固定IPでppp接続をしたいのですが

[Tamaki Kadzuhiko]

こんにちは。tamakiといいます。

ターミナルアダプタを使ってのISDN接続です。
固定IPアドレスを取得しているのでこれを設定したいのですが、
なかなかうまく行きません。/dev 以下にppp0は見えないのです
が、これはあるべきなんでしょうか。
アドバイスいただけると助かります。

# vi /etc/network/interfaces
# auto lo
iface lo inet loopback
proveder provider
iface ppp0 inet static
address ***.***.***.***
netmask ***.***.***.***
network ***.***.***.***
broadcast ***.***.***.***
gateway ***.***.***.***
dns-nameservers ***.***.***.***
# ifup ppp0
SIOCSIFADDR: No such device
ppp0: ERROR while getting iterface flags: No such device
SIOCSIFNETMASK: No such device
SCIOSIBRDADDR: No such device
ppp0: ERROR while getting interface flags: No such device
ppp0: ERROR while getting interface flags: No such device
Failed to bring up ppp0.
# netstat -rn
kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
(各項目、記載なし)
# ping ***.***.***.***
connect: Network is unreachable
# /etc/init.d/networking restart
Running /etc/init.d/networking restart is deprecated
because it may not enable again some interfaces...(warning).
Reconfiguring network interfaces ...done.
# ifconfig ppp0
ppp0: error fetching interface information: Device not found

こういう感じです。

---
tamaki

[Kenshi Muto]

武藤＠Debianぷろじぇくとです。

At Sat, 21 May 2011 11:31:40 +0900,

Tamaki Kadzuhiko wrote:
> ターミナルアダプタを使ってのISDN接続です。
> 固定IPアドレスを取得しているのでこれを設定したいのですが、
> なかなかうまく行きません。/dev 以下にppp0は見えないのです
> が、これはあるべきなんでしょうか。

/dev/ppp0というものはないので、これは気にする必要はありません(厳密には
デバイスファイルはあるけれども、これを何か使うということはありません)。

ただ、設定方法がめちゃくちゃに見えます。

> アドバイスいただけると助かります。

> # vi /etc/network/interfaces

> proveder provider
> iface ppp0 inet static

interfacesでのpppの設定はほぼ無意味です。provederというのがproviderの
間違いというのは置くとして、いずれにしても現時点でこれらの設定は意味が
ありません。余計におかしなことになるかもしれないので削除しましょう。

pppconfigコマンドで、TAに接続する「provider」情報を作成する必要が
あります。うまく設定できればponコマンドで接続できるでしょう(切断はpoff)。
IPアドレス等についてはISPがちゃんとしていれば接続時にISP側から自動で
送られてきて設定されるはずです。

TAの機種、接続方法(シリアルケーブルかUSBか)などがわからないので、現状では
ここまでしかアドバイスできません。

RT57iなどのISDNルータを導入してTAに置き換え、
ISDN回線-(ISDNケーブル)-ISDNルータ-(ネットワークケーブル)-FLORA という
構成にしたほうが多分ずっと楽ですし、今のように直結してマシンを危険にさらす
リスクも軽減できるかと思います。
--
武藤 健志＠ kmuto @ kmuto.jp
Debian/JPプロジェクト (km...@debian.org, km...@debian.or.jp)
株式会社トップスタジオ (km...@topstudio.co.jp)
URI: http://kmuto.jp/ (Debianな話題など)

[Tamaki Kadzuhiko]

tamakiです。

>ただ、設定方法がめちゃくちゃに見えます。
　
「Debian 徹底入門」に従ったつもりですが、まずかったですか。
接続方法はシリアルケーブルですが。以下、やってみました。

# vi /etc/network/interfaces
iface lo inet loopback
iface inet static <- ppp0を削除
# pppconfig
Provider Name: infosphere
Finished.
# pppconfig
Couldn't open /etc/ppp/resolv/infosphere <- 設定終了後、
　　　　　　　　　　　　　　　　　　　　　　　こうなっていた
# pon infosphere <-TA点滅したが、すぐ消えた

# ls -l /etc/ppp/resolv/infosphere
: No such file or directory
# ls /etc/ppp/resolv
: No such file or directory
# rm -v /etc/resolv.conf <- 作成したファイルを削除した

以下はshutdown後の画面です。
Deconfiguring network interfaces.../etc/network/interfaces:10
: too few parameters for iface line
ifdown: couldn't read interfaces file "/etc/network/interfaces"
failed.
Cleanig up ifupdown....

パラメータが足りないと言っていますが。

---
tamaki

[Kenshi Muto]

武藤＠Debianぷろじぇくとです。

At Sat, 21 May 2011 16:23:34 +0900,

Tamaki Kadzuhiko wrote:
> >ただ、設定方法がめちゃくちゃに見えます。
> 「Debian 徹底入門」に従ったつもりですが、まずかったですか。

少なくともpppのときにそのように書けとはしていないはずですが…。

> 接続方法はシリアルケーブルですが。以下、やってみました。
>
> # vi /etc/network/interfaces
> iface lo inet loopback
> iface inet static <- ppp0を削除
> # pppconfig
> Provider Name: infosphere
> Finished.
> # pppconfig
> Couldn't open /etc/ppp/resolv/infosphere <- 設定終了後、
> 　　　　　　　　　　　　　　　　　　　　　　　こうなっていた
> # pon infosphere <-TA点滅したが、すぐ消えた

pppconfigで「debug」を有効にした設定にしているなら、pon時の失敗
理由について詳細が/var/log/syslogに記録として残っているはずです。

「すぐ消えた」ということは、ポートの指定は合っているけれども、
何か接続コマンドの調整などが必要なのだと思われます。ログを提出
くださればもう少し細かくわかるでしょう。

> 以下はshutdown後の画面です。
> Deconfiguring network interfaces.../etc/network/interfaces:10
> : too few parameters for iface line
> ifdown: couldn't read interfaces file "/etc/network/interfaces"
> failed.
> Cleanig up ifupdown....

interfacesファイルの何か必要な行まで消してしまったか、何か不要な行が
残っています。

[Hiroshi Takahahsi [IT-tutor-jp]]

高橋です。

Linuxサーバを直接インターネットへ接続するには、最低源のセキュリティ
関連の知識が必要です。武藤さんも最初に書かれているように、ISDNルータ
等をファイアーウォール代りにして、少なくてもリッスンポートがグローバ
ル側から直接アクセスされないようにすることをお勧めします。

セキュリティが甘いと、場合によってはものの数分でやられることもありま
す。十分、お気を付け下さい。

--
Hiroshi Takahashi
Funabashi Chiba, Japan
http://ameblo.jp/it-tutor/
http://twitter.com/flash_takahashi

[長南洋一]

長南です。横合いから失礼。

Tamaki [debian-users:55262]

>
> # vi /etc/network/interfaces
> iface lo inet loopback
> iface inet static <- ppp0を削除

武藤さんが [debian-users:55261] でおっしゃっているのは、ppp0 という
文字を消すのではなく、

auto lo
iface lo inet loopback

だけ残して、それ以外の設定を一度全部消してしまいなさい、という
ことだと思います (# で始まるコメント行は消さないでもよいですけれど)。
上に引用した Tamaki さんの記述は、そうなさったということですか。

> iface inet static

という中途半端な設定が残っているから、

> : too few parameters for iface line

というエラーが出ているのではないでしょうか。

> # pppconfig
> Provider Name: infosphere
> Finished.

これも、おっしゃっていることがよくわかりません。Provider の
名前をはじめ、必要なことをすべて設定してから、「Finished」を
選んだということですか。結局、pppconfig で何と何を設定したのですか。

--
長南洋一

[Tamaki Kadzuhiko]

高橋さん、コメントありがとうございます。気をつけます。
長南さんご指摘ありがとうございます。

>> # vi /etc/network/interfaces
>> iface lo inet loopback
>> iface inet static <- ppp0を削除

これはppp0という文字だけを消しました。

>武藤さんが [debian-users:55261] でおっしゃっているのは、ppp0 という
>文字を消すのではなく、
>
> auto lo
> iface lo inet loopback
>
>だけ残して、それ以外の設定を一度全部消してしまいなさい、という
>ことだと思います

そういうことでしたか。それでは長南さんのおっしゃってるものを残して、
あとは消すことにします。理解が及ばなくて失礼しました。

>> # pppconfig
>> Provider Name: infosphere
>> Finished.
>
>これも、おっしゃっていることがよくわかりません。Provider の
>名前をはじめ、必要なことをすべて設定してから、「Finished」を
>選んだということですか。結局、pppconfig で何と何を設定したのですか。

無事に設定完了した、というつもりでした。
書き直します。
# pppconfig
・Provider Name: infosphere を入力
・[*]static Use static DNS を選択
・IP Number: ***.***.**.***
***.***.**.***
・PAP を選択
・User Name: ****@****.**.**
・Password: ****
・115200 (speed) を選択
・(*) Tone を選択
・Phone Number: 1492 を入力
・Choose Modem Config Method <Yes> を選択
・Select Modem Port (*)Manual /dev/ttyS0 を選択
・Finished　　

syslogのメッセージを送信するつもりでしたが、
まずは武藤さんと長南さんのおっしゃっていることを実行してみます。

---
tamaki

[Tamaki Kadzuhiko]

tamakiです。

syslogのメッセージを送ります。
/etc/network/interfacesのファイルで不要なところを削除して、
$ pon をやってみました。TAのランプが一瞬、点滅するのですが、
すぐに消えます。

# more /etc/network/interfaces

auto lo
iface lo inet loopback

$ pon

以下syslogですが、帳面(ノート)のメモから転記したものなので、
省略箇所があります。

# more /var/log/syslog
kernel: ACPI Error: Illegal I/O port address/length above 64k:
<- (大量のACPI Error の表示です)

kernel: PPP generic driver version 2.4.2
pppd: pppd 2.4.5 started by tama uid 1000
chat: abort on (BUSY)
chat: abort on (NO CARRIER)
chat: abort on (VOICE)
chat: abort on (NO DIAL TONE)
chat: abort on (NO DIAL TONE)
chat: abort on (NO ANSWER)
chat: abort on (DELAYED)
chat: send (ATZ^M)
chat: expect (OK)
chat: ATZ^M^M
chat: OK
chat: -- got it
chat: send (ATDT1492^M)
chat: expect (CONNECT)
chat: ^M
chat: ATDT1492^M^M
chat: CONNECT
chat: -- got it
chat: send (\d) # \ はバックスラッシュです
pppd: Scripts /usr/sbin/chat -v- f /etc/chatscripts/provider
finished (pid 1277). status = 0x0

pppd: Serial connection established
pppd: using channel 1
pppd: Using interface ppp0
pppd: Connect: ppp0 <--> /dev/ttyS0
pppd: sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0x9abb38eb> <pcomp> <accomp>]
pppd: rcvd [LCP ConReq id=0x1 <mru 1524> <auth chap MD5> <endpoint [MAC:00:d0:52
:03:2d:80]>]

pppd: No auth is possible
pppd: sent [LCP ConfRej id=0x1 <auth chap MD5>]
pppd: rcvd [LCP ConfAck id=0x1 <asyncmap 0x0> <magic 0x9a6b38e6> <pcomp> <accomp>]
pppd: rcvd [LCP ConfReq id=0x2 <mru 1524> <auth pap> <endpoint [MAC:00:52:03:2d:80]>]

pppd: No auth is possible
pppd: sent [LCP ConfRej id=0x2 <auth pap>]
pppd: rcvd [LCP TermReq id=0x3]
pppd: sent [LCP TermAck id=0x3]
pppd: Modem hangup
pppd: Connection terminated.
pppd: Exit.

---
tamaki

[Kenshi Muto]

武藤＠Debianぷろじぇくとです。

At Sun, 22 May 2011 10:57:55 +0900,

Tamaki Kadzuhiko wrote:
> syslogのメッセージを送ります。
> /etc/network/interfacesのファイルで不要なところを削除して、
> $ pon をやってみました。TAのランプが一瞬、点滅するのですが、
> すぐに消えます。

> # more /var/log/syslog

> kernel: PPP generic driver version 2.4.2
> pppd: pppd 2.4.5 started by tama uid 1000

> chat: send (ATZ^M)

> chat: expect (OK)
> chat: ATZ^M^M
> chat: OK
> chat: -- got it
> chat: send (ATDT1492^M)
> chat: expect (CONNECT)
> chat: ^M
> chat: ATDT1492^M^M
> chat: CONNECT
> chat: -- got it

ここで接続試行→接続成功でランプが一瞬点灯しますね。

> pppd: sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0x9abb38eb> <pcomp> <accomp>]
> pppd: rcvd [LCP ConReq id=0x1 <mru 1524> <auth chap MD5> <endpoint [MAC:00:d0:52
> :03:2d:80]>]
>
> pppd: No auth is possible
> pppd: sent [LCP ConfRej id=0x1 <auth chap MD5>]
> pppd: rcvd [LCP ConfAck id=0x1 <asyncmap 0x0> <magic 0x9a6b38e6> <pcomp> <accomp>]
> pppd: rcvd [LCP ConfReq id=0x2 <mru 1524> <auth pap> <endpoint [MAC:00:52:03:2d:80]>]
>
> pppd: No auth is possible

ここでCHAP→PAPと認証をしているのですが、どちらも失敗しています。
ネットワークIDかパスワードが誤っている可能性はないですか。
/etc/ppp/pap-secrets に記載されているはずです。

あとは、デフォルトのモデム初期化コマンドATZが送っていますが、
モデム/TAの中には何か特別なコマンドが必要なものもあります。

debian-users:52261でもモデムの機種は何か？と尋ねましたが、その返答
がありませんでしたね。何をお使いでしょうか。

いずれにしても、直結のメリットが特にないのであれば、以前にも書いたように
ISDNルータを導入したほうが簡単・安全かと思います。固定IPを使っていると
いうことなので何か深い理由があるのかもしれませんが、必要なポートだけを
転送公開するといったこともISDNルータ側でできるはずです。

[Tamaki Kadzuhiko]

コメントありがとうございます。

>ネットワークIDかパスワードが誤っている可能性はないですか。

pppconfigではISPからもらったネットワークIDと指定したパスワードを
設定しました。誤りはないと思います。

>/etc/ppp/pap-secrets に記載されているはずです。

/etc/ppp/pap-secrets にはパスワードの記載がありません。
下のようになっています。
# cat /etc/ppp/pap-secrets
------------------------------------------------------------------------
# Every regular user can use PPP and has to use passwords from
# /etc/passwd
* hostname "" *

# UserID's that cannot use PPP at all. Check your /etc/passwd and
# add any other accounts that should not be able to use pppd!
guest hostname "*" -
master hostname "*" -
root hostname "*" -
support hostname "*" -
stats hostname "*" -
# OUTBOUND connections

# Here you should add your userid password to connect to your providers
# via PAP. The * means that the password is to be used for ANY host you
# connect to. Thus you do not have to worry about the foreign machine
# name. Just replace password with your password.
# If you have different providers with different passwords then you better
# remove the following line.

# * password

-------------------------------------------------------------------------
これは * の下に現在ログインしているユーザ名とpassword の下に
ユーザの(ログイン)パスワードを記入するように、ということでしょうか。

>あとは、デフォルトのモデム初期化コマンドATZが送っていますが、
>モデム/TAの中には何か特別なコマンドが必要なものもあります。
>
>debian-users:52261でもモデムの機種は何か？と尋ねましたが、その返答
>がありませんでしたね。何をお使いでしょうか。

モデムはINSメイトV30Tower です。
ATコマンドですが、
・初期化　「初期値に戻す AT&F 」とあります。
・データポート各種設定　「通信モード　設定例:AT$N11=0」
・呼制御関連　「ダイヤル発信」「切断」
などがあって、どれなのか。

>いずれにしても、直結のメリットが特にないのであれば、以前にも書いたように
>ISDNルータを導入したほうが簡単・安全かと思います。

武藤さんや高橋さんからISDNルータの導入を促されていますが、ADSLを導入する
までFirestarterで急場をしのげないかと思っているのです。TCP wrappers はどう
かとも考えますが、私のような者には設定が面倒でしょうか。
もしかしてADSLルータというのもあるのでしょうか? 無知で申し訳ありません。

>固定IPを使っていると
>いうことなので何か深い理由があるのかもしれませんが、

まったく深い理由はなくて、10年前の「Linux Magazine」にISDN接続なら固定IP
を取るべし、というような記事があってもので固定IPにしました。

>必要なポートだけを
>転送公開するといったこともISDNルータ側でできるはずです。

"必要なポートだけを転送公開する"というのがどういうことなのか、
私にはむづかしいです。

余計なことなんですが、昨年ADSLにしようと思ってプロバイダと契約したのですが、
ADSLモデムの電源をコンセントに入れると、電話が聞こえなくなるというトラブル
が起きました。原因不明ということで契約解除しました。
電器屋さんにでも行って尋ねて来るつもりです。

---
tamaki

[Tamaki Kadzuhiko]

追伸

文中の ANY host というのがわからなくて、こんがらがっています。
--------------------------------------------------------------------------

># Here you should add your userid password to connect to your providers
># via PAP. The * means that the password is to be used for ANY host you
># connect to. Thus you do not have to worry about the foreign machine
># name. Just replace password with your password.
># If you have different providers with different passwords then you better
># remove the following line.
>
># * password
>
>-------------------------------------------------------------------------

これは
--------------------------------------------------------------------------
# * password
ユーザ名　　PCに設定してあるlocal host名　"(ログイン)パスワード"
--------------------------------------------------------------------------
と記入すればようのでしょうか。

---
tamaki

[Tamaki Kadzuhiko]

tamakiです。誤字が多くてすいません。

Debian(Linux)の方たちからセキュリティのことやISDNルータ導入
のアドバイスをもらっていながら応えられなくて残念です。
つま理解できていないのです。親切を無にしているような...。
以前、セキュリティのことで武藤さんから説明を受けたのですが、
そういうものなのか、と思うのみで。

etchでfirestarterを利用していたのですが(長南さんのすすめで)、
プログラムを起動すると、イベント、深刻、という表示がありました。
「深刻」というのはどういう状態でしょうか。
もしよければ教えてください。

ISDNルータにあまりピンとこないのは、予算の問題もあります。
ISDNルータも考えなくちゃいけないな、と今思っています。

---
tamaki

[長南洋一]

長南です。

pppconfig をインストールして、設定の真似事をやってみました。

Tamaki さんのメールより [debian-users:55273]

>
>>ネットワークIDかパスワードが誤っている可能性はないですか。
>
> pppconfigではISPからもらったネットワークIDと指定したパスワードを
> 設定しました。誤りはないと思います。
>
>>/etc/ppp/pap-secrets に記載されているはずです。
>
> /etc/ppp/pap-secrets にはパスワードの記載がありません。
> 下のようになっています。
>

> ---- (中略) ----

>
> # Here you should add your userid password to connect to your providers
> # via PAP. The * means that the password is to be used for ANY host you
> # connect to. Thus you do not have to worry about the foreign machine
> # name. Just replace password with your password.
> # If you have different providers with different passwords then you better
> # remove the following line.
>
> # * password

私の場合には、この部分がこんなふうになっていました。

# * password
"sinmei" provider "ko0haosi"

たぶん、Tamaki さんのおっしゃる ISP からもらった「ネットワークID」、
プロバイダ名、「ネットワークID」のパスワードの順です。わたしは、
ppp 接続を使っていませんから、もちろん、みんなダミーです。

Tamaki さんのところでこの部分がないということは、おそらく、設定を
ファイルに書き込む前に pppconfig が終了してしまったということでは
ないでしょうか (設定が書き込まれると、pap-secrets.bak という
バックアップファイルもできるようです)。

# 「The * means that the password is to be used for ANY host you
# connect to.」というのは、複数のプロバイダを利用している場合、
# わたしの例で言うなら、"sinmei" provider の部分を * にしておけば、
# どのプロバイダに対しても"ko0haosi" というパスワードが使われます、
# ということではないでしょうか。あるいは、
# "sinmei" * "ko0haosi"
# というふうに書くのかもしれません。いづれにしろ、こういう部分は
# 自分で書かずに、pppconfig に書いてもらう方が安心だと思います。

ついでに言うと、設定の他の項目は /etc/ppp/peers/provider という
ファイルに書き込まれていますから (Tamaki さんの場合は infosphere
という名前のファイルかもしれません)、それも見て、自分が指定した
ものと同じかどうか確認しておいた方がよいと思います。

--
長南洋一

[Hiroshi Takahahsi [IT-tutor-jp]]

高橋です。

インターネットにサーバを接続すると言うことは、いわば公道で車を走らせ
るようなものです。車であれば、運転の操作にしても法規にしても最低源の
知識と経験がないと、自分が危ないだけではなく他人にも迷惑をかけてしま
うことは容易に想像がつくと思います。

ISDNであれADSLであれ物理的な回線種別は問わず、とにかくインターネット
へサーバを接続するのであれば、サーバの設定だけではなく是非ネットワー
クの基礎知識も学んで下さい。

もちろん最初から全てを知っている人はいないので、そんなに慌てなくても
大丈夫ですが、インターネットへ接続されたサーバのセキュリティが甘いと
自分だけでなく他人に迷惑がかかる事を忘れないで下さい。
※サーバが乗っ取られて、他のシステムの攻撃ポイントとなったりSPAMの発
信基地にされることはよくあります。

もちろん一人前の技術者であれば、サーバ単体でインターネットへ置いてお
いても大丈夫なように設定は出来ますが、これも設定して終わりではなく常
にログを確認し、カーネルやアプリケーションのセキュリティーインシデン
トに目を配り、運用・保守を続ける必要があります。

一般的にブロードバンドルータと呼ばれる機器は、デフォルト設定では外か
ら（インターネット側から）の通信は遮断してくれるので、仮にサーバの設
定に問題があってもいきなり侵入されるリスクを防いでくれます。

…ということで、私も導入を進めている訳です。

■NATとかIPマスカレード（NAPT）とか、ちょっと長いですがステートフルパ
ケットインスペクションとか、この辺の用語の意味がしっかりわかるように
なれば、Linuxサーバの防御方法もだんだん理解出来るようになると思います。

(2011/05/22 17:55), Tamaki Kadzuhiko wrote:
> Debian(Linux)の方たちからセキュリティのことやISDNルータ導入
> のアドバイスをもらっていながら応えられなくて残念です。
> つま理解できていないのです。親切を無にしているような...。

--- snip ---

[Tamaki Kadzuhiko]

tamakiです。
高橋さん、長南さん、コメントありがとうございます。
これからはセキュリティにも関心をもって、基礎知識が身につくような
方向でやって行けたらと思います。

>Tamaki さんのところでこの部分がないということは、おそらく、設定を
>ファイルに書き込む前に pppconfig が終了してしまったということでは
>ないでしょうか (設定が書き込まれると、pap-secrets.bak という
>バックアップファイルもできるようです)。

これなんですが、pap-secrets.bak がありません。
3回ほど pppconfig をやり直したのですが、どうも設定がファイルに
書き込まれている様子がありません。

>私の場合には、この部分がこんなふうになっていました。
>
> # * password
> "sinmei" provider "ko0haosi"

手動で pap-secrets ファイルにネットワークID とネットワークID の
パスワードを書き込みました。
---------------------------------------------------------------
# vi /etc/ppp/pap-secrets
"ネットワークID" プロバイダ名 "ネットワークIDのパスワード"
---------------------------------------------------------------

>>ついでに言うと、設定の他の項目は /etc/ppp/peers/provider という
>ファイルに書き込まれていますから (Tamaki さんの場合は infosphere
>という名前のファイルかもしれません)、それも見て、自分が指定した
>ものと同じかどうか確認しておいた方がよいと思います。

/etc/ppp/peers/infosphere は入力した通りでした。

$ pon infosphere
これで接続ができました。
アタックがこわいので、firestarter を急いで入れるつもりです。

長時間、皆さん本当にありがとございました。

---
tamaki