。(数年前にも同じことした気がする。)
  • PBX
    • FreePBX STABLE SNG7-PBX-64bit-1910(FreePBX 15/Linux 7.6/Asterisk 16)で再構築。
    • アナウンス音声の日本語版が付属していて嬉しい。
    • ひかり電話とのトランク、Cisco IP Phone 7961のレジスト、内線、外線発信/着信までまさか数時間で終わるとは思わなかった。
    • 特にIP PhoneのConfigが旧FreePBXサーバのtftpbootフォルダにしかおいてないと思い込んでいたのでもう一度Config作成は絶望かと半分あきらめていましたが、過去の自分がうまく動いたときの一連のパケットキャプチャを保存してくれていたので、パケットキャプチャの中身からtftpでやりとしていたファイルを抽出して復元できました。まぁファイルとしておいておいてくれれば言うことないのですが、自分の所業なので諦めます。(どうせパケットおいておけば最悪どうにかなるだろうとか当時考えたんだろうな。)
    • FreePBXのバージョンもだいぶ変わっていたけどCisco側は設定修正なしでいけた。日本語化まで数時間でできた。
  • 監視サーバ
    • まだ未構築・・・。年明けかな。

以下、電話関連(FreePBX)のメモ。

環境、バージョンは以下の通り。

ハイパバイザー:VMware vSphere 6.7.0U3
イメージ:FreePBX STABLE SNG7-PBX-64bit-1910(CentOS 7.6ベース)
FreePBX :15
Asterisk:16

今回は全部WebUIだけで完結しましたが、以下ハマったポイントを書いておきます。

なおSIPドライバーはPJSIPです。

  • FreePBXのIPアドレス変更
    • /etc/sysconfig/network-scripts/ifcfg-eth0を編集。
      ※CentOS 7系だけどNetworkManagerは使ってないみたい。
  • tftpサーバの起動
    • /etc/xinetd.d/tftpを編集
    • disableをnoにしてservice xinetd restartする。
  • Fail2Banの解除
    • なんかGUIからできなくなった?ぽいのでコマンドで
      service fail2ban stop
      /var/log/fail2ban.logをけす
      service fail2ban start
  •  FreePBXのモジュール更新
    • 量が多すぎて一度にアップグレードができなかった。少しずつ更新する必要あり。
  • TCPのリッスン(Cisco IP Phoneのため)
    • Asterisk SIP設定で、chan_pjsipの設定を変えばいいが、Apply Configだけでは反映されず、osごと再起動が必要だった(Asteriskの再起動でも良かったかも)。
  • Outboundルール(外線発信)
    • 以前は「0X」だけでマッチした気がしますが、今回はそれだとルールにマッチせず11桁と10桁それぞれ登録しました。
  • ひかり電話にRegistできているのに、外線発信、着信両方FreePBXまでこない。
    • 正直ここが一番ハマりましたが、Asterisk SIP設定のGeneral SiP SettingsのNAT設定の外部アドレスを自分自身のIPアドレスにして、再起動したらうまくいきました。
      ※我が家はFreePBXからひかり電話HGWまでの間はNATはしていません。
      デフォルトでは、へんてこなIPアドレス(104.145.12.102)が1設定されており、実際のSIPパケット見ているとViaとかContactとかにそのIPがセットされていました。

以下、最低限のひかり電話発着信のためにいじったところ
(WebUIは日本語にしていたので項目が日本語のところがあります。)
※DID/CID制御とかはしていません。やりたい方はVoIP-Info.jp Wikiが大変参考になります。

  • ひかり電話HGW側
    • 内線設定
    • ダイジェスト認証なし
    • MACアドレスはうちの場合だとL3スイッチになる
      ※最初SVIのMACアドレスにしてたけど、よく考えたらNAT関わるわけじゃないから普通に出ていくところのインターフェースのMACアドレスを登録。
  • 接続
    •  トランク
      • General
        • トランク名:適当
        • アウトバウンドCID:自分の外線番号
        • 最大チャネル数:1(うちは1本の契約)
      • ダイヤル番号の操作ルール
        • 未設定
      • PJSIP設定
        • General
          • ユーザ名:0003(HGWの内線番号の頭に0を3つ)
          • Language Code:日本語
          • SIP Server:ひかり電話HGWIPアドレス
        • 高度な設定
          • DTMF Mode:バンド内
          • From Domain:ひかり電話HGWIPアドレス
          • From User:3(HGWの内線番号。0なし)
          • クライアントURI:sip:3@ひかり電話HGWIPアドレス
          • なんとなくパケットみてこんなリクエストになってれば行けるはず。

            REGISTER sip:ひかり電話HGWIPアドレス SIP/2.0
            From: <sip:3@ひかり電話HGWIPアドレス>;(略)
            To: <sip:3@ひかり電話HGWIPアドレス>

    • インバウンドルート
      • 単純に全部着信回すなら気にしなくていい。
      • 宛先をセット:自分で作った着信グループ
    • アウトバンドルート
      • ルートCID:意味ないらしいけど一応外線番号
      • 内線を上書き:はい
      • 一致したルートのトランクシーケンス:ひかり電話とのトランク
    • Dial Patterns
      • こんなかんじで。(これだと110とか119とか104とかは発信できませんのでご注意。うちは発信するつもりはないのであえて携帯と固定電話だけトランクに流すようにしています。)

あら、書いてみると意外と設定すくないですね。

あ、書いてないですが内線は普通に設定しています。
といっても番号とSecretくらしか設定してないですが・・・。

あと、我が家専用ですが、Cisco側がTCP/5061でSIPをしゃべるのでPJSIPがTCPで5061を待ち受けるようにしています。
※過去のFreePBXではchan_ipでしかTCPが設定できずいろいろ悩んでポート変えていたみたいです。

今日は家の掃除もしたし、なんとか新年が迎えられます。

皆様良いお年を。

ではでは。またの機会に。

 

ADのCA証明書の有効期限が切れてEAP(PEAP)が使えなくなった話

ども。こんばんは。

タイトルの通りですが、今日ADのCA証明書の有効期限がきれました。

サックスの練習にでかけて、家に帰ったらAndroidもmacOSもWiFiにつながらない状態に。両方とも認証エラーとなっていました。

我が家はWindows 2008 R2のサーバでネットワークポリシーサーバ(NPS)を動作させ、CiscoのAPと802.1xによる認証をしています。

ということで、Windowsサーバ側のイベントログを見ていると以下のようなログが

ネットワーク ポリシー サーバーがユーザーのアクセスを拒否しました。

詳細については、ネットワーク ポリシー サーバーの管理者に問い合わせてください。

ユーザー:
	セキュリティ ID:			xxxx
	アカウント名:			xxx
	アカウント ドメイン:			xxx
	完全修飾アカウント名:	xxx.xxx.com/Users/xxx

クライアント コンピューター:
	セキュリティ ID:			NULL SID
	アカウント名:			-
	完全修飾アカウント名:	-
	OS バージョン:			-
	被呼端末 ID:		xx-xx-xx-xx-xx-xx:SSID
	起呼端末 ID:		xx-xx-xx-xx-xx-xx

NAS:
	NAS IPv4 アドレス:		x.x.x.x
	NAS IPv6 アドレス:		-
	NAS ID:			-
	NAS ポートの種類:			ワイヤレス - IEEE 802.11
	NAS ポート:			0

RADIUS クライアント:
	クライアントのフレンドリ名:		xxx
	クライアント IP アドレス:			[WAP150のIPアドレス]

認証の詳細:
	接続要求ポリシー名:	Use Windows authentication for all users
	ネットワーク ポリシー名:		WLAN-Access_by_user
	認証プロバイダー:		Windows
	認証サーバー:		xxx.xxx.xxx.com
	認証の種類:		EAP
	EAP の種類:			-
	アカウントのセッション ID:		-
	ログ結果:			アカウンティング情報はローカルのログ ファイルに書き込まれました。
	理由コード:			22
	理由:				サーバーで拡張認証プロトコル (EAP) の種類を処理できないため、クライアントを認証できませんでした。

なるほど。わからん。

色々触って見たところ、NPSのポリシーでPEAPの編集ができなくなっていることに気づきました。

EAPを構成できません
この拡張認証プロトコルで使用できる証明書が見つかりませんでした

なるほど。うちはAD兼NPSなので、証明書の有効期限を確認したところ、CA証明書の期限が切れていました。。。

ということで「証明機関」で、「CA証明書の書き換え」をして無事復旧しました。
※ドメコンとNPSを別のサーバにしている場合は、おそらくNPSのコンピュータ証明書が切れているかもしれません。
その場合は、ローカルのコンピュータ証明書から新しい要求をすればいいと思います。今回うちは、CA証明書が有効期限切れだったので、そもそもコンピュータ証明書はリクエストはリクエストできませんでした。

うーん、また5年後に切れますが。。。というかもういい加減RADIUSのやめようかな。

でもまぁ長いこと動かしているとこういうトラブルに合うので、多少の勉強にはなるかも。

ではでは。またの機会に

【雑記】書きたかったこと。出来事。買ったものとか(2018年8月分)

ども。こんばんは。

またまた書きたいことが溜まっているのですが、全然かけてません。。。

1ヶ月分まとめ書きます。

 

■新しいスイッチ(2018/08/03)

Catalyst WS-C3560CPD-8PT-Sを買いました。

ヤフオクで、¥22,000(税抜き)で落札。
T ポイントを¥5,900分使って購入しました。

なんと、PoEで受電もできて給電もできるスグレモノ。
※給電能力が低くて、あとあとえらい目にorz

一通りファームウェアなんかを上げて、(Cisco,comでダウンロードできた)すでに利用中。

利用目的は次の項目で!

Switch Ports Model                     SW Version            SW Image                 
—— —– —–                     ———-            ———-               
*    1 10    WS-C3560CPD-8PT-S         15.2(2)E8             C3560c405ex-UNIVERSALK9-M

■新しいAP(2018/08/03) 

モノ自体は、結構前に入手していました。(平たく言えば頂き物)。Aruba 303H。

どうせならPoEで動かしたいなーということで、PoEスイッチを物色していました。
上述の3560を買ったので構築しました。

うちにはAmazon Fire TV StickとかFireTVとか、Echo dotとかAmazonデバイスがいくつかありますが、Amazonデバイスは5GHzを利用する場合、W52の36, 40, 44, 48の4チャンネルにしか対応していないという問題があります。

参考:Fire TV Stick (New モデル)

で、しょうがなくCisco WAP150を48Ch固定で利用していましたが、それもいまいちだなーということで、Amazon系デバイスのみを収容する48Ch固定APとしてArubaを使うことにしました。

構築も終わって、一応WPAエンタープライズまで設定終わってRADIUS認証もバッチリになっています。

構築中のいろいろなことを書きたいのですが・・・・まだかけていません。。。

特にハマることなくGUIポチポチで構築できました。

こんなことを書こうかと。

・仮想コントローラー機能が便利
・VLANの当て方
・SSIDの作り方
・RADIUS認証
・謎のステーションがつながってくる
・別セグから管理接続がでいない!?
・RADIUSは仮想コントローラをProxyとして、SYSLOGは本体から。

 

■WAP150とmacOS Xの組み合わせで12時間で認証が切れ再認証できない問題に気づいた(2018/08/04)

気づいた。なんでやろう・・・・。

12時間後にepolを受信したら、そっからしばらく繋がらなくなります。macOSだけ。。。

12時間でdeauthされた後、再接続にもたつく、というかmacOS側で無線のoff/onとかしないとだめっぽい。

■久々NASのファームウェア更新(2018/08/05)

なんと、Chromeのセキュリティ機能のせいか、SSL/TLS関係の問題?で、QNAPの管理画面に接続できなくなりました。。。

NET::ERR_CERT_INVALID

そして、ReadyNASもChromeだと管理画面がロードできません。。。

ということでしばらくFireFoxでそれぞれ管理しないとだめです。原因調査中。

バージョンアップ後は

QNAP:4.2.6(Build 20180711)
ReadyNAS:6.9.3

そして、QNAPは8本のディスクのうち3本でSMART警告がorz

■電話(IP Phone)に手を出してしまう(2018/08/07)

Cisco IP Phone 7961G

ヤフオクにて¥3,780で購入。

これが曲者でAsterisk(FreePBX)でつなごうとしていますが、1ヶ月たっても動いていません。。。

これも、上述の3560につないだ・・・のですが、なんとC3560CPD-8PT-Sは、給電能力が恐ろしく低い!

以下Ciscoのサイトより。

これ、Arubaを1台つなぐと、Class 4なので15.4Wが割り当てられ残りは0になってしまう。。。

アップリンクがUPOEの場合で、補助電源を使うと23.8Wまで給電できるようですが、それにしても・・・

ということで、まず3560でcdp(cdp run)を走らせて、IP Phoneが通知してくる消費電力を調べて見たところ、6.3W(cdp走らせる前はclass2で7W扱い)あれあばいいことがわかり、残りをArubaに全振り・・・。
※no cdp runをおまじないのように入れてましたが、こういうところで効いて来るんですね。昔のおまじないは全部見直したほうがいいなぁ。

Aruba 303hはカタログ(↓)だと最大9.7W消費のようですが、

15.4w-6.3w=9.1w

・・・たりねー。。けど、禁断の「power inline consumption 9100」をArubaのポートに実行。。。
これで9.1Wに制限されるはず。。

 

・・・動いた!

※絶対やらないほうがいいです。最悪機器が故障するかもしれません。Catalystのコマンド投入時時にも警告メッセージもでます。

#show power inline

Available:15.4(w)  Used:15.4(w)  Remaining:0.0(w)
Interface Admin  Oper       Power   Device              Class Max

                            (Watts)                            
——— —— ———- ——- ——————- —– —-
Gi0/1     auto   off        0.0     n/a                 n/a   30.0
Gi0/2     auto   on         9.1     Ieee PD             4     30.0
Gi0/3     auto   on         6.3     IP Phone 7961       2     30.0
Gi0/4     auto   off        0.0     n/a                 n/a   30.0
Gi0/5     auto   off        0.0     n/a                 n/a   30.0
Gi0/6     auto   off        0.0     n/a                 n/a   30.0
Gi0/7     auto   off        0.0     n/a                 n/a   30.0
Gi0/8     auto   off        0.0     n/a                 n/a   30.0

#sh power inline consumption
Interface  Consumption      Admin             
           Configured    Consumption (Watts) 
———- ———–  ——————-   
Gi0/1          NO                 0.0
Gi0/2         YES                 9.1
Gi0/3         YES                 6.3
Gi0/4          NO                 0.0
Gi0/5          NO                 0.0
Gi0/6          NO                 0.0
Gi0/7          NO                 0.0
Gi0/8          NO                 0.0

 

電源周りが落ち着いて?やっとIP Phoneの設定。

これがまだ執筆中段階でも全然うまくいってません。

ここまでやったこと

・DHCPでtftpサーバを配る(←ここでもやや苦戦。結局オプションは150で。FreePBXはtftpサーバが標準で動いている。)
・SIPファームウェアに書き換え(←だいぶ苦戦。zipは展開してからtftpに置きましょう)
・SIPレジスト用にconfig作成(←ここでつまる)

わかっていること

・SEP<MAC>.cnf.xmlファイルを読み込むらしいのでこれを作る。
・**#**という再起動方法。時間短縮ならAlternate TFTPをYes/No切り替えだけでconfig読みに行く。(ロックされてる場合は**#で解除。)

・PJSIPだとレスポンス401(unauthorized)まみれになる。これはなんかNAT関連の設定っぽい?

Cisco 7940 registration problem RESOLVED

・CHANSIPなら行けそう。実際Asteriskまでは言ってるぽいが、例えば内線300にかけようとすると「3」をプッシュした瞬間にSIPのINVITEが送られてしまう。あと、どのみちRegistできてないので、Ring Groupに入れてても電話ならない。

■コアの3750のIOSを上げた(2018/08/14)

フラッシュの容量が15Mしかなくて参った。けど、普通にdeleteして更新したら行けた。

あと、この日停電した。(大雨で瞬断)

Switch Ports ModelSW VersionSW Image
—— —– ————————-
*1 24WS-C3750G-24T12.2(55)SE12C3750-IPSERVICESK9-M

■FortiGateのsslvpndが暴走していた(2018/08/14)

sslvpndのCPU使用率が高騰し100%近くに。。。

英語でいうとHigh CPU Usageできなやつですね。

とりあえずOSごと再起動。使用率が上る前にそういえばWebベースのSSL-VPNつかったかも。

これ後述のFortiOS 6.0.2で修正されたバグっぽい?

※もちろん誰もつないでいない状態であることはMonitor->SSL-VPNで確認済み。

 

■肩こり対策にマッサージャーを買ってみた(2018/08/21)

Naipo 首マッサージャー ネック・ショルダーマッサージ 器 ヒーター付き 首・肩・腰・背中・太もも 肩こり

Amazonで¥6,280なり。

うーん。まぁまぁですね。

レビューにもありましたが、これ電熱ヒーター?が付いていますが、電源入れるとONになります。この時期は要らないので毎回Offにしないとだめです。

あと思ったより手がだるい。

効果はそこそこ?

■熱出した。(2018/08/23-8/26)

久々に熱出して寝込みました。

38度ちょっとの熱が丸二日。。今も咳が残ってます。

このデタラメな風邪の治し方がいつまで通用するんだろう。。。

■マクロスΔ 劇場版(2018/08/27)

劇場版 マクロスΔ 激情のワルキューレ (特装限定版) (購入者ライブイベント抽選申込券付) [Blu-ray]

Amazonで¥7,252なり。

これはなかなか良かった!

 

■時計が壊れた(2018/08/28)

 ディーゼルのスマートウオッチ(DZT2004)のベルトが壊れましたorz

参考:スマートウォッチデビューした

ベルトのコマが壊れてしまいました。

ヨドバシの時計修理に持っていたのですが、購入時の余ったコマでは直らないそうで、8/31に購入店まで持っていきましたが、預かり修理とのこと。。。最悪ベルト全部交換らしい。。。

結果は1週間ほどかかるらしい・・・。

■FortiOS 6.0.2が出ていたのでバージョンアップした。(2018/08/30)

リリースノートざっと見た感じバグ修正メイン?

https://docs.fortinet.com/d/fortios-6.0.2-release-notes

上に書いたSSL-VPNのCPU使用率が異常に上がる不具合が直ったぽい。

 

■新しい折り畳み傘(2018/08/30)

先日のゲリラ豪雨でついに10年以上愛用した折り畳み傘に止めが刺されてしまいました。

以下壊れた傘。わかりにくいですが、骨が一本完膚なきまでに折れました。

社会人になってすぐに買った傘で何度救われたことやら・・・。長い間お疲れ様でした。

で、新しいやつを。

Knirpsかtotesで悩みましたが、今回はKnirpsにしました。

Knirps 折りたたみ傘 ワンタッチ自動開閉 耐久性強化 【正規輸入品】 T.220 MediumDuomaticSafety Black KNT220-1000

Amazonで、¥7,238なり。

大きさ、重さのバランスがよく、自動開閉のモデルです。が、カバンにギリギリ収まらなかったorz

 

 

■サックスがメンテナンスから帰ってきた!&新しいリード購入(2018/08/31)

帰ってきたというか取りに行ったのですが。

バランス調整とタンポの清掃に出していました。

購入後5年以内ということで無償でやっていただきました!

約1ヶ月ぶりに吹いてみましたが、確実に吹きやすくなってる!

あと、リードも新しいのを買いました。新しいと言っても、前と同じWood Stoneの3 1/2です。

クロサワ楽器さんで¥2,332でした。前回Amazonで買ったのより安い!

前回購入分は、1本だめにしてしまったのと、残念ながらどうしても音がうまく出ない、いわゆるハズレが1つあったので、約1年で3つを使いまわした感じですね。

来週から1つ開封してローテに加えようと思います。

ついでにリードケースの保湿剤?バイタライザー?を交換。

参考:サックス練習 – 19 –

■パソコンがぶっ壊れた(2018/08/31)

ディスク障害っぽい音がしてるなーと思って、ちょっと触ったら電源すら入らなくなりました(T_T)

 

これはもともとTV録画サーバで、2010年ごろから使っていますね。

ボロいはずだorz

新しいマシン

まいったな~。データは惜しくないのいですが、録画サーバを再構築するのがしんどい。。。

最近はREGZAで全部録画してるしもういいかな・・・・。

■ドメイン更新@3年(2018/9/2)

先程更新しました。1年で¥1,280。最長9年まで更新できたっぽいですが、とりあえず3年で。

いつまでこのブログが続くかな・・・。

 

 

8月も終わって、そろそろ秋ですね。まだ台風が来ているみたいですが。。。

ではでは、またの機会に。

 

 

 

Fire TV Stick (New モデル)

ども。こんばんは。

寝室用に新型買いました!

で、新型の売りの一つが802.11ac対応なのですが、
こいつの5GHz帯はw52しか対応していないことが買ってからわかりましたorz

早速セットアップしようとしたらうちのWAP150は100ch(w56)を流してました。。。

悔しいので、近所でも空いていた48chに固定。。。

うー・・・。

もう2.4GHzでもいい気がしてきたぞ。。。

そのうち戻そう。

細かいことは書きませんが今使っているFireTV(箱)より動作が軽い気がする。。。

ではでは。またの機会に。

無線強化プロジェクト2nd Season – 6 – WAP150新しいファームウェアキタ━━━━(゚∀゚)━━━━!!

 

キタ━━━━(゚∀゚)━━━━!!

1.1.0.5!

リリースノート:

http://www.cisco.com/c/dam/en/us/td/docs/wireless/access_point/csbap/wap150_361/release_notes/wap150_361_1_1_0_5_RN_01.pdf

• CSCvb89458 WAP150- WAP stops broadcasting when 3 SSIDs are enabled

直った\(^o^)/

まだこっちは更新されてないな。

 

https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvb89458/?referring_site=bugquickviewclick

早速上げる。

キタ━━━━(゚∀゚)━━━━!!

3つめキタ━━━━(゚∀゚)━━━━!!

やっと、前にすすめるよ。

【バックナンバー】

 

無線強化プロジェクト2nd Season – 5 –

ども。こんにちは。

MACアドレスをRADIUS(AD上のNPS)でやってみます。

事前準備

・ADにセキュリティグループを追加
・PSOを作るってパスワードを緩める(参考:メモ:あとで書く)
・アカウント名がMACアドレスなユーザを追加

テスト用に新しSSID(VAP)を追加します。

・・・が、ここで問題が。

SSID追加してから全然SSIDが見えない。既存のものも含めて・・・。
無線が落ちる?バグっぽい?

何故か3つ目のSSID(VAP:2)を追加した後から5GHzで喋らなくなってしまいますね。

(  Д ) ゚ ゚

 

WAP150 experience problem when VAP is added

(つд⊂)ゴシゴシ

(  Д ) ゚ ゚

(゚Д゚)ハァ?

3つ以上SSID追加すると無線が使えなくなる不具合とでも!?orz

バグ踏んだかなー。

とりあえずSSID(VAP)を無効化しておけば大丈夫みたいだけど、これは参った。

WAP150ってまだそんな利用されてなさそうだから情報が少なくて参った。

てかやっぱバグだわ。

Cisco Bug: CSCvb89458 – Enh.: WAP150: when 3 SSIDs are enabled then WAP stops broadcasting

ちなみにそういえば、WAP150のファームウェアはCisco.comのアカウントだけでダウンロードできるみたいですね。
おまけ情報です。

なお、今のファームウェアは「1.0.1.7」ですが、改善してませんね。これ。

【バックナンバー】

ではでは。またの機会に。

メモ:あとで書く

■WAP150のファームウェアを1.0.1.2→1.0.1.7に。
大きな修正はなし?ヘルプの日本語対応や日本語ローカル問題対応の模様。

■ADのNPSでRADIUSでMACアドレス認証したい。
→ユーザ名/パスワードがMACアドレスのユーザをつくならないとダメ。
→パスワードポリシーを変えて複雑性を無効にしないとダメ。
→Default Domain Policyは触りたくない。変にログオンできるアカウントを作るのもの嫌だ
→できたらOU分けたい
→パスワードのポリシーはGPOで編集してもダメ。(ドメインにつき1つまで)
     →ADSIエディタでPSOを作って当てる方法があるけどうまく行ってない。←いまここ

参考1:これだけは知っておきたい,Windows Server 2008 – Windows Server 2008 のきめ細かなパスワ

参考2:

きめ細かいパスワードポリシー(PSO)の実装~その1~

※ADSIエディタでPSO作成時に”(なし)”を設定すること!!!上記サイトが非常に参考になった。

参考3:はまってる人たち→https://social.technet.microsoft.com/Forums/office/en-US/40d3db31-0b1c-47ff-b0ac-604f285dd980/granular-password-setting-error?forum=winserverDS

参考4:各値の条件https://technet.microsoft.com/en-us/library/cc754461%28WS.10%29.aspx?f=255&MSPPError=-2147217396

— 2017/01/08 追記
解決。DNを間違ってた。ちゃんとdsqueryとかで確認しておきましょうorz
ただウィーザード乗りれば後で普通にAD上で検索して追加できるっぽい。やっぱりOUはダメっぽいか。

あと、参考3,4にもありますが、「msDS-MaximumPasswordAge」が曲者です。(なし)や0ではダメで、無期限は「-9223372036854775808」の模様。
この時「msDS-MinimumPasswordAge」は0にしています。

 

確認ポイント:
WAPのオンラインヘルプだとRADIUSでMAC認証する時のパスワードは「NOPASSWORD」になってる。これは文字列として「NOPASSWORD」を設定するのかパスワードはなしなのか・・・。
WLCではパスワードもMACアドレスを指定するらしい。

確認ポイント:
msDS-PSOAppliesToにOUは設定できないのか?セキュリティグループだけ?
→なら最初にユーザ作った段階では一旦複雑なパスワードにして、グループ追加後に変えればいいのか?

確認ポイント:
アカウントのダイヤルインの設定は本当に必要か?

確認ポイント:
本当にこんなやり方なのか・・・・?

日々是検証。

無線強化プロジェクト2nd Season – 4 –

ども。こんにちは。

引き続きWAP150(Cisco Start Wireless Access Point)を設定していきます。

いよいよ無線の設定です。

無線は2.4GHzと5GHzそれぞれに行います。

■ワイヤレス設定
・2.4GHzのチャネルを20/40MHzに変更

・5GHzはそのまま

・不正AP検出
面白そうななので有効にしてみる。
自分の家のAPをTrustにしてみた。

・ネットワーク設定
SSIDやVLANとか。

ここまでできたのでとりあえず接続してみる。

が、認証が通らない。ADのIASまでは行っているっぽいんだけど、認証通らないなぁ。

切り分けの結果、前回設定したIAS側のポリシーの問題でした。

↓これNAS IPv4アドレス複数追加したらダメっぽい。

パターンマッチがつけるようなので「|(パイプ)」でつなげてみる。
RADIUSクライアント複数の場合のNPSのNAS IPv4アドレスってみんなどうやって設定しているんだろうか・・・。

お、行けた行けた!

試しに速度をちょっと計測。
※RBBのアプリで計測しています。

・AP1142N(802.11nで15pMbpsリンク)

・WAP150(802.11acで390Mbpsリンク)
  おーはえー。やっぱりACだわ!

・おまけ、バッファローのAC対応

さて、この辺でほぼAP1142Nからのリプレース準備ができました。

後はTrunkポートに接続するための準備としてVLANの設定を正しく行います。

・管理VLANとネイティブVLAN
両方123にしています。ここ以前のAPのときから自身ないです。。

・SSID側のVLANID

対抗側スイッチのポート設定はこんな感じ。(AP1142Nの時と一緒)

interface GigabitEthernet1/0/18

description hogehoge
switchport trunk encapsulation dot1q
switchport trunk native vlan 123
switchport trunk allowed vlan 123,200,201
switchport mode trunk

end

とりあえず一旦完了で、ここから色々試しながら微調整ですね。

RADIUS周りでちょっとつまりましたが、思ったよりすっとできました!

ただ、こいつSSIDの設定とか追加すると全部の無線が一旦切れるけど、AP1142Nのときもこうだったかな。。。

まぁいいや。

【バックナンバー】

ではでは。またの機会に。

無線強化プロジェクト2nd Season – 3 –

ども。こんにちは。

引き続きWAP150(Cisco Start Wireless Access Point)を設定していきます。

今日は・・・画面のメニューに従い一通りの設定を入れていきます。

■管理設定
・ホスト名の変更

・管理者アカウントの変更
※デフォルトciscoアカウントを変更

・SYSLOG転送

SYSLOGこんな感じ

Jan  2 15:34:23 x.x.x.x dman[1301]: The AP startup configuration was updated successfully.

・電子メールアラートの設定
暗号化なしなので「開く」にしている。(Openのことか?!)

・テストメール

■LAN設定
・グリーンイーサネットモードの無効化

■ワイヤレス設定
・一旦後回し

■システムセキュリティ
・RADIUSサーバ設定

・Windows ServerのNPS設定変更

・ポリシーも変更

■サービス品質
・これはとりあえず無しかな

■ACL
・あとで確認かな。

■SNMP
・コミュニティとか設定

・トラップこんな感じ(うちはTrapをメール転送しています。)

Host: hogehoge (UDP: [x.x.x.x]:59015)
DISMAN-EVENT-MIB::sysUpTimeInstance  0:0:00:00.62
         SNMPv2-MIB::snmpTrapOID.0  SNMPv2-MIB::coldStart
  SNMPv2-MIB::snmpTrapEnterprise.0  NET-SNMP-TC::linux

一旦ここでバックアップ取得。

次回はいよいよ無線の設定を行います。

【バックナンバー】

ではでは。またの機会に。