ブログ

macOSからSSHでRTX1200に接続する設定

2023-12-26T20:06:14+09:00

　RTX1200にSSHで接続できるようにする．
　RTX1200上でホスト鍵を生成し，SSHDサービスを起動し，LAN3からのアクセスを許可する．

[RTX1200-1]:> administrator🆑
Password:🔑
[RTX1200-1]:# sshd host key generate🆑
Generating public/private dsa key pair ...
|*******
Generating public/private rsa key pair ...
|*******
[RTX1200-1]:# sshd service on🆑
[RTX1200-1]:# sshd host lan3🆑
[RTX1200-1]:#

　macOSから接続してみる．

$ ssh 192.168.20.1 -l ujpadmin🆑
Unable to negotiate with 192.168.20.1 port 22: no matching key exchange method found. Their offer:
 diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1
$

　no matching key exchange method found.(一致する鍵交換方式が見つからない)というエラーになってる．
　表示によると，次の３つの鍵交換方式が選べる模様．

・diffie-hellman-group-exchange-sha1
・diffie-hellman-group14-sha1
・diffie-hellman-group1-sha1
　最初の１つ目を.ssh/configファイルに記述する．
　まずはconfigファイルがあるか確認．

$ ls -la ~/.ssh/config🆑
ls: cannot access '/Users/ujpadmin/.ssh/config': No such file or directory
$

　ファイルがないことが確認できたので，次のようなファイルを作成する．

$ cat ~/.ssh/config🆑
Host 192.168.20.*
KexAlgorithms +diffie-hellman-group-exchange-sha1
$

　macOSからRTX1200へSSHで接続する．

$ ssh 192.168.20.1 -l ujpadmin🆑
The authenticity of host '192.168.20.1 (192.168.20.1)' can't be established.
RSA key fingerprint is SHA256:wLuAAAAAAAAqd12o2euBBBBBBBBBBBqlebDp0ywjQqs.
This key is not known by any other names
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes🆑
Warning: Permanently added '192.168.20.1' (RSA) to the list of known hosts.
ujpadmin@192.168.20.1's password:


RTX1200 Rev.10.01.76 (Fri Apr 13 12:25:45 2018)
  Copyright (c) 1994-2018 Yamaha Corporation. All Rights Reserved.
  Copyright (c) 1991-1997 Regents of the University of California.
  Copyright (c) 1995-2004 Jean-loup Gailly and Mark Adler.
  Copyright (c) 1998-2000 Tokyo Institute of Technology.
  Copyright (c) 2000 Japan Advanced Institute of Science and Technology, HOKURIKU.
  Copyright (c) 2002 RSA Security Inc. All rights reserved.
  Copyright (c) 1997-2010 University of Cambridge. All rights reserved.
  Copyright (C) 1997 - 2002, Makoto Matsumoto and Takuji Nishimura, All rights reserved.
  Copyright (c) 1995 Tatu Ylonen , Espoo, Finland All rights reserved.
  Copyright (c) 1998-2004 The OpenSSL Project.  All rights reserved.
  Copyright (C) 1995-1998 Eric Young (eay@cryptsoft.com) All rights reserved.
  Copyright (c) 2006 Digital Arts Inc. All Rights Reserved.
  Copyright (C) 1994-2012 Lua.org, PUC-Rio.
  Copyright (c) 1988-1992 Carnegie Mellon University All Rights Reserved.
  Copyright (C) 2004-2007 Diego Nehab. All rights reserved.
  Copyright (c) 2005 JSON.org
AAAAAAAAAAAA, BBBBBBBBBBBBB, CCCCCCCCCCCCCCC
Memory 128Mbytes, 3LAN, 1BRI
[RTX1200-1]:>

　無事接続できました．

　しかし，diffie-hellman-group-exchange-sha1だと明らかに接続が遅いので，ゆるいセキュリティ対策でよければdiffie-hellman-group14-sha1に変更がよさそう．

RTX1200でUSBメモリを使って設定ファイルをコピーする

2023-12-13T02:18:16+09:00

　RTX1200のUSBポートにUSBメモリを刺す．認識したらピポッと音がする．
　設定ファイルをコピーしてファイルを確認．

[RTX1200-2]:# copy config 0 usb1:config.txt🆑
[RTX1200-2]:# show file list usb1:/🆑
2023/12/11 22:54:50            9995 config.txt🈁
[RTX1200-2]:#

　USBメモリの横にあるボタンを2秒ほど押すとピポッと音がするので，イジェクト可能になる．

　コピー先のRTX1200にUSBメモリをさす．
　USBメモリないのファイルを確認．

[RTX1200-1]:# show file list usb1:/🆑
2023/12/11 22:54:50            9995 config.txt🈁
[RTX1200-1]:#

　USBメモリの設定ファイルを，0番のメモリに読み込む．

[RTX1200-1]:# copy config usb1:/config.txt 0🆑
Searching files in USB Memory... Done.
[RTX1200-1]:#

　USBメモリの横にあるボタンを2秒ほど押すとピポッと音がするので，イジェクトする．

　RTX1200を再起動する．

[RTX1200-1]:# restart🆑
Save new configuration ? (Y/N)Y🆑
Saving ... CONFIG0 Done .
Restarting ...

　
　USBメモリを抜かないでも，restartすることで読み込まれてしまったりする．

Restarting ...


RTX1200 BootROM Ver.1.01
  Copyright (c) 2009 Yamaha Corporation

Press 'Enter' or 'Return' to select a firmware and a configuration.
Default settings :  exec0 and config0

Starting with default settings.
Starting with exec0 and config0 ...

Searching files in USB Memory... Done.🈁
Reading configuration file in USB Memory... Done.🈁
Firmware file was not found.🈁

　取り出し忘れないように！

[SCHEDULE] Error(No such domain name]

2023-12-10T18:25:02+09:00

　ヤマハのルータRTX1200のファームウェアをRev.10.01.76からRev.10.01.78にアップデート．
　多分その直後から，次のようなエラーが．

Dec  9 09:00:20 rtx1200b [SCHEDULE] Error(No such domain name]: ntpdate ntp.nict.jp syslog

　これは定期的にNTPサーバに問い合わせてルータの時刻を合わせているが，NTPサーバが見つからない．
　ルータにコンソール接続してntpdateコマンドを実行してみる．

[RTX1200-2]:# ntpdate ntp.nict.jp🆑
Error: No such domain name
[RTX1200-2]:#

　同じ結果．
　DNSクエリのテスト．

[RTX1200-2]:# nslookup ntp.nict.jp🆑
Error: No such domain name
[RTX1200-2]:# nslookup www.yahoo.co.jp🆑
Error: No such domain name
[RTX1200-2]:#

　パソコンで名前を調べてみる．

$ dig ntp.nict.jp @8.8.8.8🆑

; <<>> DiG 9.10.6 <<>> ntp.nict.jp @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 17734
;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;ntp.nict.jp.			IN	A

;; ANSWER SECTION:
ntp.nict.jp.		8738	IN	A	61.205.120.130
ntp.nict.jp.		8738	IN	A	133.243.238.163
ntp.nict.jp.		8738	IN	A	133.243.238.164
ntp.nict.jp.		8738	IN	A	133.243.238.243
ntp.nict.jp.		8738	IN	A	133.243.238.244

;; Query time: 7 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Sun Dec 10 03:09:52 JST 2023
;; MSG SIZE  rcvd: 120

$

　ルータの下にぶら下がっているPCからはNTPサーバにアクセスできるし名前を引くこともできる．

　NTPサーバの接続先をIPアドレスで指定．

[RTX1200-2]:# ntpdate 61.205.120.130🆑
Error: Cannot connect to server
[RTX1200-2]:#

　接続できない．RTX1200からは接続できないが，その配下にあるPCからは接続できる．

　ファームアップが原因かなと思い，リリースノートを見てみたんだけど，関係なさそう．
RTX1200 Rev.10.01.78 リリースノート
http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.10.01/relnote_10_01_78.html

引用：

Rev.10.01.76 からの変更点
■脆弱性対応
サービス運用妨害(DoS)の以下の脆弱性対応を行った。

CVE-2020-5548 ( JPCERT/CC JVN#38732359)

　その関連の脆弱性も関係なさそう．

VN#38732359
ヤマハ製の複数のネットワーク機器におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN38732359/

引用：

ヤマハ株式会社が提供する複数のネットワーク機器には、受信したパケットの処理に起因するサービス運用妨害 (DoS) (CWE-400) の脆弱性が存在します。

　最初，Cannot connect to serverと出ているので，フィルタの問題かと考えた．

NTPサーバを公開するフィルタ/NTPサーバに接続するフィルタを教えてください
http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/public-ntp-server.html
　しかしRTX1200配下にあるPCからはNTPサーバへの接続もDNS lookupも問題なくできていていて，あくまでもRTX1200の中からDNS参照ができないという問題のように思う．

　調べていくと「ヤマハのルータの中のDNSサーバがEDNSに対応してないのが原因」とのこと．RTX1210やRTX830以降の機種では，ファームウェアアップデートで対応しているらしい．

RTX1210 Rev.14.01.35 リリースノート
https://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.14.01/relnote_14_01_35.html

引用：

DNSサーバーのIPアドレス、またはネットボランチサーバー番号を最大4つ指定できる。
このIPアドレスはルーターがDHCPサーバーとして機能する場合にDHCPクライアントに通知するためや、IPCPのMS拡張オプションで相手に通知するためにも使用される。他のコマンドでもDNSサーバーが設定されている場合は、最も優先順位の高いコマンドの設定が使用される。DNSサーバーを設定する各種コマンドの優先順位は、コマンドリファレンスの「DNSの設定」ページの冒頭の説明を参照。
ednsオプションを省略、またはedns=offを指定すると、対象のDNSサーバーへの名前解決はDNSで通信を行う。 ★
edns=onを指定すると、対象のDNSサーバーへの名前解決はEDNSで通信を行う。 ★
edns=onで名前解決ができない場合、edns=offに変更すると名前解決できることがある。 ★
EDNSはバージョン0に対応。 ★

EDNS0とは
https://www.nic.ad.jp/ja/basics/terms/edns0.html

引用：

IPv6やDNSSECのメッセージを取り扱うDNSサーバは、 EDNS0をサポートすることがRFC3226で必須とされました。

「512の壁」を越える～EDNS0の概要と運用上の注意～
https://jprs.jp/related-info/guide/topics-column/no8.html

24.16 DNS フォールバック動作をルーター全体で統一するか否かの設定
http://www.rtpro.yamaha.co.jp/RT/manual/rt-common/dns/dns_service_fallback.html

引用：

[適用モデル]
RTX5000, RTX3510, RTX3500, RTX1300, RTX1220, RTX1210, RTX830, RTX810

DNSの再帰と反復、TCPフォールバックとEDNS0について。
https://www.khstasaba.com/?p=672

　今後のことを考えたら，RTX1200をEDNS0対応のRTX1210以上に更新すれば良いということになるのだけど，現状はRTX1200から時刻サーバに問い合わせる動作に問題が出ているだけなので，コスト面を考えると腰が重い．
　RTX1210は中古で9000円以上するからなぁ．．．

　よく考えると，PCからルータを指定して名前解決しようとすると，こういうエラーが出てたんだった．

$ dig ntp.nict.jp @rtx1200🆑

; <<>> DiG 9.10.6 <<>> ntp.nict.jp @rtx1200
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: FORMERR, id: 9425
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; WARNING: EDNS query returned status FORMERR - retry with '+noedns'🈁

;; QUESTION SECTION:
;ntp.nict.jp.			IN	A

;; Query time: 0 msec
;; SERVER: RTX1200#53(RTX1200)
;; WHEN: Sun Dec 10 03:09:57 JST 2023
;; MSG SIZE  rcvd: 29

$

RTX1200でオレンジのLEDが点灯している件

2023-12-08T18:08:17+09:00

　部屋内ファイバー化して，ケーブリングがきにあるなぁと思って注視していた．

　
　あれ？

　RTX1200のSTATAUS LEDがオレンジになっている．何か悪い事でも？

　調べるとこんな感じ．
STATUS LEDとは？
http://www.rtpro.yamaha.co.jp/RT/FAQ/STATUS-LED/status-led.html

引用：

STATUS LEDはキープアライブが設定されているインターフェースの回線状態を監視して、回線の異常を検出したら橙色に点灯します。監視している全てのインターフェースが正常に復旧したら消灯します。

　うちの場合，今はどことも常時接続してないのだけど，show configするとVPN設定部分でkeepaliveというキーワードが入っている．

　ということで，現在誰もVPN接続してないので，設定を消してみた．

tunnel select 1
no l2tp keepalive log on
no l2tp keepalive use on 10 3
no ipsec ike keepalive use 1 off

　それでも改善しない．

show status lan1
show status lan2
show status lan3
show environment

　これらのコマンドで状態を確認してもなんら問題はなさそう．

　トンネルの設定を戻して，

tunnel select 1
l2tp keepalive log on
l2tp keepalive use on 10 3
ipsec ike keepalive use 1 off

　VPNが問題なくできるかiPhoneで接続してログを確認して，問題なく接続できていることを確認．

　ふと，RTX1200を見ると・・・

　STATUS LEDのオレンジが消えている．　いつのタイミングで消えたのかは不明．

　show statusコマンドで何か改善するとは思えないので，iPhoneでVPN接続して正しく切断したことで何か釣り合ってなかった情報がリセットされたんじゃなかろうかと思ってる．

　RTX1200のログを見てもこの程度．

2023/12/08 17:33:07: [L2TP] set (0)message type HELLO
2023/12/08 17:33:07: [L2TP] keepalive HELLO send to 1.75.1.148 👈ドコモのIPアドレス
2023/12/08 17:33:07: [L2TP] recv ZLB from 1.75.1.148
2023/12/08 17:33:11: [IKE] inactivate context [125] AAAAAAAA BBBBBB
2023/12/08 17:33:11: [IKE] delete IPsec context [125] AAAAAAAA BBBBBB
2023/12/08 17:33:17: [L2TP] set (0)message type HELLO
2023/12/08 17:33:17: [L2TP] keepalive HELLO send to 1.75.1.148
2023/12/08 17:33:17: [L2TP] recv ZLB from 1.75.1.148
2023/12/08 17:33:18: [L2TP]   recv message AVPs :
2023/12/08 17:33:18: PP[ANONYMOUS01] RECV LCP TermReq in OPENED
2023/12/08 17:33:18: [L2TP]   (0)message type CDN
2023/12/08 17:33:18: [L2TP]   (14)assigned session id 2764
2023/12/08 17:33:18: [L2TP]   (1)result code 768
2023/12/08 17:33:18: [L2TP]   (1)error code 0
2023/12/08 17:33:18: [L2TP]   (1)error message
2023/12/08 17:33:18: [L2TP] recv CDN in established from 1.75.1.148
2023/12/08 17:33:18: [L2TP] TUNNEL[1] disconnect session 37160 complete
2023/12/08 17:33:18: [L2TP] TUNNEL[1] disconnecting tunnel 3197
2023/12/08 17:33:18: [L2TP]   send Message AVPs :
2023/12/08 17:33:18: [L2TP]   set (0)message type StopCCN
2023/12/08 17:33:18: [L2TP]   set (1)resultcode 6
2023/12/08 17:33:18: [L2TP]   set (9)assigned tunnel id 3197
2023/12/08 17:33:18: [L2TP] send StopCCN to 1.75.1.148
2023/12/08 17:33:18: [L2TP] TUNNEL[1] disconnect tunnel 3197 complete
2023/12/08 17:33:18: [IKE] SA[1] change state to OLD
2023/12/08 17:33:18: [IKE] inactivate ISAKMP socket[1]
2023/12/08 17:33:18: [IKE] shutdown tunnel[1]
2023/12/08 17:33:18:   AA AA AA AA 05 04 00 10  CC CC CC 72 20 72 65 71
2023/12/08 17:33:18:   75 65 BB BB
2023/12/08 17:33:18: PP[ANONYMOUS01] SEND LCP TermAck in OPENED
2023/12/08 17:33:18:   ff 03 c0 21 06 04 00 04
2023/12/08 17:33:18: [IKE] delete request from 1.75.1.148 (SPI: 08e9b92f), SA ID: 2
2023/12/08 17:33:18: [IKE] delete request from 1.75.1.148 (SPI: AAAAAAAA4297013b8956666), SA ID: 1
2023/12/08 17:33:18: [IKE] SA[2] change state to DEAD
2023/12/08 17:33:18: [IKE] SA[3] change state to DEAD
2023/12/08 17:33:18: [IKE] initiate informational exchange (delete)
2023/12/08 17:33:18: [IKE] inactivate IPsec socket[transport:1](inbound)
2023/12/08 17:33:18: [IKE] delete SA[3]
2023/12/08 17:33:18: [IKE] inactivate IPsec socket[transport:1](outbound)
2023/12/08 17:33:18: [IKE] delete SA[2]
2023/12/08 17:33:18: IP Tunnel[1] Down
2023/12/08 17:33:22: [IKE] SA[1] change state to DEAD
2023/12/08 17:33:22: [IKE] inactivate ISAKMP socket[1]
2023/12/08 17:33:22: [IKE] delete ISAKMP context [124] 74faf77135959d7f 00000000
2023/12/08 17:33:22: [IKE] delete SA[1]
2023/12/08 17:33:22: [IKE] Reset L2TP/IPsec setting TUNNEL[1]  🈁リセットってなってる

　ちなみにRTX1200の電源OFF・ONで消えるか否かは試していません．

追記2024/01/01
　LEDランプがついているのを確認したので，iPhoneでVPN接続したらLEDが消えました．VPN接続した瞬間に消灯し，VPN切断してもランプは消灯されたままでした．

RTX1200のNATセッション数をMRTGのために取得する

2023-11-09T20:06:42+09:00

　家のルータをRTX1100からRTX1200に入れ替えたのは2019年8月のことだけど，その時の入れ替え原因がNATテーブルの枯渇．
　RTX1100のNATテーブルは4096ですが，発売した2005年2月ごろだと50人くらいの会社でも十分でしたが，今時の？普通の？個人宅でも足りなくなったのがこの時期だった．　NATテーブルが枯渇すると，通信が遅くなるとかインターネットに繋がらない事が多々出てくるとか，しばらくすると勝手に治るとか（全てカミさん談）という現象が出てくる．
　RTX1200に交換して同じ設定(show configの結果)を流し込んだだけで移行は完了．一気に20000に増えたのでその後デバイスが増えても問題なし．
　でも心のどこかで，またいつかNATセッション数不足がくるのだろうと心配している．．．

　前置きが長くなったけど，という経緯からNAT数の水位をモニタリングできるようにしてみます．
　うちの場合，最新のキラキラしたモニタリングツールを使ってなくて，MRTGでグラフ化を目指します．

　ではまず最初にRTX1200側にユーザを作成．
　RTX1200にadministrator権限のユーザでログイン
　mrtgユーザを作成．

[RTX1200-1]:# login user mrtg XXXXXXXX🆑
Password Strength : Weak
[RTX1200-1]:#

　ファームウェアによっては，パスワード強度が弱いと教えてくれる．

[RTX1200-1]:# login user mrtg XXXxxXX11123$!poP🆑
Password Strength : Very strong
[RTX1200-1]:#

　これでよし．
　保存して終了．

[RTX1200-1]:# quit🆑
Save new configuration ? (Y/N)Y🆑
Saving ... CONFIG0 Done .
[RTX1200-1]:>

$ telnet 192.168.20.1🆑
Trying 192.168.20.1...
Connected to 192.168.20.1.
Escape character is '^]'.

Password:🆑
Username: mrtg🆑
Password:xxxxxxxxxxxxx🆑

RTX1200 Rev.10.01.76 (Fri Apr 13 12:25:45 2018)
  Copyright (c) 1994-2018 Yamaha Corporation. All Rights Reserved.
  Copyright (c) 1991-1997 Regents of the University of California.
  Copyright (c) 1995-2004 Jean-loup Gailly and Mark Adler.
  Copyright (c) 1998-2000 Tokyo Institute of Technology.
  Copyright (c) 2000 Japan Advanced Institute of Science and Technology, HOKURIKU.
  Copyright (c) 2002 RSA Security Inc. All rights reserved.
  Copyright (c) 1997-2010 University of Cambridge. All rights reserved.
  Copyright (C) 1997 - 2002, Makoto Matsumoto and Takuji Nishimura, All rights reserved.
  Copyright (c) 1995 Tatu Ylonen , Espoo, Finland All rights reserved.
  Copyright (c) 1998-2004 The OpenSSL Project.  All rights reserved.
  Copyright (C) 1995-1998 Eric Young (eay@cryptsoft.com) All rights reserved.
  Copyright (c) 2006 Digital Arts Inc. All Rights Reserved.
  Copyright (C) 1994-2012 Lua.org, PUC-Rio.
  Copyright (c) 1988-1992 Carnegie Mellon University All Rights Reserved.
  Copyright (C) 2004-2007 Diego Nehab. All rights reserved.
  Copyright (c) 2005 JSON.org
A, B, C
Memory 128Mbytes, 3LAN, 1BRI
[RTX1200-1]:>

　ファームウェアが古い・・・

　正常にログインできた事が確認できた．
　一般ユーザでNATセッション数が取得できるか確認．

[RTX1200-1]:> show nat descriptor masquerade port summary🆑
Interface            Desc Num    Outer Address                Used / All
-------------------  ----------  ---------------------------  -----------
PP[01](1)                 55555  192.168.20.1                   149/20000
-------------------  ----------  ---------------------------  -----------
[RTX1200-1]:>
$

　特に権限は不要な模様．

　これらのコマンド入力を，expectを使って自動ログインしてNATセッション数を取得するプログラムを作成．

$ cat GetYamahaNATSession.sh🆑
#!/usr/bin/expect
spawn telnet $argv
expect "Password:"
send "\r"
expect "Username:"
send "mrtg\r"
expect "Password:"
send "xxxxxxxxxxxxx\r"
expect ">"
send "show nat descriptor masquerade port summary\r"
expect ">"
send "exit\r"
close
$

　このコマンドを実行するとMRTGでグラフを作るには不要な情報が出てくるので，不要な部分を消す処理を追加．

$ cat MRTGnatSession.sh🆑
#!/bin/bash

GetYamahaNATSession.sh 192.168.20.1|tail -n 3|head -n 1|awk '{print $4}'|sed 's/\// /g'|awk '{print $1}'
echo 4096

　最後の行のecho 4096は，RTX1100時代のNATセッション数のMAX値を設定．

　あとは，MRTGの定義を追加して，自動実行させてしばらく放置．結果は寝て待て．

追記2023/11/11

　指標として設定したRTX1100のNATセッション最大値が大きすぎて，いや意外とNATセッション使ってない事がわかりました．

　ルータの性能が高くなった事で，処理が速く終了するのでセッション数も増加しないことも考えられるな．
　とりあえず観察のためにMAX値を300に変更してみた．

　またしばらくしたら結果を振り返る．

追記2023/11/20
　その後の経過．
　なんと，crontabでGetYamahaNATSession.shを実行する親のシェルに検索PATHが足りなかったので実行エラーになってデータが取れてなかったという初歩的なミスをしていたので，修正後，やっと約１週間のデータが取れました．

　多い時は750セッションくらい行ってるんだな．