ヘッドホンアンプ その2

投稿日: 2014年5月15日 作成者: しろくま

勢いでヘッドホンアンプ作りましたが、流す電流が大きすぎたりとか、イマイチなので回路を見直しました。
下記回路図は片チャンネルですので、左右分の2つが必要です。(ステレオですので)
シングルタイプのオペアンプだと2素子必要です。デュアルの場合は1素子でいけます。
headphoneamp-02

※R10はダミーロードですので、ここをヘッドホンと置き換えてください

ゲインを10倍にしましたので、入力を気をつけないとヘッドホンに過大な負荷がかかります。
10倍にしたのは10倍での使用を推奨しているオペアンプがあるからです…
そのため、C1の手前入力側に抵抗分圧で入力信号の減衰を行っています。
3K:2Kとしていますが、5K:2Kぐらいのほうがいいかもしれません。この割合はAKG K701を基準にしていますので他の能率の良いヘッドホンの場合は5k:1kなどにしたほうがいいかもしれません。

C1のカップリングコンデンサは無極性コンデンサを使用してください。
特に指定はありませんがMUSEシリーズやWIMAのフィルムコンデンサがいいと思います。
私はWIMAのフィルムコンデンサで組みました。

トランジスタとして2N3904を使っていますが、LTSPICEの都合で選んでいます。
(2SC1815の追加が面倒だったので…)
2SC1815で代用できますし、実際に2SC1815で組み立てました。2N3904も手に入りやすくなりましたので図の通り選択してもらっても構いません。
普通のnpnトランジスタであれば他の品番でも動作すると思います。
(ただのエミッタフォロアなので)

パスコンなどは省いています。これもLTSPICEの都合で(ry…
実際に作るときはパスコンを入れてください。
両電源端子に470uFと0.1uFをそれぞれ接続すると良いでしょう。
電源は006P電池を2個使うように作ってます。
動作時の消費電流は方チャンネルにつき25mA程度になりますので、合計50mA程度消費します。
もちろんオペアンプの品種によって5mA程度変動します。
もし電流計が90mAなどを表示した場合はショートしているか発振している可能性が有りますので、すみやかに電源を切ってください。
(発振すると発熱で溶ける場合が有ります。というか溶けました…)

テストする時はできるだけ小さな音量で開始してください。
いきなりつないだりするとヘッドホンが壊れたりするので、可能であれば50Ωぐらいのダミーロードで試してください。本文ではK701と同じ抵抗値である62Ωをダミーロードとしてシミュレーションしました。

オペアンプですが、汎用オペアンプのLM358で十分すぎる良い音が鳴ります。
幾つか手持ちのオペアンプを試しましたが、OPA2604が一番相性が良かったように思います。
逆にNJM4558相性が良くなかったです…
何故かLM358と相性がいいみたいなので、とりあえずLM358で聞いてみてください。
(シングルオペアンプ仕様で作った場合はシングル専用品種を使用してください)
追記2014-05-20:ソースがPCのマザーボードなので、高性能オペアンプだと低品質さが強調されるようですorz
ゲイン10倍じゃなくても特に問題なさそうなので、もっとゲインを下げた物を検討しています。

カテゴリー: 未分類, 電子工作 | ヘッドホンアンプ その2 はコメントを受け付けていません

ヘッドホンアンプ

投稿日: 2014年5月11日 作成者: しろくま

だいぶ前に断線したAKG K701を修理したのですが、あんまりいい音が鳴らなくてイマイチ感満載で押入れに入れてました。
具体的にいうとすごくシャリシャリした音がして、5000円のヘッドホンより聞きづらいのです。
(PC直結で聞いてます)
ここはヘッドホンアンプしかないよね?
既成品買うのもあれなんで作ってみましょうか。
しかし、オペアンプに62Ωの負荷をぶら下げて動作するのかね?無理だよね?プッシュプルバッファ作るのもめんどくさいし…
piko-n
後ろにエミッタフォロアつないだらいけるんじゃね?

で回路図を書いてみた(すごく適当)
HeadPhoneBord-01

LTspiceで試した感じ音は鳴りそうです。
ということでユニバーサル基板に組んだら音が出ました。
かなり良い感じ。でもまだキンキンするので、改良の余地有りです。
というか消費電流が0.18Aとか、設計おかしいでしょ。
使用したのはOPA134とOPA277です。2個セットなかったので片方ずつ違います…
OPA134の方がいいみたい。

いろいろ突っ込みどころがありまくりなので、次回改良予定です



カテゴリー: 未分類 | ヘッドホンアンプ はコメントを受け付けていません

Intel Gigabit CT Desktop AdapterでWake On Lan(WOL)使用する時の注意

投稿日: 2013年11月7日 作成者: しろくま

リモートで電源を入れる時に便利なWOLですが、Intel Gigabit CT Desktop Adapterでデフォルトのままだとパワーオフ状態から電源が入らなかったので回避方法をメモ。

デフォルトのドライバ設定だとパワーオフになるとリンクダウンします。
(ただしスリープ状態からマジックパケットによる起動は可能)
ということはそもそも電気的に疎通できないのでマジックパケットを送りようがありません。

回避策(Windows 7)
デバイスマネージャ→Intel Gigabit CT Desktop Adapter→詳細設定→PME をオンにする→オン

intel_ct_desktop

でパワーオフしてもリンクダウンしません。当然ながらマジックパケットを受けると起動します。
LANケーブルを抜いてもリンクアップするので移設しても大丈夫です。




カテゴリー: Windows, コンピュータ | Intel Gigabit CT Desktop AdapterでWake On Lan(WOL)使用する時の注意 はコメントを受け付けていません

プロテイン飲み比べ

投稿日: 2013年7月6日 作成者: しろくま

筋トレのお供のプロテインレビュー



●注意事項
プロテイン飲む時はプロテインシェーカーの使いましょう。
作りおきは食中毒になるのでやめましょう。
プロテインはタンパク質ですので飲んでも痩せません。
プロテインには成長ホルモンなどは入っていませんので筋トレせずにマッチョになったりということは絶対にないです。
タンパク質ですので飲み過ぎると太ります。



メーカー名:Teinlab
製品名:100% Whey Fuel
試した味:チョコレート、ストロベリー
感想:まずい。安いので人気らしい?お湯で溶かさないと溶けにくい
備考:お湯で溶ける。2.2kg買った。2013/1と2013/6に購入

メーカー名:BSN
製品名:SYNTHA-6 ISOLATE
試した味:チョコレート
感想:甘すぎずおいしい。水でもきちんと溶ける
備考:混合プロテイン。1.8kg買った。2013/3に購入

メーカー名:BSN
製品名:SYNTHA-6
試した味:チョコレート
感想:甘すぎずおいしい。水でもきちんと溶ける
備考:4.5kg買った。2013/7に購入

メーカー名:Muscle Pharm
製品名:Combat
試した味:チョコレートピーナッツバター
感想:甘すぎるけど我慢出来る味。水でも溶けるし氷を入れてシェイクすると美味しい。
備考:混合プロテイン。1.8kg買った。2013/4に購入

メーカー名:DNS
製品名:プロテインホエイ100
試した味:チョコレート
感想:とにかく溶けにくい、泡立つ。あんまり美味しくないけど我慢出来るレベルか?国産では安価な部類。
備考:溶けにくい。1kg買った。2013/03に購入

メーカー名:明治
製品名:アクア ホエイプロテイン100
試した味:グレープフルーツ
感想:本当にジュースのような味で、一番おいしい。ただしコスパは最悪。プロテイン入門におすすめだけど、トレーニーにはタンパク質含有量や値段的におすすめできない。とりあえず最初のプロテインはどれがいいか悩んでいる人はこれを試すといいと思います。冷水だと溶けにくいので少し注意。
備考:お湯で少量を溶かしてから氷でシェイクするとおいしいです。800gなどをリピート。2012/09~2012/12に購入

今のところSYNTHA-6が美味くて値段もそれなりなので、しばらくリピートしようと思います。






カテゴリー: 未分類 | プロテイン飲み比べ はコメントを受け付けていません

GNS3をさくらのVPS環境にインストールする(CentsOS6.3 x64環境)

投稿日: 2013年6月1日 作成者: しろくま

Ciscoの試験勉強には実機操作が一番なのですが、中古で買うにしても高額だったり、部屋に置けなかったり、奥さんに怒られたりする問題があります。かと言ってDynamipsやGNS3をインストールしたマシンを用意するのもそれなりにお金がかかるし、セットアップがめんどくさいと言った問題が残ります。そもそも思いついた時に操作したいという欲求を満たすには、常時稼動にする必要がありますが電気代とか騒音とかの問題をクリアしないといけません。
これまた住宅事情に対する挑戦となってしまいます。
そもそもBGPとOSPFで再配布とかやっちゃう場合はかなりたくさんのルータが必要になりますが、全部用意するなんて現実的ではありません。
というわけでホスティング事業者のインフラ上で構築すればこれらを満たすことができるのでは?
iPhoneとMacとかAndroid端末でも操作できるのでは?
というわけでやってみます。

使用したプラン
さくらのVPS 2G (石狩DC)

スペック
メモリ:2G
ディスク:200GB
CPU:仮想CPU 3コア

月額1480円で初回は2ヶ月分払う必要があります。
クレジットカードの他に請求書払いにも対応しています。

まずはTeratermやPuttyなどのSSHクライアントでサーバーへログインしてください。(rootで)

環境確認
# uname -a
Linux xxxxx.sakura.ne.jp 2.6.32-279.22.1.el6.x86_64 #1 SMP Wed Feb 6 03:10:46 UTC 2013 x86_64 x86_64 x86_64 GNU/Linux
# cat /etc/redhat-release
CentOS release 6.3 (Final)

CentOS 6.3 64bitであることが確認できます。

特に不便はないのだけど、言語を日本語に変更しておきます。

# vi /etc/sysconfig/i18n

LANG=”C”
SYSFONT=”latarcyrheb-sun16″

以下に変更します

#LANG=”C”
LANG=”ja_JP.UTF-8″
SYSFONT=”latarcyrheb-sun16″

日本語を有効にするため一旦再起動します。
# reboot

ファイアーウォールの設定を行います。
さくらのVPSの場合はデフォルトだとファイアーウォールが動作していません。
さすがにこれはまずいので最低限の設定をします。
# setup











許可するサービスは任意で追加してください。
ただし必須は「SSH」です。

基本的な制限についてはこれで設定されますが、VNCで使用するポートや送信元IPで制限する必要が有るため設定ファイルを編集します。
# vi /etc/sysconfig/iptables
単純にVNCで使用するポートを許可するだけの場合は以下の行を追加します。
-A INPUT -m state –state NEW -m tcp -p tcp –dport 5901 -j ACCEPT
送信元アドレスを指定して許可する場合は以下の行を追加しますが、接続元IPアドレスが常に固定な環境でなければなりません。
-A INPUT -m state –state NEW -m tcp -p tcp -s 1.2.3.4 –dport 5901 -j ACCEPT

この設定でVNCが使用するTCP 5901ポートがグローバル側に対して待受を開始します。

※VNCは暗号化されていない通信ですので通信の安全に対して問題があります。
※気になる場合はSSHトンネルで保護するなど対策を行なってください。

設定が終わったらiptableを再起動します。
# service iptables restart

一般ユーザーを作成します。
# adduser higume
# passwad higuma
ユーザー higuma のパスワードを変更。
新しいパスワード:<-任意のパスワードを入力します。
新しいパスワードを再入力してください:<-任意のパスワードを入力します。
passwd: 全ての認証トークンが正しく更新できました。

Rootログインを禁止します。
# vi /etc/ssh/ sshd_config
以下の行を書き換えます。
#PermitRootLogin yes

PermitRootLogin no

これでroot直接ログインができなくなります。
必ず一般ユーザーでログインしてからsu –でrootになってください。
# service sshd restart
# exit

一般ユーザでログインをやり直してください。
$ su –
でrootになります。

さくらのVPSの場合はデフォルトだとランレベル3用になっているので、いわゆるGUI環境というか
デスクトップ環境は入っていません。
(完全サーバー用途の構成です)
ですので、GNOMEなどのデスクトップ環境に必要とされるアプリケーションを予めインストールしておきます。

# yum groupinstall "X Window System" "GNOME Desktop Environment" "Desktop"
# yum install firefox

これらのインストールしたパッケージでGUI環境が整うのですが、リモート環境にはディスプレイ等が接続されていませんので使用出来ません。
(さくらのVPSでは仮想コンソールがありません)
遠隔地のデスクトップ環境にリモートアクセスするので、VNCをインストールします。
# yum install vnc vnc-server tigervnc-server

VNCの設定を行います。
ユーザー例:higuma

# su - higuma
$ vncpasswd
ここで好きなパスワードを入力できますが、先ほど設定したOSのログインパスワードとは別物です。
管理が煩雑になるためOSのログインパスワードと同じものを登録したほうが良いでしょう。

一旦VNCを起動します。
$ vncserver :1
VNCを停止させます。
$ vncserver -kill :1

そうすると初期値の設定ファイルが生成されますので、このファイルを修正します。
$ vi ~/kuma/.vnc/xstartup

以下の様な行がありますのでこの2行をコメントアウトし新たに二行追加します。
xterm -geometry 80x24+10+10 -ls -title "$VNCDESKTOP Desktop" &
twm &

#xterm -geometry 80x24+10+10 -ls -title "$VNCDESKTOP Desktop" &
#twm &
xterm -geometry 80×24+10+10 -ls -title “$VNCDESKTOP Desktop” &
gnome-session &

一般ユーザーからログアウトします。
$ exit

VNCサーバーの設定を変更します。
# vi /etc/sysconfig/vncserver
以下の行を追加します。
VNCSERVERS="1:higuma"
VNCSERVERARGS[1]="-geometry 1280x900 -nolisten tcp"

ここではVNCの画面解像度を指定しています。
画面の高さが重要で、900以下になるとGNS3の設定画面が見えないといった問題があります。利用環境にはご注意ください。

VNCの起動登録と再起動を行います。
# chkconfig vncserver on
# /etc/init.d/vncserver restart

GNS3に必要とされる関連パッケージをインストールします。
# yum install python python-devel xorg-x11-proto-devel libXext-devel gcc-c++ libXrender* PyQt4 PyQt4-devel qt qt-devel qemu-img libvirt qtwebkit qtwebkit-devel telnet

一旦再起動しておきます。
# reboot

GNS3は「/opt/GNS3」にインストールします。
というわけで必要資材のインストールなどを行なっていきます。
# cd /opt

## wget http://jaist.dl.sourceforge.net/project/gns-3/GNS3/0.8.4-RC2/GNS3-0.8.4-RC2-src.tar.gz
GNS3をダウンロードします。
# wget http://jaist.dl.sourceforge.net/project/gns-3/GNS3/0.8.3.1/GNS3-0.8.3.1-src.tar.gz

# tar zxvf GNS3-0.8.3.1-src.tar.gz
# ln -s GNS3-0.8.3.1-src GNS3
# cd GNS3
# mkdir Dynamips IOS Project Cache Temp
# chmod o+rw Project Temp
# chmod 777 IOS
# cd Dynamips
DynamipsのLinux x64用のバイナリをダウンロードします。
# wget http://jaist.dl.sourceforge.net/project/gns-3/Dynamips/0.2.8-RC3-community/dynamips-0.2.8-RC3-community-x86_64.bin
# chmod +x dynamips-0.2.8-RC3-community-x86_64.bin

# cd /opt/GNS3
# wget http://www.rehmert.com/wp-content/uploads/2012/08/gns3-150x150.png
# mv gns3-150x150.png gns3.png
# ln -s /opt/GNS3/gns3.png /usr/share/icons
# ln -s /opt/GNS3/gns3.png /usr/share/pixmaps

起動ファイルを作成します。
# vi /usr/bin/gns3
以下の二行をペーストしてください。
#!/bin/bash
python "/opt/GNS3/gns3"

作ったファイルに実行権限をつけます。
# chmod +x /usr/bin/gns3

デスクトップの起動ファイルを作成します。
# vi /usr/share/applications/gns3.desktop
以下をペーストしてください。
[Desktop Entry]
Name=GNS3
Comment=GNS3
Exec=gns3
Icon=gns3.png
Terminal=0
Type=Application
Encoding=UTF-8
Categories=Development

これでGNS3の起動準備は整うのですが、このままだと以下のエラーメッセージが表示され使用出来ません。
AttributeError: 'xxxxxxxxxxx' object has no attribute 'ItemSendsGeometryChanges'


以下のファイルを修正します。
# vi /opt/GNS3/src/GNS3/Node/AbstractNode.py

以下の二行をコメントアウトします。
if QtCore.QT_VERSION >= 0x040600:
flags = flags | self.ItemSendsGeometryChanges

ここまでで起動準備が整いましたので、Cisco IOSを準備します。
今回はCisco C2600を使用します。
使用したIOS:c2600-ipbase-mz.124-25c.bin

これまでの作業で「/opt/GNS3/IOS」にIOS置き場を作成しましたので、そこにこのIOSをアップロードします。
WinSCPなどを使用すれば簡単にできると思います。
TeratermでもSCP転送機能がありますので、お好みに合わせてください。

VNCで接続します。
今回使用したVNCビューワは「RealVNC日本語インストール版」です。
クライアントはWindows7 32bitのマシンです。
接続の仕方は、ホスト名:5901となります。
後ろの5901はポート番号ですので、他の番号で設定した場合はそっちに合わせてください。


VNCのパスワードを入力してからOKをクリックします。




ここらへんはWindows版のGNS3と同じ手順で初期設定できますので割愛します。


ルーターを右クリックしてコンソールを開きます。
ここからの操作は実機と同じですので、設定を入れていきます。

各ルーターのConfig

Alpha
# conf t
# interface FastEthernet 0/0
# ip address 10.0.0.1 255.255.255.224
# no shutdown
# end
# copy run start

Bravo
# conf t
# interface FastEthernet 0/0
# ip address 10.0.0.2 255.255.255.224
# no shutdown
# end
# copy run start

Charlie
# conf t
# interface FastEthernet 0/0
# ip address 10.0.0.3 255.255.255.224
# no shutdown
# end
# copy run start

Alphaから他のルータへPingを打ってみて、正しく応答があれば構築完了です。

カテゴリー: 未分類 | GNS3をさくらのVPS環境にインストールする(CentsOS6.3 x64環境) はコメントを受け付けていません

APC Smart-UPS 1500 のバッテリー交換

投稿日: 2013年1月23日 作成者: しろくま

APC Smart-UPS 1500を中古で買ってきてバッテリー交換をしたのでメモ。
購入先はいつも通りヤフオクです。

関連記事
中古のAPC Smart-UPS 1000を買った巻

ちなみにバッテリー型番は以下のとおり
GSユアサ(純正品) PXL12180
Long製 WP22-12
GSユアサ(互換品) PE12V17

バッテリーサイズ
サイズ:約181x76x167mm

秋月電子様でGSユアサの互換品を購入して装着しました。
互換品は純正品と比べて1Ah容量が小さいです。
多分大丈夫ですが、自己責任でおながいします。




フロントパネルをたまえに引っ張り外します。
マイナスドライバーで引っ掛けると外しやすいと思います。




バッテリーの固定蓋がネジ止めされてますので、適当なドライバーでゆるめます。多分+2号ドライバーでいいと思います。



バッテリーが見えるので手前に引っ張ります。



完全に抜き取りますが、後ろに接続ケーブルがついてるので注意。



接続ケーブルはコネクターになってるので、引っ張って抜きます。



端子カバーを取ります。



フューズがネジ止めされているので外します。



コネクタ側もネジ止めですので外します。



バッテリー単体はこんなかんじです。外せたらショート防止のためテープなどで端子を絶縁してください。



2個のバッテリーは両面テープで固定されています。



秋月電子のバッテリーと比較。
容量以外は同じ形ですな。



新しいバッテリーにコネクタなどをつなぎます。極性は間違わないでください。
バッテリーはオリジナルと同じように両面テープで貼りあわせておきます。
あとは元通り組み立てたら終わりです。
一晩は充電してあげてください。

カテゴリー: コンピュータ, 電子工作 | APC Smart-UPS 1500 のバッテリー交換 はコメントを受け付けていません

Cisco 1812Jと Yamaha RTX1000 の IPsec VPN

投稿日: 2013年1月18日 作成者: しろくま

Cisco1721とRTX1000でのIPsecができたので1812Jとも接続してみました。
そのまんまでつながるわけなんですが、SVIインターフェースのVLAN1の扱いにちょっと悩んだというか…

今回の構成図
まえとほぼ同じですね~


IPsecVPNのパラメータ
これも同じ


以下がCisco1812Jのコンフィグ

version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname C1812J-01
!
boot-start-marker
boot-end-marker
!
enable password kumakuma
!
no aaa new-model
!
resource policy
!
!
!
ip cef
!
!
!
!
!
!
!
!
crypto isakmp policy 1
 encr aes
 authentication pre-share
 group 2
 lifetime 28800
crypto isakmp key password1234 address 1.2.3.1
!
!
crypto ipsec transform-set DEFAULT esp-aes esp-sha-hmac
!
crypto map LAB local-address FastEthernet0
crypto map LAB 1 ipsec-isakmp
 set peer 1.2.3.1
 set transform-set DEFAULT
 match address 100
!
!
!
!
interface FastEthernet0
 ip address 1.2.3.7 255.255.255.224
 duplex auto
 speed auto
 crypto map LAB
!
interface FastEthernet1
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface BRI0
 no ip address
 encapsulation hdlc
 shutdown
!
interface FastEthernet2
 !
interface FastEthernet3
!
interface FastEthernet4
!
interface FastEthernet5
!
interface FastEthernet6
!
interface FastEthernet7
!
interface FastEthernet8
!
interface FastEthernet9
!
interface Vlan1
 ip address 192.168.141.254 255.255.255.0
 ip tcp adjust-mss 1350
!
ip route 0.0.0.0 0.0.0.0 1.2.3.1
!
!
no ip http server
no ip http secure-server
!
access-list 100 permit ip 192.168.141.0 0.0.0.255 192.168.105.0 0.0.0.255
!
!
!
!
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
 password alpha0
 login
!
!
webvpn context Default_context
 ssl authenticate verify all
 !
 no inservice
!
end

1812J側でのIPsecVPN接続確認
まずはshow crypt isakmp saの結果を確認します。
正しい例
1812J#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id slot status
1.2.3.7         1.2.3.1         QM_IDLE           2003    0 ACTIVE
1.2.3.7         1.2.3.1         QM_IDLE           2002    0 ACTIVE
1.2.3.7         1.2.3.1         QM_IDLE           2001    0 ACTIVE

Yamaha RTX100のコンフィグ
ip route 192.168.141.0/24 gateway tunnel 2
ip lan2 address 1.2.3.1/27
tunnel select 2
 ipsec tunnel 102
  ipsec sa policy 102 2 esp aes-cbc sha-hmac
  ipsec ike duration isakmp-sa 2 28800
  ipsec ike encryption 2 aes-cbc
  ipsec ike group 2 modp1024
  ipsec ike hash 2 sha
  ipsec ike local address 2 1.2.3.1
  ipsec ike local id 2 192.168.105.0/24
  ipsec ike pre-shared-key 2 text password1234
  ipsec ike remote address 2 1.2.3.7
  ipsec ike remote id 2 192.168.141.0/24
  ip tunnel tcp mss limit 1350
 tunnel enable 2
ipsec auto refresh on

show crypt ipsec saの出力を確認します。
正しい例
1812J#show crypto ipsec sa

interface: FastEthernet0
    Crypto map tag: LAB, local addr 1.2.3.7

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (192.168.141.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (192.168.105.0/255.255.255.0/0/0)
   current_peer 1.2.3.1 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 109, #pkts encrypt: 109, #pkts digest: 109
    #pkts decaps: 2353, #pkts decrypt: 2353, #pkts verify: 2353
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 1.2.3.7, remote crypto endpt.: 1.2.3.1
     path mtu 1500, ip mtu 1500
     current outbound spi: 0xC43838B1(3292018865)

     inbound esp sas:
      spi: 0xF96E0BEC(4184738796)
        transform: esp-aes esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 1, flow_id: Motorola SEC 2.0:1, crypto map: LAB
        sa timing: remaining key lifetime (k/sec): (4483123/2577)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0xC43838B1(3292018865)
        transform: esp-aes esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 2, flow_id: Motorola SEC 2.0:2, crypto map: LAB
        sa timing: remaining key lifetime (k/sec): (4483386/2575)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE

     outbound ah sas:

     outbound pcp sas:
双方のクライアントマシンでpingを打ち続けるとカウントが増えていきます。

Yamaha側の確認
正しい例
RTX1000# show ipsec sa
sa   sgw connection   dir  life[s] remote-id
--------------------------------------------------------------------------
1    2   isakmp       -    28295   1.2.3.7
3    2   tun[002]esp  send 28297   1.2.3.7
4    2   tun[002]esp  recv 28297   1.2.3.7
5    2   isakmp       -    28298   1.2.3.7
6    2   isakmp       -    28299   1.2.3.7

カテゴリー: コンピュータ, ネットワーク | Cisco 1812Jと Yamaha RTX1000 の IPsec VPN はコメントを受け付けていません

Cisco C1721と Yamaha RTX1000 の IPsec VPN

投稿日: 2013年1月11日 作成者: しろくま

ヤマハRTX1000とCisco C1721のIPsecVPNの接続検証をしたのでメモ。
設定値はヤマハから公開されている参考設定を元に、AESへ変更しました。

今回使用したC1721はEthernetボードを追加しています。
(10BASE)
多分Cisco1812Jではこの設定だとつながらないと思います

構成図
※構成図の192.168.141.1のクライアントPCのアドレスが間違ってます


IPsec VPNのパラメータ


以下コンフィグレーション

#Yamaha RTX1000
ip route 192.168.141.0/24 gateway tunnel 2
ip lan2 address 1.2.3.1/27
tunnel select 2
 ipsec tunnel 102
  ipsec sa policy 102 2 esp aes-cbc sha-hmac
  ipsec ike duration isakmp-sa 2 28800
  ipsec ike encryption 2 aes-cbc
  ipsec ike group 2 modp1024
  ipsec ike hash 2 sha
  ipsec ike local address 2 1.2.3.1
  ipsec ike local id 2 192.168.105.0/24
  ipsec ike pre-shared-key 2 text password1234
  ipsec ike remote address 2 1.2.3.7
  ipsec ike remote id 2 192.168.141.0/24
  ip tunnel tcp mss limit 1350
 tunnel enable 2
ipsec auto refresh on

#Cisco C1721
crypto isakmp policy 1
 encr aes
 authentication pre-share
 group 2
 lifetime 28800
crypto isakmp key password1234 address 1.2.3.1
!
!
crypto ipsec transform-set DEFAULT esp-aes esp-sha-hmac
!
crypto map LAB local-address Ethernet0
crypto map LAB 1 ipsec-isakmp
 set peer 1.2.3.1
 set transform-set DEFAULT
 match address 100
!
interface Ethernet0
 ip address 1.2.3.7 255.255.255.224
 half-duplex
 crypto map LAB
!
interface FastEthernet0
 ip address 192.168.141.254 255.255.255.0
 ip tcp adjust-mss 1350
 speed auto
!
ip route 0.0.0.0 0.0.0.0 1.2.3.1
access-list 100 permit ip 192.168.141.0 0.0.0.255 192.168.105.0 0.0.0.255


確認コマンド
C1700-01#sh crypto isakmp sa
dst             src             state          conn-id slot status
1.2.3.7         1.2.3.1         QM_IDLE              2    0 ACTIVE
1.2.3.7         1.2.3.1         QM_IDLE              1    0 ACTIVE

ついでに以下コマンドでも確認します
show crypt ipsec sa

RTX1000-01# show ipsec sa

sa   sgw connection   dir  life[s] remote-id
--------------------------------------------------------------------------
1    2   isakmp       -    27096   1.2.3.7
2    2   tun[002]esp  send 27098   1.2.3.7
3    2   tun[002]esp  recv 27098   1.2.3.7
4    2   isakmp       -    27111   1.2.3.7

検証時にWindowsクライアントPCを使用する場合はファイアーウォールを無効にして検証したほうがいいです。
所属するネットワークの設定によって、違うセグメントからの通信を破棄する場合があります。

カテゴリー: 未分類 | Cisco C1721と Yamaha RTX1000 の IPsec VPN はコメントを受け付けていません

SSG5とSRX100のIPsecVPN接続の検証

投稿日: 2013年1月7日 作成者: しろくま

Juniper Networks SRX100とSSG5のIPsec VPN接続をテストしたのでメモ。
前のRTX1000との接続の続きです。
SRX100の基本設定は前回のRTX1000の設定と同じです。
ですので、RTX1000とSSG5間も同じ設定でつながると思います。
(IPなどは除く)

IPsecのパラメータ

SRX100のグローバルIP:1.2.3.1
SSG5のグローバルIP:1.2.3.3

Phase1の設定
認証方法:Pre-shared-key
フェーズ1の交換モード:メインモード
DH-Group 2
SHA-1
AES128bit-CBC
ライフタイム:3600秒

Phase2の設定
ESP
AES126bit-CBC
HMAC-SHA1
PFS無し
ライフタイム:3600秒
トンネルモード

Pre-shared-keyは「password1234」

SRX100をセンターとして構築しました。

SRX100のConfig

set interfaces st0 unit 2 family inet

set security ike proposal test-p1-proposal
set security ike proposal test-p1-proposal authentication-method pre-shared-keys
set security ike proposal test-p1-proposal dh-group group2
set security ike proposal test-p1-proposal authentication-algorithm sha1
set security ike proposal test-p1-proposal encryption-algorithm aes-128-cbc
set security ike proposal test-p1-proposal lifetime-seconds 3600

set security ike policy test-p1-policy
set security ike policy test-p1-policy mode main
set security ike policy test-p1-policy proposals test-p1-proposal
set security ike policy test-p1-policy proposals pre-shared-key ascii-text password1234

set security ike gateway test-p1-gw2
set security ike gateway test-p1-gw2 ike-policy test-p1-policy
set security ike gateway test-p1-gw2 address 1.2.3.3
set security ike gateway test-p1-gw2 external-interface fe-0/0/0

set security ipsec proposal test-p2-proposal
set security ipsec proposal test-p2-proposal protpcol esp
set security ipsec proposal test-p2-proposal authentication-algorithm hmac-sha1-96
set security ipsec proposal test-p2-proposal encryption-algorithm aes-128-cbc
set security ipsec proposal test-p2-proposal lifetime-seconds 3600

set security ipsec policy test-p2-policy
set security ipsec policy test-p2-policy proposals test-p2-proposal
set security ipsec vpn test-vpn2
set security ipsec vpn test-vpn2 bind-interface st0.2
set security ipsec vpn test-vpn2 ike gateway test-p1-gw2
set security ipsec vpn test-vpn2 ike proxy-identity local 172.16.1.0/24
set security ipsec vpn test-vpn2 ike proxy-identity remote 172.16.10.0/24
set security ipsec vpn test-vpn2 ike ipsec-policy test-p2-policy
set security ipsec vpn test-vpn2 establish-tunnels immediately

set security zones security-zone trust address-book address net3 172.16.10.0/24

set security policies from-zone trust to-zone trust policy n1-n3-poli
set security policies from-zone trust to-zone trust policy n1-n3-poli match source-address net1
set security policies from-zone trust to-zone trust policy n1-n3-poli match destination-address net2
set security policies from-zone trust to-zone trust policy n1-n3-poli match application any
set security policies from-zone trust to-zone trust policy n1-n3-poli then permit

set security policies from-zone trust to-zone trust policy n3-n1-poli
set security policies from-zone trust to-zone trust policy n3-n1-poli match source-address net2
set security policies from-zone trust to-zone trust policy n3-n1-poli match destination-address net1
set security policies from-zone trust to-zone trust policy n3-n1-poli match application any
set security policies from-zone trust to-zone trust policy n3-n1-poli then permit

set security zones security-zone trust interfaces st0.2
set routing-options static route 172.16.10.0/24 next-hop st0.2

SSG5のConfig
set interface ethernet0/0 ip 1.2.3.3/27
set interface bgroup0 ip 172.16.10.254/24
set interface "tunnel.1" zone "Trust"
set interface tunnel.1 ip unnumbered interface ethernet0/0
set flow tcp-mss 1350
set ike p1-proposal "pre-g2-aes128cbc-sha1-3600" preshare group2 esp aes128 sha-1 second 3600
set ike p2-proposal "p2-srx100" no-pfs esp aes128 sha-1 second 3600
set ike gateway "gw-test" address 1.2.3.1 Main outgoing-interface "ethernet0/0" preshare password1234 proposal "pre-g2-aes128cbc-sha1-3600"
set ike respond-bad-spi 1
set ike ikev2 ike-sa-soft-lifetime 60
set vpn "vpn-test" gateway "gw-test" no-replay tunnel idletime 0 proposal "p2-srx100"
set vpn "vpn-test" monitor rekey
set vpn "vpn-test" id 0x1 bind interface tunnel.1
set vpn "vpn-test" proxy-id local-ip 172.16.10.0/24 remote-ip 172.16.1.0/24 "ANY"
set policy id 1 from "Trust" to "Untrust"  "Any" "Any" "ANY" permit
set policy id 2 from "Untrust" to "Trust"  "Any" "Any" "ANY" permit
set route 172.16.1.0/24 interface tunnel.1

確認コマンド
SRX100用
show log kmd
show security ike security-associations
show security ipsec security-associations
show security ipsec statistics

SSG5用
get sa active

SSG5はGUIで確認しながら設定したほうがいいかもしれない

カテゴリー: コンピュータ, ネットワーク | SSG5とSRX100のIPsecVPN接続の検証 はコメントを受け付けていません

ヤマハ RTX1000とJuniper SRX100のIPsec VPNをテストしてみた

投稿日: 2013年1月7日 作成者: しろくま

ヤマハ製ルータRTX1000とJuniper Networks SRX100のIPsec VPN接続をテストしたのでメモ。
他メーカー同士のIPsec VPNは鬼門なんですよ…
こういう接続テストは朝から晩まで試行錯誤しないといけないからやりたくない分野です。

同一メーカーで同一シリーズであれば、自動でパラメータをあわせてくれるのでルーティングとリモートIPを指定するだけでつながります。
メーカーが違う場合は全てのパラメータを明示的に合わせないとつながらないので、厳密に一致させる必要がありますが、機種によって設定できない項目がたまにあるので要注意です。
ローカル環境ではWireSharkを使用してパケットキャプチャーしながらテストするのがおすすめです。
WAN越しの場合はMTUとかの問題でフラグメントして落ちる場合があるので、TCP-MSSを指定しておく必要があります。

IPsecのパラメータ

SRX100のグローバルIP:1.2.3.1
RTX1000のグローバルIP:1.2.3.2

Phase1の設定
認証方法:Pre-shared-key
フェーズ1の交換モード:メインモード
DH-Group 2
SHA-1
AES128bit-CBC
ライフタイム:3600秒

Phase2の設定
ESP
AES126bit-CBC
HMAC-SHA1
PFS無し
ライフタイム:3600秒
トンネルモード

Pre-shared-keyは「password1234」

SRX100をセンターとして構築しました。
SSG5とSRX100のIPsecVPNも行いました。

SRX100のConfig

set interfaces st0 unit 1 family inet
set security ike respond-bad-spi 5

set security ike proposal test-p1-proposal
set security ike proposal test-p1-proposal authentication-method pre-shared-keys
set security ike proposal test-p1-proposal dh-group group2
set security ike proposal test-p1-proposal authentication-algorithm sha1
set security ike proposal test-p1-proposal encryption-algorithm aes-128-cbc
set security ike proposal test-p1-proposal lifetime-seconds 3600

set security ike policy test-p1-policy
set security ike policy test-p1-policy mode main
set security ike policy test-p1-policy proposals test-p1-proposal
set security ike policy test-p1-policy proposals pre-shared-key ascii-text password1234

set security ike gateway test-p1-gw
set security ike gateway test-p1-gw ike-policy test-p1-policy
set security ike gateway test-p1-gw address 1.2.3.2
set security ike gateway test-p1-gw external-interface fe-0/0/0

set security ipsec proposal test-p2-proposal
set security ipsec proposal test-p2-proposal protpcol esp
set security ipsec proposal test-p2-proposal authentication-algorithm hmac-sha1-96
set security ipsec proposal test-p2-proposal encryption-algorithm aes-128-cbc
set security ipsec proposal test-p2-proposal lifetime-seconds 3600

set security ipsec policy test-p2-policy
set security ipsec policy test-p2-policy proposals test-p2-proposal
set security ipsec vpn test-vpn
set security ipsec vpn test-vpn bind-interface st0.1
set security ipsec vpn test-vpn ike gateway test-p1-gw
set security ipsec vpn test-vpn ike proxy-identity local 172.16.1.0/24
set security ipsec vpn test-vpn ike proxy-identity remote 172.16.9.0/24
set security ipsec vpn test-vpn ike ipsec-policy test-p2-policy
set security ipsec vpn test-vpn establish-tunnels immediately

set security zones security-zone trust address-book address net1 172.16.1.0/24
set security zones security-zone trust address-book address net2 172.16.9.0/24

set security policies from-zone trust to-zone trust policy n1-n2-poli
set security policies from-zone trust to-zone trust policy n1-n2-poli match source-address net1
set security policies from-zone trust to-zone trust policy n1-n2-poli match destination-address net2
set security policies from-zone trust to-zone trust policy n1-n2-poli match application any
set security policies from-zone trust to-zone trust policy n1-n2-poli then permit

set security policies from-zone trust to-zone trust policy n2-n1-poli
set security policies from-zone trust to-zone trust policy n2-n1-poli match source-address net2
set security policies from-zone trust to-zone trust policy n2-n1-poli match destination-address net1
set security policies from-zone trust to-zone trust policy n2-n1-poli match application any
set security policies from-zone trust to-zone trust policy n2-n1-poli then permit

set security flow tcp-mss ipsec-vpn mss 1350
set security zones security-zone trust interfaces st0.1
set routing-options static route 172.16.9.0/24 next-hop st0.1

Yamaha RTX1000のConfig
ip route 172.16.1.0/24 gateway tunnel 1
ip lan1 address 172.16.9.254/24
ip lan2 address 1.2.3.2/27
ip lan2 nat descriptor 1
tunnel select 101
 ipsec tunnel 1
  ipsec sa policy 101 1 esp aes-cbc sha-hmac
  ipsec ike duration ipsec-sa 1 3600
  ipsec ike duration isakmp-sa 1 3600
  ipsec ike encryption 1 aes-cbc
  ipsec ike group 1 modp1024
  ipsec ike hash 1 sha
  ipsec ike local address 1 1.2.3.2
  ipsec ike pre-shared-key 1 text password1234
  ipsec ike remote address 1 1.2.3.1
  ip tunnel tcp mss limit 1350
 tunnel enable 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 1.2.3.2
nat descriptor address inner 1 172.16.9.1-172.16.9.254
nat descriptor masquerade static 1 1 1.2.3.2 udp 500
nat descriptor masquerade static 1 2 1.2.3.2 esp
ipsec auto refresh on

確認コマンド
SRX100用
show log kmd
show security ike security-associations
show security ipsec security-associations
show security ipsec statistics

受信と送信のトンネルが確立されていたら正常です。

RTX1000用
show ipsec sa

受信と送信とISAKMPが確立されていたら正常です。

ルーティングの追加やtrustへの登録を忘れがちなので要注意です。
引き込んでいる回線に合わせてMTUを設定してください。

この内容はSRX240などの上位機種でも共通です。
ヤマハの場合はRT107eやRTX1100 RTX1200 RTX1500などでも共通です。

カテゴリー: コンピュータ, ネットワーク | ヤマハ RTX1000とJuniper SRX100のIPsec VPNをテストしてみた はコメントを受け付けていません