11月 242015
 

SophosUTMでのIPSec-L2TP VPN接続する場合にSophos側でスタティックルートの設定ができず、Windows側でもデフォルトゲートウェイを向けるしか設定ができなかった。いわゆるスピリットトンネル機能がなかった。デフォルトゲートウェイを向けてもいいのだが、インターネットブラウジングが遅くなったりクライアント側のネットワークに制限が掛かるのでルート設定をしたかった。そこで、クライアント(Windows7)側でバッチファイルでVPN接続しスタティックルートを設定することにした。

rasdial VPN User Password
route add 192.168.10.0 mask 255.255.255.0 10.10.10.1
route add 192.168.20.0 mask 255.255.255.0 10.10.10.1
pause

VPN接続設定を事前に登録しておく必要がある。VPNはWindowsでのVPN接続プロパティ名となる。

8月 042015
 

F5 Big-IPでRoutedomainの操作メモ

F5 Big-IPでRoutedomainを利用した場合にSSHなどのCLI利用時の操作方法についてメモ。

Routedomain構成にした場合、そのままではPingやCurlコマンドなどが使えない。一部のコマンドは%を指定することで利用することができるが全てのコマンドが対応していない。そこで各利用形態に合わせて使う必要がある。
また、RoutedomainだけでなくPartitionも同様に指定する構成とする。

例) Routedomain DOMAIN1 (ID 10)
Partition DOMAIN1 (親RoutedomainをDOMAIN1とする)

rdshでRoutedomainに入る

Routedomainを設定した際にIDがあるので、それを指定してRoutedomainに入る。

例) Routedomain 10に入る場合

rdsh 10

これだけで特定のRoutedomainに入れるため、後は普通にコマンドを利用することができる。現在のRoutedomainから出る場合には、exitコマンドで出られる。

tmshでRoutedomainを指定する

tmshで使用する場合にはIDではなく名称で指定する。

例) Routedomain DOMAIN1のvirtual server一覧を表示する場合

tmsh list /ltm virtual /DOMAIN1/*

tmsh内でRoutedomainを固定する

tmsh
(/Common)(tmos)# cd /DOMAIN1
(/DOMAIN1)(tmos)#

これでDOMAIN1としてlistやmodifyなどのコマンドが使用することができる。

3月 182014
 

HPNのIRFポート(スタックポート)をSFP+で構成する場合にはポートグループというのがあり注意が必要になる。基本的には4ポート単位でポートグループが構成されており、設定などで変更することはできないようだ。
最後のポート、23と24ポートでIRFを構成することが多いと思うが、この場合は21~24が1つのポートグループになるので、21と22もIRF専用となってしまう。追加モジュールなどでSFP+をつけている場合は適用されないみたい。

以下、マニュアル抜粋

Continue reading »

3月 182014
 

HPNではbridge MAC Addressというのがあり、L2機能(LACPなど)でのデバイスIDとして使われているようでユニークにならないといけないようである。ちなみにARPなどで利用されるMACは別になっています。

このIRFを使って、マルチシャーシでのLACP構成を組む場合にデフォルトでのbridge MAC Address persistenceはirf mac-address persistent timerになっており、6分以内にMasterデバイスが復旧しない場合はbridge MAC Addressが変更される。

IRFはグループ内で1台がMasterになるのだが、台数が多ければこのケースに該当する確立が減るのだが、大体2台構成で組む場合が多く、よくこのケースではまることがあるはずです。

Continue reading »

11月 012013
 

Big-IP側の設定はF5設定ガイドの通りやればOK。

http://www.f5.com/pdf/deployment-guides/microsoft-lync-iapp-dg.pdf
http://www.f5.com/pdf/deployment-guides/microsoft-office-web-apps-dg.pdf

注意なのが、Lync EdgeのA/V通信はSNAT非推奨となっており、MSのKBでもSTUN・TURNの通信はNATするなと書いてあるらしい。L2、L3でBig-IPを挟めばいいのだが、グローバルなDMZ環境でできないケースが多く、EdgeサーバのデフォゲをBig-IPに向けるのが無難な対処のようだ。

http://technet.microsoft.com/en-us/library/jj656815.aspx
http://technet.microsoft.com/en-us/library/gg398478.aspx
https://devcentral.f5.com/articles/the-hopefully-definitive-guide-to-load-balancing-lync-edge-servers-with-a-hardware-load-balancer#.UljD1Yfn8dU

11月 012013
 

最近、LTMのコンフィグをDiffすることが多く、UCSを解凍しWinMergeで
フォルダをまるごとDiffしていたのですが、v11からSCF(single configuration files)
という単一ファイルでコンフィグを出力することができるようです。

http://support.f5.com/kb/en-us/solutions/public/13000/400/sol13408.html?sr=32563333

なので、この単一ファイルを比較することで簡単にDiffができそうです。
と思ったのですが、GUIで取得できずCLIで作成しSFTPなのでちょっと手間でした。

11月 012013
 

証明書の変換でいつもぐぐってるので、メモをまとめておく。

ファイル

Server.cer PEM形式証明書
Server.key PEM形式秘密鍵
Server.pfx PFX形式証明書+秘密鍵
  • PFX→PEM
    • 証明書の取り出し
      openssl pkcs12 -in Server.pfx -clcerts -nokeys -out Server.cer
    • 秘密鍵の取り出し
      openssl pkcs12 -in pfx Server.pfx -nocerts -nodes -out Server.key
  • ○PEM→PFX
    openssl pkcs12 -export -inkey Server.key -in Server.cer -out Server.pfx
    

参考サイト

https://www.cybertrust.ne.jp/SureServer/apply/pem_pkcs12.pdf

2月 192013
 

国際電話をたまに利用しており、今までは国際電話カードというのを使っていたのだが、買いに行くのが面倒なのとiPhoneなどからも安価に電話できないかと検討していた。

以前のAsteriskでBiglobeフォンにつなげてみた記事でも書いた、自宅のSIPサーバを利用できて、ISPのIP電話サービスより安価なサービスを調査してみた。

PHYTTER

Asteriskの接続実績や通話料金のレートから、PHYTTERというのサービスを利用することにした。このサービスは基本接続料金が無料で、手頃な金額が利用することができた。とりあえず、1ドルでお試しができるので、試してもらいたい。

Continue reading »

7月 192012
 

Windows7のネットワークまわりでデフォルトで利用しちゃいけない設定

管理者権限のコマンドプロンプトで設定

SNP

これはもう鉄板で設定するのかな?

netsh interface tcp set global rss=disabled chimney=disabled netdma=disabled

こうなってればOK

netsh int tcp show global
アクティブ状態を照会しています...

TCP グローバル パラメーター
----------------------------------------------
Receive-Side Scaling 状態              : disabled
Chimney オフロード状態                 : disabled
NetDMA 状態                            : disabled
Direct Cache Acess (DCA)               : disabled
受信ウィンドウ自動チューニング レベル  : normal
アドオン輻輳制御プロバイダー           : none
ECN 機能                               : disabled
RFC 1323 タイムスタンプ                : disabled

IPv6トンネル無効

Teredo無効。コマンド1回じゃできなくて対話式になってしまった。

netsh>int
netsh interface>ipv6
netsh interface ipv6>teredo
netsh interface teredo>set stat disable

ISATAP無効

netsh interface ipv6 isatap set stat disable