2014年02月17日

RTX810,Syslogとサーバ

syslog host 192.168.100.XX
syslog notice on
syslog debug on

とすると,Info, Notice, Debugの三つが,Syslogサーバ192.168.100.xxに(多分UDPで)送られます.
あとは,Syslogサーバで設定すればいけるはず


で,Noticeも入れちゃうと,めっちゃLogが増えるので,
ip filter dynamic 200020 * 192.168.100.YY ftp syslog=on
ip filter dynamic 200021 * 192.168.100.YY www syslog=on
ip filter dynamic 200080 * * ftp syslog=off
ip filter dynamic 200082 * * www syslog=off
Logの要,不要を明示しました.
posted by にゃんこ at 20:06| Comment(0) | TrackBack(0) | Router

2014年02月12日

「便利なのでみんなヤマハのルーター『RTX810』買ってVPN構築しましょう」:「艦これ」を外出先でも快適にプレイするための私的解決方法。乗り越えるべきハードルは3つだけだ

4gamer;「艦これ」を外出先でも快適にプレイするための4Gamer的解決方法。乗り越えるべきハードルは1つだけだ
http://www.4gamer.net/games/205/G020591/20130803001/
にインスパイアされて,やってみました.


Screenshot_2014-02-12-13-47-35.png


解決すべきハードルは,
1.VPNで内部アクセス
2.Wake on LANでPCを遠隔起動
3.VNCで艦コレを遠隔操作,使用後遠隔操作でシャットダウン
の三つです.

2と3を,1のVPNでアクセスしないことも出来ます.
その場合はNAPTで内部に貫通させておく必要性があります.内部から発信しないと動的フィルタが動作しない(多分)ので,NAPT貫通でルータ越えは個人的に怖いです.
VPNすれば,2と3のセキュリティは担保されるので.


1.VPNで内部アクセス
VPN L2TP; http://blog.tsp.me.uk/article/83299789.html
あとはついでにDDNSでnetvolante.jp使えば良いと思います.

2.Wake on LANでPCを遠隔起動
WoL,Directed-Broadcast,VPN,RTX810; http://blog.tsp.me.uk/article/87058383.html
要点は,WoLのブロードキャストを届けるために,ip lan1 wol relay broadcastで,WoLマジックパケットをリレーしようって事です.

3.VNCで艦コレを遠隔操作,使用後遠隔操作でシャットダウン
UltraVNC1.1.9.6をやってみたのですが,いろいろと最初は上手く動かず.
やってる内に気付いたことは,設定する場所が三つある.

とりあえず,VNCがサービスとして動いていて,ソフトウェアファイアーウォールも適切に設定成されているとします.
タスクトレイにある,VNCサーバアイコンの右クリックプルダウンメニューに,
1.Properties
2.Admin Properties
スタート→プログラム→UltraVNCに
3.EditSettings
の三つがあります.

1では特に設定すべき項目はないと多分思います.
2では,
Accept Socket Connectionsをチェックされていることを確認し,
Portが正しく設定されているか,
を確認します.
3.では,
Enable incoming portを確認,
Input/FileTransferでは,Disable Viewers inputsのチェックが外れているか確認します.
でないと,入力が受け付けられません.
Screen captureでは,Show primary display, show secondary displayにチェックを入れると,マルチモニタ環境でも制御出来るようになります.


この辺ですが,複数にまたがって,設定内容がリンクされていない可能性もあり,
3つ設定が終わったら,3つの内容を確認し直した方が無難です.
posted by にゃんこ at 17:02| Comment(0) | TrackBack(0) | Router

2014年02月11日

WoL,Directed-Broadcast,VPN,RTX810

あまり賛同はされないかもしれませんが,
過剰スペックな製品を購入し,
必要性の無いことをとりあえずやってみて,
悦に入ることは,とてもとても気持ちの良いことなのです.

そんなこんなで4gamer;「艦これ」を外出先でも快適にプレイするための4Gamer的解決方法。乗り越えるべきハードルは1つだけだ
http://www.4gamer.net/games/205/G020591/20130803001/
をゆっくり目指しています.

ここで,目的は,艦コレのトップページに外部からアクセスすることです.
艦コレはやっていないので,アカウントを持っていません.

条件
・可能な限りセキュリティを下げない,静的NAPTで穴を開けない
・VPNで内部アクセスする(以下全て)
・PCをWoLする
・VNCで操作する


ここで,VPNに関しては,VPN L2TP; http://blog.tsp.me.uk/article/83299789.html
で書いてあるので省略.



今回は,WoLを書いて,VNCはまた今度にします
Wake on LANは,マジックパケットをブロードキャストすることにより,
対象PCがそれを受信して起動するシステムです.
よって,マジックパケットをブロードキャストすることと,
PCが受信して起動することの二つに分けることが出来ます.

まずは,WoLの受信設定です.
これも,BIOSとWindowsの二つの設定に分けることが出来ます.
これらの設定は,マザーやNICによっても設定項目が異なりますので,一例です.
Z77 BIOS;詳細→APM;PCIE,PCIを選択
Windows;デバイスマネージャ→対象LANボードのプロパティの中の,
詳細設定や電力の管理にある,APMやMagicPacketなどの設定を,全てYesやそれっぽいものに選択.
オンボードではないNICでも,例えばPCIボードでも可能でした.
ここで,対象NICのIP(基本固定IP)やMACアドレスをメモしておきます.

設定が完了したら,PCの電源を切って,LANボードのランプが緑などになっているか確認した方が無難です.
もしランプが付いていなければ,NICに給電されておらずMagicPacketを受け取れないと思われます.


次にマジックパケットのブロードキャストに関してです.
WOL Controllerなどを使用すれば良いと思います.
ここで,メモしておいたMACアドレスやブロードキャストアドレスを設定します.
例えば,対象IPが192.168.1.5であるならば,192.168.1.255とします.

設定が出来たら,「同一LAN内から」
マジックパケットを送信すると,PCが起動すると思います.
(出来なければ,受信側や送信側の設定を再確認です.
・基本的に,ここ4年以内のPCであればWoLに対応している製品しかないと思って問題ないので,
まずは設定を確認し,それでも出来なければメーカに問い合わせると良いと思います.
・スペック一覧などには,WoL対応が当然なので,対応/非対応は記載されていないと思います)


次に,ルータ越えの場合で,VPN使用,yamahaルータを想定します.
(VPN不使用の場合は,"WoL ルータ越え"などでググると良いと思います.)

外部からのブロードキャストを受け入れれば良いので,
とりあえずip lan1 wol relay broadcastとしました.

理由:
1. ip INTERFACE wol relay off
2. ip filter directed-broadcast on
と,ダイレクトブロードキャストをデフォルトで弾いているから.
まず,1でInterfaceに入ってきた(多分ダイレクトブロードキャスト)パケットを「検査せずに非中継」し,2でその却下されたパケットを「全て破棄」すると思います.
つまり,1で却下されたパケットを2で拾う構成です.
よって,ip lan1 wol relay broadcastでWoLか検査し,WoLならばブロードキャストとしてリレーします.
(蛇足ですが,WoL以外のブロードキャストならば,2を弄る必要性があります.単にOFFとすれば簡単ですが,それではsmurf攻撃に対して脆弱性を有することになってしまうらしいです.よって,Filterかけるべきらしいです)
Yamaha Wake On LAN; http://www.rtpro.yamaha.co.jp/RT/docs/wol/wol.html
posted by にゃんこ at 20:09| Comment(0) | TrackBack(0) | Router

2014年02月10日

Android; ホーム上フリックのGoogleNowがウザい

Androidで,ホームボタンを上にフリックすると,GoogleNowが起動しますよね.
あれ,かなりウザったいと個人的に思います.
Google先生にはいつもお世話になっていますが.

で,無効化の方法です.
「Google検索」アプリを開きます.
設定メニューボタンから,Nowを無効(OFF)に設定します.
これで,ホーム上フリックでNowではなくて普通のGoogle検索が開くようになります.

もし,このGoogle検索そのものがじゃまならば,
アプリ管理の全てから,Google検索を無効化すれば大丈夫です.
しかし,これを無効にすると,Google検索widgetも無効化されるらしいす.



この問題は,かなりご入力を引き起こしやすいような設定になっていることだと思います.
無効領域をもっと広げておけば良いんじゃ無いかと思います.
単品を統合したというのは便利なような気がします.
俺が使わない理由は,現状の単品を個別に利用しているから不便さを感じないという点と,
新しいUIに馴染めない性格なので必要性に迫られたときだけしか移行しないからです.

XP→7も,クアッドコアが主流になるまでは移行しませんでしたし.
posted by にゃんこ at 20:03| Comment(0) | TrackBack(0) | Android

2014年02月09日

KURO-N4B2ND4のFTP

FTP設定項目は,
・使用/不使用
・Port番号の変更
Advanced
・UTF8 Y/N
・MLSD Y/N
・FXP Y/N
・Passive Port Range(53000〜56000)

とりあえず,UTF8,MLSDはYesで,FXPはNoにしました.
PASVポートは10個くらいでいいかなと.

同一IPからの複数回ログイン失敗は拒否とかしたいんだけど,
設定方法が分からない.
分かる方いますか?
posted by にゃんこ at 19:29| Comment(0) | TrackBack(0) | NAS

2014年02月02日

外部からNASへFTPとRTX

詳しくないんで,間違ったことを書いている可能性がありますので,気がつかれた方は是非コメントで教えて下さい.

ルータはYamahaのRTX810を想定してます.例を挙げてるだけです.pp select 1は省略


まずFTPでは,クライアントからサーバのポート21にアクセスされる.
この時点でログインが成される.ここでは,FTPを繋げるための制御コネクションが形成されるだけなので注意.
よって,FTPクライアントからログインが成功しない場合は,
1.サーバの制御コネクションポート(通常21)に通信できていない
2.クライアントのログイン情報が正しくない
の二つになるかと.
1の場合,ルータかNASの設定にミスがある.

ルータの場合,NAPTや静的IPフィルタに問題があるのではないだろうか
1.NAPTで外側と内側のポートマッピングが出来ているか?
nat descriptor masquerade static 1000 7 192.168.100.234 tcp 21
2.静的IPフィルタで外からのアクセスを許可しているか?
ip filter 200006 pass-log * 192.168.100.234 tcpflag=0x0002/0x0017 * 21
ip pp secure filter in 200006
ここで,tcpflag=0x0002/0x0017は,SYNだけを通すらしいですよ.よくわかりません.
http://webdev.seesaa.net/article/242186304.html
最初はtcpflag=0x0002/0x0017をtcpにして通ることを確認してから,最後にSYN設定にした方がいいかも.
以上で,NASにコネクションは通るはずなのです.多分


で,コネクション確立後に,データコネクションが始まります.FTPでは,ポートモードとパッシブ(PASV)モードが.
このへん良く分からんのですが,
・ポートモードでは20を使用.サーバからセッションを張ろうとするので,クライアント側のルータのNAPTと動的フィルタリングで…もにょもにょ…上手くいかない場合が多い?
・PASVモード:使用するパッシブポート範囲はNASが指定し伝え,そこにクライアントからセッション貼るので,クライアント側のNAPTは通る.ルータ側のNAPTが設定できれば上手くいく.

PASVモードのみを考えます.
外から中へ,パッシブポートが動的に変化する通信なので,多分2つの方法があります.
1.パッシブ範囲をNAPTで常時公開する.(動くと思うけどやったことない)
2.YAMAHA様に任せる.*これで説明
ip filter dynamic 200020 * 192.168.100.234 ftp
ip pp secure filter in 200006 dynamic 200020
これでうまくいくと思います.



**上手くいかずに失敗したのをつらつらと
制御ポ−トを21ではなく23421にしたところ,PASVの後のリスト取得が出来なかった.
227 Entering Passive Mode (192,168,100,234,217,9)
のあと,Timeoutしました.
ここで,217,9がPASVポートで,217*256+9=55552+9=55561となります.

内部IPを吐いてることが原因かもしれないですが,
FileZillaでは,代わりにサーバのアドレスを使用してくれるらしいので多分そこでは無い.
また,FTPデーモンによっては外側IPを吐くように設定できる場合もあるようですが,KURO-N4B2ND4ではそのような設定がありません.
試行錯誤した結果,制御コネクションを21以外にするとFTPと認識せずに動的フィルタを適用できないのではないかと思いつき,ポートを21に変更したところ,上手く動きました.

PASV後に上手くいかない場合は,ポートを21にしてはいかがでしょう.
posted by にゃんこ at 20:35| Comment(0) | TrackBack(0) | NAS