ローカル側のルーターのアドレスを変更したらVPN(L2TP・IPSec)に接続できなくなった(Windows10)

投稿日: 2022-09-28 作成者: フジマル

ルーターのローカル側のアドレスを192.168.0.1から192.168.0.2に変更したら、今まで接続出来ていたVPN(L2TP)に接続が出来ない。勿論デフォルトゲートの設定とかルーターの再起動は行っている。
問題の切り分けをする為サーバー側のルーター(RTX830)のログを調べると、接続後、ユーザー名が入ると直ぐに接続が切れている??
2022/09/28 09:49:15: [IKE] respond ISAKMP phase to xx.xxx.xx.x
2022/09/28 09:49:15: [IKE] respond IPsec phase to xx.xxx.xx.x
2022/09/28 09:49:15: IP Tunnel[3] Up
2022/09/28 09:49:15: [L2TP] TUNNEL[3] connected from xx.xxx.xx.x
2022/09/28 09:49:15: [L2TP] TUNNEL[3] tunnel 9483 established
2022/09/28 09:49:15: [L2TP] TUNNEL[3] session 25118 established
2022/09/28 09:49:15: PP[ANONYMOUS02] Call detected from user ‘ユーザー名’
2022/09/28 09:49:15: [L2TP] TUNNEL[3] disconnect session 25118 complete
2022/09/28 09:49:15: [L2TP] TUNNEL[3] disconnecting tunnel 9483
2022/09/28 09:49:15: [L2TP] TUNNEL[3] disconnect tunnel 9483 complete
2022/09/28 09:49:16: [IKE] initiate informational exchange (delete)
2022/09/28 09:49:16: IP Tunnel[3] Down

接続が完了する時のログ
2022/09/28 10:52:06: [IKE] respond ISAKMP phase to xx.xxx.xx.x
2022/09/28 10:52:06: [IKE] respond IPsec phase to xx.xxx.xx.x
2022/09/28 10:52:06: IP Tunnel[7] Up
2022/09/28 10:52:07: [L2TP] TUNNEL[7] connected from xx.xxx.xx.x
2022/09/28 10:52:07: [L2TP] TUNNEL[7] tunnel 15992 established
2022/09/28 10:52:07: [L2TP] TUNNEL[7] session 46664 established
2022/09/28 10:52:07: PP[ANONYMOUS03] Call detected from user ‘ユーザー名’
2022/09/28 10:52:08: PP[ANONYMOUS03] PPP/IPCP up (Local: 192.168.0.1, Remote: 192.168.0.158)
接続が出来る場合はユーザー名の後に、DHCP(IPCP?)の払い出しで、サーバーのローカルIPが与えられている。
こうなると多分サーバー側では無く(最初から見当は付いていたが、だってローカル側のルーターのアドレス変更前は繋がっていたのだから)
google先生を探しまくって、やっと見つけた(https://nakada-r.com/2020/05/vpn-trouble-4/)
つまりデバイスマネージャーでminiportを削除する。私の場合は
WAN miniport(IP), WAN miniport(L2TP), WAN miniport(PPTP)の3つを削除し、再起動すると、これらのminiportが自動でインストールされ、VPNに繋がるようになった。

カテゴリー: Linux運用時のメモ | コメントする

Ubuntuのrootユーザーで出来ないこと

投稿日: 2022-09-24 作成者: フジマル

ubuntuはセキュリティーの為にrootにいろいろな制限が入っているらしい。調べたわけでは無いが、自分がやってみて出来なかった事。
# gedit が出来ない >>  $ sudo gedit は出来る
# ls -ls /root で隠しファイルが表示されない >>  $ sudo ls -la /root では表示される
# nautilus で cannot open displayになりノーチラスが出来ない >> $ sudo nautilus は出来るが、やはり/rootに隠しファイルが表示されないので、$ sudo ls -la /rootで見るしかない

CentOSに慣れているので色々不便極まりない。セキュリティーを取るか利便性を取るか!!
良いこともある:vi がCentOSより便利。下によく使うコマンドが表示され(ctrl+なにかのキー)で便利。いちいち esc : コマンドをやらなくて良いし、最初からinsert mode になっている。

カテゴリー: Linux運用時のメモ | コメントする

Ubuntuでssh経由でrsyncをcronでやる

投稿日: 2022-09-23 作成者: フジマル

ubuntuでは起動時には一般ユーザなので少し複雑。と言うのも一般ユーザでsudoを付けても今いるディレクトリーはユーザーのhomeである。その辺がこんがらがる元だった
cronでrsyncを使うが、パスワードを聞かれないようにする(sudoするのでユーザはroot)
まずは鍵を作る(サーバー側のsshやrsyncは設定済み)ubuntuのrootのパスワードは設定済み
$ su –
# mkdir .ssh
# ssh-keygen
どこに保存するか聞かれるので、/root/.ssh/id_rsaを指定、パスフレーズはエンターだけで進む。
.sshに出来たid_rsa.pubを何らかの方法でサーバーのに入れるが、私はg-mailのWEB mailでid_rsa.pubを添付し自分から自分に送って、サーバー側のブラウザでg-mailを開き、/root/.ssh/に保存。ファイル名をauthorized_keysに変更、もしすでにauthorized_keysがあればその最後にコピー(gmailを使う理由、サーバー側のsshはパスワードログインを許して無い、そしてauthorized_keysにubuntuのキーが入っていないので、他のコンピュータからscpをしないとならない)
rsync時にパスワードを聞かれないように
$ sudo visudo
root ALL=NOPASSWD: /usr/bin/rsync
を最後に追記。つぎにrsync-excludeとrsyncd.passwdを作成
$ sudo gedit /etc/rsync-exclude
rsyncで同期した時コピーしなくていいファイル
/.Trash-0/
/lost+found/
.recycle/ など
$ sudo gedit /etc/rsyncd.passwd
rootのパスワードのみを記入
このパスワードはサーバーのrsyncd.secretsに登録しているrootのパスワード
$ sudo chmod 600 /etc/rsyncd.passwd
ホームにRsyncActionを作る
$ gedit RsyncAction
sudo rsync -av -e “ssh -p SSHのポート -i /root/.ssh/id_rsa” –exclude-from=/etc/rsync-exclude –password-file=/etc/rsyncd.passwd rsync://root@サーバーのIP:/サーバーのrsyncd.confで指定したディレクトリ/ /同期されるディレクトリ
別のサーバーの設定も記入
ここで重要なのはrsync://root@サーバーのIP:/サーバーのrsyncd.confで指定したディレクトリ/ の最後の / これが無いと同期されるディレクトリの下に同期する。
rootになり、/etc/cron.dにプログラムを記入
$ su –
# echo “10 7,9,11,13,15,17,19,21 * * * ユーザー名 /home/ユーザー名/RsyncAction” >/etc/cron.d/rsync
# exit
これで7時から21時まで、毎時10分に同期される。

カテゴリー: Linux運用時のメモ | コメントする

今度はえきねっとダー

投稿日: 2022-08-22 作成者: フジマル


上の画像の①は差出人 support@eki-net.com となっているが実は偽造されている。調べる方法はあるが、専門的になるので割愛。でもって②は何かというと紫字の”ログインはこちら”にマウスを持って来ると表示され(スマホは長押し)、これは実際に飛ぶ所。つまりhttps://eki-nep.3utilities.comに飛ぶんだ。ここで大事なのは最後の二つ、つまり3utilities.com がドメインであるが、ここはえきねっとじゃないね!!ちなみにクリックすると出るのが下の画像。ここで大事なのは赤線の所。つまり3utilities.comというドメインで”えきねっと”では無いぞ!!絶対にクリックしてはダメ
ちなみにえきねっとのドメインは eki-net.com だよ
解りにくいが、https://の後に出る、最初の/の前、この場合は3utilities.comでその前のeki-nep(eki-netと書くつもりが間違っているが)はどうにでも出来るので信用してはいけない。

カテゴリー: 危険メールや手紙、IP | コメントする

今度はヨドバシ

投稿日: 2022-08-22 作成者: フジマル


何度も同じことを書く破目に、これだけ悪い奴が多い
①は差出人の表示だが@の前は無視、肝心なのは@以降の部分。これがインターネットの重症に当たるドメインと呼ばれている物、特に最後に注目 .cn になっているがこれは中国、ヨドバシカメラが中国のドメインを使うはずがない。
ただ、ここは改ざん出来るので、たとえ yodobashi.com になっていても信用してないけないが、今回は偽造は無く、中国だと自分で明かしているので、この時点でこいつは悪者!!
②は青字の所にマウスを持って来ると(スマホはここを長押し)表示される文字である。これは何かというと青字の所をクリックすると、飛ぶ先を表示している。
つまり https://www.yodobashi.com/info と表示はされているが、実際には https://stauff.sneakerhome.cn/stale に飛ぶぞー。ここでもsneakerhome.cnがドメインなので中国だー。絶対にクリックしない事

カテゴリー: 危険メールや手紙、IP | コメントする

またまたAMAZONが狙われた

投稿日: 2022-08-19 作成者: フジマル


いつも言っているが、①の所は差出人だが、これはアマゾンでは無い
Amazon.co.jp<lzxagbxw@service.eckogw.cn>となっているが最初のAmazon.co.jpは何にでも出来る。例えばメアドの最初はアルファベッドなので、漢字で鈴木にすることが出来る。それと同じなので惑わされないように、肝心なのは@マーク以降の特に最後.cnとなっていて、これは中国からだ!!日本のアマゾンが中国のメアドは絶対使わない。②は黄色地の所有権の証明にマウスを持って来た時に表示が出るものです(携帯は長押し)https://translate.google.com/translate?………….. となっている。最近までは中国のWEBに飛びそこでパスワードなどを入れさせたが、ここ最近はgoogleの翻訳ページを使って入れさせる、これはAMAZONではない。絶対にクリックしても入力はしないように。

カテゴリー: 危険メールや手紙、IP | コメントする

letsencrypt の更新で躓いた

投稿日: 2022-08-18 作成者: フジマル

WEBサーバーはapacheを使い、複数のWEBを運用している。そして先日DRBDを導入し、運用している。ここで問題、apacheはDRBDから起動しているので、systemctl status httpd ではFailed になる(当たり前)なのでletsencrypt のstandalone モードでは不可能だ(Error while running apachectl graceful.になる。当たり前、systemctl から起動はしていないので)尚かつ万が一apache をストップしても、DRBDがセカンダリーをプライマリーにして、サーバーは落ちない。

なので、standalone では無くwebroot でやるしかないが、私は standalone で作成したので webroot に変更する方法を探したら、https://blog.apitore.com/2016/08/06/lets-encrypt-standalone-webroot/ にヒントが在った。
でもこれはWEBが一つの場合で複数の場合では無い。因みに一つだけで設定をすると
Failed to renew certificate aarah.info-0001 with error: Missing command line flag or config entry for this setting:
Input the webroot for aarah.info:
というエラーが出た。複数のWEBはどうするのか、再度調べる。
https://community.letsencrypt.org/t/lets-encrypt-renewal-simulation-problem/43784/4 にその答えが在った。つまり複数のWEBの場所を [[webroot_map]] に記入すればよい。webroot-path は代表の一つでいいみたい。最終的に私の /etc/letsencrypt/renewal/aarah.info.conf は

# renew_before_expiry = 30 days
version = 1.11.0
archive_dir = /etc/letsencrypt/archive/aarah.info
cert = /etc/letsencrypt/live/aarah.info/cert.pem
privkey = /etc/letsencrypt/live/aarah.info/privkey.pem
chain = /etc/letsencrypt/live/aarah.info/chain.pem
fullchain = /etc/letsencrypt/live/aarah.info/fullchain.pem

# Options used in the renewal process
[renewalparams]
   # authenticator = apache
   #installer = apache
   account = b9af5964365d5f0641d47c2fb75dbbb3
   manual_public_ip_logging_ok = None
   server = https://acme-v02.api.letsencrypt.org/directory
   authenticator = webroot
webroot-path = /XXX/public/aarah,
[[webroot_map]]
      aarah.info = /XXX/public/aarah
      inpac.jp = /XXX/public/inpac
      inpactours.jp = /XXX/public/inpactours
      kinryo.net = /XXX/public/kinryo
      opengarden.info = /XXX/public/opengarden
      www.aarah.info = /XXX/public/aarah
      www.inpac.jp = /XXX/public/inpac
      www.inpactours.jp = /XXX/public/inpactours
      www.kinryo.net = /XXX/public/kinryo
      www.opengarden.info = /XXX/public/opengarden
一部伏せ字
その後
# certbot renew –dry-run
ドライランを付けテスト。この時どういう分けかkinryo.netでエラーがでる
Failed to renew certificate kinryo.net with error: Missing command line flag or config entry for this setting:
Input the webroot for kinryo.net:
だが、ドライランを付けずに
# certbot renew
で本ちゃんでやるとエラーは出ずに
Congratulations, all renewals succeeded:
   /etc/letsencrypt/live/aarah.info-0001/fullchain.pem (success)
   /etc/letsencrypt/live/kinryo.net/fullchain.pem (success)
   /etc/letsencrypt/live/kinryokai.net-0001/fullchain.pem (success)
   /etc/letsencrypt/live/kinryokai.net/fullchain.pem (success)
とエラーなく終了した。この原因は不明

だがこれではDRBDでプライマリーとセカンダリーが入れ替わた時、現在のletsencrypt の設定が入っていないのでエラーになる。なのでrsync で同期をして置く。
コピー先の/etc/rsyncd.conf に
[letsencrypt]
path = /etc/letsencrypt
authusers = root
secrets file = /etc/rsyncd.secrets
read only =no
を追記し、rsyncdをリスタートしておく。
そして、コピー元でドライランをする(nがドライラン)
# rsync -avn /etc/letsencrypt/ rsync://root@192.168.xx.xx/letsencrypt
パスワードを聞かれるが、これはコピー先の/etc/rsyncd.secrets に設定してあるrootのパスワードを入力の事、のログインパスワードでは無い
エラーが無いことを確かめて、本ちゃんの同期
# rsync -av /etc/letsencrypt/ rsync://root@192.168.xx.xx/letsencrypt
これで同期が出来る。

自分への覚書
* certbotの証明書の表示
# certbot certificates

* certbotでメールサーバーの証明書の更新
# certbot certonly –dry-run -d mail.kinryo.net →ドライランでテスト
その後下記のように聞かれるので
1: Apache Web Server plugin (apache)
2: Spin up a temporary webserver (standalone)
3: Place files in webroot directory (webroot)
Select the appropriate number [1-3] then [enter] (press ‘c’ to cancel): 3 と入力
場所を聞かれるので、kinryo.netのWEBの場所を入力(メールを保存している場所では無い)
Input the webroot for mail.kinryo.net: (Enter ‘c’ to cancel): /XXXXX/public/kinryo
これで成功するので、ドライランを外して、本ちゃんの更新をする。
その後、secondary側の/etc/rsyncd.conf も同じ様に変更して置くこと。

カテゴリー: Linux運用時のメモ | コメントする

WP Photo Album Plusを有効化するとエラー

投稿日: 2022-08-06 作成者: フジマル

画面上部に [WPPA+ dbg msg: Photo 0 does not exist in call to wppa_get_picture_html(). Type = From : wppa-picture.php line: 44 in function wppa_get_picture_html – wppa_initialize_javascript – apply_filters – do_action]
とエラーが出る。この長いエラーでgoogleさんに尋ねるとものすごく沢山ヒットするが、ほぼ全部同じエラーを出しているサイトで、参考にならない!!
WP Photo Album Plusのバージョンは 8.2.04.009でした。

ワードプレスをインストールしたディレクトリの直下にあるwp-config.phpにはdefine( ‘WP_DEBUG’,false ); となっているので、php関連のエラーは出ないはずだが、どういう訳か上記の様にエラーが出る。
なので、取り合えずプラグインのインストール済みのプラグインから、WP Photo Album Plus を無効化しエラーを消した。

カテゴリー: WordPress関連メモ | コメントする

又もAMAZONが狙われた。気を付けて

投稿日: 2022-07-22 作成者: フジマル


これは危険なメールなので絶対に”所有権の証明”の所をクリックしてはダメ。
危険なメールの見分け方。
①を見て欲しい。これは送信者の表示だが、dsnux@service.drbtgu.cn となっている。ここで大事なのは最後の二つの部分 drbtgu.cn の特に最後 .cn これは中国である。日本のアマゾンが中国から送るわけは無い!!ただ気を付けて欲しいのはこの部分は偽造できるので信頼してはダメ。今回は偽造されていないが
次は②の部分この表示は所有権の証明にマウスを持って来ると表示が出てくる(スマホの場合は長押し)https://morning-credit-5c……..workers.dev/ となっていて。送り主のドメイン( drbtgu.cn)にはなっていない。ちなみにクリックすると https://game.bkhnnepym.cn/ に飛んだ。またしてもドメインが違う。これは悪さをする奴がする手口。ドメインをあちこち飛び回る。勿論AMAZONでもない
絶対にクリックしない事

カテゴリー: 危険メールや手紙、IP | コメントする

block drbd0: Unrelated data, aborting! とエラーが出た

投稿日: 2022-07-10 作成者: フジマル

今日、primary 側が StandAlone になっていたので、Secondary 側で
# drbdadm – –  – -discard-my-data connect r0
で primary 側で
# drbdadm connect r0
としても、両方共 StandAlone のままだ!なのでログを見る(抜粋 /var/log/message)と
kernel: block drbd0: uuid_compare()=-1000 by rule 100
kernel: block drbd0: Unrelated data, aborting!
となっている!。どうも又メタデーターがおかしいみたい。
なので、Secondary 側で(参考:https://support.sciencelogic.com/s/article/3518)DRBDを止め、作業をする。
# systemctl stop drbd
# drbdadm down r0
# drbdadm wipe-md r0
Do you really want to wipe out the DRBD meta data?
[need to type ‘yes’ to confirm] yes
Wiping meta data…
DRBD meta data block successfully wiped out.
Do you really want to wipe out the DRBD meta data?
[need to type ‘yes’ to confirm] yes
Wiping meta data…
DRBD meta data block successfully wiped out.
# drbdadm create-md r0
md_offset 53687087104
al_offset 53687054336
bm_offset 53685415936

Found xfs filesystem
52427164 kB data area apparently used
52427164 kB left usable by current configuration

Even though it looks like this would place the new meta data into
unused space, you still need to confirm, as this is only a guess.

Do you want to proceed?
[need to type ‘yes’ to confirm] yes

initializing activity log
initializing bitmap (1600 KB) to all zero
Writing meta data…
New drbd meta data block successfully created.
success
md_offset 53687087104
al_offset 53687054336
bm_offset 53685415936

Found xfs filesystem
52427164 kB data area apparently used
52427164 kB left usable by current configuration

Even though it looks like this would place the new meta data into
unused space, you still need to confirm, as this is only a guess.

Do you want to proceed?
[need to type ‘yes’ to confirm] yes

initializing activity log
initializing bitmap (1600 KB) to all zero
Writing meta data…
New drbd meta data block successfully created.
success
# drbdadm up r0
# drbdadm disconnect r0
# drbdadm connect r0
# cat /proc/drbd
version: 8.4.11-1 (api:1/proto:86-101)
GIT-hash: 66145a308421e9c124ec391a7848ac20203bb03c build by mockbuild@, 2020-04-05 02:58:18
0: cs:SyncTarget ro:Secondary/Primary ds:Inconsistent/UpToDate C r—–
ns:0 nr:7700 dw:23928 dr:0 al:8 bm:0 lo:0 pe:0 ua:0 ap:0 ep:1 wo:f oos:52407248
[>………………..] sync’ed: 0.1% (51176/51184)M
finish: 14:09:11 speed: 996 (996) want: 1,480 K/sec
1: cs:SyncTarget ro:Secondary/Primary ds:Inconsistent/UpToDate C r—–
ns:0 nr:16384 dw:49500 dr:0 al:8 bm:0 lo:1 pe:1 ua:0 ap:0 ep:1 wo:f oos:52378012
[>………………..] sync’ed: 0.1% (51148/51164)M
finish: 6:12:36 speed: 2,340 (2,340) want: 3,880 K/sec
とシンクロが始まった。

カテゴリー: DRBDに挑戦(CentOS7) | コメントする