title
わたしの日記は日々の出来事の鬱憤晴らしの毒だし日記がメインです。 相当病んでいます。くだを巻いています。許容出来る方のみのアクセスをお願いします。 また、この日記へのリンクは原則自由にして頂いても結構ですが、 写真への直リンクを張るのはご遠慮下さい。内容に関しては、一切保証致しません。
カテゴリ一覧 Network, Internet, IPv6, DC, NTT, Comp, Linux, Debian, FreeBSD, Windows, Server, Security, IRC, 大学, Neta, spam, , 生活, 遊び, Drive, TV, 仕事,
過去日記:





2015年10月21日(水) [晴れ]

[IPv6] v6pc.jp の IPv6普及・高度化推進協議会 のサイトが、Amazon で IPv6対応サイト?

いつから〜??

てことで、少し調べてみた。 どうやらv6のアドレスそのものは大阪のようだ。

$ dig v6pc.jp ANY +norec

;; ANSWER SECTION:
v6pc.jp.                49      IN      MX      10 sec.v6pc.jp.
v6pc.jp.                25      IN      A       54.248.236.35
v6pc.jp.                25      IN      A       54.238.63.82
v6pc.jp.                48      IN      AAAA    2400:6700:ff00::36f8:ec23
v6pc.jp.                48      IN      AAAA    2400:6700:ff00::36ee:3f52
v6pc.jp.                79333   IN      NS      ns-206.awsdns-25.com.
v6pc.jp.                79333   IN      NS      ns-1971.awsdns-54.co.uk.
v6pc.jp.                79333   IN      NS      ns-1330.awsdns-38.org.
v6pc.jp.                79333   IN      NS      ns-588.awsdns-09.net.

;; AUTHORITY SECTION:
v6pc.jp.                79333   IN      NS      ns-588.awsdns-09.net.
v6pc.jp.                79333   IN      NS      ns-1330.awsdns-38.org.
v6pc.jp.                79333   IN      NS      ns-206.awsdns-25.com.
% Information related to '2400:6700::/32'

inet6num:       2400:6700::/32
netname:        AMAZON-AP-RESOURCES-JP
descr:          11F Shibuya Cross Tower
descr:          2-15-1, Shibuya-ku Shibuya
country:        JP
$ traceroute6 2400:6700:ff00::36f8:ec23

 5  xe-4-1-0.a20.tokyjp01.jp.ra.gin.ntt.net (2001:218:2000:5000::209)  0.725 ms  0.722 ms  0.714 ms
 6  ae-6.a20.osakjp01.jp.ra.gin.ntt.net (2001:218:2000:2000::92)  69.854 ms  65.888 ms  12.949 ms
 7  ae-10.r22.osakjp02.jp.bb.gin.ntt.net (2001:218:0:6000::e9)  8.427 ms  8.044 ms  10.673 ms
 8  ae-1.r00.osakjp02.jp.bb.gin.ntt.net (2001:218:0:2000::aa)  9.129 ms  9.063 ms  8.925 ms
 9  2001:218:3000:5000::52 (2001:218:3000:5000::52)  9.010 ms  11.810 ms  8.994 ms
10  2400:6500:0:1::1 (2400:6500:0:1::1)  11.979 ms 2400:6500:0:1::2 (2400:6500:0:1::2)  9.797 ms  9.822 ms
11  2400:6700::26 (2400:6700::26)  11.927 ms 2400:6700::27 (2400:6700::27)  10.084 ms  10.148 ms

GINのルータが大阪経由。 てことで、このサーバの実態そのものは大阪にあるのかなぁ。

にしても、AmazonっていつからIPv6に対応したんだろう。 ELB/CDN ではなさそう。

ELBであれば、CNAMEで実装なので、AAAAレコードで返さないはずだし、CDN(CloudFront)を使った場合、協議会のページを開くとリモートIPの表示の実装とか実装ができるのか、よくわからない。しかも、ServerはApacheと答えている。AWSを使ったことが無いのでよくわからないけど、どういう素性なのだろう。コレ。

[ コメントを読む(0) | コメントする ]

2015年10月27日(火) [晴れ]

[Comp] Intel NUC Kit NUC5I5MYHE

実は買ったのは、 Intel NUC Kit NUC5I5RYH (第5世代 Core i5-5250U 1.6GHz(up to 2.7GHz) )のモデル。 Core i7-5557U 3.1GHz(up to 3.4GHz)は、発熱が大きく、FANレスということ、正直 i7 と i5 ってそこまでパフォーマンス変わるの? ということもあり、ベンチをとったり、仮想化したりするわけでもないので、まあいいかと。そもそも、i7-5557U は TDP28W i5-5250U は TDP 15Wなので、後者を選択したという感じでしょうか。 どうやら、比べてみたら 結構パフォーマンスの差(Intel Core i7 5557U vs i5 5250U )はあるらしい。といっても、自宅で使っているDL360G6/X5670 よりはパフォーマンスが落ちるようですが

主要スペックはこんな感じ。

CPU第5世代インテルCPU NUC5i5RYH: Core i5-5250U (1.60 GHz ターボ時最大 2.70 GHz、デュアルコア、3MB キャッシュ、15W TDP) / NUC5i5MYHE : Core i5-5300U 2.3GHz
Memoryデュアルチャネル DDR3L SODIMM 1.35V 1333/1600 MHz Max16GB
GraphicIntel HD Graphics 6000、 Mini HDMI 1.4a x 1、 Mini DisplayPort x 1
AudioMini HDMI および Mini DisplayPort* による最大 7.1ch
USBバック USB 3.0 x 2、 フロント USB 3.0 x 2 (充電可能ポート x 1)
StorageM.2 (22x42、22x60、または 22x80)、 2.5icnh HDD/SSD 向け内部 SATA3 9.5mm
NetworkIntel 10/100/1000Mbps、Intel Wireless-AC 7265 M.2 (IEEE 802.11ac、Bluetooth)

さて、恒例の写真レビューです。


本体裏。



本体裏蓋を外すネジにゴム足。



滑り止めにもなっていて、細かい。
また、ネジをゆるめても本体から外れないようにストッパーがついてました。

Maid in China。中国!中国ですよ先生。中華っていえば、いろんな物を仕込んでくる、人として明らかにおかしい國が作ってるところですよ。なんか、敬遠しちゃうじゃないの。なかを仕込まれているかとどきどきとしちゃいます。



本体内部。



802.11ac/b/g/n モジュール。



搭載したSSDは安かった Transcend SSD M.2 2280 256GB SATA III 6Gb/s TS256GMTS800というもの。本当はSanDiskかSamugungにしたかったのだが、SanDiskはM.2 SSDは販売していないので、Samsungが候補だったが、高くてTranssendにしちゃった。 本当は、 Samsung SSD 250GB 850 EVO M.2ベーシックキット Type2280 SATA3.0(6Gb/s) 3D V-NAND搭載 5年保証[14,230円]このあたりがおすすめ。




てことで、搭載してみた。Wi-Fiモジュールの上にM.5 SSDが来る感じ。



ついでにメモリも乗せちゃった。こっちもSamsungにしたかったのだが、 SiliconPowerの16GB(8GBx2)が、一枚単価5000円ちょっとだったので、即決。いやー、他だと、1枚、6000円ちょっとなんですよ。。。



完成したところで、次はACアダプタ。実は結構小さい。



ACのプラグアダプタ。
いつでも海外逃亡出来ますね。



装着。NEMA 5-15P です。



完成!



テレビで見かけた山形娘の朝倉さやさんが気になったのでyoutubeで見てる様子。
FULLHDストレス無く再生できるのはいいね!静かでファンレス!
柿ピーをつまみながら(笑)



柿ピーのパッケージは、さくらの田中さんがイラストになってるんですが、その様子をみて一緒にいた人がつぶやいた一言。

「柿ピーが田中さんなんで、ディスプレイに写すのは、youtubeじゃなくて、さくらのサイトにすればいいやん」

てことで、さくらのサイトをディスプレイに映してみました。
ついでに、洗濯したあとだったので、Tシャツを干してみました。



こりゃ、完全に中の人やな(笑

てことで、仕事用のパソコンができあがりました。。久しぶりに買った据え置き型のパソコンです。
未だにThinkPadX30/T43/T60が現役なのですが、Windows7にすると、使い物にならないぐらい重たくて。T60をSanDiskのSSDに換装してみたものの、それでもやはりきつい感じです。youtubeなんかみれたもんじゃない。てことで、やっと据え置き型のパソコン十年ぶりとかにやってきました。まあ、ML115 G5がWinXP x64だったりするんですけどね、電気食うので、このパソコンどうしましょw ちなみにQuadCore/MEM8GBです。

MBAはあるのですが、主に外出用なので。

お買い上げは下記の通り


 ベンチマーク結果:
-----------------------------------------------------------------------
CrystalDiskMark 5.0.2 x64 (C) 2007-2015 hiyohiyo
                           Crystal Dew World : http://crystalmark.info/
-----------------------------------------------------------------------
* MB/s = 1,000,000 bytes/s [SATA/600 = 600,000,000 bytes/s]
* KB = 1000 bytes, KiB = 1024 bytes

   Sequential Read (Q= 32,T= 1) :   550.836 MB/s
  Sequential Write (Q= 32,T= 1) :   314.440 MB/s
  Random Read 4KiB (Q= 32,T= 1) :   280.305 MB/s [ 68433.8 IOPS]
 Random Write 4KiB (Q= 32,T= 1) :   240.538 MB/s [ 58725.1 IOPS]
         Sequential Read (T= 1) :   500.847 MB/s
        Sequential Write (T= 1) :   308.317 MB/s
   Random Read 4KiB (Q= 1,T= 1) :    25.045 MB/s [  6114.5 IOPS]
  Random Write 4KiB (Q= 1,T= 1) :    80.090 MB/s [ 19553.2 IOPS]

  Test : 16384 MiB [D: 2.5% (3.6/140.8 GiB)] (x2)  [Interval=5 sec]
  Date : 2015/10/28 22:07:26
    OS : Windows 7 Professional SP1 [6.1 Build 7601] (x64)
nsby  『朝倉さやさんは会津ではなく山形・・・ 』
tomocha  『ああああ、し、しつれいしました。確かに。。。』
[ コメントを読む(2) | コメントする ]

[IPv6][Security][Windows] Symantec Endpoint Protection のFirewall設定が腐っている

注意: 日記を書いているのは、11/03の為、一部スクリーンショットにはそのような表記があります。

Intel NUC をインストールしていて、OSインストール直後、Symantec Endpoint Protection をインストール。
いろいろと通信がおかしく、Web閲覧ができないなど、不可思議な現象に陥った。
OSをインストールして直後だったのでなぜかわからずずいぶんはまってしまったので、記録として腐った仕様のことを書いておく。まじめに、これ、 v6fix ネタだと思うんですけどね。

利用環境:
IPv4/IPv6 Dual Stack環境、IPv6はRAで配布のみ、DHCPv6は無し。
Windows 7 Pro 64bit, Intel NUC, Intel(R) Ethernet Connection I218-V,
ネットワークの設定、社内ネットワーク。
Symantec Endpoint Protection 12.1.3001.165

発生した症状:
Windows 7 クリーンインストール直後(Windows Update未適用)の状態で、Symantec Endpoint Protection 12.1 をインストール及びアップデートした環境。Internet Explorer で google を開けない。また、ping も通らない。

経緯:
Windows Update が 5, 6 時間ほどかかるので、FireFox や Thunderbird など初期段階でインストールしている最新のアプリケーションをダウンロード *1 するため、平行して作業。その際、google のサイトが表示できないため、Windows の Firewall かとおもい、全部無効にしたが、効果無し。しばらくして、フォールバックしたかのようにもっさりと、ページが表示されることがある。
ping を行った際、一般エラーとなり、通信ができないため、IPv6を無効にしたところ、サイトの表示が正常にできた。

今まで、長い間 Symantec Endpoint Protection 11 を使用していたが、2013年8月頃購入した Symantec Endpoint Protection 12という新しいバージョンをインストール。以前も12にあげたときはまったが、すっかり忘れていた。以前は、12 が出ても、しばらく11を使っていたのは、低スペックマシンをつかっていて重たかったため、保守切れになるまで、ずっと意図的に11をつかっていた。保守がすでに終わっているので今回、新規インストールは、Version 12 で行った。マシンスペックも十分なので、ちゃんと新規でインストールしたのは初めて。

OSインストール直後つながらないので、Windows 7 のプロトコルの実装やWindows 7 のファイアーウォールなどがおかしいのかと疑っていたが、そうではない。私が以前使っていた Endpoint Protection 11 には、FireWall機能はなかったので、ついているとそもそも思ってなかった(忘れていた)。
ちなみにこの問題はMacでは発生しない。なぜならFirewall機能は無い。

結局あきらめかけていたとき、Endpointを起動した際、ネットワーク脅威防止「Webやネットワークの脅威を防止します」とある。


項目を調べてみると、ファイアーウォールルールというのがあり開いてみると次のようになっていた。



「IPv6 を遮断する(イーサーネットの種類 0x86dd) すべてのホスト との間で着発信両方のトラフィックを遮断します。 これは次のプロトコルやポートから届くトラフィックに適用されます: イーサネットの種類 34525。 ネットワークアダプタ: すべてのネットワークアダプタ」

だが、有効になっていてもRAはとれる。そして、アドレスが自動でEUI-64形式やIPv6匿名アドレスが生成される。
これにより、ホストOSからみたとき、IPv6が有効になっているように見えるが、実はFirewallで止められ、一般エラーとなる。

この際、Windows 7 では、正しくフォールバックしないようで、ページの表示をする際タイムアウトが生じるまでつながらない。
サイトによっては、タイムアウトが発生し、穴あきのページが表示されるなど、実用に耐えなくなる。

この際、ログには下記のようにある。
biglobe/iij で試した。



右クリックをすると、バックトレースとあるが、実装が不十分なためできない。
尚、IPv4はTracerouteの結果が表示される。


Symantec Endpoint Protection により、IPv6の通信が遮断された場合、パケットダンプでは次のような結果となる。



結果からわかることは、IPv6の通信(発信)は、Wiresharkから見えないので、その手前で通信をブロックされていると考えられる。
(スクリーンショットは後で修正しますが、ipv6.host == や ipv6 == は使えないみたい...なので、v6の表示はそもそも無いのが正しいorz. てことで、ipv6.src == 〜 OR ipv6.dst == 〜 と書かないといけないっぽい。)

また、フォールバックするまでに、21秒かかっていることから、この時間は、maz の資料にある、 IPv6閉域問題とフォールバック〜TCP RST〜と同じ時間である。

今回この結果からいえることは、Windows Vista 以降、IPv6を前提にしているとのことだが、DNSQuery を投げる際、AAAAが先ではなく、Aレコードを最初に問い合わせている。これって、どうなの?順番が逆のような気がしなくもありません。

IPv6をすべて遮断しているのにもかかわらず、アドレスが付与されていることが府に落ちなく、確認してみたところ、次のような挙動。おそらく、RAは正しくフィルタ出来ていないのではないかという疑惑。
Windowsの起動時は、Firewallの起動のタイミングなどあるだろうから、今回の調査対象から外すとして、インターフェースでIPv6を手動で有効にした場合、次のようになった。



ここで通信しているのが見えるんですよね。
とはいいつつも、ff02::1 に対してpingを送信すると、タイムアウトする。
この時点で挙動が不思議。
さらに追いかけていくと、こういう通信。



IPv6での通信は止めるのに、RAは止めていないのがわかった。これは明らかに実装上の問題だと思われる。。。

結論として、Symantec Endpoint Protection の動作として、実装上問題があるのは大きく2点。

すべてのIPv6パケットを遮断するのであれば、RA で アドレスがとれるのが問題。
また、今時頭の悪いように、すべてIPv6のパケットを落とせばよいという実装は時代遅れ。

RA でアドレスがとるのであれば、端末→外部 への通信は許すべきであり、すべての通信を落とす必要はない。タイムアウトが生じるため、正しくフォールバックしない。IPv6アドレスがとれないのであれば問題ないし、とれたとしても、DNS名前解決によるAAAAフィルタができていれば問題ないが、ここはFirewallの仕事ではないと考えられることから、中途半端にアドレスがとれるのが問題。

起動時にSymantec Endpoint Protection のFirewallが有効になる前にRAでアドレスを付与してしまうという実装であれば、TCP RSTをOSに伝え、フォールバックさせる必要がある。
通常時、RAをフィルタ出来ないのであれば、同様の対処が必要である。この辺はフレッツ東西の閉域網のフォールバック問題と同じである。

追記)
他のパソコンを調べてみたところ、次のようになっている物もありました。Symantec Endpoint Protectionのバージョンは同じ。



どこかでパターンが配布されたのかもしれません。。。が、デフォルトで無効なのは変化なし。
ちなみに、Macbook上のVMwareの上で動いてるNATの中のWindowsだったので、IPv6を有効にしておらず、かつ、Firewallを無効にしていたので、そもそも今回の問題に気付けなかったというのが大きいかな。
(以前と書いたのは、ThinkPadT60にSEPを入れたときにはまったらしい。)

ぐぐってみると、いくつかこの件でIPv6で通信出来ずにはまってる方のブログが数名引っかかったりしましたので、実は有名なのかもしれませんが、きちんと書いている記事はありませんでした。


*1: ファイルサーバーにもインストーラーは保存してあるが一部の古いもののみ直接ダウンロードしていた
[ コメントを読む(0) | コメントする ]

Diary for 2 day(s)
Powered by hns HyperNikkiSystem Project




(c) Copyright 1998-2014 tomocha. All rights reserved.