blog.akimasa.jp

フレッツ光クロスを引いて1年以上経った。ひかり電話の提供が始まったので、HGWであるXG-100NEを設置している。訳があってGREトンネルを使った通信を行ってみたのだが、tcpdumpでキャプチャしても全くパケットが来ない。対向ルーターの受信パケットカウンタも全くカウントが上がらず、こちら側も全く受信できていない事象が発生していた。

調べたところXG-100NEの技術情報に重要なことが書いてあった。

＊1 TCP、UDP、IP in IP（IPv4 over IPv6）のみハードウェア転送（⾼速転送）対象です。その他のプロトコルはソフトウェア転
送（通常転送）となります。

＊2 フレッツ光クロス網内・SNI・VNE 通信、下部装置からの IPv4 over IPv6、下部 VPN ルータからの通信を含みます。ただし、
GRE パケットは通過しません。

https://www.ntt-west.co.jp/kiki/download/flets/xg100ne/XG-100NEseries_ADPman_202311.pdf#page=15

なんと、GREパケットを透過してくれない仕様になっている。これは通信できなくて当然だ。

仕方がないのでGREトンネルではなくIPIPトンネルを使うことで回避した。以前はEtherIPで通信して速度があまり出なかったが、IPIPトンネルを使ったためHGWでハードウェア転送が行われているためか速度が向上している気がする。

電源を入れたら突如「問題が発生しました。サポート担当者に問い合わせてください。」とのメッセージが表示されてログインできず、何もできなくなってしまった。できることと言ったら、電源長押しでシャットダウンさせるくらい。これでは使い物にならないので回復を使って再インストールを行った。

再インストールの手順はMicrosoftのサイトに用意されている。今回はWindows 10 Teamsに回復したが16GBのUSBメモリで足りた。Windows 11に回復する場合は32GB必要そうだった。

https://learn.microsoft.com/ja-jp/surface-hub/surface-hub-recover-reset

回復の際はBitLocker回復キーが必要になる。幸い、デバイスはActive Directoryの管理下にあったため、ユーザーとコンピューターのコンピューターアカウントのプロパティから回復キーを見つけて入力した。入力の際は画面下部にテンキーが表示されるが、反応が悪くタッチしても入力されないことがしばしばあった。何度かタップを繰り返しつつ回復キーを入力し、回復を進めていった。

回復が無事完了したらログインできた。ただし、Windows Updateが当たっていないためまずはWindows Updateを実行する。その後、設定のアプリからMicrosoft Storeを開いて最新のTeamsに更新した。これで、使える状態になった。

今年度の初めに作成し、自分の独自ドメインに紐づけしたMS365テナントがあったのだが、無料試用期間の終了後に放置していた。MFAはMicrosoft Authenticatorで電話番号を登録していなかったのが敗因だった。iPhoneを故障で買い替えてしまい、Authenticatorの再設定が必要になり、そのまま放置していた。どうせ使わないテナントなので消えても良いと思って放置していたのだが、お金を払っていなかったり使っていないからと言ってテナントは消滅せずにその場に残り続けるようだ。新たにテナントを作って元のドメインを紐づけしようとしたら見事に使用中とのことで登録できず。

仕方が無いので新しいテナントでサポートに投げたら電話で古いテナントからサービスリクエストをあげてほしいと言われた。受付で確認の上、専門部署から連絡が来た。本人確認のために登録時の住所など確認された。登録時に普通の住所で登録しておいたのが正解だった。本人確認まで終えることが出来た。本人確認ができない最悪の場合でもTXTレコードを設定してドメインの所有確認を行えば紐づけは外せるとのことだった。今回はおそらくMFAの解除を行ってもらい、ログインできるようになる見込みだ。

友人と東京九州フェリーに乗ったのだが、その際にStarlinkの利用を試みた。
結論から書くと、沖合では利用できず、陸地の近くで利用可能な場合があった。

フェリー乗り場までは小倉駅発の連絡バスがあり、それに乗って向かった。
22時発なので時間つぶしに困った。
店がほとんど閉まっており、結局サイゼリヤで時間を潰していた。
間違い探しを全部見つけることが出来た。

バルコニー付の部屋を取っており、乗船してすぐに試した。
部屋にはアース付きのコンセントがあるので、Starlinkの電源アダプターでも普通にさせる。万が一に備えて2ピンアダプタやアース無しのケーブルを持ってきていたが…
結局、出番はなかった。
港ではなんてことなく、普通に使えていた。速度も100Mbps以上は出ていた。
ちなみに、陸上では300Mbpsを叩き出していた。
ポータビリティでも田舎だと利用者が少なくて速度が出やすいのかもしれない。

台風が来るとか来ないとか言われており、前日の便は欠航になっていたくらいだったため、デッキが閉鎖されるんじゃないかと心配していたものの解放されており自由に出ることが出来た。デッキだと空がよく見えるので、途切れなく通信できる。

沖合に出てから起動してみたところ、Searchingのままで全く使えず。

陸地が近いと、そこそこ使える。速度も100Mbps以上は出た。

せっかくの衛星通信だが、現段階では海上はサービスエリア外という結果だった。
携帯電話のアンテナピクトがすべて立つくらい陸地に近づくとStarlinkも通信できる。
現時点のStarlink海上エリアは携帯電話と変わらないか劣る程度のようだ。
ただし、利用者が皆無なので速度は圧倒的に速く、空が見えれば安定している。
docomo、au回線を使うと10Mbps程度しか出ないがStarlinkでは100Mbps以上を出してくれた。

海上エリアが広がったら試したいところだが、初期の丸型アンテナは携帯用ではないので、これ以上運ぶのは勘弁だ。それに移動中の利用は保証外だし。

会社でNURO Bizが導入され、品質がそこそこ良かったため、自宅(戸建て)でもNURO光を導入してみた。が、個人向けは安価な分、品質も劣るかバラツキがある印象を受けた。契約から開通まで2か月以上かかり、初期契約解除が使えないのは悪質だと思う。もっとも、品質が低下したのは契約から3か月経った今なので初期契約解除も3か月無料解約特典プランも使い物にならない。
調子のいい時に速度測定を行ったときの結果は以下の通り。上りが400Mbps程度しか出ないが、限界の様だ。NUROの調子が悪いときはフレッツのPPPoEの方がRTT、速度共に良いことがある。スピードテストでは差が出ないが、Webサイトの閲覧では差が出ることもある。タスクマネージャー読みでスループットが出ていない様だ。フレッツに戻すと速くなるので多分NUROのバックボーンが細い。

NUROは下り941Mbps、上り419Mbpsほどだった。

フレッツ回線(PPPoE)の場合、 下り247Mbps、上り594Mbpsだった。今は解約してしまったが、excite.BBのIPoEの場合だと下りの速度はもっと出ていた。

NUROを引いて得られたメリットは以下の通り

• RTT低下（IPoEは10ms程度あった）
• 会社へVPN(IPSec NAT-T)接続したときの安定性向上（IPoEは何故か1Mbpsしか速度が出ず、PPPoEにしたとしても頻繁に切断された）
• IPoEと異なり、サーバー公開できる

会社のNURO Bizは上り下りともに800Mbpsくらい出ることがあって快適だったが、個人向けNUROではフレッツより上りが遅いという結果になった。また、顧客とTeams会議を行った際に相手の音声が途切れ途切れで何言っているかわからない人がいたが、後で話を聞いたらその人も戸建てでNUROだった。地域によっては品質が低く、特に上り速度に大きな制限がある場合がある様だ。

追記: 今だと最新の累積更新プログラムを適用すると解決する様だ

Linuxネタが多かったが働き始めるようになってからなかなか趣味で触っている暇が無くて書けていない。仕事で遭遇した日本語情報が無い共有できそうなネタが出てきたので書いてみる。自分の書いた記事を改めて読み返すと…。仕事の関係者が読んだら個人が特定できそうだな。

Windows Updateが当たったらログイン後にExplorerが瞬時に落ちては再起動が繰り返すようになってしまった。デスクトップは一瞬だけ表示されては真っ暗になりを繰り返す状況で全く使い物にならない。

とりあえずは最新のパッチのKB5006667を消したら解決した。が、すぐに自動適用されて元通りになってしまうし、適用しないとセキュリティ的にもよろしくない。

Explorer.exe keeps crashing every 3 seconds in Windows 10

上記のサイトにKB5006667を消すよりはマシな回避策があった。

Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Feeds\
上記のパスにある次の ShellFeedsTaskbarViewMode キーを2に書き換える。
そうすると、ニュースと関心事項が無効化されてExplorerが瞬時に落ちる現象が起こらなくなる。

早速実行したが、自分の遭遇した問題が起こっている環境ではregeditがドメインユーザーで封じられていた。仕方がないのでwhoami /allコマンドでユーザーのSIDを取得。ローカル管理者にアクセスすることはできるので、runas /user:PC名\ローカル管理者 cmdでとりあえずローカル管理者のコマンドプロンプトを起動。regedit起動したらローカル管理者の管理者権限に昇格したレジストリエディタが起動する。ドメインユーザーのHKEY_CURRENT_USER\はHKEY_USERS\先ほど調べたSID\と同じなので、HKUからドメインユーザーのHKCUにアクセスして書き換えを行った。

無事に瞬時のExplorer強制終了と再起動は起こらなくなった。

そのPCのメインユーザーは問題なく使えるが、別ユーザーが使った際にExplorerが瞬時に起こる現象が再発するので、これはなんとかしたい…

タイトル通りの現象が起こっていた。
結論から言うと、MTUやMSSの設定が不適切のためだった。

FortiClientでFortigateにVPN接続を行ったところ、最初は問題無いのだがしばらくすると、HTTPSでアクセスしていたページを読み込まなくなり、真っ白になるか、ERR_EMPTY_RESPONSEのエラーが出る。ググったらESETが原因の疑いがあるとのことなので切ってみたが、変わらずだった。

更に調べたところ、FortigateのKnowledge Baseに情報があった。
FortiGateのWeb設定画面でもしばらくすると正しく表示されない現象が起きていたので、これの原因を潰していけばもしかしたらと思った。
https://kb.fortinet.com/kb/documentLink.do?externalID=FD34688

これによれば原因としてはいくつかあるらしい。

インターフェースでHTTP/HTTPSアクセスを許可しているかについては、最初はアクセスできているので関係ない。
trusted hostは設定していないので今回は該当しない。
HTTPSのポート設定も変えていないし、サーバ証明書も関係なかった。VIPも違った

3) MTU along the pathが今回の原因だった。

VPN接続を待ち受けているインターフェースのMTUを

set mtu-override enable
set mtu 1454

とフレッツに合わせてデフォルトの1500から縮小した。
その後は問題無く使えるようになった。

ポリシーでMSSを下げても同じようにうまく動くらしいが、自分の環境ではダメだった。

自宅の回線がフレッツで、FortiClientがうまいこと認識してくれなかったため、会社のインターネット回線のMTU 1500で送られてきてロスでも起きたようだ。

IPSecだとMTUが大きすぎても勝手に分割とかしてくれないんだろうか。よくわからぬ。

同じ問題に遭遇している人がいたようだ。
https://www.linkedin.com/pulse/fortigate-mtu-tcp-mss-troubleshooting-guy-greenshtein

WSUS配下にPCを入れたのは良いがWindows Updateが行われなくて丸1日がつぶれてしまった。

結論から言うと、DisableDualScanキーをレジストリに追加すると直った。

0x8024002E WU_E_WU_DISABLED 非管理サーバーへのアクセスは許可されていません。

エラーリファレンスによれば上記のような説明だったが、いまいち意味がよくわからなかった。

エラーが出ているPCで次のコマンドを実行すると、下記のような結果が出てくる。(PowerShellで実行する）

(New-Object -ComObject “Microsoft.Update.ServiceManager”).Services |select Name, IsManaged,IsDefaultAUService

Name                      IsManaged IsDefaultAUService
----                      --------- ------------------
DCat Flighting Prod           False              False
Windows Store (DCat Prod)     False              False
Windows Server Update Service      True              False
Windows Update                False               True

何かがおかしい。別の正常にアップデートが行えるPCではWindows Server Update Service True Trueだった。

Win10 machines can’t talk to WSUS after May update from sysadmin

上記のURLを参考にして HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate に DisableDualScan=dword:00000001というキーを追加すると問題なくアップデートできるようになった。このキーを追加して前述のコマンドを実行すると Windows Server Update Service True True になるようだ。ちなみに、グループポリシーでも同じレジストリを追加することが可能らしいが、検証は行っていない。「Windows Update に対するスキャンを発生させる更新遅延ポリシーを許可しない」というグループポリシーが同じレジストリキーに該当する様だ。

echo test | sudo -u asterisk strace sendmail hogehoge@hogehoge.com

上記のようなコマンドを実行したら、次のような結果になった。

newfstatat(AT_FDCWD, “/var/lib/asterisk/.msmtprc”, {st_mode=S_IFREG|0600, st_size=170, …}, 0) = 0
geteuid() = 112
openat(AT_FDCWD, “/var/lib/asterisk/.msmtprc”, O_RDONLY) = -1 EACCES (Permission denied)

しかし、パーミッションは600で何も問題がない。

SELinuxは入っていないっぽいし、何故だと思いつつ、調べてみたら、UbuntuにはAppArmorというものが入っているらしい。

/etc/apparmor.d/usr.bin.msmtpを開いてみたら、owner @{HOME}/.msmtp*, rという行があった。これを参考にして owner /owner/var/lib/asterisk/.msmtp*, r を追加した。

追加されたら、sudo apparmor_parser -r /etc/apparmor.d/usr.bin.msmtpを実行して反映させる。

これで、Asteriskだけ別のアカウントを使ってメールが送信できるようになった。

https://www.northwind.mydns.jp/samples/blog/?p=1732

上記サイトに従ってFAX送信を試みた。

次のようなエラーが/var/log/asterisk/messagesに流れてきて送信できなかった。

[Apr 22 20:46:58] ERROR[508][C-00000006] res_fax.c: access failure.  Verify '/tmp/foo2.tif' exists and check permissions.

これは原因がよくわかっていないが、/var/spool/asterisk/tmp/にtiffファイルを置くことで解決した。

進んだのは良いが、今度は次のような警告が出て、結局FAXが送れなかった。

[Apr 22 21:06:02] WARNING[639][C-0000000b]: res_fax_spandsp.c:438 spandsp_log: WARNING T.30 Cannot open source TIFF file '/var/spool/asterisk/tmp/foo.tif'

これは、こちらのサイトに書かれている情報に従って
convert -compress fax -monochrome -units pixelsperinch -resample 204x98 filea.pdf filea4.tif を実行して変換したら進んだ。