「無線(Wireless Access Point(WAP))」カテゴリーアーカイブ

自分の尻拭いプロジェクト – 1 –

ども。こんばんは。

先日のオペミスで仮想マシンを全台虚空に返したわけですが、昨日(2019/12/30)午後〜夜まで時間をかけてなんとか復旧しました。

結局ほぼ元通りの構成で面白みはないですが、バージョンがだいぶ新しくなりました。

  • AD(Windows Server 2008 R2)
    • Windows Server 2012 R2をインストールして再構築。
      ※手持ちのライセンスが2012 R2しかないので・・・。
    • NPS(RADIUS)の構築までサクッとできた。
      • ちなみにAD DSはインストールしていたけど、証明機関のをインストールしておらずPEAPが使えなくてハマった。
        証明機関さえインストールすれば解決できる。
        (旧ADはIISの証明書とかも発行してたので証明機関入ってたみたい。)
    • MacBook Airは一旦Active Directoryのバインド解除して再度バインドした。無事AD上のコンピュータに表示されたし新しい証明書もインストールされているので多分大丈夫だと思う。。。プロファイルも消えなかった。
    • 過去もハマったけど、評価版にそのままライセンス入れようとして、「このエディションのWindowsのライセンス認証にそのキーは使えません。別のキーを試してください」とか言われたので以下のコマンドでキーを登録。

      DISM /online /Set-Edition:ServerDatacenter /ProductKey:xxxxx-xxxxx-xxxxx-xxxxx-xxxxx /AcceptEula

  • 大昔から動いているLinux(CentOS 5)
    • 正直作り直しは困難と判断・・・。DHCPの設定ファイルも抜き出したかったし。思い出はなかなか消せなかった。
    • あと、基本DNSがこいつで、ADもDNSはこいつを参照/更新している関係で意外と大事な役割になっている。
      (今回もADにはDNSサーバをインストールせずに作ってしまった・・・。)
    • Acronisで取得したバックアップ(tibファイル)から復元 
      • vSphere Converter Standaloneでは6.0までしかサードパーティのイメージ変換機能が実装されておらず、手元の5.0でtibをvmdkに変換・・・するも失敗。
      • しょうがないのでAcronis TrueImageのブータブルCDで頑張って復元。
      • vSphere 6.7だと、マウスが動かない。
        TABキーとかの操作だとどうもうまく行かず、マウス機能(F10とか押すとテンキーでカーソルが動かせる)で頑張った。(わざわざMacBook Airにキーボード取り付けて・・・)
      • 一部どうしても見えないボタンがあったのでTABキーとか駆使してなんとか復元。結局これが一番うまくいくなー。(数年前にも同じことした気がする。)
  • PBX
    • FreePBX STABLE SNG7-PBX-64bit-1910(FreePBX 15/Linux 7.6/Asterisk 16)で再構築。
    • アナウンス音声の日本語版が付属していて嬉しい。
    • ひかり電話とのトランク、Cisco IP Phone 7961のレジスト、内線、外線発信/着信までまさか数時間で終わるとは思わなかった。
    • 特にIP PhoneのConfigが旧FreePBXサーバのtftpbootフォルダにしかおいてないと思い込んでいたのでもう一度Config作成は絶望かと半分あきらめていましたが、過去の自分がうまく動いたときの一連のパケットキャプチャを保存してくれていたので、パケットキャプチャの中身からtftpでやりとしていたファイルを抽出して復元できました。まぁファイルとしておいておいてくれれば言うことないのですが、自分の所業なので諦めます。(どうせパケットおいておけば最悪どうにかなるだろうとか当時考えたんだろうな。)
    • FreePBXのバージョンもだいぶ変わっていたけどCisco側は設定修正なしでいけた。日本語化まで数時間でできた。
  • 監視サーバ
    • まだ未構築・・・。年明けかな。

以下、電話関連(FreePBX)のメモ。

環境、バージョンは以下の通り。

ハイパバイザー:VMware vSphere 6.7.0U3
イメージ:FreePBX STABLE SNG7-PBX-64bit-1910(CentOS 7.6ベース)
FreePBX :15
Asterisk:16

今回は全部WebUIだけで完結しましたが、以下ハマったポイントを書いておきます。

なおSIPドライバーはPJSIPです。

  • FreePBXのIPアドレス変更
    • /etc/sysconfig/network-scripts/ifcfg-eth0を編集。
      ※CentOS 7系だけどNetworkManagerは使ってないみたい。
  • tftpサーバの起動
    • /etc/xinetd.d/tftpを編集
    • disableをnoにしてservice xinetd restartする。
  • Fail2Banの解除
    • なんかGUIからできなくなった?ぽいのでコマンドで
      service fail2ban stop
      /var/log/fail2ban.logをけす
      service fail2ban start
  •  FreePBXのモジュール更新
    • 量が多すぎて一度にアップグレードができなかった。少しずつ更新する必要あり。
  • TCPのリッスン(Cisco IP Phoneのため)
    • Asterisk SIP設定で、chan_pjsipの設定を変えばいいが、Apply Configだけでは反映されず、osごと再起動が必要だった(Asteriskの再起動でも良かったかも)。
  • Outboundルール(外線発信)
    • 以前は「0X」だけでマッチした気がしますが、今回はそれだとルールにマッチせず11桁と10桁それぞれ登録しました。
  • ひかり電話にRegistできているのに、外線発信、着信両方FreePBXまでこない。
    • 正直ここが一番ハマりましたが、Asterisk SIP設定のGeneral SiP SettingsのNAT設定の外部アドレスを自分自身のIPアドレスにして、再起動したらうまくいきました。
      ※我が家はFreePBXからひかり電話HGWまでの間はNATはしていません。
      デフォルトでは、へんてこなIPアドレス(104.145.12.102)が1設定されており、実際のSIPパケット見ているとViaとかContactとかにそのIPがセットされていました。

以下、最低限のひかり電話発着信のためにいじったところ
(WebUIは日本語にしていたので項目が日本語のところがあります。)
※DID/CID制御とかはしていません。やりたい方はVoIP-Info.jp Wikiが大変参考になります。

  • ひかり電話HGW側
    • 内線設定
    • ダイジェスト認証なし
    • MACアドレスはうちの場合だとL3スイッチになる
      ※最初SVIのMACアドレスにしてたけど、よく考えたらNAT関わるわけじゃないから普通に出ていくところのインターフェースのMACアドレスを登録。
  • 接続
    •  トランク
      • General
        • トランク名:適当
        • アウトバウンドCID:自分の外線番号
        • 最大チャネル数:1(うちは1本の契約)
      • ダイヤル番号の操作ルール
        • 未設定
      • PJSIP設定
        • General
          • ユーザ名:0003(HGWの内線番号の頭に0を3つ)
          • Language Code:日本語
          • SIP Server:ひかり電話HGWIPアドレス
        • 高度な設定
          • DTMF Mode:バンド内
          • From Domain:ひかり電話HGWIPアドレス
          • From User:3(HGWの内線番号。0なし)
          • クライアントURI:sip:3@ひかり電話HGWIPアドレス
          • なんとなくパケットみてこんなリクエストになってれば行けるはず。

            REGISTER sip:ひかり電話HGWIPアドレス SIP/2.0
            From: <sip:3@ひかり電話HGWIPアドレス>;(略)
            To: <sip:3@ひかり電話HGWIPアドレス>

    • インバウンドルート
      • 単純に全部着信回すなら気にしなくていい。
      • 宛先をセット:自分で作った着信グループ
    • アウトバンドルート
      • ルートCID:意味ないらしいけど一応外線番号
      • 内線を上書き:はい
      • 一致したルートのトランクシーケンス:ひかり電話とのトランク
    • Dial Patterns
      • こんなかんじで。(これだと110とか119とか104とかは発信できませんのでご注意。うちは発信するつもりはないのであえて携帯と固定電話だけトランクに流すようにしています。)

あら、書いてみると意外と設定すくないですね。

あ、書いてないですが内線は普通に設定しています。
といっても番号とSecretくらしか設定してないですが・・・。

あと、我が家専用ですが、Cisco側がTCP/5061でSIPをしゃべるのでPJSIPがTCPで5061を待ち受けるようにしています。
※過去のFreePBXではchan_ipでしかTCPが設定できずいろいろ悩んでポート変えていたみたいです。

今日は家の掃除もしたし、なんとか新年が迎えられます。

皆様良いお年を。

ではでは。またの機会に。

 

ADのCA証明書の有効期限が切れてEAP(PEAP)が使えなくなった話

ども。こんばんは。

タイトルの通りですが、今日ADのCA証明書の有効期限がきれました。

サックスの練習にでかけて、家に帰ったらAndroidもmacOSもWiFiにつながらない状態に。両方とも認証エラーとなっていました。

我が家はWindows 2008 R2のサーバでネットワークポリシーサーバ(NPS)を動作させ、CiscoのAPと802.1xによる認証をしています。

ということで、Windowsサーバ側のイベントログを見ていると以下のようなログが

ネットワーク ポリシー サーバーがユーザーのアクセスを拒否しました。

詳細については、ネットワーク ポリシー サーバーの管理者に問い合わせてください。

ユーザー:
	セキュリティ ID:			xxxx
	アカウント名:			xxx
	アカウント ドメイン:			xxx
	完全修飾アカウント名:	xxx.xxx.com/Users/xxx

クライアント コンピューター:
	セキュリティ ID:			NULL SID
	アカウント名:			-
	完全修飾アカウント名:	-
	OS バージョン:			-
	被呼端末 ID:		xx-xx-xx-xx-xx-xx:SSID
	起呼端末 ID:		xx-xx-xx-xx-xx-xx

NAS:
	NAS IPv4 アドレス:		x.x.x.x
	NAS IPv6 アドレス:		-
	NAS ID:			-
	NAS ポートの種類:			ワイヤレス - IEEE 802.11
	NAS ポート:			0

RADIUS クライアント:
	クライアントのフレンドリ名:		xxx
	クライアント IP アドレス:			[WAP150のIPアドレス]

認証の詳細:
	接続要求ポリシー名:	Use Windows authentication for all users
	ネットワーク ポリシー名:		WLAN-Access_by_user
	認証プロバイダー:		Windows
	認証サーバー:		xxx.xxx.xxx.com
	認証の種類:		EAP
	EAP の種類:			-
	アカウントのセッション ID:		-
	ログ結果:			アカウンティング情報はローカルのログ ファイルに書き込まれました。
	理由コード:			22
	理由:				サーバーで拡張認証プロトコル (EAP) の種類を処理できないため、クライアントを認証できませんでした。

なるほど。わからん。

色々触って見たところ、NPSのポリシーでPEAPの編集ができなくなっていることに気づきました。

EAPを構成できません
この拡張認証プロトコルで使用できる証明書が見つかりませんでした

なるほど。うちはAD兼NPSなので、証明書の有効期限を確認したところ、CA証明書の期限が切れていました。。。

ということで「証明機関」で、「CA証明書の書き換え」をして無事復旧しました。
※ドメコンとNPSを別のサーバにしている場合は、おそらくNPSのコンピュータ証明書が切れているかもしれません。
その場合は、ローカルのコンピュータ証明書から新しい要求をすればいいと思います。今回うちは、CA証明書が有効期限切れだったので、そもそもコンピュータ証明書はリクエストはリクエストできませんでした。

うーん、また5年後に切れますが。。。というかもういい加減RADIUSのやめようかな。

でもまぁ長いこと動かしているとこういうトラブルに合うので、多少の勉強にはなるかも。

ではでは。またの機会に

【雑記】書きたかったこと。出来事。買ったものとか(2018年8月分)

ども。こんばんは。

またまた書きたいことが溜まっているのですが、全然かけてません。。。

1ヶ月分まとめ書きます。

 

■新しいスイッチ(2018/08/03)

Catalyst WS-C3560CPD-8PT-Sを買いました。

ヤフオクで、¥22,000(税抜き)で落札。
T ポイントを¥5,900分使って購入しました。

なんと、PoEで受電もできて給電もできるスグレモノ。
※給電能力が低くて、あとあとえらい目にorz

一通りファームウェアなんかを上げて、(Cisco,comでダウンロードできた)すでに利用中。

利用目的は次の項目で!

Switch Ports Model                     SW Version            SW Image                 
—— —– —–                     ———-            ———-               
*    1 10    WS-C3560CPD-8PT-S         15.2(2)E8             C3560c405ex-UNIVERSALK9-M

■新しいAP(2018/08/03) 

モノ自体は、結構前に入手していました。(平たく言えば頂き物)。Aruba 303H。

どうせならPoEで動かしたいなーということで、PoEスイッチを物色していました。
上述の3560を買ったので構築しました。

うちにはAmazon Fire TV StickとかFireTVとか、Echo dotとかAmazonデバイスがいくつかありますが、Amazonデバイスは5GHzを利用する場合、W52の36, 40, 44, 48の4チャンネルにしか対応していないという問題があります。

参考:Fire TV Stick (New モデル)

で、しょうがなくCisco WAP150を48Ch固定で利用していましたが、それもいまいちだなーということで、Amazon系デバイスのみを収容する48Ch固定APとしてArubaを使うことにしました。

構築も終わって、一応WPAエンタープライズまで設定終わってRADIUS認証もバッチリになっています。

構築中のいろいろなことを書きたいのですが・・・・まだかけていません。。。

特にハマることなくGUIポチポチで構築できました。

こんなことを書こうかと。

・仮想コントローラー機能が便利
・VLANの当て方
・SSIDの作り方
・RADIUS認証
・謎のステーションがつながってくる
・別セグから管理接続がでいない!?
・RADIUSは仮想コントローラをProxyとして、SYSLOGは本体から。

 

■WAP150とmacOS Xの組み合わせで12時間で認証が切れ再認証できない問題に気づいた(2018/08/04)

気づいた。なんでやろう・・・・。

12時間後にepolを受信したら、そっからしばらく繋がらなくなります。macOSだけ。。。

12時間でdeauthされた後、再接続にもたつく、というかmacOS側で無線のoff/onとかしないとだめっぽい。

■久々NASのファームウェア更新(2018/08/05)

なんと、Chromeのセキュリティ機能のせいか、SSL/TLS関係の問題?で、QNAPの管理画面に接続できなくなりました。。。

NET::ERR_CERT_INVALID

そして、ReadyNASもChromeだと管理画面がロードできません。。。

ということでしばらくFireFoxでそれぞれ管理しないとだめです。原因調査中。

バージョンアップ後は

QNAP:4.2.6(Build 20180711)
ReadyNAS:6.9.3

そして、QNAPは8本のディスクのうち3本でSMART警告がorz

■電話(IP Phone)に手を出してしまう(2018/08/07)

Cisco IP Phone 7961G

ヤフオクにて¥3,780で購入。

これが曲者でAsterisk(FreePBX)でつなごうとしていますが、1ヶ月たっても動いていません。。。

これも、上述の3560につないだ・・・のですが、なんとC3560CPD-8PT-Sは、給電能力が恐ろしく低い!

以下Ciscoのサイトより。

これ、Arubaを1台つなぐと、Class 4なので15.4Wが割り当てられ残りは0になってしまう。。。

アップリンクがUPOEの場合で、補助電源を使うと23.8Wまで給電できるようですが、それにしても・・・

ということで、まず3560でcdp(cdp run)を走らせて、IP Phoneが通知してくる消費電力を調べて見たところ、6.3W(cdp走らせる前はclass2で7W扱い)あれあばいいことがわかり、残りをArubaに全振り・・・。
※no cdp runをおまじないのように入れてましたが、こういうところで効いて来るんですね。昔のおまじないは全部見直したほうがいいなぁ。

Aruba 303hはカタログ(↓)だと最大9.7W消費のようですが、

15.4w-6.3w=9.1w

・・・たりねー。。けど、禁断の「power inline consumption 9100」をArubaのポートに実行。。。
これで9.1Wに制限されるはず。。

 

・・・動いた!

※絶対やらないほうがいいです。最悪機器が故障するかもしれません。Catalystのコマンド投入時時にも警告メッセージもでます。

#show power inline

Available:15.4(w)  Used:15.4(w)  Remaining:0.0(w)
Interface Admin  Oper       Power   Device              Class Max

                            (Watts)                            
——— —— ———- ——- ——————- —– —-
Gi0/1     auto   off        0.0     n/a                 n/a   30.0
Gi0/2     auto   on         9.1     Ieee PD             4     30.0
Gi0/3     auto   on         6.3     IP Phone 7961       2     30.0
Gi0/4     auto   off        0.0     n/a                 n/a   30.0
Gi0/5     auto   off        0.0     n/a                 n/a   30.0
Gi0/6     auto   off        0.0     n/a                 n/a   30.0
Gi0/7     auto   off        0.0     n/a                 n/a   30.0
Gi0/8     auto   off        0.0     n/a                 n/a   30.0

#sh power inline consumption
Interface  Consumption      Admin             
           Configured    Consumption (Watts) 
———- ———–  ——————-   
Gi0/1          NO                 0.0
Gi0/2         YES                 9.1
Gi0/3         YES                 6.3
Gi0/4          NO                 0.0
Gi0/5          NO                 0.0
Gi0/6          NO                 0.0
Gi0/7          NO                 0.0
Gi0/8          NO                 0.0

 

電源周りが落ち着いて?やっとIP Phoneの設定。

これがまだ執筆中段階でも全然うまくいってません。

ここまでやったこと

・DHCPでtftpサーバを配る(←ここでもやや苦戦。結局オプションは150で。FreePBXはtftpサーバが標準で動いている。)
・SIPファームウェアに書き換え(←だいぶ苦戦。zipは展開してからtftpに置きましょう)
・SIPレジスト用にconfig作成(←ここでつまる)

わかっていること

・SEP<MAC>.cnf.xmlファイルを読み込むらしいのでこれを作る。
・**#**という再起動方法。時間短縮ならAlternate TFTPをYes/No切り替えだけでconfig読みに行く。(ロックされてる場合は**#で解除。)

・PJSIPだとレスポンス401(unauthorized)まみれになる。これはなんかNAT関連の設定っぽい?

Cisco 7940 registration problem RESOLVED

・CHANSIPなら行けそう。実際Asteriskまでは言ってるぽいが、例えば内線300にかけようとすると「3」をプッシュした瞬間にSIPのINVITEが送られてしまう。あと、どのみちRegistできてないので、Ring Groupに入れてても電話ならない。

■コアの3750のIOSを上げた(2018/08/14)

フラッシュの容量が15Mしかなくて参った。けど、普通にdeleteして更新したら行けた。

あと、この日停電した。(大雨で瞬断)

Switch Ports ModelSW VersionSW Image
—— —– ————————-
*1 24WS-C3750G-24T12.2(55)SE12C3750-IPSERVICESK9-M

■FortiGateのsslvpndが暴走していた(2018/08/14)

sslvpndのCPU使用率が高騰し100%近くに。。。

英語でいうとHigh CPU Usageできなやつですね。

とりあえずOSごと再起動。使用率が上る前にそういえばWebベースのSSL-VPNつかったかも。

これ後述のFortiOS 6.0.2で修正されたバグっぽい?

※もちろん誰もつないでいない状態であることはMonitor->SSL-VPNで確認済み。

 

■肩こり対策にマッサージャーを買ってみた(2018/08/21)

Naipo 首マッサージャー ネック・ショルダーマッサージ 器 ヒーター付き 首・肩・腰・背中・太もも 肩こり

Amazonで¥6,280なり。

うーん。まぁまぁですね。

レビューにもありましたが、これ電熱ヒーター?が付いていますが、電源入れるとONになります。この時期は要らないので毎回Offにしないとだめです。

あと思ったより手がだるい。

効果はそこそこ?

■熱出した。(2018/08/23-8/26)

久々に熱出して寝込みました。

38度ちょっとの熱が丸二日。。今も咳が残ってます。

このデタラメな風邪の治し方がいつまで通用するんだろう。。。

■マクロスΔ 劇場版(2018/08/27)

劇場版 マクロスΔ 激情のワルキューレ (特装限定版) (購入者ライブイベント抽選申込券付) [Blu-ray]

Amazonで¥7,252なり。

これはなかなか良かった!

 

■時計が壊れた(2018/08/28)

 ディーゼルのスマートウオッチ(DZT2004)のベルトが壊れましたorz

参考:スマートウォッチデビューした

ベルトのコマが壊れてしまいました。

ヨドバシの時計修理に持っていたのですが、購入時の余ったコマでは直らないそうで、8/31に購入店まで持っていきましたが、預かり修理とのこと。。。最悪ベルト全部交換らしい。。。

結果は1週間ほどかかるらしい・・・。

■FortiOS 6.0.2が出ていたのでバージョンアップした。(2018/08/30)

リリースノートざっと見た感じバグ修正メイン?

https://docs.fortinet.com/d/fortios-6.0.2-release-notes

上に書いたSSL-VPNのCPU使用率が異常に上がる不具合が直ったぽい。

 

■新しい折り畳み傘(2018/08/30)

先日のゲリラ豪雨でついに10年以上愛用した折り畳み傘に止めが刺されてしまいました。

以下壊れた傘。わかりにくいですが、骨が一本完膚なきまでに折れました。

社会人になってすぐに買った傘で何度救われたことやら・・・。長い間お疲れ様でした。

で、新しいやつを。

Knirpsかtotesで悩みましたが、今回はKnirpsにしました。

Knirps 折りたたみ傘 ワンタッチ自動開閉 耐久性強化 【正規輸入品】 T.220 MediumDuomaticSafety Black KNT220-1000

Amazonで、¥7,238なり。

大きさ、重さのバランスがよく、自動開閉のモデルです。が、カバンにギリギリ収まらなかったorz

 

 

■サックスがメンテナンスから帰ってきた!&新しいリード購入(2018/08/31)

帰ってきたというか取りに行ったのですが。

バランス調整とタンポの清掃に出していました。

購入後5年以内ということで無償でやっていただきました!

約1ヶ月ぶりに吹いてみましたが、確実に吹きやすくなってる!

あと、リードも新しいのを買いました。新しいと言っても、前と同じWood Stoneの3 1/2です。

クロサワ楽器さんで¥2,332でした。前回Amazonで買ったのより安い!

前回購入分は、1本だめにしてしまったのと、残念ながらどうしても音がうまく出ない、いわゆるハズレが1つあったので、約1年で3つを使いまわした感じですね。

来週から1つ開封してローテに加えようと思います。

ついでにリードケースの保湿剤?バイタライザー?を交換。

参考:サックス練習 – 19 –

■パソコンがぶっ壊れた(2018/08/31)

ディスク障害っぽい音がしてるなーと思って、ちょっと触ったら電源すら入らなくなりました(T_T)

 

これはもともとTV録画サーバで、2010年ごろから使っていますね。

ボロいはずだorz

新しいマシン

まいったな~。データは惜しくないのいですが、録画サーバを再構築するのがしんどい。。。

最近はREGZAで全部録画してるしもういいかな・・・・。

■ドメイン更新@3年(2018/9/2)

先程更新しました。1年で¥1,280。最長9年まで更新できたっぽいですが、とりあえず3年で。

いつまでこのブログが続くかな・・・。

 

 

8月も終わって、そろそろ秋ですね。まだ台風が来ているみたいですが。。。

ではでは、またの機会に。

 

 

 

Fire TV Stick (New モデル)

ども。こんばんは。

寝室用に新型買いました!

で、新型の売りの一つが802.11ac対応なのですが、
こいつの5GHz帯はw52しか対応していないことが買ってからわかりましたorz

早速セットアップしようとしたらうちのWAP150は100ch(w56)を流してました。。。

悔しいので、近所でも空いていた48chに固定。。。

うー・・・。

もう2.4GHzでもいい気がしてきたぞ。。。

そのうち戻そう。

細かいことは書きませんが今使っているFireTV(箱)より動作が軽い気がする。。。

ではでは。またの機会に。

無線強化プロジェクト2nd Season – 6 – WAP150新しいファームウェアキタ━━━━(゚∀゚)━━━━!!

 

キタ━━━━(゚∀゚)━━━━!!

1.1.0.5!

リリースノート:

http://www.cisco.com/c/dam/en/us/td/docs/wireless/access_point/csbap/wap150_361/release_notes/wap150_361_1_1_0_5_RN_01.pdf

• CSCvb89458 WAP150- WAP stops broadcasting when 3 SSIDs are enabled

直った\(^o^)/

まだこっちは更新されてないな。

 

https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvb89458/?referring_site=bugquickviewclick

早速上げる。

キタ━━━━(゚∀゚)━━━━!!

3つめキタ━━━━(゚∀゚)━━━━!!

やっと、前にすすめるよ。

【バックナンバー】

 

無線強化プロジェクト2nd Season – 5 –

ども。こんにちは。

MACアドレスをRADIUS(AD上のNPS)でやってみます。

事前準備

・ADにセキュリティグループを追加
・PSOを作るってパスワードを緩める(参考:メモ:あとで書く)
・アカウント名がMACアドレスなユーザを追加

テスト用に新しSSID(VAP)を追加します。

・・・が、ここで問題が。

SSID追加してから全然SSIDが見えない。既存のものも含めて・・・。
無線が落ちる?バグっぽい?

何故か3つ目のSSID(VAP:2)を追加した後から5GHzで喋らなくなってしまいますね。

(  Д ) ゚ ゚

 

WAP150 experience problem when VAP is added

(つд⊂)ゴシゴシ

(  Д ) ゚ ゚

(゚Д゚)ハァ?

3つ以上SSID追加すると無線が使えなくなる不具合とでも!?orz

バグ踏んだかなー。

とりあえずSSID(VAP)を無効化しておけば大丈夫みたいだけど、これは参った。

WAP150ってまだそんな利用されてなさそうだから情報が少なくて参った。

てかやっぱバグだわ。

Cisco Bug: CSCvb89458 – Enh.: WAP150: when 3 SSIDs are enabled then WAP stops broadcasting

ちなみにそういえば、WAP150のファームウェアはCisco.comのアカウントだけでダウンロードできるみたいですね。
おまけ情報です。

なお、今のファームウェアは「1.0.1.7」ですが、改善してませんね。これ。

【バックナンバー】

ではでは。またの機会に。

メモ:あとで書く

■WAP150のファームウェアを1.0.1.2→1.0.1.7に。
大きな修正はなし?ヘルプの日本語対応や日本語ローカル問題対応の模様。

■ADのNPSでRADIUSでMACアドレス認証したい。
→ユーザ名/パスワードがMACアドレスのユーザをつくならないとダメ。
→パスワードポリシーを変えて複雑性を無効にしないとダメ。
→Default Domain Policyは触りたくない。変にログオンできるアカウントを作るのもの嫌だ
→できたらOU分けたい
→パスワードのポリシーはGPOで編集してもダメ。(ドメインにつき1つまで)
     →ADSIエディタでPSOを作って当てる方法があるけどうまく行ってない。←いまここ

参考1:これだけは知っておきたい,Windows Server 2008 – Windows Server 2008 のきめ細かなパスワ

参考2:

きめ細かいパスワードポリシー(PSO)の実装~その1~

※ADSIエディタでPSO作成時に”(なし)”を設定すること!!!上記サイトが非常に参考になった。

参考3:はまってる人たち→https://social.technet.microsoft.com/Forums/office/en-US/40d3db31-0b1c-47ff-b0ac-604f285dd980/granular-password-setting-error?forum=winserverDS

参考4:各値の条件https://technet.microsoft.com/en-us/library/cc754461%28WS.10%29.aspx?f=255&MSPPError=-2147217396

— 2017/01/08 追記
解決。DNを間違ってた。ちゃんとdsqueryとかで確認しておきましょうorz
ただウィーザード乗りれば後で普通にAD上で検索して追加できるっぽい。やっぱりOUはダメっぽいか。

あと、参考3,4にもありますが、「msDS-MaximumPasswordAge」が曲者です。(なし)や0ではダメで、無期限は「-9223372036854775808」の模様。
この時「msDS-MinimumPasswordAge」は0にしています。

 

確認ポイント:
WAPのオンラインヘルプだとRADIUSでMAC認証する時のパスワードは「NOPASSWORD」になってる。これは文字列として「NOPASSWORD」を設定するのかパスワードはなしなのか・・・。
WLCではパスワードもMACアドレスを指定するらしい。

確認ポイント:
msDS-PSOAppliesToにOUは設定できないのか?セキュリティグループだけ?
→なら最初にユーザ作った段階では一旦複雑なパスワードにして、グループ追加後に変えればいいのか?

確認ポイント:
アカウントのダイヤルインの設定は本当に必要か?

確認ポイント:
本当にこんなやり方なのか・・・・?

日々是検証。

無線強化プロジェクト2nd Season – 4 –

ども。こんにちは。

引き続きWAP150(Cisco Start Wireless Access Point)を設定していきます。

いよいよ無線の設定です。

無線は2.4GHzと5GHzそれぞれに行います。

■ワイヤレス設定
・2.4GHzのチャネルを20/40MHzに変更

・5GHzはそのまま

・不正AP検出
面白そうななので有効にしてみる。
自分の家のAPをTrustにしてみた。

・ネットワーク設定
SSIDやVLANとか。

ここまでできたのでとりあえず接続してみる。

が、認証が通らない。ADのIASまでは行っているっぽいんだけど、認証通らないなぁ。

切り分けの結果、前回設定したIAS側のポリシーの問題でした。

↓これNAS IPv4アドレス複数追加したらダメっぽい。

パターンマッチがつけるようなので「|(パイプ)」でつなげてみる。
RADIUSクライアント複数の場合のNPSのNAS IPv4アドレスってみんなどうやって設定しているんだろうか・・・。

お、行けた行けた!

試しに速度をちょっと計測。
※RBBのアプリで計測しています。

・AP1142N(802.11nで15pMbpsリンク)

・WAP150(802.11acで390Mbpsリンク)
  おーはえー。やっぱりACだわ!

・おまけ、バッファローのAC対応

さて、この辺でほぼAP1142Nからのリプレース準備ができました。

後はTrunkポートに接続するための準備としてVLANの設定を正しく行います。

・管理VLANとネイティブVLAN
両方123にしています。ここ以前のAPのときから自身ないです。。

・SSID側のVLANID

対抗側スイッチのポート設定はこんな感じ。(AP1142Nの時と一緒)

interface GigabitEthernet1/0/18

description hogehoge
switchport trunk encapsulation dot1q
switchport trunk native vlan 123
switchport trunk allowed vlan 123,200,201
switchport mode trunk

end

とりあえず一旦完了で、ここから色々試しながら微調整ですね。

RADIUS周りでちょっとつまりましたが、思ったよりすっとできました!

ただ、こいつSSIDの設定とか追加すると全部の無線が一旦切れるけど、AP1142Nのときもこうだったかな。。。

まぁいいや。

【バックナンバー】

ではでは。またの機会に。

無線強化プロジェクト2nd Season – 3 –

ども。こんにちは。

引き続きWAP150(Cisco Start Wireless Access Point)を設定していきます。

今日は・・・画面のメニューに従い一通りの設定を入れていきます。

■管理設定
・ホスト名の変更

・管理者アカウントの変更
※デフォルトciscoアカウントを変更

・SYSLOG転送

SYSLOGこんな感じ

Jan  2 15:34:23 x.x.x.x dman[1301]: The AP startup configuration was updated successfully.

・電子メールアラートの設定
暗号化なしなので「開く」にしている。(Openのことか?!)

・テストメール

■LAN設定
・グリーンイーサネットモードの無効化

■ワイヤレス設定
・一旦後回し

■システムセキュリティ
・RADIUSサーバ設定

・Windows ServerのNPS設定変更

・ポリシーも変更

■サービス品質
・これはとりあえず無しかな

■ACL
・あとで確認かな。

■SNMP
・コミュニティとか設定

・トラップこんな感じ(うちはTrapをメール転送しています。)

Host: hogehoge (UDP: [x.x.x.x]:59015)
DISMAN-EVENT-MIB::sysUpTimeInstance  0:0:00:00.62
         SNMPv2-MIB::snmpTrapOID.0  SNMPv2-MIB::coldStart
  SNMPv2-MIB::snmpTrapEnterprise.0  NET-SNMP-TC::linux

一旦ここでバックアップ取得。

次回はいよいよ無線の設定を行います。

【バックナンバー】

ではでは。またの機会に。

無線強化プロジェクト2nd Season – 2 –

ども。こんばんは。

早速WAP150を設定していきます。

改めてWAP150はCisco StartシリーズのWireless Access Point。
安価に802.11acにも対応する無線APです。

ところがこいつはシリアルコンソールがありません。

付属のスタートアップガイドによると・・・

・LAN側はDHCPになっている
→DHCPでIPアドレスを振ってデフォルトパスワードcisco/ciscoで設定する

・セットアップ用のSSIDを最初から喋っている
→SSIDは「CiscoSB-Setup」でキーは「cisco123」
※一回だけアクセスが許可されるらしい。

DHCPで〜というのもありきたりなので今回は最初から無線で接続して初期設定をしてみます。

・・・早速クイックスタートガイドと違うorz

多分設定用のSSIDは「CiscoSB-Setup」じゃなくて「ciscosb」ですね。

お、LED青になるのにつながらない。。。一回初期化しますorz

初期化はRESETを10秒。

あ、CiscoSB-Setupでてきた。

どうやら出品者の方一回繋いでたみたいですね。

さて、デフォルトIPは「192.168.1.245」ですので繋いでみます。
ナチュラルに日本語対応なのね。

ユーザ名(ID)、パスワード(PW)は「cisco/cisco」です。
ウィザードが走りました。とりあえずウィザードを進めてみます。

IPとか振ります。

噂のクラスタ!でも今回はクラスタは組まないので・・・

タイムゾーン、NTP。よしなに。

パスワード。
デフォルトだと英数字に記号も必要なので「パスワードの複雑性」は外しました。

ここからSSIDの設定。2.4GHzと5GHz。
お「ciscosb」はこの値か!
ここはどうせ後で変えるので流しますが、まぁ普通のセキュリティ設定(WPAとか)、キーとか。

キャプティブポータル。

最後にサマリが出て完了。
※完了すると、「CiscoSB-Setup」は見えなくなります。

さて、とりあえずこれで有線に接続して残りの設定を進めます。

とりあえずファームウェアは「1.0.1.2」みたいですね。

設定前に気になることが。

CLI(Telnet/SSH)はどうなっているのか?

・・・なくね?設定なくね?

WAP121とWAP321には設定あるっぽい。

参考:Enable Telnet/SSH on the WAP121 and WAP321 Access Point

まぁなくてもいいんだけど、なんか寂しいですね。
※一応UIの言語を英語にしてみましたが、変わらず。

じゃぁConfig(設定ファイル)上はどうなっているのか?

設定ファイル(Config)は、Web-UIからダウンロードできました。

お、ConfigはXMLだ。おっしゃれ~。

で、ConfigにはTELNET/SSHらしき項目ありますね。

うーん。downとやらに設定されている。どっかに設定あるかしら。

<ssh>
<dss-host-key>hogehoge</dss-host-key>
<rsa-host-key>mogamoga</rsa-host-key>
<status>down</status>
</ssh>

(略)

<telnet>
<status>down</status>
</telnet>

ここまでわかればやってみたくなりますね。

てことで、ステータスを「up」にして読み込ませてみました。

<ssh>
<dss-host-key>hogehoge</dss-host-key>
<rsa-host-key>mogamoga</rsa-host-key>
<status>up</status>
</ssh>

(略)

<telnet>
<status>up</status>
</telnet>

アップロードしてみます。

 

再起動中。

うーん。ダメっぽかな。

まあCLIはおいおい調べていきましょうか。

次回は、VLANやRADIUSをやりたいですね。

【バックナンバー】
無線強化プロジェクト2nd Season – 1 –

ではでは。またの機会に。