情報技術の四方山話

AI、IoT、ヤマハルータ、VPN、無線LAN、Linux、クラウド、仮想サーバと情報セキュリティのよもやま話

ヤマハルータにUbuntu 20.04 LTSからSSHログインできなくなった場合の対処

2020-09-24 16:23:15 | ヤマハルータ
今回は「ヤマハルータにUbuntu 20.04 LTSからSSHログインできなくなった場合の対処」を共有します。

Ubuntu Studio 20.04 LTSを使ってヤマハルータへのsshをしようとしたところ、以下の通りエラーとなります。回避方法は以下の通りです。

エラーの理由は最新のUbuntu側のSSHクライアントの設定に変更があり、ネゴシエーション時点で終了します。ヤマハルータ側を変えるのは難しいので、Ubuntu側で対応します。

■接続エラーが発生
takumi@taniubsd:~$ ssh -p PORT_NUM  login_user@HOSTNAME.aa0.netvolante.jp
Unable to negotiate with IP_ADDR port PORT_NUM: no matching key exchange method found. Their offer: diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1
takumi@taniubsd:~$

■Ubuntu側にSSHクライアントの設定を追加する
takumi@taniubsd:~$ cat .ssh/config
Host HOSTNAME.aa0.netvolante.jp
KexAlgorithms +diffie-hellman-group14-sha1

■接続を試行する
初回接続なので「接続して大丈夫?」と訊かれる。
takumi@taniubsd:~$  ssh -p PORT_NUM login_user@HOSTNAME.aa0.netvolante.jp
The authenticity of host '[HOSTNAME.aa0.netvolante.jp]:PORT_NUM ([IP_ADDR]:PORT_NUM)' can't be established.
RSA key fingerprint is SHA256:3TPjWUHaKj5f8SWvEcKv8I8HkJP1iO+1WIxBqMAgTd4.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '[HOSTNAME.aa0.netvolante.jp]:POORT_NUM,[IP_ADDR]:PORT_NUM' (RSA) to the list of known hosts.
login_user@HOSTNAME.aa0.netvolante.jp's password:[PASSWORD]

RTX810 BootROM Ver. 1.00
RTX810 FlashROM Table Ver. 1.00

RTX810 Rev.11.01.34 (Tue Nov 26 18:39:12 2019)
Copyright (c) 1994-2019 Yamaha Corporation. All Rights Reserved.
To display the software copyright statement, use 'show copyright' command.
Memory 128Mbytes, 2LAN
 >

いつもアクセスありがとうざいます。引き続きよろしくおねがいします。
コメント

ヤマハWLX202を病院に設置しました

2020-05-31 13:02:56 | ヤマハルータ
今日は「ヤマハWLX202を病院に設置しました」です。
今回は、病院に入院されている方々のために、急ぎで無線LANアクセスポイントを設置しました。
コロナウイルス感染を予防するために、お見舞いの立ち入りも禁止されています。
その不便さを解消するために、インターネットを使って、入院患者さまと、院外にいる家族とコミュニケーションをとるためのものです。大きな工事をせず、必要な時にスタッフの方が談話室などにもっていく形での運用です。

WLX202の導入は、企業ルータとしては簡単な方です。

アクセスポイントの管理IPを固定する
VAP単位でWi-Fiの設定を行う

VAP=Virtual Access Pointの略で、一つのアクセスポイントの中に複数のアクセスポイント機能を持たせることができます。
夫々のVAPはTagVLANとの紐づけができるので、同じ物理ネットワークと物理アクセスポイントを利用して、複数のネットワークを安全性を高めて構築することが容易です。

今回は無線LAN専用のセグメントをUnTagで新設しました。
VAPにつながった無線端末には、VAPのDHCPサーバでアドレスを配布します。そうすることで、ご利用者のIPアドレスの範囲を同じネットワークの有線部分とに分けています。

上流の経路はルータがRTX1210でフレッツ光回線です。

■ヤマハWLX202



コメント

ヤマハNVR500でとても簡単にNTTひかり電話を接続できます(訂正)

2020-05-28 11:38:50 | ヤマハルータ
今回は「ヤマハNVR500でとても簡単にNTTひかり電話を接続できます」編です。
ヤマハNVR500(現行機はNVR510)でNTTひかり電話を簡単に接続できたので紹介します。

電話番号一つのNTTひかり電話を事務所で使っています。一般的な契約でホームゲートウエイ(HGW)が光回線を終端しており、その配下にRTX1200を繋いで事務所LANと複数のVPNを結んでいます。

NVR500でひかり電話を収容しようと、HGWのONU直下にNVR500のWANをつなぎました。NVR500で「ひかり電話を使う」にすると、なるほど電話の発着信ができます。よしよし。

でもこうすると、HGWが備えるIP内線接続機能は使えません。とりあえず、HGWを元通りに戻し、NVR500のWANをHGWのLANにつなぎました。「ひかり電話を使う」モードにしたままです。これで、電話は使えないはず、、、ですが着信できたのです。
発信を試すと発信もできます。とても簡単でした。

が、翌日になると、電話できませんでした(涙

では、素直に、HGWからみたらNVR500が内線電話の扱いで、NVR500からみたらSIPサーバへの接続の扱いで接続すると、NVR500に電話が着信するはず。
  • NVR500とHGW間で通信できるようにする
  • HGWに内線電話"3"番を設定する
  • NVR500にSIPサーバの登録と、着信番号を設定する
NVR500にひかり電話が着信すれば、HGWから離れたLAN内に別のNVR500を設置して、一般電話機をつなぐことができます。拙宅ではひかり電話の電話とFAXをLAN/Wi-Fi経由で延伸して別の部屋に置いています。


■ヤマハNVR500



コメント

オープンソースでネットワークを拡張する

2020-05-26 05:00:32 | ヤマハルータ
今日の話題は「オープンソースでネットワークを拡張する」です。
今は、お客様は必ずネットワークをお持ちです。そのネットワークを拡張することにもお応えしています。
例えば「本社事務所とつなぎたい」。これまでは「サイト間VPNならヤマハルータを使って、、」と組んできました。
もちろん、それが適しているネットワークもあります。一方、UTMやルータがあるネットワーク、既にヤマハルータがあるネットワークも多くあります。それを拡張します。

もちろん、クラウドにつなぎたい方も多々いらっしゃいます。多くのクラウドは指定のVPNルータでVPN接続する異機種間接続になります。

お客様のご要望は「安全にあそことつなぎたい」だけですから、それをどう実現するか。私は、オープンソースを活用してシステム連携を組み上げています。





コメント

ヤマハルータで確実にPing応答確認を行うには

2020-05-16 06:09:53 | ヤマハルータ
今日は「ヤマハルータで確実にPing応答確認を行うには」です。
ヤマハルータで確実にPing応答確認を行います。宛先IPに加えて、-saオプションを使い発信元IPを指定します。

ルータは、インターフェイスを複数持ちます。VLANを使うとまた増えます。
ヤマハルータに限らず複数のIPを持つ機器は「自分のどのIPから発信したか」がping応答の有無に影響します。なので、Pingで応答がない場合は必ず、発信元IPを指定して「再確認」します。

以下、発信元IPを付けた例です。
Linuxやその他の通信機器にも同様のオプションがあります。


> ping ?
Command Format: ping [-s LENGTH] [-c COUNT] [-sa SOURCE] [-w WAIT]
DESTINATION
LENGTH = 1-65535, COUNT = 1-21474836, SOURCE = IP address,
WAIT = 0.1-3600, DESTINATION = IP address or host name
Description: Invokes a diagnostic tool for testing connectivity to
specified destination.
honsha> ping -sa 192.168.11.254 192.168.1.250
received from 192.168.1.250: icmp_seq=0 ttl=254 time=6.255ms
received from 192.168.1.250: icmp_seq=1 ttl=254 time=6.268ms
received from 192.168.1.250: icmp_seq=2 ttl=254 time=6.522ms

3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max = 6.255/6.348/6.522 ms

コメント

ヤマハ通信機器管理者へのWindows Terminal活用の薦め

2020-05-14 15:14:07 | ヤマハルータ
ヤマハ通信機器管理者へのWindows Terminal活用の薦め

Windows TerminalはMicrosoftがリードしてオープンソースで開発している、新しいWindowsのコマンドライン・シェルです。この5月の連休中に正式版の配布が始まりMicrosft Storeから無料でダウンロードできます。

これまでも、ネットワーク管理者は「コマンドプロンプト」を使ってきました。IPアドレスの確認や、ping、tracertなどネットワーク系の実行環境として今でも多くのシステム管理者が使う大切なツールです。

ネットワーク管理者は、ssh、telnet、tftpを日常的に使います。実はWindows PowerShellの5にはsshが統合されました。Linuxとオプションもほぼ同じ、ネイティブなコマンドとして動作します。では、telnetもあれば、好都合です。また、ヤマハ通信機器の設定のリモート取得にはtftpが欠かせません。

実はWindowsの機能追加メニューで、telnetもtftpも使うことができ、技術者の方であれば直ぐに設定できます。Windows PowerShell 5の環境一つでssh、telnet、tftpを使うことができると、画期的に便利です。対向のルータの設定画面を二つのTab内に表示して、見比べるなど簡単にできます。加えて履歴がバラバラにならないのでとても良いのです。コピペも他のアプリ同様、マークしてCtrl+C / Ctrl+V が使えます。

LAN内のヤマハ通信機器の設定をまとめて取得するには、PowerShellスクリプトを書けば複数台を、スクリプト一発で取得できます。

シリアルコンソールが無いのですが、これはWSLでのLinux shellでできる可能性があります。
コメント

ヤマハL3スイッチSWX3200のSSIを使いコアネットワークを作っています

2020-05-03 19:13:01 | ヤマハルータ
今回の話題は「ヤマハL3スイッチSWX3200のSSIを使いコアネットワークを作っています」です。
ヤマハSWX3200は「二台で一つのシングルシステム・イメージ(SSI)」構成をとることができます。
大きな建屋間をSSI構成とするSWX3200(合計4台)で結びます。
後は、棟ごとのVLANをどう設定していくかを計画します。
多数のIPセグメントがあるので、VLAN上のIPセグメントのルーティングの知識と、セグメント間の不要通信を防ぐアクセスリストの知識も必要です。

今回は、若い技術者に設計・実装・運用を移転しながら進めています。
仕様検討+設計+仮組を一日で。
現場実装を一日で。
が目標です。

技術移転する、若い技術者の方はヤマハのRTXルータは知っているけど、SWXは初めてです。
素晴らしい理解力でコア部分に冗長性のあるネットワークを、一日で設計から仮組まで達成しています。
順調にいけば2日間で実装完了ですから、驚くほどの速さです。

SWX3200のSSIを利用することで、冗長設計が簡明になり、設計も、設定も、試験も、運用も楽になります。
出来上がりが楽しみです。
コメント

ヤマハルーターを内部DNSとして使う

2019-09-15 12:35:25 | ヤマハルータ
いつもアクセスありがとうございます。匠技術研究所の谷山亮治です。
今日のお題は「ヤマハルーターを内部DNSとして使う」です。

ヤマハのルーターには、リカーシブルDNS機能に、社内のホスト名を登録する機能があります。この機能を使うとMicrosoft Windows ServerのActiveDirectory無しでも、社内PC等からのアクセス名として使うことができます。

例)エクスプローラーで
\\fserver.local
例)Edgeなどブラウザで
https://groupw.local

社内のサーバーや、プリンタに名前でアクセスできるので、とても便利です。弊社ではファイルサーバーに名前をつけています。

ヤマハルーターで管理者モードになり
# ip host 192.168.10.11 fserver.local
# ip host 192.168.10.12 groupw.local

IPアドレス:ファイルサーバーのアドレス
fserver.local:ファイルサーバーのアクセス名です。
groupw.local:グループウエアのアドレス

(注)".local"は社内にあることを判りやすく示しています。
インターネット上に実在するドメイン名とぶつからない名称を使います。ぶつかった場合はそのドメインにはアクセスできなくなります。近年、トップドメインの種類が増えているので、注意が必要です。

(注)WindowsはDNSでの名前解決を優先します。そのため、ホスト名に"."を含めDNS形式で設定します。

コメント

ヤマハルーターでのDNSキャッシュの確認と消去方法

2019-09-07 19:21:46 | ヤマハルータ
いつもアクセスありがとうございます。匠技術研究所の谷山です。
今日は「ヤマハルーターでのDNSキャッシュの確認と消去方法」です。

ヤマハルータはデフォルトで、DNSの代理応答の機能が有効です。他社ルーター製品も含め、インターネット接続用のルーターであれば、多くのネットワークで、このDNS代理応答機能を使っています。

■DNSキャッシュの役割
ある宛先に対してDNS問い合わせが発生したときに、DNSキャッシュ上に同じ宛先のIP情報が残っていれば、上位のDNSに問い合わせすることなく、問い合わせ先に返信を行います。一般的には、社内PCで発生するDNS問い合わせを、プロバイダのDNSまで問い合わせる機会を減らすことになります。

■ヤマハルーターのDNSキャッシュ
ヤマハルーターのDNS代理応答機能は、代理応答したドメイン名とIPアドレスの関係をキャッシュしています。デフォルトのキャッシュサイズはは256件です。このサイズは最大1024件まで増やすことができます。

■キャッシュ内のドメイン関連情報を抽出した例
TTLは上位DNSから伝搬してくるキャッシュ時間長と、現在の残余時間長を示しています。残余時間が0になれば、キャッシュは消えます。このキャッシュ時間は「上位の値に従っている」ので、ルーター管理者が変更することはできません。
例えばUbuntu.comに関するdns問い合わせを抽出してみました。このルータでは、IPv6も使っているので、AAAAレコードの問い合わせも発生しています。

> show dns cache | grep ubuntu
Searching ...
A IN 395/500 connectivity-check.ubuntu.com (35.222.85.5 35.224.99.15
6)
AAAA IN 1709/3393 connectivity-check.ubuntu.com
>

■キャッシュに記録が無くても通信はしている
以下の例では、キャッシュにエントリーがほとんどありません。でも、このルーターはVPN通信をしています。DNSに問い合わせるアドレス解決が不要な状態が続いているだけです。

> show dns cache
Summary: 2 entries [/ 256]
TYPE CLASS TTL NAME (ADDRESS)
---------------------------------------------------------------------
PTR IN 33349/86400 75.249.251.218.in-addr.arpa
PTR IN 26157/86400 84.10.247.220.in-addr.arpa

■ヤマハルータのDNSキャッシュ情報を削除する
管理者権限で以下のコマンドを実行します。実行前は25ほどのエントリーがありましたが、消えました。

# clear dns cache
# show dns cache
Summary: 0 entry [/ 256]
TYPE CLASS TTL NAME (ADDRESS)
---------------------------------------------------------------------
#

■DNSキャッシュは手元のPCにもあり

DNSキャッシュは、手元のPCにもあります。即ち、DNSでの名前解決は、この多重にあるDNSキャッシュと関係しながら行われます。

初回の問い合わせであれば、ルーターのDNSは上位のプロバイダのDNSに問い合わせますが、プロバイダDNSでキャッシュした値が返る可能性もあります。

DNSの動作確認ツールでDNSの動きを確認するときは、このことを意識して確認することになります。

コメント

ヤマハルータRTXとスイッチSWXで二重化ネットワークを構築

2019-09-06 05:44:13 | ヤマハルータ
いつもアクセスありがとうございます。匠技術研究所の谷山です。
今日は「ヤマハルータRTXとスイッチSWXで二重化ネットワークを構築」です。

■二重化ネットワークの必要性
ビルの縦系、サーバー系など基幹の所は二重化したほうが障害耐性が高まります。二重化ネットワークは、運用設計をしっかりしないと、切り替わりを検知できません。

匠技術研究所では、企画、設計、実装、運用と保守まで、一貫して提供します。
プロバイダ接続の二重化、DHCPの二重化、RADIUSサーバ、Syslogサーバまで一貫した見通しの良いシステムをお客様と共に構築し、技術研修を通して、お客様への技術移転も行います。

運用のための各種サーバー類は、Linux上の仮想サーバーで構築。クラウド化も、容易な設計です。

ネットワークは簡明であることが一番です。


RTX1210, SWX3500, SWX2100,箱だけRTX830
コメント

システムの遠隔監視を構築中

2018-12-18 13:41:30 | ヤマハルータ
システムの遠隔監視を構築中


いつもアクセスありがとうございます。匠技術研究所の谷山です。
システム管理用Windows Workstationの設定中です。

LANを直収し、多数のセグメントと直接接続します。
ここが、弊社らしい提案になります。

大規模な映像音響系システム機器の構築のネットワーク部分を、お手伝いしています。
映像音響機器は機能単位に分離した閉域ネットワークを持ちます。
機器の管理ワークステーションは統合したいのですが、ネットワークが分離されることで、これまでは各セグメントに一台ずつ管理端末を設置していました。
今回の設計では、それを一台に統合しています。

ネットワーク機器は、弊社の遠隔監視サービスで監視します。
ネットワークはマルチベンダなので、弊社が遠隔監視を行うことになりました。
こちらも多数のLANを直収して、各セグメントごとに独立して運用管理を行います。
今回の設計では、それを一台の管理ハードウエアに統合し、クラウド連携して安全な監視を実現しています。
コメント

愛媛県松山市と東京間でIP-VPNを開通します

2018-11-13 09:12:38 | ヤマハルータ
愛媛県松山市と東京間でIP-VPNを開通します


ヤマハルータとIP-VPNを組み合わせて、企業の基幹ネットワークをつくりはじめました。IP-VPNはデーターセンターにも引き込んでいます。フレッツ・VPNワイドとは異なり通信事業者のIP-VPNをつかうことで、東西接続を意識しない、極めて柔軟でシンプルなネットワークになります。

今日は愛媛県松山市と東京間の開通を行い、その後、新ネットワークに各拠点の接続替えを行います。

今回は、回線の選択、契約のご支援、広域ネットワークの設計、広域網を収容するルーターの設定など、広域側のリニューアルをご支援しています。

通信事業者様、回線販売事業者様とのコラボレーションで、お客様に提案し、採用いただいたものです。
お客様には、コストメリットだけではなく、ルーターの設定も全て開示する、自己管理が行き届くネットワークになっています。

このお客様は、弊社で開催している技術研修へのご参加をきっかけに、その後、ネットワークの運用のご支援を行なっているものです。

コメント

ヤマハRTX1210/RTX810とLinux DHCPサーバー

2016-02-02 17:07:52 | ヤマハルータ
匠技術研究所
ヤマハRTX1210/RTX810とLinux DHCPサーバー


いつもアクセスありがとうございます。匠技術研究所の谷山 亮治です。
今回は、ヤマハRTX1210/RTX810とDHCPサーバーについて紹介します。

ヤマハルーターをインターネットへの接続点としてご利用の方は多いと思います。その構成で、ヤマハルーターが備えるDHCPサーバーを稼働させるケースが殆どでしょう。社内のIPアドレスを管理するDHCPサーバーが止まると社内ネットワークはIPアドレスの自動配布機能が停止し、致命的な障害に陥ります。

一般にヤマハルーター等ルーターや通信機器が備えるDHCPサーバーは、二重化するための機能をもちません。そこで、ヤマハルーターのDHCPサーバー機能は使わず、二重化可能なLinux上のDHCPサーバーを二台用意して稼働させます。

この小さな箱は、実は大きな箱で16台のDHCPサーバーが稼働しています。

DHCPサーバーをヤマハルーターから切り離すことの良さは、ネットワークのメンテナンスの自由度が向上することです。ヤマハルーターは殆ど止まりませんが、ファームをアップしたときなど、メンテナンスに伴い再起動を行うと、DHCPサーバーとして稼働していた情報は無くなり、初期状態から動き始めます。実は、これでも殆どの場合は問題はありません。

一方、DHCPサーバーをルーターとは別建てで動かせば、ルーターの再起動の影響はありません。さらにDHCPサーバーを二重化しておけば、社内LANの生命線であるIPの自動配布をほぼ無停止で動かすことができます。DHCPサーバーのIP配布ログからどの機器がいつ接続したかも追いかけることができ、セキュリティ管理やシステム管理も容易になります。

匠技術研究所では、オープンソースのDHCPサーバーを用いたネットワーク構築を行っています。ネットワークやシステム規模に合わせて、極めて柔軟に構築することができます。もちろん、一台のDHCPサーバーからでも利用を始めることができます。ご質問等はコメントや質問フォームからお寄せください。
コメント

ヤマハルーター設定講座中級~コマンドでVPN設定~で実用技術を習得

2015-10-15 19:56:41 | ヤマハルータ
匠技術研究所
ヤマハルーター設定講座中級~コマンドでVPN設定~で実用技術を習得


いつもアクセスありがとうございます。匠技術研究所の谷山 亮治です。
匠技術研究所ではヤマハルーターの設定講座を2008年以来続けていています。
このたび「ヤマハルーター設定講座中級~コマンドでVPN設定~」を開講しました。

■ヤマハルーター20周年
私は、1995年のヤマハルーターの発売開始とともに、利用者側に立ったルーターのネットワークを提案し、実装することになりました。いくつのネットワークを作ったのか、全く想像もつきません。その利用者のご意見と構築に必要な事柄を、メーカーであるヤマハに伝えてきました。おかげさまで私のヤマハルーターを使ったネットワーク作りも20周年を迎えることができました。心より御礼申し上げます。

■実際のネットワークの設定を知る
匠技術研究所の技術講座は、ヤマハルーターを使って「実際に組んだ設定」を使っています。
そのため、メーカーのデフォルト設定やホームページでの公開情報とは異なる設定を行います。
もちろん、メーカーの設定の方が良い部分はそのまま使いますが「現況に合わせた設定」が弊社の技術講座の特徴です。また、実回線と相似の環境で「実際につなぐ」演習を行うので、現場出の設定も容易です。

■二日間で光回線でVPN構築ができるように
先週は二日間続けて、九州から自費でヤマハルーターの設定講座に参加されました。
一日目はRTX810を使った「GUIでのVPN設定講座」。この講座は入門講座と位置付けておりネットワークの基礎知識のパートが含まれ、RTX810を使ったインターネットVPNを一日で構築することができます。
二日目はRTX1210/RTX1200/RTX810を使っての「コマンドでのVPN設定講座」となっており、インターネットVPNとフレッツVPNワイドでのVPNの設定演習です。これも、フレッツ回線やauひかり、CATVなどほとんどの光回線に適した設定です。これまでカスタムセミナーでのみ実施していたフレッツVPNワイドでのVPN構築はご希望が多いので、定例セミナーに移動しました。
このように、二日間という短期で、ほとんどの利用形態に適合するVPN構築の知識を習得することができるようにカリキュラムを見直しました。

■ヤマハルーター設定講座のこれから
2015年秋からは、ネットワーク構築のノウハウを利用形態ごとに講座にしていきます。私たちのネットワーク構築の考え方も現況に合わせて変わっています。それに従って、ネットワークの設定も、教科書も順次更新していきます。

ヤマハルーター設定講座案内ページへ
ご不明な点は何なりと問い合わせフォームよりお知らせください。
コメント

「匠塾-IP通信障害対応演習-入門編」内容紹介‐ネット接続

2015-08-16 09:18:06 | ヤマハルータ
匠技術研究所
「匠塾-IP通信障害対応演習-入門編」内容紹介‐ネット接続


いつもアクセスありがとうございます。匠技術研究所の谷山 亮治です。
今回は「匠塾-IP通信障害対応演習-入門編」の内容を紹介します。

演習は「演習用ネットワークを自力で作る」ところから始めました。実用的に使う、フレッツVPNワイド網を模したVPNネットワークと、複数のIPセグメントを持つLANを構築します。セグメントは合計で8あり、すべてのセグメント間で通信ができ、すべてのセグメントでインターネットアクセスができるようにしました。

ネットワークはインターネットにもっとも近いセグメントから、徐々に広げていきます。先ずはインターネット接続用ルーターRTX1210の設置からです。プロバイダ接続のGUI設定は、参加者の方も経験があり、楽勝ムードでしたが、ちょっとした手順の違いで期待の設定になりませんでした。現状設定と理由を説明し「そういうこともあるんですね」と納得いただき、ルーターを初期化してやり直し。LAN側につないだPCからブラウザによるネット接続を確認して開通を確認しました。次は疑似フレッツVPNワイド網を使ったVPN接続です。

続きは次回。
コメント