赤線の最後に注目、@oqgjv.cn の最後 .cn は中国から送られて来ている
AU PAYが中国から送ることは有り得ない。なので下の方の青線を絶対にクリックしないこと。
試しに青字をクリックすると一寸前までは、translate.google.comに飛びそこで翻訳されたもののリンク先をクリックさせ、悪さをしようとしていたが、最近googleさんが、プロテクションを作ったみたいで、
こんなウィンドウが開くようになった。文字は青地の所になっているが、本当の跳び先はtranslate.google.comでここに悪さの仕掛けがあるので、右上のバッテンで、ウインドウを閉じること。googleさんありがとう。
これには随分苦労した。先ずは設定、CentOS7はデフォルトでL2TP/IPSecが無いのでインストール。
# yum -y install NetworkManager-l2tp-gnome
これでNetworkManager-l2tpもインストールされる
でもって右上の電源ボタンをクリックし、更にVPNをクリック、プルダウンが開くのでVPN設定をクリック。VPNの右の方にある+をクリック。開いたウィンドウでLayer 2 Tunneling Protocol (L2TP)をクリック
名前は任意、ゲートウェイはVPNサーバーの名前かIPアドレス、ユーザー名とパスワードはサーバーに設定しているもの。そして”IPsec Settings…”をクリック 
Pre-shared Keyにはサーバーの設定してある共有鍵を入力。Remote IDは最初は空欄。
これで接続するが、少ししてVPNが自動的にOFFになる。このルーターにはwindows10で繋っがているのでルーターの設定ではなさそう。なので、RTX830のログを見ると
[IKE] respond ISAKMP phase to xx.xx.xx.xxはあるが、その次の[IKE] respond IPsec phase toが無い。という事はローカルからRTX830に接続要求は行っているが、IPsecでつまずいているみたい。
正常時のログは
[IKE] respond ISAKMP phase to xx.xx.xx.xx
[IKE] respond IPsec phase to xx.xx.xx.xx
IP Tunnel[4] Up
[L2TP] TUNNEL[4] connected from xx.xx.xx.xx
[L2TP] TUNNEL[4] tunnel 6020 established
[L2TP] TUNNEL[4] session 47201 established
PP[ANONYMOUS04] Call detected from user ‘xxxxxxxxx’
PP[ANONYMOUS04] PPP/IPCP up (Local: 192.168.xx.xx, Remote: 192.168.xx.xx)
となっている。ここで色々google先生を調べるがもう一つ解らない。中にはグラフィカル設定では繋がらないので、コマンドを設定し接続をしてたりする。
なので、CentOSのログを見る。/var/log/messageを開き調べると何ヵ所か
NetworkManager: 003 “ccb30400-8415-4eb8-89cb-9a2b19bfceff” #1: we require IKEv1 peer to have ID ‘xx.xx.xx.xx’, but peer declares ‘YY.YY.YY.YY’
の表示がある。’xx.xx.xx.xx’はグローバルIPで’YY.YY.YY.YY’はローカルIP。
グローバルIPに接続したが、返って来たIPはRTX830のローカル側のIP。
そこでもしかしたらと、2番目の画面の
赤字の所にRTX830のルーターの
ローカルIPを入れ、接続すると、
やっと繋がった、バンザイーイ!!
ubuntuにはデフォルトでVPNにL2TP/IPSecがありませんのでインストールが必要ですがhttps://hnakamur.github.io/blog/2018/03/31/l2tp-vpn-on-ubuntu-17.10/を参考にしてください。一通り設定を済ませサーバーのルータに接続しますが接続は完了しますが1分程で切断されてしまいます。ルーター側の問題かubuntu側の問題かの切り分けがよく出来ず、同じ家庭内のwindows10からは出来るので、てっきりubuntu側の問題として(可能性もあるが)調べたが回答にたどり着かず、もしかしてと思いサーバー側のルーターとして使っているRTX830のヤマハのヘルプデスクで解決が出来ました。
問題があった時のRTX830のログ
[L2TP] TUNNEL[1] connected from xx.xx.xx.xx
[L2TP] TUNNEL[1] tunnel 9847 established
[L2TP] TUNNEL[1] session 65097 established
PP[ANONYMOUS01] Call detected from user ‘XXXXX’
PP[ANONYMOUS01] PPP/IPV6CP up
PP[ANONYMOUS01] PPP/IPCP up (Local: 192.168.xx.xx, Remote: 192.168.x.153)
で最後の行でサーバー側のローカルIPの払い出しが出来ているので、接続はされているが、1分程経つと
keepalive timer expired tunnel 27251 とあり27251はubuntuが接続した時のものです。
切断されてしまいます。でもルーターの設定には
ipsec ike keepalive use 4 off や
l2tp tonnel disconnect time off
などの設定があり、なんで切断されるかわかりませんでしたが、ヤマハによると更にl2tp keepalive useという設定があり、これがデフォルトでon になっているので、これをオフにする。ルーターの管理→保守→コマンドの実行から
select tonnel トンネル番号
l2tp keepalive use off
を実行したら切断されることは無くなった
ルーターのローカル側のアドレスを192.168.0.1から192.168.0.2に変更したら、今まで接続出来ていたVPN(L2TP)に接続が出来ない。勿論デフォルトゲートの設定とかルーターの再起動は行っている。
問題の切り分けをする為サーバー側のルーター(RTX830)のログを調べると、接続後、ユーザー名が入ると直ぐに接続が切れている??
2022/09/28 09:49:15: [IKE] respond ISAKMP phase to xx.xxx.xx.x
2022/09/28 09:49:15: [IKE] respond IPsec phase to xx.xxx.xx.x
2022/09/28 09:49:15: IP Tunnel[3] Up
2022/09/28 09:49:15: [L2TP] TUNNEL[3] connected from xx.xxx.xx.x
2022/09/28 09:49:15: [L2TP] TUNNEL[3] tunnel 9483 established
2022/09/28 09:49:15: [L2TP] TUNNEL[3] session 25118 established
2022/09/28 09:49:15: PP[ANONYMOUS02] Call detected from user ‘ユーザー名’
2022/09/28 09:49:15: [L2TP] TUNNEL[3] disconnect session 25118 complete
2022/09/28 09:49:15: [L2TP] TUNNEL[3] disconnecting tunnel 9483
2022/09/28 09:49:15: [L2TP] TUNNEL[3] disconnect tunnel 9483 complete
2022/09/28 09:49:16: [IKE] initiate informational exchange (delete)
2022/09/28 09:49:16: IP Tunnel[3] Down
接続が完了する時のログ
2022/09/28 10:52:06: [IKE] respond ISAKMP phase to xx.xxx.xx.x
2022/09/28 10:52:06: [IKE] respond IPsec phase to xx.xxx.xx.x
2022/09/28 10:52:06: IP Tunnel[7] Up
2022/09/28 10:52:07: [L2TP] TUNNEL[7] connected from xx.xxx.xx.x
2022/09/28 10:52:07: [L2TP] TUNNEL[7] tunnel 15992 established
2022/09/28 10:52:07: [L2TP] TUNNEL[7] session 46664 established
2022/09/28 10:52:07: PP[ANONYMOUS03] Call detected from user ‘ユーザー名’
2022/09/28 10:52:08: PP[ANONYMOUS03] PPP/IPCP up (Local: 192.168.0.1, Remote: 192.168.0.158)
接続が出来る場合はユーザー名の後に、DHCP(IPCP?)の払い出しで、サーバーのローカルIPが与えられている。
こうなると多分サーバー側では無く(最初から見当は付いていたが、だってローカル側のルーターのアドレス変更前は繋がっていたのだから)
google先生を探しまくって、やっと見つけた(https://nakada-r.com/2020/05/vpn-trouble-4/)
つまりデバイスマネージャーでminiportを削除する。私の場合は
WAN miniport(IP), WAN miniport(L2TP), WAN miniport(PPTP)の3つを削除し、再起動すると、これらのminiportが自動でインストールされ、VPNに繋がるようになった。
ubuntuはセキュリティーの為にrootにいろいろな制限が入っているらしい。調べたわけでは無いが、自分がやってみて出来なかった事。
# gedit が出来ない >> $ sudo gedit は出来る
# ls -ls /root で隠しファイルが表示されない >> $ sudo ls -la /root では表示される
# nautilus で cannot open displayになりノーチラスが出来ない >> $ sudo nautilus は出来るが、やはり/rootに隠しファイルが表示されないので、$ sudo ls -la /rootで見るしかない
CentOSに慣れているので色々不便極まりない。セキュリティーを取るか利便性を取るか!!
良いこともある:vi がCentOSより便利。下によく使うコマンドが表示され(ctrl+なにかのキー)で便利。いちいち esc : コマンドをやらなくて良いし、最初からinsert mode になっている。
ubuntuでは起動時には一般ユーザなので少し複雑。と言うのも一般ユーザでsudoを付けても今いるディレクトリーはユーザーのhomeである。その辺がこんがらがる元だった
cronでrsyncを使うが、パスワードを聞かれないようにする(sudoするのでユーザはroot)
まずは鍵を作る(サーバー側のsshやrsyncは設定済み)ubuntuのrootのパスワードは設定済み
$ su –
# mkdir .ssh
# ssh-keygen
どこに保存するか聞かれるので、/root/.ssh/id_rsaを指定、パスフレーズはエンターだけで進む。
.sshに出来たid_rsa.pubを何らかの方法でサーバーのに入れるが、私はg-mailのWEB mailでid_rsa.pubを添付し自分から自分に送って、サーバー側のブラウザでg-mailを開き、/root/.ssh/に保存。ファイル名をauthorized_keysに変更、もしすでにauthorized_keysがあればその最後にコピー(gmailを使う理由、サーバー側のsshはパスワードログインを許して無い、そしてauthorized_keysにubuntuのキーが入っていないので、他のコンピュータからscpをしないとならない)
rsync時にパスワードを聞かれないように
$ sudo visudo
root ALL=NOPASSWD: /usr/bin/rsync
を最後に追記。つぎにrsync-excludeとrsyncd.passwdを作成
$ sudo gedit /etc/rsync-exclude
rsyncで同期した時コピーしなくていいファイル
/.Trash-0/
/lost+found/
.recycle/ など
$ sudo gedit /etc/rsyncd.passwd
rootのパスワードのみを記入
このパスワードはサーバーのrsyncd.secretsに登録しているrootのパスワード
$ sudo chmod 600 /etc/rsyncd.passwd
ホームにRsyncActionを作る
$ gedit RsyncAction
sudo rsync -av -e “ssh -p SSHのポート -i /root/.ssh/id_rsa” –exclude-from=/etc/rsync-exclude –password-file=/etc/rsyncd.passwd rsync://root@サーバーのIP:/サーバーのrsyncd.confで指定したディレクトリ/ /同期されるディレクトリ
別のサーバーの設定も記入
ここで重要なのはrsync://root@サーバーのIP:/サーバーのrsyncd.confで指定したディレクトリ/ の最後の / これが無いと同期されるディレクトリの下に同期する。
rootになり、/etc/cron.dにプログラムを記入
$ su –
# echo “10 7,9,11,13,15,17,19,21 * * * ユーザー名 /home/ユーザー名/RsyncAction” >/etc/cron.d/rsync
# exit
これで7時から21時まで、毎時10分に同期される。
上の画像の①は差出人 support@eki-net.com となっているが実は偽造されている。調べる方法はあるが、専門的になるので割愛。でもって②は何かというと紫字の”ログインはこちら”にマウスを持って来ると表示され(スマホは長押し)、これは実際に飛ぶ所。つまりhttps://eki-nep.3utilities.comに飛ぶんだ。ここで大事なのは最後の二つ、つまり3utilities.com がドメインであるが、ここはえきねっとじゃないね!!ちなみにクリックすると出るのが下の画像。ここで大事なのは赤線の所。つまり3utilities.comというドメインで”えきねっと”では無いぞ!!絶対にクリックしてはダメ
ちなみにえきねっとのドメインは eki-net.com だよ
解りにくいが、https://の後に出る、最初の/の前、この場合は3utilities.comでその前のeki-nep(eki-netと書くつもりが間違っているが)はどうにでも出来るので信用してはいけない。
何度も同じことを書く破目に、これだけ悪い奴が多い
①は差出人の表示だが@の前は無視、肝心なのは@以降の部分。これがインターネットの重症に当たるドメインと呼ばれている物、特に最後に注目 .cn になっているがこれは中国、ヨドバシカメラが中国のドメインを使うはずがない。
ただ、ここは改ざん出来るので、たとえ yodobashi.com になっていても信用してないけないが、今回は偽造は無く、中国だと自分で明かしているので、この時点でこいつは悪者!!
②は青字の所にマウスを持って来ると(スマホはここを長押し)表示される文字である。これは何かというと青字の所をクリックすると、飛ぶ先を表示している。
つまり https://www.yodobashi.com/info と表示はされているが、実際には https://stauff.sneakerhome.cn/stale に飛ぶぞー。ここでもsneakerhome.cnがドメインなので中国だー。絶対にクリックしない事
いつも言っているが、①の所は差出人だが、これはアマゾンでは無い
Amazon.co.jp<lzxagbxw@service.eckogw.cn>となっているが最初のAmazon.co.jpは何にでも出来る。例えばメアドの最初はアルファベッドなので、漢字で鈴木にすることが出来る。それと同じなので惑わされないように、肝心なのは@マーク以降の特に最後.cnとなっていて、これは中国からだ!!日本のアマゾンが中国のメアドは絶対使わない。②は黄色地の所有権の証明にマウスを持って来た時に表示が出るものです(携帯は長押し)https://translate.google.com/translate?………….. となっている。最近までは中国のWEBに飛びそこでパスワードなどを入れさせたが、ここ最近はgoogleの翻訳ページを使って入れさせる、これはAMAZONではない。絶対にクリックしても入力はしないように。
WEBサーバーはapacheを使い、複数のWEBを運用している。そして先日DRBDを導入し、運用している。ここで問題、apacheはDRBDから起動しているので、systemctl status httpd ではFailed になる(当たり前)なのでletsencrypt のstandalone モードでは不可能だ(Error while running apachectl graceful.になる。当たり前、systemctl から起動はしていないので)尚かつ万が一apache をストップしても、DRBDがセカンダリーをプライマリーにして、サーバーは落ちない。
なので、standalone では無くwebroot でやるしかないが、私は standalone で作成したので webroot に変更する方法を探したら、https://blog.apitore.com/2016/08/06/lets-encrypt-standalone-webroot/ にヒントが在った。
でもこれはWEBが一つの場合で複数の場合では無い。因みに一つだけで設定をすると
Failed to renew certificate aarah.info-0001 with error: Missing command line flag or config entry for this setting:
Input the webroot for aarah.info:
というエラーが出た。複数のWEBはどうするのか、再度調べる。
https://community.letsencrypt.org/t/lets-encrypt-renewal-simulation-problem/43784/4 にその答えが在った。つまり複数のWEBの場所を [[webroot_map]] に記入すればよい。webroot-path は代表の一つでいいみたい。最終的に私の /etc/letsencrypt/renewal/aarah.info.conf は
# renew_before_expiry = 30 days
version = 1.11.0
archive_dir = /etc/letsencrypt/archive/aarah.info
cert = /etc/letsencrypt/live/aarah.info/cert.pem
privkey = /etc/letsencrypt/live/aarah.info/privkey.pem
chain = /etc/letsencrypt/live/aarah.info/chain.pem
fullchain = /etc/letsencrypt/live/aarah.info/fullchain.pem
# Options used in the renewal process
[renewalparams]
# authenticator = apache
#installer = apache
account = b9af5964365d5f0641d47c2fb75dbbb3
manual_public_ip_logging_ok = None
server = https://acme-v02.api.letsencrypt.org/directory
authenticator = webroot
webroot-path = /XXX/public/aarah,
[[webroot_map]]
aarah.info = /XXX/public/aarah
inpac.jp = /XXX/public/inpac
inpactours.jp = /XXX/public/inpactours
kinryo.net = /XXX/public/kinryo
opengarden.info = /XXX/public/opengarden
www.aarah.info = /XXX/public/aarah
www.inpac.jp = /XXX/public/inpac
www.inpactours.jp = /XXX/public/inpactours
www.kinryo.net = /XXX/public/kinryo
www.opengarden.info = /XXX/public/opengarden
一部伏せ字
その後
# certbot renew –dry-run
ドライランを付けテスト。この時どういう分けかkinryo.netでエラーがでる
Failed to renew certificate kinryo.net with error: Missing command line flag or config entry for this setting:
Input the webroot for kinryo.net:
だが、ドライランを付けずに
# certbot renew
で本ちゃんでやるとエラーは出ずに
Congratulations, all renewals succeeded:
/etc/letsencrypt/live/aarah.info-0001/fullchain.pem (success)
/etc/letsencrypt/live/kinryo.net/fullchain.pem (success)
/etc/letsencrypt/live/kinryokai.net-0001/fullchain.pem (success)
/etc/letsencrypt/live/kinryokai.net/fullchain.pem (success)
とエラーなく終了した。この原因は不明
だがこれではDRBDでプライマリーとセカンダリーが入れ替わた時、現在のletsencrypt の設定が入っていないのでエラーになる。なのでrsync で同期をして置く。
コピー先の/etc/rsyncd.conf に
[letsencrypt]
path = /etc/letsencrypt
authusers = root
secrets file = /etc/rsyncd.secrets
read only =no
を追記し、rsyncdをリスタートしておく。
そして、コピー元でドライランをする(nがドライラン)
# rsync -avn /etc/letsencrypt/ rsync://root@192.168.xx.xx/letsencrypt
パスワードを聞かれるが、これはコピー先の/etc/rsyncd.secrets に設定してあるrootのパスワードを入力の事、のログインパスワードでは無い
エラーが無いことを確かめて、本ちゃんの同期
# rsync -av /etc/letsencrypt/ rsync://root@192.168.xx.xx/letsencrypt
これで同期が出来る。
自分への覚書
* certbotの証明書の表示
# certbot certificates
* certbotでメールサーバーの証明書の更新
# certbot certonly –dry-run -d mail.kinryo.net →ドライランでテスト
その後下記のように聞かれるので
1: Apache Web Server plugin (apache)
2: Spin up a temporary webserver (standalone)
3: Place files in webroot directory (webroot)
Select the appropriate number [1-3] then [enter] (press ‘c’ to cancel): 3 と入力
場所を聞かれるので、kinryo.netのWEBの場所を入力(メールを保存している場所では無い)
Input the webroot for mail.kinryo.net: (Enter ‘c’ to cancel): /XXXXX/public/kinryo
これで成功するので、ドライランを外して、本ちゃんの更新をする。
その後、secondary側の/etc/rsyncd.conf も同じ様に変更して置くこと。
