とりあえず作ってみたブログ

<< November 2019 | 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 >>

ルーターのファームウェ更新

191019_画面

 自宅で常用中のIX2025のファームウェアを更新しておきました。webから出来るはずなんだけど、内部エラーで弾かれてうまくいきませんでした。何でだろう?uploadリミットを外してもダメした。
 コンソールからtftpでsoftware-updateコマンドならすんなりOK。何でだろうね~。(tftpでの手順はこちらを参照)

 表題のキャプチャーは終わってからのWEB画面。
comments (0) | trackbacks (0)

IXルーターのIPv6ブリッジ設定 その2

190831_router

 少し前のこちらの続きです。この時の設定だと、IPv6は単なるブリッジ接続なので、ネット側から丸見え状態です。個々の端末のセキュリティ能力次第・・・IPアドレスが判れば、共有フォルダが外から見えてしまうので、やはりよろしくない。ってことで、数日前にIPv6のブリッジ設定を解除していました。

 ブリッジに最低限、外から始まる通信は遮断、というフィルターを追加しておけば、IPアドレスが判ってもPCへのアクセスはできないからセキュリティは保てるはず。

 設定事例集内にあるIPv6→PPPoEネットアクセス例や、公式WEBサイトの技術情報内のIPv6でのDHCP-PDの場合の設定例などで紹介されているIPv6動的フィルターの設定を流用します。

ipv6 access-list block-list deny ip src any dest any
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 546
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 547
ipv6 access-list icmpv6-list permit icmp src any dest any
ipv6 access-list permit-list permit ip src any dest any
ipv6 access-list dynamic dflt-list access permit-list

FE0/0へ上記条件でのフィルターをbridgeへ適用させます。

interface FastEthernet0/0.0
bridge-group 1
bridge ipv6 filter dhcpv6-list 1 in
bridge ipv6 filter icmpv6-list 2 in
bridge ipv6 filter block-list 100 in
bridge ipv6 filter dhcpv6-list 1 out
bridge ipv6 filter icmpv6-list 2 out
bridge ipv6 filter dflt-list 100 out

こんな感じです。(ほかの設定もあるけど省略)

 テストは、IPv6対応のポートスキャンを利用して状態確認しています。(こちらとかこちら

190925_port

 これがあるPCのポートスキャン結果。もともと、セキュリティソフトが入っているので、ある程度はふさがっているはず。ファイル共用関連の135や139、445が隠れているか?、といったところで見極めることになると思います。
comments (0) | trackbacks (0)

IXルーターのIPv6ブリッジ設定

190831_router

 こちらの作業の続きです。IPv6のブリッジ設定、あまり難しくはないので早々にできていましたが、出張などあり投稿する機会を逃したので今日です。

 IX2025の場合は、最新ファームにしても、9.5系なので、古いファームウェア向けのブリッジ設定しかできません。(公式ページはこちら) これは、まぁ書いてある通りにCONFIGを修正するだけなので、さほど時間もかからず、さくっと完了しました。
comments (0) | trackbacks (0)

IXルーターでDDNSの自動更新を設定

190828_ix

 こちらの続き。ダイナミックdnsの自動更新の設定です。公式WEBだとこちらに設定例があるけど、分量は少な目です。なお、こちらで利用するダイナミックDNSはddo.jpです。

 IX2025とddo.jpという組み合わせのサンプルが見当たらない感じなので、以下に書いておきます。

○まずこのコマンド。

ddns enable
これで、ダイナミックDNS登録機能を有効にします。

○ダイナミックDNS用のプロファイルの設定。

ddns profile ddo
url http://free.ddo.jp/dnsupdate.php
query dn=○○○&pw=△△△
transport ip
source-interface FastEthernet0/0.1
update-interval 165

 ddo.jpのHowTOを見ると、URLとパラメターを一気に投げるだけでok。?以降の部分は、query部分に記載すれば通る。(○○○がドメイン、△△△がpassword)

 update-intervalを設定しているのは、デフォルトのままだと24時間ごとにupdateをかけてしまうので、165時間と長めに設定。ルーターだから指定したinterfaceのIPアドレスが変われば自動で発動。

○手動でアップデートする

ddns update
これで手動アップデートがかかります。(プロファイルが1個なら省略できます)

○状態確認

show ddns
これで、最後に行ったddns更新状況が見えます。(プロファイルが1個なら省略できます)

 クエリーのところ、passwordを平文でそのまま書いてしまっています。password登録できるので、これで暗号化しておいた方がええでしょうね。
comments (0) | trackbacks (0)

さっそくルーターを交換しました

190831_router

 この前ぽちったルーターをさっそく投入しました。とりあえず今日の設定はここまで。

・PPPoE(当たり前だね)
・ローカル内のinterface設定
・WEBなどのサービスポート公開
・ダイナミックDNS、自動更新設定

これで残件は
・IPv6のブリッジ設定

 NECの業務用ルーターIXシリーズのVer8.8以降にはダイナミックDNSの更新機能が追加されています。古いIX-****をジャックで買うと非対応、適当に古いけど、ファームが極端に古くないものなんでしょうか。
 ダイナミックdnsの設定は改めて。

 写真は、使用開始したIX2025と前に使っていたSi-R220C
comments (0) | trackbacks (0)

またまた、思わずぽちる

190828_ix

 少し前なんですが、またまたうっかりポチってしまいました。今度はIX2025(NEC)です。現行の一世代前ぐらいのものです。送料が変わらないのならってことで、2個もポチってしまいました。

190828_ver

 ファームの入れ替え、スタンダードにはこちらみたいな方法なんでしょうけど、比較的新しいタイプなのでWEBからでもできます。
 その場合は、FE1/0へ適当なIPアドレスを振って、WEB周り用に以下のCONFIG投入。

http-server username admin
http-server ip access-list admin_console
http-server ip enable
http-server upload-limit 10

 多分、最後のupload-limitがポイントかも。古い場合は、upload-limitに引っかかって新しいファームウェアをUPLOADしてもファイルが大きい等のメッセージが出てはじかれます。とりあえず、最大値の10と緩めておきます。
 access-listは内側からのみ許可を設定しておけば最低限OKでしょう。web用の初期コンフィグは公式ページを参照して作れば間違いないでしょう。

 さて、買ってしまったものの、こちらもあるし、どうしようか…(^^;;

#深く考えずにポチったようです(笑)
comments (0) | trackbacks (0)

ルーターのファームウェア更新

190522_update中

 自宅ルーター(Si-R220C)のファームウェアを更新しました。販売終了となってからまもなく6年。サポートに関しては何の期待もなくポチッたのですが、偶然ダウンロードのページを見たらアップデートがありました。リリースノートを見たら、うちでは全く関係が無いところでの修正ですけど、折角だからアップしておきました。

#前回アップデートからそろそろ3年というタイミングでした。

 今回のアップデートはUSBポートから行いました。USBメモリをさしたあと、ポートの閉塞解除をポチらないとUSBメモリが読めない点だけ注意が要りそうです。PCならUSBメモリを挿した時点で自動認識が普通ですからねぇ。(もう一台の個体では閉塞解除しなくても挿しただけで認識した。どっちが正解なんだろう?)
 表題のキャプチャーはアップデート中の様子。ftpによる転送より、WEB設定+USBメモリのほうが作業は簡単です。

#USBメモリの自動読み込み機能は、作業が終わったら念のためdisableへ修正。
(設定→詳細設定メニュー→装置情報→外部メディアスタート機能情報)
comments (0) | trackbacks (0)

IPv6を自宅で試してみる

190417_ipv6

 自宅ネット環境を試しにIPv6対応化してみました。
使用しているルーターは富士通のSi-R220Cなので、IPv6のPPPoEは使えません。メーカの公式な方法だと、ブリッジでしか出来ないようです。とりあえず、WEBの内容をコピペし、自分の環境に合わせて一部手直ししたCONFIGを投入したらすんなり動作しました。
 CONFIG投入後に自宅内のPCからIPv6でネットへ出られているか?確認したのが表題のキャプチャーです。

#この塗りつぶしで、/64のプリフィックス、PCのMACアドレス。共に隠せているはず。

 現状のブリッジ設定だと、IPv6はルーター無しのネット直結状態と同じです。セキュリティー的にどうでしょうねぇ。これだと、業務用ルーターを使っているのに、民生品のブロードバンドルーターでのIPv6パススルーと同じです。なんか悔しいので、しばらくしたら元へ戻してしまうかも知れません。セキュリティ面はフィルターで対応することになるかと思います。(2019/4/20 7:55)

#ちなみに自宅サーバのIPv6機能は止めています。

○17:20頃追加。

スマホの状態も見てみました。

190517_スマホ

 こちらもIPv6を認識していますねぇ。御利益いかに?

○2019/4/20 7:55追加
 他社製品の設定例など見ているとIPv6のIPoE接続だと、ブリッジになるのが基本でした(^^;;;
 ということで、一部修正です。

○2019/9/25 22:15頃追加
 ブリッジタイプだと、外からの通信開始は拒否するフィルタが最低限必要かと思われます。NDプロキシを使うのもセキュリティ対策の一つのようですが、古いルーターには実装されていません(この機種もありません)
comments (0) | trackbacks (0)

また、思わずぽちる

190403_ix

 こちらに続いて、またルーターをポチってしまいました。今度はNECのIX2105です。別件で試したいことがあるので、自宅サーバへの投入はしばらく先になりそうです。

今のSi-R220Cで十分用は足りていますので急がなくてええかと。

190403_起動時

 最安ではなく、スーパーリセット済みの起動確認品なので、この時みたいにファームが壊れていた、、、って心配もなく安心でした(^^;;;

#web設定configも消えていたので、こちらを見てとりあえず再現。
comments (0) | trackbacks (0)

2台目も準備完了

181117_no2

 昨日の続きです。もう一台へも同じ作業を行いました。
 でしたが・・・2台目はファームウェアが壊れているらしく、起動しませんでした。幸い、バックアップファームでの起動が出来たので、バックアップファームの状態で、新しいファームを書き直して復活しました。こちらへも、CONFIGを送り込んだので、いつでも使えます。

 表題の写真は所定の位置へ2台並べた様子。電源の入っている側が1台目の現用機、電源の入っていないほうが先ほど作業完了となった2台目の予備機。
comments (0) | trackbacks (0)
1/4 >>