カテゴリー: settings
CATEGORY ARCHIVE
前提環境
ipfireをインストールと基本設定が完了している事
IPS(Intrusion Prevention System)導入のステップ
1. IPSルールセットのprovider登録
「https://wiki.ipfire.org/configuration/firewall/ips/rulesets」を参考にして選ぶ。
Firewall -> Intrusion Prevention 箇所のRule Setingsで、Add providerをクリックし、
rule set providerを選ぶ
無料かつ登録不要の「Emergingthreats.net Community Rules」と「Snort/VRT GPLv2 Community Rules」を選んだ。
2. 「https://wiki.ipfire.org/configuration/firewall/ips/rule-selection」を参考にして、
Customize rulesetをクリックし、実際に適用するルールセットを選択する。
3. IPSを有効にする
「 Enable Intrusion Prevention System」、「Enabled on RED」、「 Enabled on GREEN」
をチェックしてsaveしIPSを有効にする
4. ログで必要なアクセスがブロックしていないかを確認する。
dual lan構成のミニPCにipfireを実装し、既存webサーバー用のutmに仕立てる
背景
最近intel n100搭載のミニPCが話題になっている。dual lan搭載の品もあったので、セキュリティ強化のためにutmの構築を試してみようと考えた。 記録として残す。
ミニPCの仕様概略
CPU: Intel n100 メモリー: DDR5 16GB Lan: 1G x 2 wi-fi(※): 2.4G/5G
追加でSSD増設済み
※ 技適マークがついている事確認済み
現構成イメージと予定構成イメージ
事前に確認必要な点
1. ミニPCのLANポートのMACアドレス 及び wifiカードのMACアドレス
(ミニPCのwindowsから、ipconfig /all にて確認)
2. wifiカードの品名・サポートするwifi規格・サポートするwpa種別
・品名は直接目視か、デバイスマネージャーから調べる
・wifi規格は、wifiカードだけでなく制御用PCについても確認
・wpa種別についても、wifiカード及び制御用PCについても確認
(netsh wlan show driversで、ノートPCがwpa3を未サポートであった)
3. SSD増設
(ipfireのインストールでデバイスをまるまる使うので増設が必要)
ipfireのインストール
一般的な手順にて増設したSSDにインストール
書き込みツール: rufus
ダウンロードサイト: https://www.ipfire.org/
ipfireのsetup
ブートから始める
ローカルドメインネームは何でも良さそう。rootパスワードはコマンドやSSH用、adminパスワードはWebUI用 ファイルシステムはext4を選択する。
初期設定中に次のネットワーク設定に進む。
ネットワークの最初の設定
初期化中もしくはその後のrootからのsetupコマンドで設定
1. Network configuration type
Green + Red + Blue を設定。 最初はGreen + Red でしておいと後から変更も可
2. Drivers and card assignments
MACアドレスでどれがどれか確認しながらGreen, Red, Blueに対してアサインしていく
3. Address settings
Red, Greenに対して下記ページを参考に設定する
( https://wiki.ipfire.org/installation/step5 )
ネットワーク追加設定
1. hostapd addonを導入
webuiから、Ipfire -> Pakfire と進みhostapd addonをインストール
参考:https://teklager.se/en/knowledge-base/ipfire-wifi-blue-interface-configuration-instructions/
:https://wiki.ipfire.org/addons/wireless
2. Blue用のwifiアクセスポイントの設定を行う
webuiから、Ipfire -> WlanAP
以下の様に設定していった
SSID:
HW Mode: 802.11gn とした。 最初、802.1acで失敗したため。
HT Caps : [HT40-][HT40+][SHORT-GI-20][SHORT-GI-40][DSSS_CCK-40] とした。
https://wiki.ipfire.org/hardware/networking/mpcie を元に類推して設定
SSHアクセスを可能にする
webuiで、System -> SSH access から、SSH Accessを有効にする。
なお、greenへのSSHアクセスは、blueのgatewayにSSH接続後そこからSSH接続する。
制御用PCからのwebui制御を可能にする
1. DHCPサーバーの設定
Network -> DHCP Server からIPの範囲 等を設定する
参考:https://wiki.ipfire.org/addons/wireless
2. blueゾーンにPCを登録する
Firewall -> Blue Access から、MACアドレスとアサインするIPアドレスを登録する
3. BlueからGreenにアクセス可能にする
Firewall -> Firewall Rules から、Incoming Firewall Accessの設定する。
制御用PCのIPアドレスからGreenへのアクセスを許可する
参考:https://wiki.ipfire.org/configuration/firewall/accesstoblue
サーバーへポート転送を行う
Firewall -> Firewall Rules から転送ルールを設定する
参考:https://wiki.ipfire.org/configuration/firewall/rules/port-forwarding/red_to_server_on_green
その他調整
1. サーバー側のIPアドレスを調節する。
固定アドレスからDHCPによる設定に変更し、ipfire側からMACアドレスから新しく設定するIPアドレスを割り当てる様にする
2. サーバーのIPアドレスの変更に伴い、apacheの’.httaccess’ファイルでのアクセス制御を調整
3. サーバーのIPアドレス変更に伴い、サーバーへのアクセス用ファイルを調整(例:hosts)
各機を再起動してテストして終了。
次は、firewall機能を設定していく。
windos7パソコンをwindows10に変えたのでその記録
背景
windows7がサポートされなくなり、アラームも出されることが起きてきたので、常用使用からはずしたPCがあった。廃棄や売却も考慮して、windows7で再セットアップしようとしたが、うまくいかず。理由は不明だが、再セットアップ用CD(DVD?)を作成してから時間が経ち、DVDドライブ変更やSSDに換装などのせいかも。
webでいろいろ初期化を調べていたところ、windows10にアップグレードできる事がわかったので、windows10に設定を引き継がずないオプションでアップグレードした。
PCの仕様
NEC製ValueStar Windows7 Home premium(64 bit) 8GBメモリー SSDに換装
事前確認
windows7のプロダクトキーを確認
- PC等に貼付されている証紙から確認 もしくは
- プロダクトキー抽出ソフトを使って確認
- EaseUS Key Finder 又は
- Windows Product Key Viewer
※ regeditからのHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion やコマンドプロンプトからのコマンド等では正しいキーを抽出できなかった
手順と注意
1. http://www.microsoft.com/ja-jp/software-download/windows10 にアクセスしてインストールUSBメモリーを作成する
※ 「このPCを今すぐアップグレードする」はエラーとなったので、上記方法を使う
2.上記USBメモリーからwindows10をインストールする。 途中の再起動の場面では、案内が表示されないがUSBメモリーを抜く。
また、アカウント作成の場面ではLANケーブルを抜く/wifiドングルを抜くなどすればskipできる
参考にさせていただいたサイト
V6プラス光回線でのVPNの設定までに、様々な問題に直面した。その顛末を残す。
前提となるネット環境
回線は、V6プラスセッションと固定IP(ipv4)セッション。V6プラス回線側にもraspberry piを接続し、そのraspiにwireguardでVPNを設置する。自宅外からVPN接続は、喫茶店のフリーwifiもしくはスマホ経由のテザリングを利用して自宅raspiに接続する事を想定している。
ONU: PR-S300SE ルーター: Aterm WG2600HS2 mobile sim: IIJmio (ipv6可能)
IPv4でwireguard設定トライとNG数々
wireguardを設定し、自宅では接続できたが、自宅外から試すもpingが返ってこない。 ここから、数々の試行が始まる。
・ルーターをオートecoモードにしていたせいでは?
ecoモードを無効にする。 ==> NG:変わらず
・raspi側でwifi落としているのでは?
raspiのpowerマネジメントをオフにする => NG:変わらず
・通信していないと切断されるのでは?
2分ごとにpingを送ってみる ==> NG:変わらず
・別の部屋に置いていたので電波強度が弱いとうまく行かない?
電波強度を50%から100%に戻す ==> NG:変わらず
・5G wifiだと切断されるのでは?
2.5G wifiに変えてみる ==> NG:変わらず
・念のためwifi切断があればリンクアップする
ping返らなければリンクアップ ==> NG:変わらず
※リンクアップ記録とっても発動なし
・wifiをあきらめて有線接続では?
有線接続に変更 ==> NG:変わらず
・帰宅後、ルータに繋がっているwindowsPCを起動してみる ==> 接続:変化あり
・帰宅後、raspiから外部(8.8.8.8)へping ==> 接続:変化あり
・そもそもwireguard用udpが届いているか?
ufw logでudp届いているかチェック ==>NG: 届いていない
(sudo ufw logging mediumが必要だった)
・ipv6ではどうか? ==>届いている
個人的見解その1
V6プラスでは一定時間外部へのアクセスが無いと、受信時IPv4へ変換する機能を停止しているのではないか。そのため、自宅へ繋がらない
この個人的結論の後、wireguardをipv6で運用を目指す事に方針変更した
IPv6でwireguard設定トライとNG数々
IPv6でwireguardを設定した。自宅wifiではwireguard接続はうまく動いた。 しかし、自宅外からトライすると、pingが返らない。 以降、新たな数々の試行が始まる。
・そもそも自宅からテザリングではどうか? ==>NG:状況変わらず
・ファイアウォールやフィルタリングのため?
ファイアウォールとフィルタリングを切る ==>NG:状況変わらず
・クライアント側wireguardソフトで受信パケット0B
・調べる方法が残り少ない
wiresharkでクライアント側を調べてみる ==>Handshake request以降見当たらず
wiresharkでサーバー側を調査 ==>Handshake requestを返している
・もしかして一時ipv6アドレスが関係?
一時ipv6アドレスの使用を止めてみる ==>NG:状況変わらず(wiresharkでも)
個人的見解その2
契約しているモバイルネットワーク経由では、フィルタリングか何かされておりHandshake responseは中継されない。
暫定処置
raspiから定期的に外部へアクセスし、IPv4でwireguard接続を行う。
宛先としては、他者に迷惑をかけないように、自宅固定IP(IPv4)アドレス内のサーバーへ、「nping -c 1 アドレス」をcronで行う。
結果
やった。ようやく自宅外からwireguard接続でき、pingも返ってきた。
おわった。長かった。バンザーイ。
V6プラスだけで自宅サーバーをうまく設定出来なかったのでV6プラス+PPPoE(IPv4)にした。その備忘録である
背景
これまでADSLでinternet接続を行ってきていたがADSLサービス停止に伴い、光回線に変更した。V6プラス接続である。しかし自宅サーバーにてwordpressを運用していたが、V6プラスだとポート番号に制限があるため、デフォールトのままだとwordpress運用をあきらめざるを得なかった。そこで、いろいろ試して最終的にPPPoE(IPv4)接続もできる様にした。
失敗1 IPv6でサーバーに到達できず
onu(prs300se)で、ipv6フィルタリングで透過が許可されていなくて出来なかった。これは、PR-S300SEのセキュリティーログで判明。 prs300seのIPv6フィルタリング設定で透過できる様にした。
(※最終形態では不要となった)
また、サーバーのファイアーウォールでIPv6からの受信を規制していたので必要分は開ける。
失敗2 インターネットに接続できず。
フィルタリング、最後の行ではあるがanyでtcpのinを拒否していたのがだめだった。この部分を削除したら、着信できた。
失敗3 wordpressがポート番号指定でうまく動作せず
ネットで調べて絶対パスから相対パスに変えてみたところ、画像表示は出来た。しかし、どうしてもリンクのところがうまくいかない。 結局、固定IPサービスを購入する事にした。
失敗4 pppoe(固定IP)にしても着信できず。
ipv4フィルタリング以外にnatエントリーの設定が必要であった
最終形態 V6プラス+pppoe(ipv4)で接続成功
最終的に以下の設定で接続できた
構成イメージ図
- v6プラスのメイン(ユーザーA)以外に、固定ip(pppoe(ipv4))(ユーザーB)を用意する。
- hubを用意する
- hubにNTTからのルーター機能付きonu(prs300se)と、v6プラス用ルーター(プロバイダーからレンタルされたもの:ルーターA)と元からあったipv6対応ルーター(ルーターB)を接続する。
- ルーターAをV6プラスの接続に設定する(ユーザーAで接続される)
- ルーターBをpppoeルーターとする。接続先は、ユーザーBで設定する。
動作がおかしいときは、変更したONUやルーターを再起動してみる
参考:機器構成
- ONU : PRS300SE
- ルーターA: Aterm WG2600HS2 (プロバイダーかNTTから送られてきた)
- ルーターB: TP-LINK Archer c80 (安価なIPV6対応ルーターなので選んだ)
- HUB : Elecom EHC-G05PA2-W (安価で、かつGbit対応だったので選んだ)
※ lanケーブルは全てカテゴリー5E以上にした。カテゴリー5は100Mbpsまで。
その他注意:ipv4フィルタリングとnatエントリーを確認
レンタルモバイルwifi機器を既設ルータに接続したので記録として残す
背景
ADSLのサービス停止が近づいたため光回線に換える事にした。しかし、回線工事当日になり工事都合により延期せざるを得なくなった。既にADSLの解約手続きをすましていたため、2週間強インターネット接続が出来ない。そのため、急遽モバイルwifiをレンタルしたが、有線lanの接続口が無く、そのままでは既設の有線によるPC、サーバー類が使えない。
行った事
- 安価なlanポート付きwifi中継器を購入(2310円)、
- 上記wifi中継器をwifiでモバイルwifiに接続
- モバイルwifiのローカルネットワークアドレスの範囲を確認
例: 192.168.123.100 - 192.168.123.200
- 既存ルータ側のWANアドレスを設定しなおす。
例: 192.168.123.123
gateway 192.168.123.1
dns 192.168.123.1
- wifi中継器と既存ルータをlanケーブルで接続
結果
これで、ポートマッピングを除いて今までの様に使える様になった。
速度はadsl時より低速だった。