windows10のPPPoE+接続・ファイル共有の問題を考察 | パパケベックの総合ブログ
AmebaAmeba 20th Anniv.ホームピグアメブロ
芸能人ブログ人気ブログ
新規登録
ログイン

パパケベックの総合ブログ

ブログ記事の内容は、広帯域受信機、ニュース論評、競馬予想と結果、2015年1月からターゲットにされた遠隔テクノロジー犯罪について、パソコン・インターネットの話題、科学技術のニュースなどを書いている。ほかのブログサイトにもブログ開設している。

windows10のPPPoE+接続・ファイル共有の問題を考察

windows10のPPPoE+接続・ファイル共有の問題を考察


●インターネット環境

光回線ーーー光端末PRS300NE(ブリッジ)ーーーパソコンXP(PPPoEで認証と接続・グローバルIPアドレス・ルーター化・ファイル共有)ーーーほかのパソコン

インターネット接続の特徴は、普通なら光端末PRS300NEのルーター機能を利用し、そこからLANケーブルや無線カード追加による無線接続でパソコンが光端末PRS300NEのルーター機能にインターネット接続を手配してもらうところをパソコンがインターネット接続を手配するルーターにしているところである。

現在は、問題が少ないXPをルーターにしてほかの複数パソコンを配下に置いている。


windows10では、いろいろな障害でパソコンをルーター化しにくい。

その原因は、どうやらWANに繋がるLANデバイスに光端末PRS300NE(ブリッジ)と同じIPアドレスの範囲を設定しにくいところのようだ。それは、192.168.137.1に固定(変更)されるが、後で192.168.1.***を設定できた。

もう一つは、きわめて決定的なことで、サービスのRouting and Remote Accessを開始していなかったことである。後に、手動に設定し、開始をクリックしてXPとの通信の一部がやり取りされただけで終わった。


●windows10でXPと同じことをやってみた結果

光回線ーーーPRS300NE(LAN 192.168.1.1 ブリッジ)ーーー

ーーー〔LAN1 192.168.1.***〕〔PPPoE〕Windows10-22H2〔LAN2 192.168.0.1〕ーーー

ーーー〔LAN3 192.168.0.***〕WindowsXP-sp3 



結果==========================

●windows10のPPPoEによるネット接続はできた。

●インターネットからのTCP445番ポートがオープンになっていた。接続要求に応じ、拒否するまでの通信をしていた。(ファイル共有=SMBに絡んだファイアーウォール設定)

●windows10からXPの共有フォルダーを開けた。

●XPからwindows10の共有フォルダーは、拒否された。

●XPからインターネット接続は、DNSとスリーウェイハンドシェイクがwindows10内で行われたが、それらのパケットの一部しかXPに到達しなかった。結果的にネットブラウズ不能。タイムサーバーによる時刻設定不能。

●windows10のPPPoE切断後、システムの通信がインターネット接続を維持していた。(!!!)・・・ユーザーに見せない隠ぺいネットワークが存在している。※


※その通信は、インターネット上のサイトとの間のスリーウェイハンドシェイクとHTTPS通信を行っていた。そのパケットは、パソコンの発信元がグローバルIPアドレスであるべきところが、LANカードのIPアドレスだった。つまり、WANに繋がるLANカードの先に隠ぺいしていたPPPoEの接続が存在したことと同じ。おそらくは、グローバルIPアドレスを保持しているネットワークが隠ぺいされていたと考えられる。(隠ぺいミニポート

その際、ブラウザを起動してもネット通信不能。システムの通信だけ。どおりで、hostsファイルの設定やファイアーウォールの設定を回避できるわけだ。

===========================

●windows10のルーター化の問題

windows10の設定で問題となったものは、以下の通り。


◆1 最初の段階・・・PPPoE設定(接続作成)はできたが、PPPoEを開いて細かな設定(プロパティ)をしようとしたところ不明のエラーでできなかった。

1の問題解決・・・複数のサービスで無効にしていたものを復活させてPPPoEを開いて細かな設定画面が出るようになって設定できた。(共有に使うLANデバイスの指定など)(Remote Access Auto Connection Manager Secure Socket Tunneling Protocol Serviceなど※)

 

※Secure Socket Tunneling Protocol Serviceは、もう一つのサービスの開始によって動き、二つの関係している。さらにそれらは、PPPoEのアイコンのプロパティを開くときに必要で、さらにVPNに絡めている。VPNが全くの別物なのをPPPoEを設定する際に必要不可欠にしている。しかし、PPPoEの細かな設定にVPNの設定は関係ないし、することはない。(windows10でPPPoEがうまくいかない理由にもなっていると考えている。ファイル共有・接続共有=ルーティング)


◆2 LANデバイスをUSBのもので追加して接続共有を設定した時にWAN側に繋がるLANデバイスのIPアドレスが192.168.1.***から192.168.137.1に変更されてPPPoE接続ができなかった。

2の問題解決・・・WANに繋がるLANデバイスの変更されたIPアドレス192.168.137.1を手動で192.168.1.***に変更してPPPoE接続ができた。

◆3 XPからインターネット接続が不能。内容は、DNSから始まるブラウザによるテストでは、DNSとスリーウェイハンドシェイクがwindows10の内部的な通信だけ行われて、XPにはそれらのパケットの一部が到達したものの、XPでのブラウズはできなかった。また、タイムサーバーによる時刻合わせも不可能だった。

3の問題解決・・・問題解決になりそうな設定で思いつくのは、サービスのRouting and Remote Accessを自動にして開始をクリックすることくらいだが、それは実行していないままである。

もしかすると、ファイアーウォール設定が絡んでいるとしたら、どの設定をいじくってみるべきか不明。

もう一つ、192.168.137.1が標準設定されているwindows10でそれをデフォルトゲートウェイのIPアドレス192.168.1.1に設定する方法が考えられるが、試していない。

WANに繋がるLANデバイスのIPアドレスを192.168.1.***にしてPPPoE接続ができたのだから、レジストリが関係していれば、問題となるのは、XPに対するルーティングだけである。

ルーティングには、デフォルトゲートウェイIPアドレスがかかわっているようである。


◆4 PPPoEで接続出来た時に、WAN=インターネットからのTCP445番ポートへの接続要求に応答していた。

4の問題解決・・・ファイアーウォールの受信設定SMBに関するパブリックプロファイルの設定リモートの相手先がローカルサブネットになっているものを削除してローカルエリア内のIPアドレス範囲を登録。それでインターネットに対するSMBファイル共有によってポートがオープンになるのを阻止。(ICMPについても同様だと考えられる。)


◆5 PPPoE切断後、システムの通信が切断後もインターネット接続していた。ブラウザによる通信は不能。

5の問題・・・明らかに、windows10には、ユーザーの行う設定を回避した隠ぺいされたネットワークを作っていることを示す。

※その隠ぺいネットワークの仕組みは、ファイアーウォール設定、hostsファイルでシステムの行う通信をリダイレクトさせる設定、または通信させない設定を回避する。

そのためか、隠ぺいネットワークは、WANに繋がるLANデバイスのIPアドレスからインターネットの相手と通信していた。

通常、PPPoEを切断するとネット側との通信は、発信IPアドレスがローカルのものだから、ネットには飛ばず、ただ流れるだけとなる。

windows10の隠ぺいネットワークは、インターネット上の相手と通信していたのは、WANに繋がるLANデバイスのほかに仮想のLANデバイスと仮想のPPPoE接続を作って、WANに繋がっているLANデバイスを通過させたその先に仮想のLANデバイスを稼働させていたものと考えられる。


システムの通信ーーーWAN側に繋がるLAN192.168.1.***ーーー隠ぺいPPPoEデバイス+隠ぺいLANデバイスーーー光端末ーーーインターネット(WAN)


それが言えるのは、PPPoEを切断後、隠ぺいネットワークがPPPoEを密かに起動し、ネット側とのやり取りが物理的に存在するLANデバイスを介して行われていたからwiresharkには192.168.1.***のIPアドレスが表示されたからである。

特長としては、パケットモニターから言えるのは、物理的に存在するLANデバイスの後に仮想のネットワークを作っていることである。

物理的なLANの手前にシステムの通信元がある。だから、wiresharkにパケットがキャプチャされたのだろう。その際のネットとの通信IPアドレスは、ローカルのIPアドレスになる。(グローバルIPアドレスではない



●192.168.137.1のレジストリ

192.168.137.1の固定設定は、レジストリにある。以下が参考。

https://network-cisco.seesaa.net/article/467868556.html
『Windows インターネット共有 IP変更』

レジストリの場所

HKEY_LOCAL_MACHINE¥SYSTEM¥CurrentControlSet¥services¥SharedAccess¥Parameters
のScopeAddress

※記事で設定しているIPアドレスの意味は、デフォルトゲートウェイである。

デフォルトゲートウェイは、パソコンではなくパソコンのWAN側にあるネット機器のものである。


つまり、XPに対してwindows10がインターネットに対してルーティングしてやるには、

1 サービスのRouting and Remote Accessを自動・開始

2 レジストリで192.168.1.1を設定

3 win10のWAN側LANデバイスのIPアドレスを192.168.1.***に設定、デフォルトゲートウェイを192.168.1.1に設定

4 DNS設定は、PPPoE接続のプロパティで設定

5 ファイル共有設定は、SMB関係のファイアーウォールの受信設定でパブリックのプロファイルの『リモート』の相手をローカルエリア内のIPアドレス範囲に設定(ローカルサブネットを削除して)


※WANに繋がるLANデバイスのIPアドレスが192.168.137.1だったのを192.168.1.***に変更してもPPPoEには差し支えないが、ルーティングには差し支えがある、と言うことかもしれない。

================================

★【SMBの大問題】

グループポリシーには、SMBの大問題となる部分が記載されている。


場所(win10の1709の場合)

コンピューターの構成・・・管理用テンプレート・・・ネットワーク

ネットワーク接続・・・windows defenderファイアーウォール

ドメインプロファイルと標準プロファイルの「windows defenderファイアーウォール:着信ファイルとプリンター共有の例外を許可する」

それには次の文言が書いてある。

+++++++++++++++++++++++

「着信ファイルとプリンターの共有を許可します。このために、UDP ポート 137 および 138、TCP ポート 139 および 445 が Windows Defender ファイアウォールで開かれます

このポリシー設定を有効にすると、Windows Defender ファイアウォールでこれらのポートが開かれ、印刷ジョブや共有ファイルへのアクセスの要求をこのコンピューターで受信できます。これらの着信メッセージを許可する IP アドレスまたはサブネットを指定する必要があります。コントロール パネルの Windows Defender ファイアウォール コンポーネントで、[ファイルとプリンターの共有] チェック ボックスがオンになり、管理者がこのチェック ボックスをオフにすることはできなくなります。

このポリシー設定を無効にすると、Windows Defender ファイアウォールでこれらのポートがブロックされ、このコンピューターではファイルとプリンターを共有できなくなります。管理者がローカル ポートの例外の一覧に追加することによってポートを開こうとした場合でも、Windows Defender ファイアウォールではポートは開かれません。コントロール パネルの Windows Defender ファイアウォール コンポーネントで、[ファイルとプリンターの共有] チェック ボックスがオフになり、管理者がこのチェック ボックスをオンにすることはできなくなります。

このポリシー設定を未構成にすると、Windows Defender ファイアウォールでは、ポートは開かれません。このため、他のポリシー設定を使用して必要なポートを開かない限り、コンピューターではファイルやプリンターを共有できません。コントロール パネルの Windows Defender ファイアウォール コンポーネントで、[ファイルとプリンターの共有] チェック ボックスがオフになります。管理者はこのチェック ボックスの設定を変更できます。

注: いずれかのポリシー設定によって TCP ポート 445 が開かれる場合、[Windows Defender ファイアウォール: ICMP の例外を許可する] ポリシー設定によってブロックされている場合でも、着信 ICMP エコー要求 (Ping ユーティリティによって送信されるメッセージ) は許可されます。TCP ポート 445 を開くことのできるポリシー設定には、[Windows Defender ファイアウォール: 着信ファイルとプリンターの共有の例外を許可する]、[Windows Defender ファイアウォール: 着信リモート管理の例外を許可する]、および [Windows Defender ファイアウォール: 着信ポートの例外を定義する] があります。」

++++++++++++++++++++++++

文言で最大の問題は、サブネットの意味である。ふつうは・・・ローカルサブネットならローカルエリアのそれだと思うところが、違うのだ。ローカルサブネットとは、PPPoE接続でWANに直接接続されている状態では、インターネットもローカルサブネットになるのである。ーーー結果は、tcp445番ポートをネットに対しても開いてしまう。(ファイアーウォールのSMBのパブリックプロファイルの「リモート」がローカルサブネットであるため。それを削除して、ローカルIPアドレス範囲に設定し直す必要がある。)

グループポリシーの文言に書いてあるSMBの大問題点は、XPをルーターにしてSMBのファイル共有をした場合におこるインターネット=WAN側に対するポートが開いてしまう現象である。もちろん、ICMPにも応答する。

XPでは、ファイアーウォールの例外のところで「ファイルとプリンタ共有」でtcp445番ポートにチェックが入っているのを外し、詳細設定のところのICMPのところのチェックをすべて外すことでインターネットに対してステルスになる。

 


それと同じことをwindows10に行うには、ファイアーウォール設定をいくつか変更しなければならないだろう。

SMBのファイアーウォール設定でICMPの設定があれば、多分それだけの設定変更で間に合うと思えるが、ファイル共有をあきらめれば、パブリックプロファイルのSMBに関するものを選んでパブリックからプライベートに変更するだけでもインターネットに対してステルスになった。

ステルス検査は次のサイトを利用した。

Welcome to ShieldsUP!
https://www.grc.com/x/ne.dll?bh0bkyd2

それで検査してステルスを確認できればオーケー。PPPoEでファイル共有やる人は、要注意点、XPでも同様。

=======================

●XPをルーターにしたインターネット環境

従前のインターネット環境は、とても安定している。

特長としては、XPをルーターにするほかの端末は、XPから有線LANで繋がっている有線・無線アクセスポイントの接続可能台数である。

問題点は、唯一、フラッド攻撃をXP配下のパソコンから行う場合、XPのサービスのRouting and Remote Accessを自動と開始した状態でも3000パケットくらいの後に一時的に50秒ほどルーティングができなくなり、その後復活することである。

サービスのRouting and Remote Accessを無効状態では、フラッド攻撃がある数までパケットを飛ばすとルーティングが停止してしまうことである。回復することはないが、サービスのICSを再起動することで復活したり、PPPoEを切断・再接続で復活したりする。


光回線ーーーPRS300NE(LAN 192.168.1.1 ブリッジ)ーーー

ーーー〔LAN1 192.168.1.***〕〔PPPoE〕WindowsXP-sp3〔LAN2 192.168.0.1〕ーーー

ーーー〔LAN4 192.168.0.250エレコムルーター(無線・有線アクセスポイントモード・空きポート2)======(複数端末接続)

ーーー〔LAN5 192.168.0.***(有線か無線)〕Windows10-22H2***

ーーー〔LAN6 192.168.0.***(有線か無線)〕Windows10-他

ーーー〔LAN7 192.168.0.***(無線)〕Windows10-他【これ以降はすべて無線のみ24台くらいまで】

=========================

≪パソコンがルーターと言う定義≫

ルーターの定義は、以下のとおりである。その定義は、光回線の一般的なものである。


1 その機器がインターネットに対して契約先のプロバイダーのサーバーとの間で認証受け、グローバルIPアドレスを貸し与えられる機器である。

2 その機器がインターネットに対して直に接続しているインターネット端末である。

3 その機器が配下に複数のインターネット端末を繋ぎ、配下のインターネット端末に対してルーティングする機器である。


インターネット検索で見つけられるwindows10をルーター化するというものは、すでにインターネット環境があり、そのルーター配下の端末の一つが、他のインターネット端末にルーティングするだけのものである。

それゆえ、巷のルーター化したwindows10には、グローバルIPアドレスは存在しないからインターネットに直に接続していない

ここでは、ルーターとルーティングとを区別している。

============================
パケベックのハンドルネームで以下のブログをやっている。
コメントは、https://ameblo.jp/push-gci/のブログだけで対応することにした。
2019年10月10日。
ameba
https://ameblo.jp/push-gci/
fc2
http://keyhole276p3mhz.blog75.fc2.com/
livedoor
http://blog.livedoor.jp/push_gci/
ameba
https://ameblo.jp/papa-quebeck/
goo
http://blog.goo.ne.jp/push-gci
jugem
http://papa-quebeck.jugem.jp/
cocolog
http://papa-quebeck.cocolog-nifty.com/blog/
hatena
https://papaquebeck.hatenablog.com/
Twiter
https://twitter.com/Target_Quebeck
============================
ボンクラタワー  ハンター9871  これよりマークシート開始
ボンクラータワー ハンター9871  上昇
ボンクラータワー ハンター9871  ポールが見えない
ボンクラータワー ハンター9871  ブリザードだ
ボンクラータワー ハンター9871  うぉぉぉぉぉぉぉ!
ハンター9871 ボンクラータワー  あっ!・・・・ハンターっ!
ボンクラータワー ハンター9981  墜落したぞ
ボンクラータワー ハンター9845  どうやって墜落したんだ?!