HOME LANを拡張 (5)
HOME LAN拡張つづき
ファイアウォール設定。
友人のPCサーバからはインターネット以外接続は必要ない。間違って不正アクセスになってもいけない(おたがいに)ので既存のLANとの通信は禁止しておく。ただ障害時などのテスト用にpingだけは許可、ただし宛先は既存(上位)ルータと既存LAN内のサーバのみ。
dd-wrtに強力な(?)firewall機能があるのだが細かく調べるのは骨なのでとりあえずそれはオフにして、必要な制限だけをする。
Security > Firewall
dd-wrtのiptablesで設定できるのだが、いきなり設定保存してリブートすると失敗したときに修正のためのアクセスができなくなる危険があるので、コマンドラインで確認してから設定を確定する。(実際コマンドラインでのテストではまった)。テストしているところの画面は省略してfirewall設定は下記:
Administration > Commands > Firewall Command
192.168.129.102はサーバのアドレス。
192.168.129.254は既存ルータのアドレス。
追加LANセグメントから外へのpingが通らないのでしらべたところ既存ルータでブロックしていたので、許可の設定を追加。ipoeでトンネルインタフェースがありそこに。
ip filter 400100 pass * 192.168.130.0/24 icmp * *
ip tunnel secure filter in …….400100
これで完成。
(つづく)
HOME LANを拡張 (4)
HOME LAN 拡張つづき
ルーティングの設定。
NATを入れる必要もないし入れたくないので、Operating ModeをRouterに設定する
Setup > Advanced Routing > Operating Mode
既設LANのルータ(インターネットルータ)に新しい追加セグメントへのルーティングを追加する。(既存のルータはRTX830)
ip route 192.168.130.0/24 gateway 192.168.129.229
(つづく)
HOME LANを拡張 (2)
LANセグメントを追加する件つづき。
dd-wrtルータの基本設定。
作成する新しいLANセグメント側からアクセスして設定することにし、ノートPCをケーブルでdd-wrtに接続する。DHCPで192.168.1.xx/24が降って来るのでhttp://192.168.1.1/でアクセスする。User IDとパスワードを設定しろというので設定する。UserIDにはadminとでもしておくか。
web UIだけでは設定が面倒になるのでコマンドラインアクセスのためSSHdをEnableしておく。 Services > Services
SSHでアクセスするときは前項で設定したUserIDに関係なくrootでログインする必要がある。これで少しはまる。(https://forum.dd-wrt.com/wiki/index.php/SSH)
LAN側のIPアドレスを設定する。デフォルトの192.168.1.0/24はすでにホームゲートウェイ(ひかり電話用)が使っているので192.168.130.0/24に変更。 Setup > Basic Setup > Network Setup
設定反映のためdd-wrtをリブート、PCに新しいIPアドレスが降って来る。
(つづく)
SSHでアクセスするときは前項で設定したUserIDに関係なくrootでログインする必要がある。これで少しはまる。(https://forum.dd-wrt.com/wiki/index.php/SSH)
LAN側のIPアドレスを設定する。デフォルトの192.168.1.0/24はすでにホームゲートウェイ(ひかり電話用)が使っているので192.168.130.0/24に変更。 Setup > Basic Setup > Network Setup
設定反映のためdd-wrtをリブート、PCに新しいIPアドレスが降って来る。
(つづく)
HOME LANを拡張 (1)
しばらくHOME LANもいじってなかったが、友人のPCサーバを預かることになり、隔離したLANセグメントが好ましいので作成する。置き場所を選ぶ(テレビのケーブルが必要)上そこにLANケーブルを敷設したくないので、イーサネットコンバータで既設のWiFiアクセスポイントに接続する。
イーサネットコンバータには安物のWiFiルータ(ノベルティでもらったTP-Link MR3020)をdd-wrt化して使用。
最近ネットワークの作業をしてなかったのとdd-wrtのことをよく読んでいなかったので結構はまる。ネット記事をグーグル検索しても同一LANセグメントで延長する記事しか見つからなかった。そもそもパクリはよくない、と調べなおして自分で考えて設定することにした。
まずはdd-wrt化だが、https://dd-wrt.com/support/router-database/からイメージをダウンロードして入れ込めばよい...のだがずいぶん前にやって放置していたので記憶がない。何が入ってるかわからなかったがfactory reset(ボタン長押し)でdd-wrtで立ち上がったのでまあいいか。
(つづく)
自分ITのゆくえ
20年以上独自ドメインでメールやウェブのサーバーを運用している。20年前から進歩していなくて、最近のやり方はとんと知らない。特にウェブはHTTP5とかスタイルシートとか、java scriptとか、何もできなくて、昔覚えたhtmlタグで静的ページを作るだけ。公開してるのはごく一部で、多くは自分のためのページ。日記とか、やったことの記録とか、それでもずいぶん重宝している。メールの方は独自ドメインで送受信、spf, DKIM, DMARC, Virusチェック、SpamAssassin、メーリングリスト、そういう感じで運用していて、妻も使っている。二人ともGmailもあるからそちらに移行してもいいのだが、連絡先を更新して友人、仕事関係、各所に知らせるのも大変だし、メーリングリストは結構役に立っている。
しかし運用管理も大変で、LinuxもRHEL > Vine > Centos 5-6-7と3-5年に一回入れるたびにその上のアプリ(メール、メーリングリスト、ウェブサーバ)も置き換えとデータ移行が必要で、加齢もあってもうやる気力が低下してきている。しかし突然途絶えるわけにもいかず、大事なメール(銀行とか)が受け取れなくなったら困るので維持していかないといけない。
さらに歳をとって全然できなくなる前にソフトランディングしないといけないのだが、蓄積してきたデータをどうするのか。メールウェブはクラウド上のサーバに移行したがローカルなファイルサーバはもっと大変。バックアップやDRも考えないといけない。
自分IT、いつまで続けらえるかとても心配。
Windows 10 ファミリーセーフティ
息子はもう成人して働いていて、彼のPCを管理はしていないけれど、とある団体のPCの影の管理者をやっている。アップデートやインストールでインターネットは必要なのだが、本来このPCはワープロだけが目的のものなので、ウェブブランジングはごく一部の必要なものだけを許可する設定にしている。
そこでファミリーセーフティなのだが、Windows 7/8.1の場合はローカルに設定できて細かいアクセスコントロールができたのが、Windows 10になるとマイクロソフトアカウントを紐づけてMSのクラウド側で設定が必要。
それもまあしょうがない、一応は許可・拒否の設定が出来たのでよしとする。ちなみにちまたの会計(https://www.timakai.com/)で会計をつけるようになったのでアップデートの他にもネットアクセスが必要になった。
さて、また別の、ある業者の請求書をネットで送るサービス、というやつが導入されて、そのサイトにアクセスが必要になった。ファミリーセーフティで許可すれば即OK,と思ったのだが全然反映されない。まる一日悩んで試行錯誤した結果、アカウントをいったん管理者に昇格させ、それでEdgeでアクセスするとアクセスできるようになった。サインアウトして標準ユーザに戻し、再度アクセスしてもアクセスできる。
どうやらファミリーセーフティでの設定変更をローカルに反映するのに管理者権限がいるようだ(想像)。しかしファミリーで子どもに設定しているアカウントを管理者にするというのは考えにくく、もし想像通りならこのファミリーセーフティ機能到底使い物にならないな。
ググってみても解決していない記事ばかりで参考にならなかった。
https://answers.microsoft.com/ja-jp/windows/forum/windows_10-security-winpc/windows-10/8a31f98c-2c5c-49eb-bda6-d80cee42bb4a
https://answers.microsoft.com/en-us/windows/forum/all/cant-disable-family-safety-screen-time/0a87e22a-0906-4a84-8800-d78cffb3a064
