約 2,851,265 件
https://w.atwiki.jp/soscomp/pages/46.html
メニュー La Fonera関連まとめ DD-WRT化したLaFonera 3台をWDSで接続して、ネットワークを中継する 「(ファームウェア)書き換えは、男の仕事!」 - ばかしんじ君 概要 作り方LaFoneraにDD-WRTをインストール WDS設定 その日の気分でこんなもの作ってみました。 概要 WDS(アクセスポイント間通信)を利用して、長距離を無線LANネットワークで結ぶための機器です。 LaFoneraを改造して作りました。 imageプラグインエラー ご指定のURLはサポートしていません。png, jpg, gif などの画像URLを指定してください。 imageプラグインエラー ご指定のURLはサポートしていません。png, jpg, gif などの画像URLを指定してください。 3台のLaFoneraにはDD-WRTがインストールされています A-B間とB-C間がそれぞれWDSで接続されています Aは有線LANのネットワークに、Cはノートパソコンに接続されています 青いLANケーブルはクロスケーブルです Aが色褪せているのは1年間窓際に設置してあったからです Bについている黒い丸い物体は、試しにつけてみた冷却ファンです 速度は以下のような感じ。結構落ちるけどニコ動観る程度なら問題無い速度 ↓有線で接続した場合 ↓中継した場合 ping打ってみたけど、4台繋いでも遅延は20msecくらい 2台ので通信させた場合300mくらい届くはずだから、3台あれば600mくらいの距離を伝送できるはず ってことで今度実験してみようと思うんだけど誰か手伝ってくれん? YouTubeを再生させてみるテスト 作り方 !!!!注意!!!! 1セット作るともう1セット作りたくなる病が発症する危険があります。 素材のLaFoneraは10台くらい用意しておいた方が賢明です。 LaFoneraにDD-WRTをインストール WDS設定 参考サイト !!設定は1台だけ電源を入れて、1台ずつ設定を行うこと!! 1.無線接続でLaFoneraにアクセス(標準なら、http //192.168.1.1) 2.(別に英語とか読めるし、とかいう頭のいい人は、実行しなくておk) 英語で読みにくいので、[Administration]タブの[Management] のページで、[Language] を "japanese" に設定。 このとき、同じページの上部にある[Router Username]と[Router Password]を適当に設定しておくと吉。 [Save] をクリック。 3.[基本]タブでの設定 [インターネット接続]項目の[インターネット接続方法]を"無効"にする。 [ネットワーク設定]項目で、IPアドレスを設定(自由でいいけど、わかりやすく。ex 192.168.1.2) --IPアドレスとかは一種のあだ名みたいなものなので、かぶらないように各機設定する。 サブネットは、255.255.255.0 ゲートウェイとLAN側DNSは、0.0.0.0 でおk [DHCP]項目の[DHCPサーバー]を"無効"にする。 セーブっと。 4.[無線LAN]タブでの設定 [ネットワークID(SSID)]を任意なものに。(これも各機かぶらないように) [無線チャンネル]を"自動"から任意のものへ。(これはチャンネルなので各機同じものに) 忘れないうちにレポート書いてっと。 そのまま同じタブの[無線LANセキュリティ]のページへ行き、[無線LAN認証]を"無効"に。 ここはこれで糸冬。 5.[セキュリティ]タブでの設定 [Firewall保護]を"無効"にする。 ここはこんだけ、しおりでも書きますね。 ###ここまでが、各機共通設定### 6.[機器診断]タブでの設定 [システム情報]のページに、[無線LAN MACアドレス]があるので、それと機器自体のSSIDをメモ 7.[無線」LAN]タブでの設定。 [WDS]のページへ行く。 1行ごとに設定を下記のように設定する。 "LAN" 通信させたい機体のMACアドレス 通信させたい機体のSSID これで設定完了です。各機[管理]タブの下にある[再起動]をクリックするか、電源を引っこ抜いて再起動してね。 後は、pingで接続確認。 一応、”6 ”で見た、[機器診断]タブの[システム情報]のページ下に[無線]って項目があり、 つながってれば、そこにつながってる機体が表示されます。 名前 コメント このページへのアクセス数 total - today - yesterday - このページのタグ一覧 DD-WRT LaFonera ずっきぃ みみなし
https://w.atwiki.jp/fns1556/pages/116.html
IPsec 1. IPsecのオーバーヘッドについて IPsecで使用する暗号プロトコルでは、ブロック長暗号、認証データが使用される。 それぞれのオーバーヘッドサイズについては使用する種類により以下となる。 ブロック長暗号 DES/3DES = 8 byte AES(128/192/256) = 16 byte 認証データ MD5/SHA-1 = 12 byte SHA256 = 16 byte SHA384 = 24 byte SHA512 = 32 byte 非暗号データ IP Datagram - IP Header - ICMP Header = data 126 - 20 - 8 = 98 127 - 20 - 8 = 99 128 - 20 - 8 = 100 ... 141 - 20 - 8 = 113 142 - 20 - 8 = 114 143 - 20 - 8 = 115 ... 1390 - 20 - 8 = 1362 1438 - 20 - 8 = 1410 ★IPsec (AES256-CBC, SHA-1) [Overhead 58-73byte] IP Datagram - IP Header - ESP Header(SPI + SEQ) - AES256(IV) - Padding(AES 0-15) - ESP Trailer(Pad length + Next Header) - HMAC(SHA-1) = data(Raw IP + ICMP Header + Data) 184 - 20 - 8(4+4) - 16 - 0 - 2(1+1) - 12 = 126(20 + 8 + 98) 200 - 20 - 8(4+4) - 16 - 15 - 2(1+1) - 12 = 127(20 + 8 + 99) 200 - 20 - 8(4+4) - 16 - 14 - 2(1+1) - 12 = 128(20 + 8 + 100) ... 200 - 20 - 8(4+4) - 16 - 1 - 2(1+1) - 12 = 141(20 + 8 + 113) 200 - 20 - 8(4+4) - 16 - 0 - 2(1+1) - 12 = 142(20 + 8 + 114) 216 - 20 - 8(4+4) - 16 - 15 - 2(1+1) - 12 = 143(20 + 8 + 115) ... 1448 - 20 - 8(4+4) - 16 - 0 - 2(1+1) - 12 = 1390(20 + 8 + 1362) 1496 - 20 - 8(4+4) - 16 - 0 - 2(1+1) - 12 = 1438(20 + 8 + 1410) Interface MTU, Tunnel MTU, Tunnel MSS 1454 , 1448 , 1408 1500 , 1496 , 1456 ★Tunnel MTU (Fletsの場合 Interface MTU=1454) X = Interface MTU - IP Header - ESP Header - AES256 - HMAC(SHA-1) X = 1454 - 20 - 8 - 16 - 12 X = 1398 Tunnel MTU = X/16(AES暗号ブロック長)の整数部 * 16(AES暗号ブロック長) - 2 1398 / 16 = 87.375 Tunnel MTU = 87 * 16 - 2 = 1390 ※HMACにより多少変動する MD5/SHA-1 = 1390 SHA256 = 1390 SHA384 = 1374 SHA512 = 1374 IPsecのオーバーヘッド計算ツール IPSec Overhead Calculator Tool 以下、IP Datagram 128byte(20 + 8 + 100)の計算例(ping 100byte実施時) Packet Details Field Bytes New IPv4 Header (Tunnel Mode) 20 SPI (ESP Header) 4 Sequence (ESP Header) 4 ESP-AES (IV) 16 Original Data Packet 128 ESP Pad (ESP-AES) 14 Pad length (ESP Trailer) 1 Next Header (ESP Trailer) 1 ESP-SHA-HMAC ICV (ESP Trailer) 12 Total IPSec Packet Size 200 オーバーヘッドの計算方法:Q.1-8 IPsec使用時のトンネルインタフェースのMTU長と、TCP MSS値の適切な値を教えて下さい。 Cisco crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp key password address 172.17.0.251 crypto ipsec transform-set IPSEC-01 esp-3des esp-sha-hmac crypto map VPN 1 ipsec-isakmp set peer 172.17.0.251 set transform-set IPSEC-01 match address 111 access-list 111 remark ###### IPSEC-01 ###### access-list 111 permit ip 192.168.28.0 0.0.0.255 192.168.32.0 0.0.0.255 access-list 111 permit ip 192.168.29.0 0.0.0.255 192.168.32.0 0.0.0.255 access-list 111 permit ip 192.168.28.0 0.0.0.255 192.168.33.0 0.0.0.255 access-list 111 permit ip 192.168.29.0 0.0.0.255 192.168.33.0 0.0.0.255 interface FastEthernet0 ip address 172.17.0.253 255.255.255.128 duplex auto speed auto crypto map VPN interface Vlan28 ip address 192.168.28.254 255.255.255.0 interface Vlan29 ip address 192.168.29.254 255.255.255.0 ip route 192.168.32.0 255.255.255.0 FastEthernet0 172.17.0.251 ip route 192.168.33.0 255.255.255.0 FastEthernet0 172.17.0.251 SSG set interface ethernet0/0 zone "Untrust" set interface ethernet0/0 ip 172.17.0.251/24 set interface ethernet0/0 route set interface ethernet0/1.1 tag 901 zone "Zone01" set interface ethernet0/1.1 ip 172.19.1.254/24 set interface ethernet0/1.1 route set flow reverse-route clear-text always set address "Untrust" "CLan-01" 192.168.28.0 255.255.255.0 set address "Untrust" "CLan-02" 192.168.29.0 255.255.255.0 set address "Zone01" "Lan-01" 192.168.32.0 255.255.255.0 set ike gateway "GW-01" address 172.17.0.253 outgoing-interface ethernet0/0 preshare password proposal pre-g2-3des-sha set vpn "VPN-01" gateway "GW-01" proposal "g2-esp-3des-sha" set policy id 11 from "Zone01" to "Untrust" "Lan-01" "CLan-01" "ANY" tunnel vpn "VPN-01" set policy id 12 from "Untrust" to "Zone01" "CLan-01" "Lan-01" "ANY" tunnel vpn "VPN-01" set policy id 21 from "Zone01" to "Untrust" "Lan-01" "CLan-02" "ANY" tunnel vpn "VPN-01" set policy id 22 from "Untrust" to "Zone01" "CLan-02" "Lan-01" "ANY" tunnel vpn "VPN-01" set route 192.168.32.0/23 interface ethernet0/1.1 gateway 172.19.1.253 set route 192.168.28.0/24 interface ethernet0/0 gateway 172.17.0.253 set route 192.168.29.0/24 interface ethernet0/0 gateway 172.17.0.253 上記の設定にてSSG内のセグメントよりテスト ssg- get policy Total regular policies 6, Default deny, Software based policy search, new policy enabled. ID From To Src-address Dst-address Service Action State ASTLCB 1 Trust Untrust Any Any ANY Permit enabled -----X 11 Zone01 Untrust SLan-01 CLan-01 ANY Tunnel enabled -----X 12 Untrust Zone01 CLan-01 SLan-01 ANY Tunnel enabled -----X 21 Zone01 Untrust SLan-01 CLan-02 ANY Tunnel enabled -----X 22 Untrust Zone01 CLan-02 SLan-01 ANY Tunnel enabled -----X 101 Zone01 Untrust Any Any ANY Permit enabled -----X ssg- get sa total configured sa 2 HEX ID Gateway Port Algorithm SPI Life sec kb Sta PID vsys 00000005 172.17.0.253 500 esp 3des/sha1 00000000 expir unlim I/I 12 0 00000005 172.17.0.253 500 esp 3des/sha1 00000000 expir unlim I/I 11 0 00000006 172.17.0.253 500 esp 3des/sha1 00000000 expir unlim I/I 22 0 00000006 172.17.0.253 500 esp 3des/sha1 00000000 expir unlim I/I 21 0 SSG側からping ping 192.168.28.254 source Vlan32 Router# debug crypto ipsec Router# Feb 2 03 04 23 JST IPSEC(validate_proposal_request) proposal part #1 Feb 2 03 04 23 JST IPSEC(validate_proposal_request) proposal part #1, (key eng. msg.) INBOUND local= 172.17.0.253 0, remote= 172.17.0.251 0, local_proxy= 192.168.28.0/255.255.255.0/0/0 (type=4), remote_proxy= 192.168.32.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= NONE (Tunnel), lifedur= 0s and 0kb, spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x0 Feb 2 03 04 23 JST Crypto mapdb proxy_match src addr 192.168.28.0 dst addr 192.168.32.0 protocol 0 src port 0 dst port 0 Feb 2 03 04 23 JST IPSEC(key_engine) got a queue event with 1 KMI message(s) Feb 2 03 04 23 JST Crypto mapdb proxy_match src addr 192.168.28.0 dst addr 192.168.32.0 protocol 0 src port 0 dst port 0 Feb 2 03 04 23 JST IPSEC(crypto_ipsec_sa_find_ident_head) reconnecting with the same proxies and peer 172.17.0.251 Feb 2 03 04 23 JST IPSEC(policy_db_add_ident) src 192.168.28.0, dest 192.168.32.0, dest_port 0 Feb 2 03 04 23 JST IPSEC(create_sa) sa created, (sa) sa_dest= 172.17.0.253, sa_proto= 50, sa_spi= 0xC9BAF342(3384472386), sa_trans= esp-3des esp-sha-hmac , sa_conn_id= 7 sa_lifetime(k/sec)= (4550099/3600) Feb 2 03 04 23 JST IPSEC(create_sa) sa created, (sa) sa_dest= 172.17.0.251, sa_proto= 50, sa_spi= 0xA7D6C228(2815869480), sa_trans= esp-3des esp-sha-hmac , sa_conn_id= 8 sa_lifetime(k/sec)= (4550099/3600) Feb 2 03 04 23 JST IPSEC(key_engine) got a queue event with 1 KMI message(s) Feb 2 03 04 23 JST IPSEC(key_engine_enable_outbound) rec d enable notify from ISAKMP Feb 2 03 04 23 JST IPSEC(key_engine_enable_outbound) enable SA with spi 2815869480/50 Feb 2 03 04 23 JST IPSEC(update_current_outbound_sa) get enable SA peer 172.17.0.251 current outbound sa to SPI A7D6C228 Feb 2 03 04 23 JST IPSEC(update_current_outbound_sa) updated peer 172.17.0.251 current outbound sa to SPI A7D6C228 Router# ssg- get sa total configured sa 2 HEX ID Gateway Port Algorithm SPI Life sec kb Sta PID vsys 00000005 172.17.0.253 500 esp 3des/sha1 a7d6c228 3594 4095M A/- 12 0 00000005 172.17.0.253 500 esp 3des/sha1 c9baf342 3594 4095M A/- 11 0 00000006 172.17.0.253 500 esp 3des/sha1 00000000 expir unlim I/I 22 0 00000006 172.17.0.253 500 esp 3des/sha1 00000000 expir unlim I/I 21 0 Router#show crypto isakmp sa Load for five secs 0%/0%; one minute 1%; five minutes 1% Time source is NTP, 03 05 18.018 JST Mon Feb 2 2015 IPv4 Crypto ISAKMP SA dst src state conn-id status 172.17.0.253 172.17.0.251 QM_IDLE 2022 ACTIVE IPv6 Crypto ISAKMP SA SSG側から2つ目のアドレス宛にping ping 192.168.29.254 source Vlan32 Router# Feb 2 03 06 15 JST IPSEC(validate_proposal_request) proposal part #1 Feb 2 03 06 15 JST IPSEC(validate_proposal_request) proposal part #1, (key eng. msg.) INBOUND local= 172.17.0.253 0, remote= 172.17.0.251 0, local_proxy= 192.168.29.0/255.255.255.0/0/0 (type=4), remote_proxy= 192.168.32.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= NONE (Tunnel), lifedur= 0s and 0kb, spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x0 Feb 2 03 06 15 JST Crypto mapdb proxy_match src addr 192.168.29.0 dst addr 192.168.32.0 protocol 0 src port 0 dst port 0 Feb 2 03 06 15 JST IPSEC(key_engine) got a queue event with 1 KMI message(s) Feb 2 03 06 15 JST Crypto mapdb proxy_match src addr 192.168.29.0 dst addr 192.168.32.0 protocol 0 src port 0 dst port 0 Feb 2 03 06 15 JST IPSEC(crypto_ipsec_sa_find_ident_head) reconnecting with the same proxies and peer 172.17.0.251 Feb 2 03 06 15 JST IPSEC(policy_db_add_ident) src 192.168.29.0, dest 192.168.32.0, dest_port 0 Feb 2 03 06 15 JST IPSEC(create_sa) sa created, (sa) sa_dest= 172.17.0.253, sa_proto= 50, sa_spi= 0x1B3ABE18(456834584), sa_trans= esp-3des esp-sha-hmac , sa_conn_id= 9 sa_lifetime(k/sec)= (4459339/3600) Feb 2 03 06 15 JST IPSEC(create_sa) sa created, (sa) sa_dest= 172.17.0.251, sa_proto= 50, sa_spi= 0xA7D6C229(2815869481), sa_trans= esp-3des esp-sha-hmac , sa_conn_id= 10 sa_lifetime(k/sec)= (4459339/3600) Feb 2 03 06 16 JST IPSEC(key_engine) got a queue event with 1 KMI message(s) Feb 2 03 06 16 JST IPSEC(key_engine_enable_outbound) rec d enable notify from ISAKMP Feb 2 03 06 16 JST IPSEC(key_engine_enable_outbound) enable SA with spi 2815869481/50 Feb 2 03 06 16 JST IPSEC(update_current_outbound_sa) get enable SA peer 172.17.0.251 current outbound sa to SPI A7D6C229 Feb 2 03 06 16 JST IPSEC(update_current_outbound_sa) updated peer 172.17.0.251 current outbound sa to SPI A7D6C229 Router# ssg- get sa total configured sa 2 HEX ID Gateway Port Algorithm SPI Life sec kb Sta PID vsys 00000005 172.17.0.253 500 esp 3des/sha1 a7d6c228 3483 4095M A/- 12 0 00000005 172.17.0.253 500 esp 3des/sha1 c9baf342 3483 4095M A/- 11 0 00000006 172.17.0.253 500 esp 3des/sha1 a7d6c229 3596 4095M A/- 22 0 00000006 172.17.0.253 500 esp 3des/sha1 1b3abe18 3596 4095M A/- 21 0 Router#show crypto isakmp sa Load for five secs 0%/0%; one minute 1%; five minutes 1% Time source is NTP, 03 07 23.349 JST Mon Feb 2 2015 IPv4 Crypto ISAKMP SA dst src state conn-id status 172.17.0.253 172.17.0.251 QM_IDLE 2022 ACTIVE IPv6 Crypto ISAKMP SA Router#show crypto ipsec sa Load for five secs 3%/0%; one minute 1%; five minutes 1% Time source is NTP, 03 08 01.234 JST Mon Feb 2 2015 interface FastEthernet0 Crypto map tag VPN, local addr 172.17.0.253 protected vrf (none) local ident (addr/mask/prot/port) (192.168.28.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port) (192.168.32.0/255.255.255.0/0/0) current_peer 172.17.0.251 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps 4, #pkts encrypt 4, #pkts digest 4 #pkts decaps 4, #pkts decrypt 4, #pkts verify 4 #pkts compressed 0, #pkts decompressed 0 #pkts not compressed 0, #pkts compr. failed 0 #pkts not decompressed 0, #pkts decompress failed 0 #send errors 0, #recv errors 0 local crypto endpt. 172.17.0.253, remote crypto endpt. 172.17.0.251 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0 current outbound spi 0xA7D6C228(2815869480) PFS (Y/N) Y, DH group group2 inbound esp sas spi 0xC9BAF342(3384472386) transform esp-3des esp-sha-hmac , in use settings ={Tunnel, } conn id 7, flow_id Onboard VPN 7, sibling_flags 80000046, crypto map VPN sa timing remaining key lifetime (k/sec) (4550098/3382) IV size 8 bytes replay detection support Y Status ACTIVE inbound ah sas inbound pcp sas outbound esp sas spi 0xA7D6C228(2815869480) transform esp-3des esp-sha-hmac , in use settings ={Tunnel, } conn id 8, flow_id Onboard VPN 8, sibling_flags 80000046, crypto map VPN sa timing remaining key lifetime (k/sec) (4550098/3382) IV size 8 bytes replay detection support Y Status ACTIVE outbound ah sas outbound pcp sas protected vrf (none) local ident (addr/mask/prot/port) (192.168.28.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port) (192.168.33.0/255.255.255.0/0/0) current_peer 172.17.0.251 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps 0, #pkts encrypt 0, #pkts digest 0 #pkts decaps 0, #pkts decrypt 0, #pkts verify 0 #pkts compressed 0, #pkts decompressed 0 #pkts not compressed 0, #pkts compr. failed 0 #pkts not decompressed 0, #pkts decompress failed 0 #send errors 0, #recv errors 0 local crypto endpt. 172.17.0.253, remote crypto endpt. 172.17.0.251 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0 current outbound spi 0x0(0) PFS (Y/N) N, DH group none inbound esp sas inbound ah sas inbound pcp sas outbound esp sas outbound ah sas outbound pcp sas protected vrf (none) local ident (addr/mask/prot/port) (192.168.29.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port) (192.168.32.0/255.255.255.0/0/0) current_peer 172.17.0.251 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps 4, #pkts encrypt 4, #pkts digest 4 #pkts decaps 4, #pkts decrypt 4, #pkts verify 4 #pkts compressed 0, #pkts decompressed 0 #pkts not compressed 0, #pkts compr. failed 0 #pkts not decompressed 0, #pkts decompress failed 0 #send errors 0, #recv errors 0 local crypto endpt. 172.17.0.253, remote crypto endpt. 172.17.0.251 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0 current outbound spi 0xA7D6C229(2815869481) PFS (Y/N) Y, DH group group2 inbound esp sas spi 0x1B3ABE18(456834584) transform esp-3des esp-sha-hmac , in use settings ={Tunnel, } conn id 9, flow_id Onboard VPN 9, sibling_flags 80000046, crypto map VPN sa timing remaining key lifetime (k/sec) (4459338/3494) IV size 8 bytes replay detection support Y Status ACTIVE inbound ah sas inbound pcp sas outbound esp sas spi 0xA7D6C229(2815869481) transform esp-3des esp-sha-hmac , in use settings ={Tunnel, } conn id 10, flow_id Onboard VPN 10, sibling_flags 80000046, crypto map VPN sa timing remaining key lifetime (k/sec) (4459338/3494) IV size 8 bytes replay detection support Y Status ACTIVE outbound ah sas outbound pcp sas protected vrf (none) local ident (addr/mask/prot/port) (192.168.29.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port) (192.168.33.0/255.255.255.0/0/0) current_peer 172.17.0.251 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps 0, #pkts encrypt 0, #pkts digest 0 #pkts decaps 0, #pkts decrypt 0, #pkts verify 0 #pkts compressed 0, #pkts decompressed 0 #pkts not compressed 0, #pkts compr. failed 0 #pkts not decompressed 0, #pkts decompress failed 0 #send errors 0, #recv errors 0 local crypto endpt. 172.17.0.253, remote crypto endpt. 172.17.0.251 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0 current outbound spi 0x0(0) PFS (Y/N) N, DH group none inbound esp sas inbound ah sas inbound pcp sas outbound esp sas outbound ah sas outbound pcp sas Cisco側のACLを変更 access-list 111 remark ###### IPSEC-01 ###### access-list 111 permit ip any 192.168.32.0 0.0.0.255 SSG側のアドレスオブジェクトを変更し、proxy-idを指定 set address Untrust Clan-01 192.168.28.0/23 set vpn "VPN-01" proxy-id local-ip 192.168.32.0/24 remote-ip 192.168.28.0/23 "ANY" set policy id 11 from "Zone01" to "Untrust" "SLan-01" "CLan-01" "ANY" tunnel vpn "VPN-01" set policy id 12 from "Untrust" to "Zone01" "CLan-01" "SLan-01" "ANY" tunnel vpn "VPN-01" Cisco側のProxy-IDを確認 Router#show crypto ipsec sa Load for five secs 0%/0%; one minute 3%; five minutes 2% Time source is NTP, 04 01 09.915 JST Mon Feb 2 2015 interface FastEthernet0 Crypto map tag VPN, local addr 172.17.0.253 protected vrf (none) local ident (addr/mask/prot/port) (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port) (192.168.32.0/255.255.255.0/0/0) current_peer 172.17.0.251 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps 0, #pkts encrypt 0, #pkts digest 0 #pkts decaps 0, #pkts decrypt 0, #pkts verify 0 #pkts compressed 0, #pkts decompressed 0 #pkts not compressed 0, #pkts compr. failed 0 #pkts not decompressed 0, #pkts decompress failed 0 #send errors 0, #recv errors 0 local crypto endpt. 172.17.0.253, remote crypto endpt. 172.17.0.251 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0 current outbound spi 0x0(0) PFS (Y/N) N, DH group none inbound esp sas inbound ah sas inbound pcp sas outbound esp sas outbound ah sas outbound pcp sas SSG側のProxy-IDを確認 ssg- get policy id 11 name "none" (id 11), zone Zone01 - Untrust,action Tunnel, status "enabled", pair policy 12 src "SLan-01", dst "Clan-01", serv "ANY" Rules on this VPN policy 0 nat off, Web filtering disabled vpn VPN-01, nsp tunnel 40000008, sa index 0, sa tunnel id 8 policy flag 00000000, session backup on, idle reset on traffic shaping off, scheduler n/a, serv flag 00 log no, log count 0, alert no, counter no(0) byte rate(sec/min) 0/0 total octets 0, counter(session/packet/octet) 0/0/0 priority 7, diffserv marking Off tadapter state off, gbw/mbw 0/0 policing (no) proxy id local 192.168.32.0/255.255.255.0, remote 192.168.28.0/255.255.254.0, proto 0, port 0 No Authentication No User, User Group or Group expression set SSG側よりping Switch#ping 192.168.28.254 source Vlan32 ssg- get ike cookie IKEv1 SA -- Active 1, Dead 0, Total 1 80182f/0003, 172.17.0.251 500- 172.17.0.253 500, PRESHR/grp2/3DES/SHA, xchg(2) (GW-01/grp-1/usr-1) resent-tmr 322 lifetime 28800 lt-recv 28800 nxt_rekey 28759 cert-expire 0 initiator, err cnt 0, send dir 0, cond 0x0 nat-traversal map not available ike heartbeat disabled ike heartbeat last rcv time 0 ike heartbeat last snd time 0 XAUTH status 0 DPD seq local 0, peer 0 IKEv2 SA -- Active 0, Dead 0, Total 0 ssg- get sa total configured sa 1 HEX ID Gateway Port Algorithm SPI Life sec kb Sta PID vsys 00000008 172.17.0.253 500 esp 3des/sha1 a7d6c22c 3558 4095M A/- 12 0 00000008 172.17.0.253 500 esp 3des/sha1 f7a6a89d 3558 4095M A/- 11 0 Router#show crypto ipsec sa Load for five secs 0%/0%; one minute 1%; five minutes 1% Time source is NTP, 04 05 31.100 JST Mon Feb 2 2015 interface FastEthernet0 Crypto map tag VPN, local addr 172.17.0.253 protected vrf (none) local ident (addr/mask/prot/port) (192.168.28.0/255.255.254.0/0/0) remote ident (addr/mask/prot/port) (192.168.32.0/255.255.255.0/0/0) current_peer 172.17.0.251 port 500 PERMIT, flags={} #pkts encaps 4, #pkts encrypt 4, #pkts digest 4 #pkts decaps 4, #pkts decrypt 4, #pkts verify 4 #pkts compressed 0, #pkts decompressed 0 #pkts not compressed 0, #pkts compr. failed 0 #pkts not decompressed 0, #pkts decompress failed 0 #send errors 0, #recv errors 0 local crypto endpt. 172.17.0.253, remote crypto endpt. 172.17.0.251 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0 current outbound spi 0xA7D6C22C(2815869484) PFS (Y/N) Y, DH group group2 inbound esp sas spi 0xF7A6A89D(4154894493) transform esp-3des esp-sha-hmac , in use settings ={Tunnel, } conn id 15, flow_id Onboard VPN 15, sibling_flags 80000046, crypto map VPN sa timing remaining key lifetime (k/sec) (4579697/3550) IV size 8 bytes replay detection support Y Status ACTIVE inbound ah sas inbound pcp sas outbound esp sas spi 0xA7D6C22C(2815869484) transform esp-3des esp-sha-hmac , in use settings ={Tunnel, } conn id 16, flow_id Onboard VPN 16, sibling_flags 80000046, crypto map VPN sa timing remaining key lifetime (k/sec) (4579697/3550) IV size 8 bytes replay detection support Y Status ACTIVE outbound ah sas outbound pcp sas protected vrf (none) local ident (addr/mask/prot/port) (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port) (192.168.32.0/255.255.255.0/0/0) current_peer 172.17.0.251 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps 0, #pkts encrypt 0, #pkts digest 0 #pkts decaps 0, #pkts decrypt 0, #pkts verify 0 #pkts compressed 0, #pkts decompressed 0 #pkts not compressed 0, #pkts compr. failed 0 #pkts not decompressed 0, #pkts decompress failed 0 #send errors 0, #recv errors 0 local crypto endpt. 172.17.0.253, remote crypto endpt. 172.17.0.251 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0 current outbound spi 0x0(0) PFS (Y/N) N, DH group none inbound esp sas inbound ah sas inbound pcp sas outbound esp sas outbound ah sas outbound pcp sas Proxy-IDが異なる(サブネット長変えたりした・・・)にも関わらず接続できる?
https://w.atwiki.jp/ddwrt_openwrt/pages/129.html
■ 2019-03-13作成 ■ 2021-08-05更新 ■ - アクセス ■ 1750Mbps Buffalo WZRシリーズ 外部リンクDeviWikiTechInfoDepotOpenWrtDD-WRT 基本情報 発売日 型番 5GHz2.4GHz 有線 メモリ フラッシュ CPU Clock Port 2013-03-28 WZR-1750DHP (ac)1300(n)450 1Gbps*4 512 MiB 128 MiB BroadcomBCM4708A0 800MHz2Core USB 2.0 USB 3.0 2013-12-09 WZR-1750DHP2 (ac)1300(n)450 1Gbps*4 512 MiB 128 MiB 2Core USB 2.0 USB 3.0 2014-12-06 WZR-S1750DHP (ac)1300(n)450 1Gbps*4 USB 2.0 USB 2.0 関連機種:WZR-1750DHP / WZR-1750DHP2 / WZR-S1750DHP / WXR-1750DHP / WXR-1750DHP2 WZR-1166DHPとアンテナ数以外の構成が一緒。1166のアンテナ数は2x2(150x2+433x2)で1750のアンテナ数は3x3(150x3+433x3)。 3機種とも同一の工事設計認証番号を持つがWZR-S1750DHPだけUSB3.0端子がない。通常は設計変更すると技適は無効になるので、ファームウェアレベルでUSB3.0を無効化しているのか、そもそもUSB端子変更程度なら電波法で規定される要件には無関係なのかもしれない。 WZR-S1750DHPは写syncというiOSアプリに対応させた製品らしい(リンク切れ)。その後サービス終了したので結果的に従来品に劣る製品になってしまった模様。 海外ではDD-WRTがプリインストールされたWZR-1750DHPDなる機種も存在するらしい。当然ハードウェアとしては同一と思われる。 1900Mbps機種と同じく、ややマイナーな3ストリーム機種。こちらは256QAM技術に対応していない分だけ速度表記が小さい。 インストール関連 概要・注意点・参考サイト 情報募集中 使用中のファームウェアのバックアップ手順 WZR-1750DHP2の純正ファームウエアのバックアップとDD-WRTからの復元 インストール手順 WZR-1750DHP2にDD-WRTを入れてみたときの成功例 バックアップへの復旧手順 WZR-1750DHP2の純正ファームウエアのバックアップとDD-WRTからの復元 その他情報 このページへのリンクが設置してあるページ WXR-1750DHP WZR-1166DHP WZR-D1100H ルータ一覧/BUFFALO コメント 名前 コメント
https://w.atwiki.jp/ddwrt_openwrt/pages/47.html
telnetまたはSSHを有効にする telnet/SSHでログイン フラッシュのイメージを保存するために/tmpに移動 cd /tmp フラッシュのイメージをダウンロード。-sysupgrade.binを選ぶ wget http //downloads.openwrt.org/barrier_breaker/14.07/ar71xx/generic/openwrt-ar71xx-generic-wzr-hp-ag300h-squashfs-sysupgrade.bin ダウンロードしたファイルをフラッシュに書き込む mtd -r write openwrt-ar71xx-generic-wzr-hp-ag300h-squashfs-sysupgrade.bin linux
https://w.atwiki.jp/ddwrt_openwrt/pages/88.html
■ 2019-03-03作成 ■ 2020-04-21更新 ■ - アクセス ■ 300Mbps Buffalo WHRシリーズ 外部リンクDeviWikiTechInfoDepotOpenWrtDD-WRT 基本情報 発売日 型番 5GHz2.4GHz 有線 メモリ フラッシュ CPU Clock Port 2009-08-30 WHR-HP-G300N none(n)300 100Mbps*4 32 MiB 4 MiB AtherosAR7240 400MHz none 2012-03-18 WHR-HP-G300NA none(n)300 100Mbps*4 32 MiB 4 MiB AtherosAR7240 400MHz none 2012-06-30 WHR-300HP none(n)300 100Mbps*4 32 MiB 4 MiB AtherosAR7240 400MHz none 後継機種:WHR-HP-G300N→WHR-HP-G300NA→WHR-300HP→WHR-300HP2 WHR-HP-G300NAは「Acronis True Image HD」のライセンスをバンドルしたもので本体はWHR-HP-G300Nそのもの。 WHR-300HPは「2011年12月の関係省令改正に伴う工事設計認証番号の表記の変更」で認証番号を再取得する際に同時に名称変更を行っただけのもの。 以下の7機種はアンテナ等を除いてほぼ同じ内部構成と思われる。WHR-G301NWHR-G301NAWHR-300WHR-HP-GNWHR-HP-G300NWHR-HP-G300NAWHR-300HP インストール関連 概要・注意点・参考サイト (wiki内)TFTPでのインストール(WHR-G301N) OpenWrtサポート終了 DD-WRTサポート 有※2017年1月から2019年4月末の間のF/Wはサイズ(3,801,088byte)超過が原因でインストール不可能 使用中のファームウェアのバックアップ手順 情報募集中 インストール手順 情報募集中 バックアップへの復旧手順 情報募集中 その他情報 このページへのリンクが設置してあるページ コメント DD-WRTサポート 有※2017年1月から2019年4月末の間のF/Wはサイズ(3,801,088byte)超過が原因でインストール不可能 とありますが、2017年1月以前のファームウエアが公開されているページなどを知っている方がおられましたら教えていただけませんでしょうか? -- 名無し (2020-04-05 21 04 08) 左のメニューの DD-WRT公式サイト Download(trunk版) です。 https //download1.dd-wrt.com/dd-wrtv2/downloads/betas/ 今まで公式が作成した全F/WがDL出来ます。2020年現在でもF/Wが生成されてますが、 ちゃんと動くかは保証が無いので、何種類かファイルを変えて試してみて下さい。 -- 名無しさん (2020-04-05 21 53 33) 名前 コメント
https://w.atwiki.jp/ddwrt_openwrt/pages/124.html
■ 2019-03-03作成 ■ 2020-04-21更新 ■ - アクセス ■ 300Mbps Buffalo WHRシリーズ 外部リンクDeviWikiTechInfoDepotOpenWrtDD-WRT 基本情報 発売日 型番 5GHz2.4GHz 有線 メモリ フラッシュ CPU Clock Port 2009-08-30 WHR-HP-G300N none(n)300 100Mbps*4 32 MiB 4 MiB AtherosAR7240 400MHz none 2012-03-18 WHR-HP-G300NA none(n)300 100Mbps*4 32 MiB 4 MiB AtherosAR7240 400MHz none 2012-06-30 WHR-300HP none(n)300 100Mbps*4 32 MiB 4 MiB AtherosAR7240 400MHz none 後継機種:WHR-HP-G300N→WHR-HP-G300NA→WHR-300HP→WHR-300HP2 WHR-HP-G300NAは「Acronis True Image HD」のライセンスをバンドルしたもので本体はWHR-HP-G300Nそのもの。 WHR-300HPは「2011年12月の関係省令改正に伴う工事設計認証番号の表記の変更」で認証番号を再取得する際に同時に名称変更を行っただけのもの。 以下の7機種はアンテナ等を除いてほぼ同じ内部構成と思われる。WHR-G301NWHR-G301NAWHR-300WHR-HP-GNWHR-HP-G300NWHR-HP-G300NAWHR-300HP インストール関連 概要・注意点・参考サイト (wiki内)TFTPでのインストール(WHR-G301N) OpenWrtサポート終了 DD-WRTサポート 有※2017年1月から2019年4月末の間のF/Wはサイズ(3,801,088byte)超過が原因でインストール不可能 使用中のファームウェアのバックアップ手順 情報募集中 インストール手順 情報募集中 バックアップへの復旧手順 情報募集中 その他情報 このページへのリンクが設置してあるページ WHR-HP-G300N ルータ一覧/BUFFALO コメント DD-WRTサポート 有※2017年1月から2019年4月末の間のF/Wはサイズ(3,801,088byte)超過が原因でインストール不可能 とありますが、2017年1月以前のファームウエアが公開されているページなどを知っている方がおられましたら教えていただけませんでしょうか? -- 名無し (2020-04-05 21 04 08) 左のメニューの DD-WRT公式サイト Download(trunk版) です。 https //download1.dd-wrt.com/dd-wrtv2/downloads/betas/ 今まで公式が作成した全F/WがDL出来ます。2020年現在でもF/Wが生成されてますが、 ちゃんと動くかは保証が無いので、何種類かファイルを変えて試してみて下さい。 -- 名無しさん (2020-04-05 21 53 33) 名前 コメント
https://w.atwiki.jp/kubo/pages/36.html
・IPsecとはインターネット上でVPNを構築する際に使う。 共通鍵暗号化方式を用いて元のパケットを暗号化する。 ・SA(Security Association)個人同士がIPsecでやり取りするためのセキュリティ条件のこと。 相手を確認する符丁や鍵などを決めておく事。 ・トランスポートモードとトンネルモード-トランスポートモード:トランスポート層以上のデータを暗号化する。(IPヘッダは暗号化されない) -トンネルモード:ネットワーク層以上のデータを暗号化する。(IPヘッダも暗号化され、新しいIPヘッダが付加される) ・IKE(Internet key Exchange)SAを決定する仕組み。相手を認証し、自動で暗号鍵を渡す仕組み。 -メインモード:IPSECを行う両者のIPアドレスが固定されている必要がある。 -アグレッシブモード:IPSECを行う両者のIPアドレスが固定されている必要が無い。手順が簡略化されている。 ※具体的なIKEとしてISAKMPがある。 ※メインモードでIPアドレスが固定さていいなければならない理由。 1、相手の認証フェーズではIPアドレスがIDに使われる。 2、メインモードではID(=IPアドレス)は暗号化される。 3、暗号化の為には事前共有鍵が必要。 4、事前共有鍵の入手には相手のIPアドレスで相手(VPN装置とPSkeyの対応)を識別しないといけない。 以上から、メインモードでは事前に相手のIPアドレスを知っている必要がある。 アグレッシブモードではそもそもIDを暗号化しないのでこのような事は発生しない。 ・XAUTH(Extended Authentication witihin IKE) ユーザー認証の仕組みをIKEに取り込んだもの。 フェーズ1の後でIDとパスワードによるユーザー認証を行う。 ・IKEでのNAPTが経路上にある場合の問題IKEではUDP500番ポートを使うが、途中でNAPTがある場合ポート番号が変更されてしまう為、鍵交換が出来ない。・NATトラバーサルESPでトランスポート層が暗号化されるとポート番号が読めない為、通信ができなくなる問題を解決する。 方法:新しいUDPヘッダをつける事で解決。
https://w.atwiki.jp/ddwrt_openwrt/pages/133.html
■ 2019-03-13作成 ■ 2021-08-05更新 ■ - アクセス ■ 1750Mbps Buffalo WZRシリーズ 外部リンクDeviWikiTechInfoDepotOpenWrtDD-WRT 基本情報 発売日 型番 5GHz2.4GHz 有線 メモリ フラッシュ CPU Clock Port 2013-03-28 WZR-1750DHP (ac)1300(n)450 1Gbps*4 512 MiB 128 MiB BroadcomBCM4708A0 800MHz2Core USB 2.0 USB 3.0 2013-12-09 WZR-1750DHP2 (ac)1300(n)450 1Gbps*4 512 MiB 128 MiB 2Core USB 2.0 USB 3.0 2014-12-06 WZR-S1750DHP (ac)1300(n)450 1Gbps*4 USB 2.0 USB 2.0 関連機種:WZR-1750DHP / WZR-1750DHP2 / WZR-S1750DHP / WXR-1750DHP / WXR-1750DHP2 WZR-1166DHPとアンテナ数以外の構成が一緒。1166のアンテナ数は2x2(150x2+433x2)で1750のアンテナ数は3x3(150x3+433x3)。 3機種とも同一の工事設計認証番号を持つがWZR-S1750DHPだけUSB3.0端子がない。通常は設計変更すると技適は無効になるので、ファームウェアレベルでUSB3.0を無効化しているのか、そもそもUSB端子変更程度なら電波法で規定される要件には無関係なのかもしれない。 WZR-S1750DHPは写syncというiOSアプリに対応させた製品らしい(リンク切れ)。その後サービス終了したので結果的に従来品に劣る製品になってしまった模様。 海外ではDD-WRTがプリインストールされたWZR-1750DHPDなる機種も存在するらしい。当然ハードウェアとしては同一と思われる。 1900Mbps機種と同じく、ややマイナーな3ストリーム機種。こちらは256QAM技術に対応していない分だけ速度表記が小さい。 インストール関連 概要・注意点・参考サイト 情報募集中 使用中のファームウェアのバックアップ手順 WZR-1750DHP2の純正ファームウエアのバックアップとDD-WRTからの復元 インストール手順 WZR-1750DHP2にDD-WRTを入れてみたときの成功例 バックアップへの復旧手順 WZR-1750DHP2の純正ファームウエアのバックアップとDD-WRTからの復元 その他情報 このページへのリンクが設置してあるページ WXR-1750DHP WZR-1166DHP WZR-D1100H ルータ一覧/BUFFALO コメント 名前 コメント
https://w.atwiki.jp/ddwrt_openwrt/pages/97.html
■ 2019-03-13作成 ■ 2021-08-05更新 ■ - アクセス ■ 1750Mbps Buffalo WZRシリーズ 外部リンクDeviWikiTechInfoDepotOpenWrtDD-WRT 基本情報 発売日 型番 5GHz2.4GHz 有線 メモリ フラッシュ CPU Clock Port 2013-03-28 WZR-1750DHP (ac)1300(n)450 1Gbps*4 512 MiB 128 MiB BroadcomBCM4708A0 800MHz2Core USB 2.0 USB 3.0 2013-12-09 WZR-1750DHP2 (ac)1300(n)450 1Gbps*4 512 MiB 128 MiB 2Core USB 2.0 USB 3.0 2014-12-06 WZR-S1750DHP (ac)1300(n)450 1Gbps*4 USB 2.0 USB 2.0 関連機種:WZR-1750DHP / WZR-1750DHP2 / WZR-S1750DHP / WXR-1750DHP / WXR-1750DHP2 WZR-1166DHPとアンテナ数以外の構成が一緒。1166のアンテナ数は2x2(150x2+433x2)で1750のアンテナ数は3x3(150x3+433x3)。 3機種とも同一の工事設計認証番号を持つがWZR-S1750DHPだけUSB3.0端子がない。通常は設計変更すると技適は無効になるので、ファームウェアレベルでUSB3.0を無効化しているのか、そもそもUSB端子変更程度なら電波法で規定される要件には無関係なのかもしれない。 WZR-S1750DHPは写syncというiOSアプリに対応させた製品らしい(リンク切れ)。その後サービス終了したので結果的に従来品に劣る製品になってしまった模様。 海外ではDD-WRTがプリインストールされたWZR-1750DHPDなる機種も存在するらしい。当然ハードウェアとしては同一と思われる。 1900Mbps機種と同じく、ややマイナーな3ストリーム機種。こちらは256QAM技術に対応していない分だけ速度表記が小さい。 インストール関連 概要・注意点・参考サイト 情報募集中 使用中のファームウェアのバックアップ手順 WZR-1750DHP2の純正ファームウエアのバックアップとDD-WRTからの復元 インストール手順 WZR-1750DHP2にDD-WRTを入れてみたときの成功例 バックアップへの復旧手順 WZR-1750DHP2の純正ファームウエアのバックアップとDD-WRTからの復元 その他情報 このページへのリンクが設置してあるページ WXR-1750DHP WZR-1166DHP WZR-D1100H ルータ一覧/BUFFALO コメント 名前 コメント
https://w.atwiki.jp/yoshida2/pages/59.html
インターネットで暗号通信を行うための規格 長谷川 暗号技術を用いて、IPパケット単位でデータの改竄防止や秘匿機能を提供するプロトコルである。 これによって、暗号化をサポートしていないトランスポート層やアプリケーションを用いても、通信路の途中で通信内容を覗き見られたり改竄されることを防止できる。 IPsecはAH (Authentication Header) による完全性、認証機構、ESP (Encapsulated Security Payload) によるデータ暗号化等のセキュリティプロトコルの他、IKE (Internet Key Exchange protocol) などによる鍵交換から構成されている。 IETFのipsec wgにて規格策定が行われていたが、現在その規格はほぼ固まっている。 IPv4, IPv6両者で利用できる。IPv6では専用の拡張ヘッダが定義されているが、IPv4ではIPヘッダオプションを利用する。 IPsecの動作モードにはパケットデータ部のみを暗号化(ないしは認証)するトランスポートモードと、ヘッダを含めたパケット全体を丸ごと「データ」として暗号化(ないしは認証)し新たなIPヘッダを付加するトンネルモードがある。トンネルモードは主としてVPNで使用される。 藤山 インターネットで暗号通信を行うための規格。 森 暗号技術を用いて、IPパケット単位でデータの改竄防止や秘匿機能を提供するプロトコルである。 藤田 IPsec(Security Architecture for Internet Protocol、アイピーセック)は、 暗号技術を用いて、IPパケット単位でデータの改竄防止や秘匿機能を提供するプロトコルである。 周 インターネットで暗号通信を行うための規格。田上 インターネットで暗号通信を行うための規格のこと。 山館 インターネットで暗号通信を行うためのプロトコルで、IPパケット単位でデータの改ざん防止や秘匿機能を提供する。 白瀬 インターネットで暗号通信を行うための規格。IPのパケットを暗号化して送受信するため、TCPやUDPなど上位のプロトコルを利用するアプリケーションソフトはIPsecが使われていることを意識する必要はない。現在インターネットで使われているIPv4ではオプションとして使用することができるが、次世代のIPv6では標準で実装される。 久保