管理人の独り言

さて、前回「ＮＴＴのひかり電話(というかフレッツ？)と社内のネットワークアドレスが被っている」という件で当然フレッツ側は変更できない、なら自分の側を変更してしまえ、ということで、どうしよう。。。

現状の社内ネットワーク及びフレッツのネットワークを172.16.0.0/16とすると

1.社内のネットワークを172.16.0.0/12とする
2.クライアント等、変更して問題ないＩＰアドレスを172.19.X.Xと変更する
3.ひかり電話モデムのＩＰアドレスを172.19.X.X/16と変更する

これでひとまず設定は終了、ソフトを起動してみると無事使えることを確認。3G回線+ＶＰＮでの動作を確認すると問題なし。よし、これで完璧！と思ったら、吉見工場等からのアクセス、ＶＰＮルータ超えだと音声が出ない。うーん、なんでだろう。やっぱりネットワークが172.16.0.0/12だからかなあ。172.19.0.0/16に変更しないとダメ？でも、サーバのアドレスを変更するのは結構手間がかかるので避けたかったんです。でもやるしかないのか？

ちなみに、172.16.0.0/12 = 172.16.0.0/16 + 172.17.0.0/16 + 172.18.0.0/16 + 172.19.0.0/16

うちの会社では発信用にNTTのひかり電話を使っています。ひかり電話の特徴としては、

基本料金が1400円で無料通話が1280円分(安心プラン)
全国どこでも固定電話は3分8円(無料オーバー分は7.2円)
携帯電話への通話も安い
ダブルチャネルが+400円
追加番号が+100円

ということで、現在は安心プランでダブルチャネル、番号が3個となっています。でもこれ以外にもうひとつ特徴が。それは

パソコンにSIPソフトを入れるとパソコンがひかり電話子機になる

ということでしょう。で、このパソコンっていうのはiPhoneでもその他スマートフォンでもOKです。社外からVPNでつなげてしまえば、外国にいても発着信ができてしまう。

で、早速使ってみようとひかり電話モデムRT-200KIに無線アンテナをつなぎ、iPhoneにSIPソフトを入れて設定を行ってみる。。。Forbiddenだって。いや、管理者の俺がいいって言っているんだから許可してよ。
ここからForbiddenの理由を必死で探すが分からない。うーん、設定間違っていないよなあ。iPhoneのMACアドレスを登録しないと駄目なのか？通常端末でなく音声専用端末に設定？ネットで検索すると出てくる「ダイジェスト認証」って項目がうちのモデムにはないんだけど、そのせいか？などと調べていると

「usernameにはユーザ名ではなく内線番号を入れる」

だって。えー、普通分からないっつうの。ホントかよと思いつつ一桁の内線番号を入れてみるとConnectedと出て無事子機として使用が可能になる。ふうぅ、後はひかり電話モデムのローカルIPを社内に合わせてからつなげば、どこからでも使えるようになりますね。

「指定したLAN側IPアドレスが、ひかり電話で使用するIPアドレスと重複しています。別のIPアドレスを設定してください。」

。。。えーと、社内のIPアドレスを変えろって話ですか？この前大変な思いをしてクラスCからクラスBに変えたんだけど、もう一回同じような作業をやれと？

ええ、やってやろうじゃありませんか。

昼休みに、社内の人に自由に使ってもらっている無線LANがおかしいと連絡を受けた。特に最近は設定をいじっていないのに何でだろう？と思いながら調べてみる。

[無線アンテナ]-[ルータ1]-社内ネットワーク-[ルータ2]-インターネット

のようになっており、無線アンテナで接続するとルータ1からIPアドレスを取得、ルータ1と2の間にはアクセスできないようにフィルタリングがかかっていてインターネットに接続するようになっている。

まずは社内ネットワーク上のPCからルータ1に接続してみる。問題なし。
社内ネットワーク上のPCからインターネットアクセスしてみる。問題なし。
これはアンテナかな？と思いiPhoneでアンテナに接続してみると、IPアドレスは取得するがWEBがつながらない。
アンテナを再起動してみるが状況は変わらず。

うーん、なんだろう、ルータのフィルタリングやルート設定を変えていなのになあ。と言うことで試しにルータ1を再起動してみると問題なくつながるようになりました。

。。。こういうトラブルはやめて欲しいものだ。

9/1
午後の工事ということでお昼を食べてから待っていたがなかなか来ず、2時半過ぎに工事の人が到着、手際よくケーブルを引き込み壁にONUを取り付ける。ONUの箱に"NGN"と書いてあったが、NGNだとBフレッツに比べて何が良いのかよく分からない。
早速PPPoEで接続してみる。ただし、ちょっと接続してすぐ切断。というのも、うちの会社ではVPNを張る関係で固定IPアドレスが必要なのだけれど、ISPの設定画面では「開通待ち」というステータスで固定IPアドレスが申し込めないため。きっと明日になればステータスも変わるかな。

9/2
まだステータスは開通待ちのまま。ISPのHPを見てみると「一週間から10日間かかる」と書いてある。試しにサポートに電話してみると、やっぱり待つしかないらしい。

9/3
現在使用しているルータはポートが3つあり、PPPoEも同時に複数張れるからということで、とりあえずADSLと光の両方を(吉見工場の人に電話で説明しながら物理的に接続してもらって)接続してみる。これがうまくいったので「そういえばステータスはどうだろう」と確認してみるとステータスが変わっていた。そこで早速固定IPオプションを申し込み、3時休みを利用してVPNをADSL経由から光経由に変更。しかしVPNが張れない。時間がないのでとりあえず設定を元に戻す。失敗はしたけれども、ネットワーク経由で作業が可能だと分かったのでまあ、良しとしよう。

自宅に帰り、夜10時から作業を再開。会社では時間がなかったのでルータの再起動をせずに済ませようとしたが、今回は時間があるので設定を変更して再起動をすると問題なく作業完了。

さてさて、明日は動作確認とスピードテストとADSLの解約だ。

川口本社が2004年2月に光ファイバー化、塗装工場が2006年12月に光ファイバーになって残るは吉見工場。時々NTTのHPを見ては「まだエリアにならないのかあ」とがっかりしていました。ところが、ついに吉見工場もBフレッツの範囲内になりました。

工事日は9/1予定、これからは内線通話がプチプチ切れたりすることもなくなるんだろうなあ。楽しみだなあ。テレビ会議なんかもしちゃったり出来るなあ。

さて、吉見工場の電話をNTTからおとくラインに変更して約1年、まったく問題もないので本社もおとくラインに変更することに。この大不況下、コストダウンできるなら何でもしないと。

で、変更してみても特別変わったこともないので大してここに書くこともありません。でも、SB携帯への発信が無料というすばらしい無料オプションを付けてあるので早速それを利用することに。

社内からある内線番号にかけると、自動的に私のSB携帯に転送するという設定をしてみました。もちろん通話料金は無料。でも、考えてみると便利なのは他の人で、私自身は全然便利じゃない。。。

うちの会社では、サーバの役割を一部Windows2000Proマシンで行っていました。ところがPPTPサーバの機能をWindowsXPProは持っているということを知り、急遽2000Proマシンを工場の現場へ回し余っていたXPProマシンをサーバにすることに。

XPのSP1aをクリーンインストールしてから各種ソフト(VNC、Apache、メールProxyソフト等)入れてPPTPサーバとしての設定も完了、ルータの設定も変えて問題ないことを確認して2000Proマシンの電源を落とす。うん、トラブルなしで良かった。そうそう、セキュリティ問題もあるのでサービスパック2くらいは当てておこう。よし、終わったので帰ろうかな。

ここで詳しい人は間違いに気付いたかもしれません。

家に帰ってから様子を見るためにVNCでつなごうとするとつながらない。pingも通らない。あれっ？死んでる？自宅と会社はPPTPを使わないルータ同士のVPNだったから良かった。でも、週明けに原因を調べてみないと。PPTPサーバとして動かしているせいで何らかの攻撃にあって落ちたとか？

週末が終わり会社に出社してみると、特に問題なく動いている。で、別のPCからpingを試してみるとやっぱり通らない。おかしい。ルーティング設定がおかしいのか？でもそもそもルーティングも何もないだろ。ハブがおかしいのか？電源を入れ直してみよう。

うーん、分からないなあ。そういえば、前も一部クライアントPCがping通らなかったよなあ。原因は未だ不明。まるでルータがブロックしているようだなあ。ブロックなあ。ファイアーウォール機能って、、、SP2からなんか増えていたなあ。

ということでコントロールパネルを開いてファイアーウォール設定を見てみる。当然有効になっている。で、詳細設定を見てみると「ローカルエリア接続」に対しても有効になっているのではずしてみる。pingが通るようになる。なんだ、これだよ。

ローカルエリア接続に対して有効に戻して、ファイアーウォールのICMPの設定から「エコー要求の着信を許可する」にする。よし、pingは通るようになった。そして、VNC等をファイアーウォールの例外として登録。

ということで無事解決。なんだ、分かってみると簡単なことだった。

PPTPサーバ

iPodTouch,iPhoneには標準でVPNを張る方法としてL2TP,PPTP,IPsec(CISCO)の三つがサポートされています。うちの会社ではIPsecを使っているので、IPsecで外出先からVPNを張れるのかと期待しましたが、どうもうちのルータとiPhoneではIPsecは無理みたいでした。さてどうしようかと思ってPPTPで検索してみると、なんとPPTPサーバ機能ってWindowsServerに標準搭載なことが判明。

[コントロールパネル]-[管理ツール]-[ルーティングとリモートアクセス]
表示されるサーバを右クリックして[ルーティングとリモートアクセスの構成と有効化]
[仮想プライベートネットワーク(VPN)サーバ]を選んで[次へ]
TCP/IPが表示されていることを確認して[次へ]
[インターネット接続がありません]を選んで[次へ]
IPアドレスの割り当てを[自動]を選んで[次へ]
RADIUSサーバーについて[いいえ]を選んで[次へ]

これで、ネットワーク接続の中に[着信接続]というアイコンが作られます。これを右クリックしてプロパティを表示させ、PPTPを許可するアカウントにチェックを入れます。うちでは、PPTP用にアカウントを新規作成しました。

次に、ルータの設定。

NAT設定ということで、ppp0へのtcp:1723とgreについて、PPTPサーバを有効にしたPCのローカルIPアドレスに。
入力フィルタ設定は、ppp0へのgreを許可
転送フィルタ設定は、ppp0へのgreを許可

すると、無線LANでつないでローカルIPで接続するのはOKだけれど、3G(携帯電話)回線で接続するとNG。これはNATかフィルタが問題ってことかあ。そこでルータのフィルタ設定の例を見ていると、うちのルータと設定例で違う場所が。それは、ICMPを許可しているかどうか。うちではセキュリティの関係で許可していません。

試しに許可にしてみると、ちゃんとPPTPで接続でき、iPhoneでsafariを立ち上げて会社のローカルIPアドレスを入れると社内のwebサーバが見れました。うーん、良かったんだけど、PPTPを立ち上げてICMPを許可するって、セキュリティ的にちょっと不安ですね。どうしようか。。。

吉見工場では、ファイルサーバとして大昔のPCを使っています。スペックは

PentiumPro 200MHz
128MB RAM

というものです。多分13年くらい前のものです。何度か(故障する前にと)HDDだけ交換しましたが、今まで全くトラブルはありませんでした。とは言っても電源すらATで、USBも使えず、G.W.を迎えるにあたって引退することとなりました。

DELL PowerEdge
Celeron2.53GHz
1GB RAM

全然すごいスペックじゃないですね。ずいぶん前から用意してあったのですが忙しくてとても交換するヒマがなかったんですが、ウソのようにヒマになってしまったのでようやく日の目を見ることとなりました。

交換とは言ってもデータをコピーする＋ちょこっと、って感じです。一つ使った小技としては

OptionalNames

ですね。新しいサーバは新しい名前にしておき、更新がかからないデータを古いサーバから新しいサーバへコピー、会社の稼動が終わるのを待ってから残りを一気にコピーしてレジストリエディタで

HKEY_LOCAL_MACHINE\System\CurrentControlSet\
　Services\LanmanServer\Parameters

のOptionalNamesに古いサーバの名前を入れて終了。これで新しいサーバは複数の名前を持つように。。。当初はこのOptionalNamesは使わないことを考えていたのですが、どこに古いサーバの名前が使われているかわからないので苦肉の策として使ってしまいました。おかげさまで入れ替えによるトラブルはないみたいです。

2/24夜

事前に作っておいたチェックリストを元に作業を始める。当然、大元であるルータの設定を変更するのは最後として、末端の他に影響のない部分から始める。

社内設備の一部のIPアドレス変更(この作業は帰りがけに、その後は自宅からVPN経由で)
プリンタ、無線アンテナ、コピー機、電話親機、ローカルルータのIPアドレス変更
コピー機の電話帳(社内サーバのフォルダを指定している部分)を変更
WindowsServerのIPアドレス、lmhostsファイル変更
メールのproxy設定変更
クライアントのweb-proxy設定変更
その他各種自社作成ソフト内のIPアドレス変更

ここまでやってからメインの作業

塗装工場のルータ変更＆再起動
吉見工場のルータ変更＆再起動
インドネシア研修生の寮用のルータ設定変更＆再起動
川口工場のルータ変更＆再起動(DHCPサーバ設定含む)
自宅のルータ変更＆再起動

ルータの変更については、事前に設定ファイルを作成して何度も間違いがないことを確認してからの作業だったのでそこそこ自信はあったのですが、VPNがきちんと張られていることが確認できるまではドキドキでした。

この後は一通り、IPアドレスを変更した機器が自宅からアクセス可能なことを確認して作業終了。

2/25

会社に出社してから

IP電話子機のIPアドレス変更
ひかり電話のモデム再起動
BBコミュニケータのモデム再起動

でほぼ作業終了。以前にSQL-Serverの入ったクライアントの名前を変更して不都合があったのでIPアドレスはどうかと思っていましたが、特に問題はありませんでした。よく考えてみたらDHCP使っていればIPアドレスが変わること自体は珍しくないので、当然かも。

クラスCからクラスBへの変更作業は三回目だったので、あっけないくらいに問題なく終わってしまいました。でも、最初からクラスBにしておけば良かった。でも、当初はTCP/IPすら使わずNetBEUIでネットワークを構築し、インターネットに接続するために慌ててTCP/IPに切り替え、その時はDHCPを使わずに固定IPでやっていたくらいの知識力だったので仕方ないか。