NASの導入とLAGの設定

 PCの内蔵HDDの容量が残り少なくなってきていたのでNASを導入することに

機種はNETGEARの【ReadyNAS 214】2016年頃に発売された機種が在庫限りで安くなっていた

最新機種も惹かれはするものの、発売から年数経っている方がファームウェアが枯れてて安定しているかなという期待を込めているが、LAGや必要なクラウドサービスにも対応していたので機能的にも申し分ない

4ベイのHDDスロットを搭載してRAID対応で3万切るのはコスパが良い

ただ、家の機器がNETGEARばかりになってきた気がする

中に入れるHDDはSEAGATEの【IronWolf Pro 4TB】を4台

WDのRed Labelとも迷ったものの、こちらの方が少し安かった

この4台でRAID 5を組むので規格上は12TBで、実際構築して利用可能だったのは10TBとなった

LAGを組むのでLANケーブルも新調

いつものElecom製CAT6Aケーブル

このシリーズはもう少しカラバリあると色分けできて助かるけど仕方ない

Elecomに限らずだが、家電量販店や通販サイトで販売されているRJ-45のCAT7やCAT8は規格外の準拠品のためそもそも選択肢に入らない

利用者の利便性を考慮しているらしいが、だからと言って規格外のケーブル売るのはやめて欲しい

ひとまず1GbpsのNICであればCAT6以上であればケーブル長以外での性能差は誤差、というかSTPケーブルにしてしまうとノイズが乗るから逆効果の場合もある

組み込み自体は全面の蓋開けて取り出したスロットにHDDをセットして入れるだけなのでとても簡単

HDDを固定するフレームが樹脂製なのが少し不安に感じるくらい

起動したら早速LAGの設定を行う

PCからarp打つかルータからDHCPで払い出されているIPを確認した上でpingを打ってブラウザからアクセスする

管理画面にログインしたら【ネットワーク】タブを開いてNICの設定を行う

画面上だとeth0が上でeth1が下と表示されているが、実際の本体はeth0が下部でeth1が上部だったので少し混乱した

eth0側の歯車マークをクリックしたら【新しいチーミング】をクリックする

【新しくチーミングされたアダプター】画面が表示されるので以下の様に設定

チーミング：eth1　にチェック

チーミングモード：IEEE 802.3as LACP をプルダウンから選択

Hashタイプ：レイヤー2を選択

【作成】をクリックしたら設定が開始される

管理画面のTOPへリロードされたら再度【ネットワークタブ】に戻って、NICが統合されていることを確認する

NAS側の設定は完了したのでL2SW側の設定を行う

GS-310TPにログインして【スイッチング】＞【LAG】＞【Basic】から【LAGメンバーシップ】を開いて以下のように設定する

LAG ID： l1

LAG名：ch1

Unit1：Ports 6と7にチェック（NASと接続した2port）

同画面の【拡張】から【LAG設定】を開いて、設定したLAG IDがリンクアップになっていることを確認し、【STPモード】を【無効】にして【LAGタイプ】を【LACP】に変更して【適用】を押せば設定完了

ただ、PC側のNICは1Gbpsな上、PCでアクセスしていればスマートフォンやタブレットからのアクセスもほぼ無いので、LAGを組む意味がどれほどあったかは不明

HDDではなくSSDで組めばLAGの恩恵を感じられるかもしれないが、さすがにSSDで同じ容量を賄うほど財布に余裕はなかった

Google Pixel 4a購入と個人的な初期設定色々

【Google Store Google Pixel 4a】

8/20に発売されたGoogle製のスマートフォン Pixel 4aを8/14の午前中に予約注文したら発売日翌日の8/21には到着した

今まではHuaweiのnova lite 2を利用していたので、画面サイズやAndroid自体の操作感はあまり変わらない

端末のレスポンスが向上したのと、Wi-Fiが11ac対応なので全体的に快適に動く印象

携帯端末にそこまでの拘りは無いものの、昨今の米中間の問題を考えるとHuaweiはそろそろ手放したかったからいいタイミングだった

若干オーバースペックかとも思ったけど、臨時収入もあったため良しとしよう

初期の設定はメーカーにもよるだろうけど、個人的に新しいAndroidで初めに設定する項目をいくつかメモ

■OCN モバイル OneのAPN設定

利用するSIMはOCN モバイル Oneの音声対応SIM

とりあえずSIMカードをさせばそのまま認識するものの、プリセットされているAPN情報が旧料金プラン用なので少しカスタマイズする

【設定】＞【ネットワークとインターネット】＞【モバイルネットワーク】＞【アクセスポイント名】から【新しいAPN】を選択して以下の情報で新規作成する

【OCN インターネット接続設定】

名前：任意

APN：lte.ocn.ne.jp　←（旧プランはlte-d.ocn.ne.jp）

ユーザ名：mobileid@ocn

パスワード：mobile

MCC：440

MNC：10

認証タイプ：CHAP

APNプロトコル：IPv4

■画面ナビゲーション方法変更

初期設定だと画面操作がジェスチャーナビゲーションになっているので、旧来の3ボタンナビゲーションへ変更

【設定】＞【システム】＞【ジェスチャー】＞【システムナビゲーション】を開いて、【3ボタンナビゲーション】を選択

慣れたらジェスチャーでもいいのかもしれないけど、個人的にはボタン操作が良い

■Launcher変更

デフォルトホームアプリのPixel Launcherだと画面したの検索バーが消せなくて目障りなので、別途【Microsoft Launcher】をインストール

【設定】＞【アプリと通知】＞【デフォルトのアプリ】＞【ホームアプリ】からインストールした【Microsoft Launcher】を選択

これでホーム画面のカスタマイズが色々できる

まぁシンプルなアイコン配置しかしないけど

■認証アプリ

各種サービスログイン時の多要素認証用に認証アプリをインストール

個人的には【Microsoft Authenticator】が使いやすい

これであればMicrosoftサービスはパスワードレス認証ができるし、GoogleやAmazon、Twitter等を利用する際のTOTPアプリとしても利用ができる

追加したアカウント長押しで6桁のキーをコピーできる上に、自分で表示させない限り画面に数字を表示させないため、ショルダーハッキング対策にも有効

■NWユーティリティアプリ

仕事柄NWチェック用の簡単なコマンド叩く事もあるが、コンソールアプリ立ち上げたりサーバへSSHで繋げて利用するのはスマホからだと結構面倒

【Network Analyzer Pro】は有料版ながらping、traceroute、port scan、Whois、dig（アプリ表示上はDNS）が実行できる

また、Wi-Fi Analyzerも使えるので2.4GHzも5GHzも簡易サーベイが利用できる

アプリ内のinformationから端末のIPがv4だけでなくv6も対応しており、routing tableの確認までできる優れもの

同一セグメントのLAN Scanや簡易スピードテスト等々個人的には無いと困るアプリの一つ

後は標準のカメラアプリがシンプルだから、もう少しF値やSSとかも弄れる有料のカメラアプリでも探そうか

Raspberry pi 3 b+のPoE給電化

PC周りの機器が増えてきたので、Raspberry piをPoE化することに

購入したのは公式のPoE HAT

【Raspberry Pi 3 Model B+用PoE HAT】

Amazonだと6kくらいしたけどギフト券あったので良しとしよう

対応規格はPoE 802.3afとなっている

自宅のL2-SWはNETGEARのGS-310TPなので、atもafも対応しており問題なく利用可能

基本的にRaspberry pi本体にそのまま刺すだけで特別な設定は不要

ただ、問題なのは一緒に買ったケース側だった

間に基盤保護用のパネルが成形されているためHATが干渉して組めない

USB 2.0 to Ethernet Controllerのヒートシンクも干渉するため仕方なく撤去した

仕方ないので自己責任でぶち壊す

大枠をニッパーで割って、細かいところはカッターと棒ヤスリでざっくりと成形

これで問題なく組み込めた

ケースとRaspberry piのねじ止めもできないものの、ケースで上から押さえてあり、あまり振動の無いところに置くので問題は無いと思う

蓋を閉めてLANケーブルを指したら無事起動した

ただ、FANの音が予想よりも大きい気がする

まぁ横でベアボーン用のFANも回ってるからそこまで気にしなくてもいいのかな

iPhoneでのSSLインスペクション有効化

会社貸与のiPhone8（iOS13.6）を自宅のWi-Fiに繋げるのに、ついでだからとSSLインスペクションを有効にしているNWへ追加することにした

以下サイトを確認すると、iOSでSSLインスペクションを利用する場合は除外リストに追加した上でプロキシを経由するようにと記載があるので、Wi-Fi接続以外の設定を追加して行う

【エンタープライズネットワークで Apple 製品を使う】

別端末でXG Firewallから証明書をダウンロードして、クラウドサービスを利用してiPhoneへ証明書を転送しておく

該当の証明書はXG Firewallの【システム】＞【証明書】ページの【認証局（CA）】タブを開いて【SecurityAppliance_SSL_CA】のダウンロードボタンを押して別端末でダウンロードした

■iPhone端末設定

iPhoneの設定画面を開いて【一般】＞【プロファイルとデバイス管理】からダウンロードした証明書をインストールする

インストールが完了したら【一般】＞【情報】＞【証明書信頼設定】を開いてインストールした証明書を有効化する

接続しているWi-Fiの右側のマークをタップしてHTTPプロキシの設定を追加する

プロキシのIPはDefault GWと同じ値、ポートはXG Firewallの初期値は【3128】なのでそのまま設定する

ローカル端末へはアクセスさせないので除外リストは空白にした

ユーザ認証は必要であればXG Firewall側でユーザを作成してPW設定したものを入れればいいか

■XG Firewall追加設定

Appleのサイトで指定されているものをHTTPS復号化の除外リストとして登録する

XG Firewallにログインして【保護】＞【Web】ページの【例外】タブを開いてルールを【追加】する

上記URLに記載の【デバイスの設定】、【デバイス管理】、【ソフトウェア・アップデート】、【App Store】、【証明書の検証】からiOSが該当するURLを追加していく

【*.】となっているものはそのままではXG Firewallに登録できないので【^[A-Za-z0-9.-]*.】に置き換える

設定が完了したら適当なページ等を開いて正常性を確認する

App Storeやその他アプリも一応開いて異常がないかを確認して完了

Amazonでのkindle本の支払いでポイントやギフト券を使わない設定

今までAmazonでkindle本を購入する際は、【1-Clickで今すぐ買う】で購入するとAmazonポイントやギフト券が優先的に使われてしまい、クレジットカード払いを選べなかった

ポイントやギフト券は別途貯めておきたい性分なので、電子書籍はGooglePlaybookなどで購入するようにしていた

ただ、ふと見たら設定できるようになっていたのでいつの間にか改変されていた模様

設定は以下のページから

Amazonの【アカウントサービス】＞【お客様の支払い方法】＞【設定】タブ＞【Kindleの支払い設定を管理】＞【お支払方法を編集】ボタン

ここから【Amazonポイントを使用】と【ギフト券を使用】のチェックを外して【編集完了】を押せば設定が反映される

試しに100円程度の本を購入してみたところ、問題なくクレジットカードから引き落とされた

ただ、相変わらず【1-Clickで今すぐ買う】しか選択肢が無いのは便利なのか不便なのか

紫陽花と花菖蒲

撮影日：2020/06/06　20時頃
撮影場所：山口県岩国市　吉香公園

6月の梅雨前に紫陽花を見にいつもの公園に

若干早かったものの、ある程度の株はキレイに咲いていた

花菖蒲も見頃の物から今からのものまで色とりどり

とはいえ暖色系はあまり好みではないので、どうしても寒色系ばかり撮ってしまう

この騒動が落ち着けばもう少しゆっくり写真撮りに行ける機会が増えればいいけど

Microsoft 365 Business BasicでのDKIMとDMARCの有効化

2020/6/30までの契約でMicrosoft 365 Business Basicが半年無料で使えるとのことだったので試しに契約してみた

【Microsoft 365】

独自ドメイン（MSの表記上はカスタムドメイン）のサブドメインでの運用だが、DNSに記載する必要があるレコードは全て管理コンソール上で明示されるので、ほぼコピペだけで問題なく設定が完了した

ただ、Exchange Onlineで利用するメールに対してDKIMとDMARC認証を行うにはGUIだけではできなかった

まずは以下のドキュメント通りに【Exchange Online PowerShell V2 モジュール】をインストールする

【Exchange Online PowerShell V2 モジュールを使用する】

PowerShellを管理者権限で開いて以下コマンドを実行

> Set-ExecutionPolicy RemoteSigned

> Install-Module -Name ExchangeOnlineManagement

#yで使用許諾証明書に同意

Exchange Online に接続する

> $UserCredential = Get-Credential

> Connect-ExchangeOnline -Credential $UserCredential -ShowProgress $true

#【Windows PowerShell 資格情報の要求】で表示されるダイアログボックスへは今回契約したMicrosoft365のアカウント情報を入力する

■DKIMを手動でセットアップする

以下のドキュメントを参考にPowerShellでコマンドを叩く

【DKIM を使用して、カスタム ドメインから送信される送信電子メールを検証する】

Microsoft365の初期ドメインと独自ドメインの両方に適用するため、似たような事を繰り返す

> New-DkimSigningConfig -DomainName <domain> -Enabled $false

Get-DkimSigningConfig -Identity <domain> | Format-List Selector1CNAME, Selector2CNAME

#<domain>のところを初期ドメインと独自ドメインのFQDNでそれぞれ実行する

実行するとPowerShellの画面にDNSに記載するためのレコードが発行されるのでこれをメモしておく

以下がレコードの例

selector1-<domainGUID>._domainkey.<initialDomain>

selector2-<domainGUID>._domainkey.<initialDomain>

#初期ドメインはMicrosoft365側で自動設定されるため気にする必要はない

　<domainGUID>は独自ドメインのFQDNと末尾に文字が挿入された

　<initialDomain>は初期ドメインがそのまま入る

それぞれtxtレコードのHost nameは【selector1._domainkey】と【selector2._domainkey】になっているが、独自ドメインのサブドメインを利用しいているため【selector1._domainkey.<サブドメイン>】と【selector2._domainkey.<サブドメイン>】となる

上記の情報を確認したら、DNSレコードに必要情報を登録する

その上で、Microsoft365管理センターにログインして【Exchange】からExchange管理センターへ移動、【保護】>【dkim】から該当ドメインのdkimを有効にするをクリックする

DNS情報の伝播の関係でエラーが出た際は数時間～1日程時間を空けて再試行すればいい

■DMARCの設定

DKIMさえ有効になればDMARCはレコードを追加するだけで良い

DNSに以下のtxtレコードを追加する

【Host name】 _dmarc.<サブドメイン>

【種類】TXT

【値】"v=DMARC1; p=none"

値を有効にしたのち、gmail宛にテストメールを送り、メールのソースを表示して確認すれば、問題なくDKIMもDMARCも有効化されている

G Suiteの方がこの辺りの設定は簡単なものの、個人で利用する上では540円/月で50GBの独自ドメインのメールが使えて、1TBのクラウドストレージが使えて、ついでにモバイルのアプリが使えると思えばコスパの良いサービスだと思う

今後仕事で関わる可能性も考慮した場合、安価にMicrosoftの管理者として色々設定を確認できるので、何かしらの参考にもなればいいかなとも思う