![[Mail]](../img/mail.gif){kind=small}
<mimoriso@anet.ne.jp>.
All rights reserved. このサイトはリンク上等です。
| Last Modified : | 01/20 20:08 |
| Access : | |
| tds mode : | [static,site,cache:on] |
リリースノート によると標準価格110,000円。RTX1000よりちょっと安いけど、たぶん市価は同じですな。機能もほどんど似ているけどPKIサポートが目玉かな。
OSPFがなくてBGP4なところと同時セッション数64が微妙。
3DESでも50Mbps以上
って本当なのかなあ。IPsec冗長構成 も気になるところ。
パラメータをあわせたら phase1 が通るところまでは確認できた。けど次に進まない。トンネルそのものの形成に失敗しているような雰囲気。
実際に運用しているIPv6トンネルの gif インターフェースにはIPv4アドレスを振っていないんだから、
ifconfig gif0 create tunnel <こっちのIP> <あっちのIP>
だけでいいはずなんだが…
For example, you cannot usually use gif to talk with IPsec devices that use IPsec tunnel mode.
ガビーン。やられた…IPv6-over-IPv4 に関しては RFC2893 に従っているおかげで通っていたらしい。
ここの日記 はFreeBSDとRT105eでつないでいるようで実は Linux⇔RT105eと NetBSD⇔RT105eに成功したという報告しかない。そして NetBSDとLinuxには ipip(4) があるので、ipip(4)がFreeBSDに実装されない限りおそらくダメなんだろう。
CVSリポジトリを探ると5.0Rから採用される FAST_IPSEC の中にipipスタックが存在する模様。ただ現状ではIPv6未サポートだし、ipip(4)は見当たらない。
ますますNetBSD *1 にしたくなる。
いっそSolrais9ってどうだろうと見に行ったら
お知らせ: 2002年12月4日付けでプログラム内容が変更されました。従来は用途に限らずシングルプロセッサコンピュータで Solaris 8/9 を無償でご使用頂けましたが、2002年12月4日以降は、教育機関における使用、評価目的での使用(60日間)、Solaris 用アプリケーションの設計/開発/テスト目的での使用に限りシングルプロセッサコンピュータでご使用頂けます。
こんなことが。今まで使ってたとこにも適用されるんかなあ…そうだったら撤収するだけだけど。
は来年1月の予定。
フレッツISDNのユーザーは対象外
帯域は足りると思うんだけど…うーん。
ftpでCDのイメージを落としつつセキュリティーパッチの当て方を調査。 セキュリティーとNetBSD に勧告が置いてあって、実際に勧告を読むと anonymousCVS からソースを持ってきて再インストールになっている。 リリースタグは netbsd-1-6 のような感じ。 CVSupも存在しているので、おそらくCVSupでこのリリースタグを指定すればいけるんではないかと… ググった結果で参考になりそうなページは これ とか これ 。
HDD のパーティション・スライスを切るためのインターフェースが激しく不親切なので、Xありのデフォルトをベースに /usr に2GB強、/var に残り全部 で割り当てた。
GENERICカーネルをインストールしてくれるような親切心はないらしいので、最初のインストール後に自分で /netbsd.GENERIC にコピーしておく。
mkdir /cdrom echo '/dev/cd0a /cdrom cd9660 rw,noauto 0 0' >> /etc/fstab mount /cdrom
pkgCDROMをせっせと作ったけど、結局入れ替えが面倒になって(汗)ringサーバから直接インストールすることにしてしまった。
PKG_PATH=ftp://ring.asahi-net.or.jp/pub/NetBSD/packages/1.6/i386/All export PKG_PATH pkg_add -v tcsh-6.12.00.tgz pkg_add -v sudo-1.6.6.tgz pkg_add -v ja-less-358.tgz pkg_add -v dante-1.1.13.tgz pkg_add -v rsync-2.5.5.tgz pkg_add -v pkgchk-1.30.tgz pkg_add -v perl-5.6.1nb7.tgz
これらパッケージのインストール先は /usr/pkg になっている。
muleのインストールをここのパッケージからやろうとしたら、CannaやWnnを入れようとしたので中断。日本語入力はSKKでいいのじゃー。
PKG_PATH=ftp://ftp.mk.bsdclub.org/pub/NetBSD/CVSup/i386-1.6 export PKG_PATH pkg_add -v cvsup-static-16.1.f.tgz
CVSupを使おうとしたら接続数オーバーで待てというメッセージ。
Anonymous CVS サーバー の手順にだいたい従ってソースを持ってくることにした。最初は cvs checkout -r netbsd-1-6 src とやったけどなかなか反応がなかったので停止。単に遅かっただけなのかもしれない。
cd /usr CVSROOT=:pserver:anoncvs@sup.jp.netbsd.org:/cvs/cvsroot export CVSROOT cvs login Passwd: anoncvs cvs checkout src cvs checkout pkgsrc
結局うまくいかず ftp://ring.asahi-net.or.jp/pub/NetBSD/NetBSD-1.6/source/sets/syssrc.tgz を利用したのだった。
最低限 options RTC_OFFSET=-540 を指定したカーネルを作成して再起動した後に時刻合わせを行う。
ftp://ring.asahi-net.or.jp/pub/NetBSD/packages/pkgsrc.tar.gz よりゲット。
MCAやEISA関連のドライバを抜いて作ると4MBぐらい。USB,SCSI,サウンド関連,使ってないNIC等までごっそり抜いて2.6MBぐらいに。 とりあえずの /etc/rc.conf は以下のような。
hostname="tako.hoge.com" auto_ifconfig=YES ip6mode=autohost rtsold=YES rtsold_flags="-a" sshd=YES
この他に ifconfig.fxp0 を作った。
IPv4の設定に失敗しててもIPv6でtelnetできるように inetd.conf を設定。
リリースタグが netbsd-1-6-RELEASE ということが判明。今度こそ持って来れた。
mkdir /usr/src-1.6 cd /usr/src-1.6 CVSROOT=:pserver:anoncvs@sup.jp.netbsd.org:/cvs/cvsroot export CVSROOT cvs login Passwd: anoncvs cvs checkout -r netbsd-1-6-RELEASE src
ソースをringサーバから持ってくる設定は最低限やっておくべき。asahi-netの場合:
MASTER_SITE_BACKUP= \
ftp://ring.asahi-net.or.jp/pub/NetBSD/packages/distfiles/ \
ftp://ftp.jp.netbsd.org/pub/NetBSD/packages/distfiles/
MASTER_SORT= asahi-net.or.jp .jp
/usr/pkgsrc/net/wget よりインストール。URLからコマンドラインで直接ファイルを取得する手段 *1 がないと不便なはず…なのだがpkg_addは直接ftpコマンド叩いてるし、フツーのNetBSDユーザーは何を使っているのだろうか。
/usr/pkgsrc/sysutils/daemontools から daemontools-0.70 をインストール。ちと古い。 /usr/pkgsrc/net/djbdns から djbdns-1.05 をインストール。
/var/spool/service ディレクトリに関してはDJB推奨の /service でもいいかなと思ったが、daemontools-0.76 をDJB推奨方式でインストールすると ルートディレクトリに /package, /command を作られてしまう。/command は容認できない気分だなー。
qmailはいつものように。FreeBSDとの違いは、ユーザ作成コマンドとして /usr/sbin/pw がないところと、 mailwrapper が使う mailer.conf の位置がFreeBSDだと /etc/mail/mailer.conf なところが /etc/mailer.conf になっているぐらい。楽勝。
いつもの通り。変更点ゼロ。スレッド使いたいとか野望を持つと違うんだろうけど。
ネットワークの初期設定はこれを使うのがいいかもしれぬ。
rcorder強力。
とはいえ PPPoE セッションを張るコマンドは /etc/netstart.local に書くのが適当か。
/etc/rc.local。PATHを指定しないと起動しないサービス多数だった。
env - PATH=/local/bin:/usr/pkg/bin:/usr/bin:/bin /bin/csh -cf '/usr/pkg/bin/svscan /var/service &'
/etc/rc.shutdown.local。svscan自体はいきなり落ちても問題なかろう。
/usr/pkg/bin/svc -dx /var/service/*/log /usr/pkg/bin/svc -dx /var/service/*
RAIDframeだとrootパーティションもミラーできるらしい。
プライマリ側のHDDが死んだ場合にどうブートさせるかとかの運用に関するドキュメントは見つからなかった。 しかしrootパーティションは期間を決めてrsyncで同期取るぐらいの方が人為的ミスからの復旧に役立つような気もする。
NTP関連の調べ物をしつつ日記を読んでいたら丁度よくドキュメントに当たった。rootパーティションのミラー化の手順が書いてある。 MBRへのブートコードの書き込みもちゃんとしてあって素晴らしい。
man ftp した。ftp ftp://ほげ は想像の範囲内だったが、ftp http://ほげ は予想外。 …ってFreeBSDでも確認したらftpがHTTPしゃべるよ。いつの間にそんなことに〜
ソース全部持ってきた後に /etc/weekly を動かして /var/db/locate.database を作成。locate fetch したら ftp のソースに fetch.c があるのが確認できた。
Windows2000でのRAMDISKの使い方。WindowsXPの場合は以下のようにここに置いてあるソースをちょっと改変してコンパイルする必要がある。
While you call the IoCreateDevice function (RamdiskAddDevice function in pnp.c), change the device type from FILE_DEVICE_VIRTUAL_DISK to FILE_DEVICE_DISK and recompile the driver. After you install the driver, restart the system in order to access the Ramdisk through Explorer
システムがゴミを勝手に作っては残すタイプのTEMPディレクトリには電源切ったら勝手に消えるドライブも有効かと。
/etc/ipconfig.pppoe0 はほぼ書いてある通りだが、pppoe0インターフェースの netmaskが 0xff000000 でつながるのは気持ち悪いので、0xffffffff にしておく。 フレッツなので mtu も 1454 にしておく。 papをchapにしてみたら通らなかった。
create ! /sbin/ifconfig fxp0 up ! /sbin/pppoectl -e fxp0 $int ! /sbin/pppoectl $int myauthproto=pap 'myauthname=XXX' 'myauthsecret=XXX' hisauthproto=none inet 0.0.0.0 0.0.0.1 netmask 0xffffffff up mtu 1454
フレッツスクウェア用 /etc/ifconfig.pppoe1 を書けば2セッションに。
create ! /sbin/ifconfig fxp0 up ! /sbin/pppoectl -e fxp0 $int ! /sbin/pppoectl $int myauthproto=pap 'myauthname=guest@flets' 'myauthsecret=guest' hisauthproto=none inet 0.0.0.0 0.0.0.1 netmask 0xffffffff up mtu 1454
/etc/ppp/ip-up と /etc/ppp/ip-down
#! /bin/sh ### outgoing route is defined in /usr/pkg/etc/zebra/zebra.conf # /sbin/route add default $5 /sbin/ipf -y /sbin/ipf -Fa -f /etc/ipf.conf /usr/sbin/ipnat -CF -f /etc/ipnat.conf /usr/pkg/bin/svc -t /var/service/sshd /usr/pkg/bin/svc -t /var/service/ntpd /usr/pkg/bin/svc -t /var/service/ipmon /usr/pkg/bin/svc -t /var/service/zebra /usr/pkg/bin/svc -t /var/service/ospfd /usr/pkg/bin/svc -t /var/service/qmail /usr/pkg/bin/svc -t /var/service/qmail-smtpd /usr/pkg/bin/svc -t /var/service/apache2 /usr/pkg/bin/svc -t /var/service/sockd
/etc/ipf.conf はいつもの奴をインターフェース指定を変更。
/etc/ipnat.conf。mssclampで指定する値は 1454 ではなく 1414 になるので注意。rc.conf では ipnat の起動を指示しない。
map pppoe0 192.168.0.0/24 -> 0.0.0.0/32 portmap tcp/udp auto mssclamp 1414 map pppoe0 192.168.0.0/24 -> 0.0.0.0/32 mssclamp 1414 map pppoe1 192.168.0.0/24 -> 0.0.0.0/32 portmap tcp/udp auto mssclamp 1414 map pppoe1 192.168.0.0/24 -> 0.0.0.0/32 mssclamp 1414
ルーティングは例によって zebra.conf に書いておく。
ip route 0.0.0.0/0 pppoe0 10 ip route 172.26.0.0/16 pppoe1 10
ospfd.conf に redistribute static metric 1000 を書いてフレッツ用のルーティングを配布。
/etc/hosts.allow FreeBSDみたいにデフォルト全通しのサンプルを置いてくれないと標準状態で使えてるのかどうかちと不安。 リンクローカルIPv6アドレス *1 でtelnet接続実験したところ制御できてるのが確認できた。
dnscache/root/servers/26.172.in-addr.arpa と dnscache/root/servers/flets の中身を以下のようにする。
172.26.35.131 172.26.35.132
こんなところでガンダムが見れた。ちなみにガンダムの配信は mmst:// なのでHTTPプロキシを指定しても無駄。 MMSプロトコルに対してsocksプロキシを書けばいけるかも…と思ったがMediaPlayer8には見当たらない。
フレッツスクウェア内で速度測定すると 66.26Mbps。PentiumIII 800EBで能力的に十分と。 ifconfig pppoe1 mtu 1454の指定をした後は 73.40Mbps も記録。
RTX1000でつないでいた回線をNetBSD化完了したので初期化。最初にtelnetするために前回はIPv4アドレスを割り当てていたが、今回はIPv6リンクローカルに挑戦。
LANに接続した後、ping6 -I fxp1 -n ff02::1 でLAN上にあるすべてのIPv6アドレスを調査 *1 。MACアドレスが機械の裏に貼ってあるのでそれと照合するとどれがRTX1000のリンクローカルアドレスか分かる。 でもって telnet fe80::2a0:xxxx:xxxx:xxxx%fxp1 すれば工場出荷状態のRTX1000にtelnetで入れた。 アドレス振り間違えてもtelnetで入れるIPv6マンセー。
つながったよー。最後の鍵はトンネル作成しているルータ・ファイアウォール上ではない 192.168.0.0/24側のマシンからpingを打つということだった。ファイアウォール上からのpingだと謎の発信元IPアドレス *1 が設定された状態。また、192.168.5.0/24 側(RTX1000の下)からだとトンネルが上がらない。 あと、ルータ・ファイアウォールを再起動した場合は、pingコマンドを再実行しないとダメだった。
NetBSD上の /etc/racoon/racoon.conf。NetBSDにぶら下がっているプライベートネットワークは 192.168.0.0/24
# "path" must be placed before it should be used.
# You can overwrite which you defined, but it should not use due to confusing.
path include "/etc/racoon" ;
#include "remote.conf" ;
# search this file for pre_shared_key with various ID key.
path pre_shared_key "/etc/racoon/psk.txt" ;
# racoon will look for certificate file in the directory,
# if the certificate/certificate request payload is received.
path certificate "/etc/openssl/certs" ;
# "log" specifies logging level. It is followed by either "notify", "debug"
# or "debug2".
log debug2;
remote anonymous
{
exchange_mode main,aggressive;
# exchange_mode aggressive,main;
doi ipsec_doi;
situation identity_only;
my_identifier address;
# my_identifier user_fqdn "sakane@kame.net";
# peers_identifier user_fqdn "sakane@kame.net";
#certificate_type x509 "mycert" "mypriv";
nonce_size 16;
lifetime time 1 hour; # 1時間 = 3600秒
initial_contact on;
support_mip6 on;
proposal_check strict; # obey, strict or claim
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key ;
dh_group 2 ; # 2 は modp1024 と同じ
}
}
sainfo anonymous
{
pfs_group 2;
lifetime time 1 hour; # 1時間 = 3600秒
encryption_algorithm 3des ;
authentication_algorithm hmac_sha1;
compression_algorithm deflate ;
}
proposal_check は当初 obey でやっていたが、strict の方が再接続に対して快調な感じ。
NetBSD上の /etc/ipsec.conf は以下のファイルを eruby に通して作成した。
<%
net1='192.168.0.0/24'
tunend1='<RTX1000のグローバルIPを指定>'
net2='192.168.5.0/24'
tunend2='<NetBSDのグローバルIPを指定>'
%># ipsec.conf
# ESP tunnel from <%=net1%> to <%=net2%>
# <%=tunend1%> <%=tunend2%>
# this file is created from /usr/local/etc/racoon/ipsec.conf.eruby
flush;
spdflush;
# do not use 2 lines shown below with racoon
#add <%=tunend1%> <%=tunend2%> esp 9991 -E simple "himitu1";
#add <%=tunend2%> <%=tunend1%> esp 9992 -E simple "himitu2";
spdadd <%=net1%> <%=net2%> any
-P out ipsec esp/tunnel/<%=tunend1%>-<%=tunend2%>/require;
spdadd <%=net2%> <%=net1%> any
-P in ipsec esp/tunnel/<%=tunend2%>-<%=tunend1%>/require;
/etc/racoon/psk.txt には RTX1000のIPアドレス・パスワードを書いておく。
RTX1000 の設定。基本的にはYAMAHAに置いてある IPsec 設定ガイド にある通りだが、racoonに書いたパラメーターを明示的に追加。 aaa.bbb.ccc.ddd はRTX1000に振ったグローバルアドレス。RTX1000にぶら下がっているプライベートネットワークは 192.168.5.0/24
ip lan1 address 192.168.5.1/24 ip lan1 proxyarp on ip lan2 address aaa.bbb.ccc.ddd/29 ip lan2 nat descriptor 1 tunnel select 1 ipsec tunnel 101 tunnel enable 1 ip route 192.168.0.0/24 gateway tunnel 1 ip route default gateway 61.206.152.65 metric 10 nat descriptor type 1 masquerade nat descriptor address outer 1 aaa.bbb.ccc.ddd nat descriptor address inner 1 aaa.bbb.ccc.ddd 192.168.5.1-192.168.5.254 nat descriptor masquerade static 1 1 aaa.bbb.ccc.ddd udp 500 nat descriptor masquerade static 1 2 aaa.bbb.ccc.ddd esp ipsec auto refresh on ipsec ike duration ipsec-sa 1 3600 ipsec ike duration isakmp-sa 1 3600 ipsec ike encryption 1 3des-cbc ipsec ike group 1 modp1024 ipsec ike hash 1 sha ipsec ike local address 1 aaa.bbb.ccc.ddd ipsec ike pfs 1 on ipsec ike pre-shared-key 1 text ヒミツ ipsec ike remote address 1 <NetBSDのグローバルIPを指定> ipsec sa policy 101 1 esp 3des-cbc sha-hmac
IPSec on FreeBSD にはgifを使ったトンネルが紹介されていたが、今回 gif は何の関係もなし。実はFreeBSDでも出来たのかなあ…
トラフィックが gif(4) トンネルを転送されるのではないことに注意してください! そうでなく、カーネル内部の IPsec のコードが指定されたポリシーに従ってパケットを横取りし、IPsec トンネル用の正しい IP アドレスで包むのです。実際には、パケットは gif トンネルが通過する経路と異なる、新しい IP アドレスを受け取るのです。
これか?
実際やってみたけど、phase2まで通って RTX1000 からIP Tunnel[1] Upというメッセージまで出るにもかかわらず、FreeBSDホストのところで Destination host unreachable となる。 わけわからん〜。 ipfilter との相互の影響 あたりがFreeBSDで解決されていないのかもしれぬ。
racoon.conf 内 sainfo 中の pfs_group の指定を止める。以下のようにコメントアウト
sainfo anonymous
{
# pfs_group 2;
以下略
}
RTX1000側は ipsec ike pfs 1 off
…だと思ったのだがうまくいかん。racoon使うときはとりあえず PFS ありで。
550Kbpsぐらいで止まってしまい3desからdesに暗号強度を落としても変化なし。実は768KbpsのSDSL線経由だったというオチ。 3des状態の時にNetBSD側のCPUロードは 0.21 前後だった。
設定変更した後の初期化に使ったコマンドは、NetBSD上は sudo setkey -f /etc/ipsec.conf; svc -t /var/service/racoon。RTX1000上は ipsec sa delete all。
AESのアルゴリズム決定については 米政府の暗号化標準に「Rijndael」アルゴリズム あたり参照。
racoon.conf
sainfo anonymous
{
pfs_group 2;
lifetime time 1 hour;
encryption_algorithm rijndael, 3des, des ;
authentication_algorithm hmac_sha1 ;
compression_algorithm deflate ;
}
RTX1000
ipsec sa policy 101 1 esp aes-cbc sha-hmac
スループットは10%ぐらい低下している雰囲気。
RTX1000側で show ipsec sa した結果
# show ipsec sa sa sgw connection dir life[s] remote-id -------------------------------------------------------------------------- 1 1 isakmp - 3565 NetBSDのIP 2 1 tun[001]esp send 3572 NetBSDのIP 3 1 tun[001]esp recv 3572 NetBSDのIP SA[1] 寿命: 3565秒 自分側の識別子: RTX1000のIP 相手側の識別子: NetBSDのIP プロトコル: IKE SPI: c6 56 0b 54 9b 1a d2 76 cd 85 cf 70 45 ba f8 84 鍵 : ** ** ** ** ** (confidential) ** ** ** ** ** ---------------------------------------------------- SA[2] 寿命: 3572秒 自分側の識別子: RTX1000のIP 相手側の識別子: NetBSDのIP 送受信方向: 送信 プロトコル: ESP (モード: tunnel) アルゴリズム: AES-CBC (認証: HMAC-SHA) SPI: 0f fd ec 20 鍵 : ** ** ** ** ** (confidential) ** ** ** ** ** ---------------------------------------------------- SA[3] 寿命: 3572秒 自分側の識別子: RTX1000のIP 相手側の識別子: NetBSDのIP 送受信方向: 受信 プロトコル: ESP (モード: tunnel) アルゴリズム: AES-CBC (認証: HMAC-SHA) SPI: 06 de c0 23 鍵 : ** ** ** ** ** (confidential) ** ** ** ** ** ----------------------------------------------------
NetBSD側で sudo setkey -D した結果。spiが一緒なのが確認できた。
NetBSDのIP RTX1000のIP
esp mode=tunnel spi=115261475(0x06dec023) reqid=0(0x00000000)
E: rijndael-cbc ほげほげ
A: hmac-sha1 ほげほげ
seq=0x0000008b replay=4 flags=0x00000000 state=mature
created: Dec 24 11:09:34 2002 current: Dec 24 11:11:54 2002
diff: 140(s) hard: 3600(s) soft: 2880(s)
last: Dec 24 11:11:54 2002 hard: 0(s) soft: 0(s)
current: 16680(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 139 hard: 0 soft: 0
sadb_seq=2 pid=666 refcnt=2
RTX1000のIP NetBSDのIP
esp mode=tunnel spi=268299296(0x0ffdec20) reqid=0(0x00000000)
E: rijndael-cbc ほげほげ
A: hmac-sha1 ほげほげ
seq=0x0000008b replay=4 flags=0x00000000 state=mature
created: Dec 24 11:09:34 2002 current: Dec 24 11:11:54 2002
diff: 140(s) hard: 3600(s) soft: 2880(s)
last: Dec 24 11:11:54 2002 hard: 0(s) soft: 0(s)
current: 8340(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 139 hard: 0 soft: 0
sadb_seq=1 pid=666 refcnt=1
ping打ちっぱなしにしていたところいつの間にか通らなくなった。どうもphase2の更新に失敗しているっぽい。まだまだ分からないことが多い〜 両方とも初期化したら通るようになったが原因追及せねば安定して使えん。
調査すると、RTX1000側のsaが消えて NetBSD側のsaが残っている状態。つながった直後の有効期限は両方とも1時間になってるのになあ。 なんか180秒ぐらいで死ぬ。NetBSD側で setkey -f /etc/ipsec.conf とやるか、racoonを再起動するか どちらか一方で回復。 RTX1000側はがんばってphase2確立しようとしている雰囲気なのでracoon側の設定の問題だと思うのだが。
にしてみた。man racoon.conf で initial_contact の項を見ると
The KAME stack has the switch in the system wide value, net.key.preferred_oldsa. when the value is zero, the stack always use an new SA.
などと書いてあるが、この net.key.preferred_oldsa カーネル変数が見当たらない。 ここの説明 を読む限りではあんまり関係がないらしい。
これをつけたらpingが落ちなくなった。setkey -DPで確認すると以下のようなSPD(ポリシー)が追加されている。
<RTX1000のIP>[any] <NetBSDのIP>[any] any
in ipsec
esp/tunnel/<RTX1000のIP>-<NetBSDのIP/>require
created: Dec 24 16:23:50 2002 lastused: Dec 24 16:23:50 2002
lifetime: 3600(s) validtime: 0(s)
spid=7 seq=4 pid=410
refcnt=1
<NetBSDのIP>[any] 61.206.152.68[any] any
out ipsec
esp/tunnel/<NetBSDのIP>-<RTX1000のIP>/require
created: Dec 24 17:09:02 2002 lastused: Dec 24 17:09:02 2002
lifetime: 3600(s) validtime: 0(s)
spid=12 seq=0 pid=417
refcnt=1
これがtunnelに入るのってまずいと思うんだけど一応通信できている…明示的に /etc/ipsec.conf で素通しするようなポリシーを書いた方がいいのかもしれない。
root権限で build.sh (オプションなし)を実行したらインストールまで全部完了されてしまった。ただしカーネル以外。 build つーぐらいだからインストールしないもんだと思ったのにー。
phase2までは何の問題もなし。MR104DV側のVPNステータスで見ると、NetBSDの下からMR104DVまでespなパケットが到達している模様。 でもMR104DVからパケットが来ない。SPIを見る限り両方向ともsaは出来ているのに。
…MR104DV自体はデフォルトだとpingを返さない仕様なのでそれが原因の可能性大。リモートで設定中でその他にpingを返してくれそうなマシンが向こうのセグメントに無いため今日のところは中断。 もしかすると一発で成功してるかも。
MR104DVが直接VPN端になる場合でもこれをチェックしておかないとIKEが通らなかった。 語感からすると「内部のホストが」IPsecパケットを外に出す時に利用するもののようなのだが。
IBM Password ManagerはPCに搭載されたセキュリティーチップを使用して、それらの重要なデータを暗号化して保存するので、ハードディスク内を覗かれても他人がパスワード情報を盗むことはできません。
また、IBM Client Security Softwareに登録されたユーザーは登録された任意のアプリケーションや様々なWEBサイトへアクセスするユーザーIDやパスワードの代わりに、パスフレーズや指紋認証を使用してログインすることができます。これにより、様々なWEBサイトやパスワードを使用するアプリケーションへのアクセスのために覚えなければいけなかったたくさんのユーザーIDやパスワードの代わりに同一のパスフレーズや指紋認証だけですべてログインできるようになります。つまりローカルPC内でのシングル・サインオン環境が実現できます。
Client Security Software をフツーの人に勧める際のメリットとして分かりやすい。
実際にダウンロードしようとしたらV5.01とV3.01しか置いてなかった。Password Manager も V1.1 に。そしてドキュメントがことごとく存在しない罠。
記事はWindowsXPだが実際に作業したのはWin98。 Win98でのインターネット接続の共有の開始の仕方。
インターネット接続の共有が内側に配るアドレスとしては 192.168.0.0/24 が強制されるようで、ADSLモデムがDHCPで配るアドレスが 192.168.0.0/24 だったのを 192.168.2.0/24 に変更する必要があった。
ただし XPであればブリッジになる ことも可能なようだ。
レジストリいじれば 192.168.0.0/24 以外になれるらしい。
こいつはIDE RAID組む際の候補としてナイス。しかし3月発売予定かー
転送先の電話番号登録(関東)は menu-1722、転送サービスの開始は menu-1721、転送先電話番号の確認は menu-175、解除は menu-174、 転送前の呼出時間設定は menu-171-数値設定-menu-onhook
転送先の電話番号登録は 070-XXXX-0142 にかけて 2→電話番号→9。 転送電話開始は 070-XXXX-0142 にかけて 1→1→9。 転送電話終了(留守番電話開始)は 070-XXXX-0142 にかけて 1→2→9。 留守番電話も止めるときは 070-XXXX-0142 にかけて 0。
1時間ほど(最初の島を出るまで)やってみた。激しく3D酔い。時のオカリナの場合 Zボタン連打でもしない限りは視点移動が穏やかだったのが、 Cレバーちょこっと触るだけでがんがん視点移動してくれて頭がおいつかない。…といったあたりに歳を感じてみたり。
家の中の出入口近辺での視点移動が強烈なのがいけなかった感じもする。本編に入ったら気にならないようになってるといいなあ。 あまり酔うようだったら14インチディスプレイでのプレイになるかも。
14時頃の調査。JPhoneがかかりずらいが、AU(CDMA),NTTP,FOMAはいずれも特に問題なし。
<mimoriso@anet.ne.jp>.
All rights reserved. このサイトはリンク上等です。