Thinkpad X1 Carbon 本体ディスプレイが表示しない
Thinkpad X1 Carbon Gen6 を愛用している。3年保証付きで買ったが早いものでもう保証は切れて半年以上経っていた。
Thinkpad X1 Carbon Gen 6 マシンタイプモデル 20KHCTO1WW
https://pcsupport.lenovo.com/で検出するとしっかり保証期間外と出る。
Windows 10 Pro (64bit), i7-8650U @1.90GHz, 16GB RAM, 500GB SSD, Wide Viewing 2560x1440 on Intel UHD Gaphics 620
しばらく前から本体ディスプレイが表示しないトラブルがある。起動しても画面真っ暗、だがキーには反応がある。外部ディスプレイを接続すると映っている。
検索しても、「ケーブルはつながってるか」「フレキケーブルが破損したんじゃないか」「LCDのハード故障では」などと出てきて、解決しない。ディスプレイドライバを更新しろというが最新版になっていて更新できない。
-- 起動してカバーを閉じた状態(スリープ)で放置してあったが開いても画面表示せず。外部ディスプレイ(HDMI>VGA, USB-C)には映るのでシャットダウンする。
-- セーブモードでブートすると本体ディスプレイ表示できる。シャットダウンして通常ブートすると映らない。
-- 映らないときに外部ディスプレイで「ディスプレイ設定」をみると、モニタ1(本体ディスプレイ)が「アクティブではありません」となる。
-- 何度もブートしてたまに復帰(本体ディスプレイで立ち上がる)することがあり、その状態でシャットダウン、リブートして使えたりする。
-- しかしまた映らなくなった。ブートアップした時画面全体に表示されない(4:3くらいに映る)状態だったがログインしようとしたところ表示が消えた。
-- USB-C経由外部LCDで起動し、バッテリー消費状態(モニタオフやスリープしない設定)にしてバッテリーが放電するまで放置
-- バッテリー放置後12時間くらいしてから起動したら本体ディスプレイに表示した。 << イマココ(2022.1.15 09:40)
Lenovo ThinkServer TS-140
ヤフオクを眺めていて、まあ安いかなというサーバを気まぐれで落札。とりあえず用途がないので遊びに使おうというところだが、手元のHDDを追加したらそいつが不良セクタありでRAIDがdegradeになっている。なんのこっちゃ。
Personalities : [raid1] [raid6] [raid5] [raid4]
md123 : active raid5 sda6[0] sdb6[1] sdc6[3](F)
3355441152 blocks super 1.2 level 5, 512k chunk, algorithm 2 [3/2] [UU_]
bitmap: 3/13 pages [12KB], 65536KB chunk
md124 : active raid5 sdb1[1] sda1[0] sdc1[3](F)
314570752 blocks super 1.2 level 5, 512k chunk, algorithm 2 [3/2] [UU_]
bitmap: 2/2 pages [8KB], 65536KB chunk
md125 : active raid5 sdc2[3](F) sdb2[1] sda2[0]
104921088 blocks super 1.2 level 5, 512k chunk, algorithm 2 [3/2] [UU_]
bitmap: 1/1 pages [4KB], 65536KB chunk
md126 : active raid1 sdc5[2] sda5[0] sdb5[1]
307200 blocks super 1.2 [3/3] [UUU]
bitmap: 0/1 pages [0KB], 65536KB chunk
md127 : active raid1 sdc3[2] sdb3[1] sda3[0]
33553408 blocks super 1.2 [3/3] [UUU]
unused devices:
dd-wrtでOpenVPN (13)
その後本運用を開始して不具合対応や要望対応するなかで変更をしたのだが、めんどくさくなってブログの更新をしていない。
記憶による変更点:
- クライアントによってやれることに制限をするため、クライアント別コンフィグ(/tmp/openvpn/ccd)に設定する。接続時にpushする経路(routing)を変える、付与するIPアドレスを特定する
- iptablesを細工して特定クライアントから接続できる先を限定的に増やす
- リモートアクセスで使う帯域を制限
- 外部のマシンから定期的に接続、内側へpingして正常性確認、障害時メール通知
友人のアクセス用に始めたことではあったが自分でも家庭内LANにあるマシンやデータにアクセスできるようになってこれは便利。
dd-wrtでOpenVPN (12)
Windows XP からの接続
出来上がったOpenVPNサーバにWindows XPから接続したい。
そもそもウチの中のあるネットワークセグメントに友人のサーバを設置して、そこへリモートアクセスしたいというのが目的なのだが、アクセス元がXPだということで。自分のマシンではないし事情があってXPを使っているので、希望はかなえる必要がある。XPそのもの、OpenVPNクライアントいずれにもセキュリティの問題があるが、その辺は別途対応する。
- OpenVPN for Windows GUIの最新版(2.5.x)はXPに対応していないので、古いバージョン(2.3.x)を使う必要がある。
- OpenVPN for Windows GUI 2.3.x版は公式サイトのダウンロードには載っていない。古いバージョンを掲載しているサイトを探してダウンロードする。
- OpenVPN for Windows GUI 2.3.x版の設定ファイルを作るが、現行のキーワードやサイファーで対応していないものがあるので変更が必要。
proto udp4 > udp
data-cipher > 指定できない
cipher: AES-256-CBC --> AES-128-CBC
Auth: SHA256 --> SHA1
- OpenVPNサーバ側の設定も変える。
Cipher: AES-256-CBC --> AES-128-CBC
Hash Algorithm: SHA256 --> SHA1
(まだ書くことありそうな)
dd-wrtでOpenVPN (11)
LANにアクセスできない
ルータのLAN側にWindowsテストマシンを設置、外部からOpenVPNアクセスしてテストマシンに接続できない。
tracertすると外部からはdd-wrtまで届いてそのあとがlost
テストマシン側からtracertすると第一ホップ(dd-wrt)からも返事がない
ルータ内でブロックされている。
半日かけて調べていくとiptablesでルールが追加されている。
root@DD-WRT:/tmp/openvpn# iptables -t raw -L -n --verbose
Chain PREROUTING (policy ACCEPT 1275 packets, 249K bytes)
pkts bytes target prot opt in out source destination
12 1008 DROP all -- !tun2 * 0.0.0.0/0 10.10.1.0/24
26813 14M CT all -- * * 0.0.0.0/0 0.0.0.0/0 NOTRACK
26797 14M CT all -- * * 0.0.0.0/0 0.0.0.0/0 NOTRACK
Chain OUTPUT (policy ACCEPT 214 packets, 28144 bytes)
pkts bytes target prot opt in out source destination
/tmp/openvpn/route-up.shで追加されていることがわかった
root@DD-WRT:/tmp/openvpn# cat route-up.sh
#!/bin/sh
cat << EOF > /tmp/openvpnsrv_fw.sh
#!/bin/sh
iptables -t raw -D PREROUTING ! -i $dev -d $ifconfig_local/$ifconfig_netmask -j DROP
iptables -t raw -I PREROUTING ! -i $dev -d $ifconfig_local/$ifconfig_netmask -j DROP
EOF
chmod +x /tmp/openvpnsrv_fw.sh
/tmp/openvpnsrv_fw.sh
これはセキュリティ対策でCVE-2019-14899 MitigationをEnableしていると設定される。このオプションをDisableすると:
root@DD-WRT:/tmp/openvpn# cat route-up.sh
#!/bin/sh
cat << EOF > /tmp/openvpnsrv_fw.sh
#!/bin/sh
EOF
chmod +x /tmp/openvpnsrv_fw.sh
/tmp/openvpnsrv_fw.sh
何のためにやってるのかなど参考記事:
https://svn.dd-wrt.com/ticket/6928
DDWRT OpenVPN Server Setup Public v1.94.pdf page 10
(とりあえず了かな?)
(まだつづく)
dd-wrtでOpenVPN (10)
MTU (2)
下記を参考に変更、大きなパケットでも通るようになった。
https://vogel.at.webry.info/201504/article_10.html
サーバ(dd-wrt)側
クライアント(Ubuntu)側
結果
$ ping 10.10.1.1
PING 10.10.1.1 (10.10.1.1) 56(84) bytes of data.
64 bytes from 10.10.1.1: icmp_seq=1 ttl=64 time=2.95 ms
64 bytes from 10.10.1.1: icmp_seq=2 ttl=64 time=2.52 ms
^C
--- 10.10.1.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 2.525/2.737/2.950/0.218 ms
$ ping -s 1300 10.10.1.1
PING 10.10.1.1 (10.10.1.1) 1300(1328) bytes of data.
1308 bytes from 10.10.1.1: icmp_seq=1 ttl=64 time=2.73 ms
1308 bytes from 10.10.1.1: icmp_seq=2 ttl=64 time=3.09 ms
^C
--- 10.10.1.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1002ms
rtt min/avg/max/mdev = 2.739/2.916/3.093/0.177 ms
$ ping -s 1400 10.10.1.1
PING 10.10.1.1 (10.10.1.1) 1400(1428) bytes of data.
1408 bytes from 10.10.1.1: icmp_seq=1 ttl=64 time=3.53 ms
1408 bytes from 10.10.1.1: icmp_seq=2 ttl=64 time=3.18 ms
--- 10.10.1.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1002ms
rtt min/avg/max/mdev = 3.183/3.361/3.539/0.178 ms
$ ping -s 1500 10.10.1.1
PING 10.10.1.1 (10.10.1.1) 1500(1528) bytes of data.
1508 bytes from 10.10.1.1: icmp_seq=1 ttl=64 time=3.58 ms
1508 bytes from 10.10.1.1: icmp_seq=2 ttl=64 time=3.39 ms
1508 bytes from 10.10.1.1: icmp_seq=3 ttl=64 time=3.13 ms
1508 bytes from 10.10.1.1: icmp_seq=4 ttl=64 time=3.65 ms
^C
--- 10.10.1.1 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3007ms
rtt min/avg/max/mdev = 3.137/3.441/3.652/0.198 ms
$ ping -s 2000 10.10.1.1
PING 10.10.1.1 (10.10.1.1) 2000(2028) bytes of data.
2008 bytes from 10.10.1.1: icmp_seq=1 ttl=64 time=3.46 ms
2008 bytes from 10.10.1.1: icmp_seq=2 ttl=64 time=7.05 ms
^C
--- 10.10.1.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 3.460/5.255/7.050/1.795 ms
$ ping -M do -s 2000 10.10.1.1
PING 10.10.1.1 (10.10.1.1) 2000(2028) bytes of data.
ping: local error: Message too long, mtu=1400
ping: local error: Message too long, mtu=1400
ping: local error: Message too long, mtu=1400
^C
--- 10.10.1.1 ping statistics ---
3 packets transmitted, 0 received, +3 errors, 100% packet loss, time 2032ms
$ ping -M dont -s 2000 10.10.1.1
PING 10.10.1.1 (10.10.1.1) 2000(2028) bytes of data.
2008 bytes from 10.10.1.1: icmp_seq=1 ttl=64 time=4.00 ms
2008 bytes from 10.10.1.1: icmp_seq=2 ttl=64 time=4.46 ms
^C
--- 10.10.1.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1002ms
rtt min/avg/max/mdev = 4.003/4.232/4.462/0.238 ms
(とりあえず了) (つづく)
下記を参考に変更、大きなパケットでも通るようになった。
https://vogel.at.webry.info/201504/article_10.html
サーバ(dd-wrt)側
| 項目 | 値 |
|---|---|
| Tunnel MTU setting | 1400 |
| Tunnel UDP Fragment | 1280 |
| Tunnel UDP MSS-Fix/td> | Enable |
クライアント(Ubuntu)側
| 項目 | 値 |
|---|---|
| Use custom tunnel Maximum Transmission Unit (MTU) | 1400 |
| Use custom UDP fragment size | 1280 |
| Restrict tunnel TCP Maximum Segment Size (MSS) | y |
結果
$ ping 10.10.1.1
PING 10.10.1.1 (10.10.1.1) 56(84) bytes of data.
64 bytes from 10.10.1.1: icmp_seq=1 ttl=64 time=2.95 ms
64 bytes from 10.10.1.1: icmp_seq=2 ttl=64 time=2.52 ms
^C
--- 10.10.1.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 2.525/2.737/2.950/0.218 ms
$ ping -s 1300 10.10.1.1
PING 10.10.1.1 (10.10.1.1) 1300(1328) bytes of data.
1308 bytes from 10.10.1.1: icmp_seq=1 ttl=64 time=2.73 ms
1308 bytes from 10.10.1.1: icmp_seq=2 ttl=64 time=3.09 ms
^C
--- 10.10.1.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1002ms
rtt min/avg/max/mdev = 2.739/2.916/3.093/0.177 ms
$ ping -s 1400 10.10.1.1
PING 10.10.1.1 (10.10.1.1) 1400(1428) bytes of data.
1408 bytes from 10.10.1.1: icmp_seq=1 ttl=64 time=3.53 ms
1408 bytes from 10.10.1.1: icmp_seq=2 ttl=64 time=3.18 ms
--- 10.10.1.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1002ms
rtt min/avg/max/mdev = 3.183/3.361/3.539/0.178 ms
$ ping -s 1500 10.10.1.1
PING 10.10.1.1 (10.10.1.1) 1500(1528) bytes of data.
1508 bytes from 10.10.1.1: icmp_seq=1 ttl=64 time=3.58 ms
1508 bytes from 10.10.1.1: icmp_seq=2 ttl=64 time=3.39 ms
1508 bytes from 10.10.1.1: icmp_seq=3 ttl=64 time=3.13 ms
1508 bytes from 10.10.1.1: icmp_seq=4 ttl=64 time=3.65 ms
^C
--- 10.10.1.1 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3007ms
rtt min/avg/max/mdev = 3.137/3.441/3.652/0.198 ms
$ ping -s 2000 10.10.1.1
PING 10.10.1.1 (10.10.1.1) 2000(2028) bytes of data.
2008 bytes from 10.10.1.1: icmp_seq=1 ttl=64 time=3.46 ms
2008 bytes from 10.10.1.1: icmp_seq=2 ttl=64 time=7.05 ms
^C
--- 10.10.1.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 3.460/5.255/7.050/1.795 ms
$ ping -M do -s 2000 10.10.1.1
PING 10.10.1.1 (10.10.1.1) 2000(2028) bytes of data.
ping: local error: Message too long, mtu=1400
ping: local error: Message too long, mtu=1400
ping: local error: Message too long, mtu=1400
^C
--- 10.10.1.1 ping statistics ---
3 packets transmitted, 0 received, +3 errors, 100% packet loss, time 2032ms
$ ping -M dont -s 2000 10.10.1.1
PING 10.10.1.1 (10.10.1.1) 2000(2028) bytes of data.
2008 bytes from 10.10.1.1: icmp_seq=1 ttl=64 time=4.00 ms
2008 bytes from 10.10.1.1: icmp_seq=2 ttl=64 time=4.46 ms
^C
--- 10.10.1.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1002ms
rtt min/avg/max/mdev = 4.003/4.232/4.462/0.238 ms
(とりあえず了) (つづく)
