windows10のPPPoE+接続・ファイル共有の問題を考察
●インターネット環境
光回線ーーー光端末PRS300NE(ブリッジ)ーーーパソコンXP(PPPoEで認証と接続・グローバルIPアドレス・ルーター化・ファイル共有)ーーーほかのパソコン
インターネット接続の特徴は、普通なら光端末PRS300NEのルーター機能を利用し、そこからLANケーブルや無線カード追加による無線接続でパソコンが光端末PRS300NEのルーター機能にインターネット接続を手配してもらうところをパソコンがインターネット接続を手配するルーターにしているところである。
現在は、問題が少ないXPをルーターにしてほかの複数パソコンを配下に置いている。
windows10では、いろいろな障害でパソコンをルーター化しにくい。
その原因は、どうやらWANに繋がるLANデバイスに光端末PRS300NE(ブリッジ)と同じIPアドレスの範囲を設定しにくいところのようだ。それは、192.168.137.1に固定(変更)されるが、後で192.168.1.***を設定できた。
もう一つは、きわめて決定的なことで、サービスのRouting and Remote Accessを開始していなかったことである。後に、手動に設定し、開始をクリックしてXPとの通信の一部がやり取りされただけで終わった。
●windows10でXPと同じことをやってみた結果
光回線ーーーPRS300NE(LAN 192.168.1.1 ブリッジ)ーーー
ーーー〔LAN1 192.168.1.***〕〔PPPoE〕Windows10-22H2〔LAN2 192.168.0.1〕ーーー
ーーー〔LAN3 192.168.0.***〕WindowsXP-sp3
結果==========================
●windows10のPPPoEによるネット接続はできた。
●インターネットからのTCP445番ポートがオープンになっていた。接続要求に応じ、拒否するまでの通信をしていた。(ファイル共有=SMBに絡んだファイアーウォール設定)
●windows10からXPの共有フォルダーを開けた。
●XPからwindows10の共有フォルダーは、拒否された。
●XPからインターネット接続は、DNSとスリーウェイハンドシェイクがwindows10内で行われたが、それらのパケットの一部しかXPに到達しなかった。結果的にネットブラウズ不能。タイムサーバーによる時刻設定不能。
●windows10のPPPoE切断後、システムの通信がインターネット接続を維持していた。(!!!)・・・ユーザーに見せない隠ぺいネットワークが存在している。※
※その通信は、インターネット上のサイトとの間のスリーウェイハンドシェイクとHTTPS通信を行っていた。そのパケットは、パソコンの発信元がグローバルIPアドレスであるべきところが、LANカードのIPアドレスだった。つまり、WANに繋がるLANカードの先に隠ぺいしていたPPPoEの接続が存在したことと同じ。おそらくは、グローバルIPアドレスを保持しているネットワークが隠ぺいされていたと考えられる。(隠ぺいミニポート)
その際、ブラウザを起動してもネット通信不能。システムの通信だけ。どおりで、hostsファイルの設定やファイアーウォールの設定を回避できるわけだ。
===========================
●windows10のルーター化の問題
windows10の設定で問題となったものは、以下の通り。
◆1 最初の段階・・・PPPoE設定(接続作成)はできたが、PPPoEを開いて細かな設定(プロパティ)をしようとしたところ不明のエラーでできなかった。
1の問題解決・・・複数のサービスで無効にしていたものを復活させてPPPoEを開いて細かな設定画面が出るようになって設定できた。(共有に使うLANデバイスの指定など)(Remote Access Auto Connection Manager Secure Socket Tunneling Protocol Serviceなど※)
※Secure Socket Tunneling Protocol Serviceは、もう一つのサービスの開始によって動き、二つの関係している。さらにそれらは、PPPoEのアイコンのプロパティを開くときに必要で、さらにVPNに絡めている。VPNが全くの別物なのをPPPoEを設定する際に必要不可欠にしている。しかし、PPPoEの細かな設定にVPNの設定は関係ないし、することはない。(windows10でPPPoEがうまくいかない理由にもなっていると考えている。ファイル共有・接続共有=ルーティング)
◆2 LANデバイスをUSBのもので追加して接続共有を設定した時にWAN側に繋がるLANデバイスのIPアドレスが192.168.1.***から192.168.137.1に変更されてPPPoE接続ができなかった。
2の問題解決・・・WANに繋がるLANデバイスの変更されたIPアドレス192.168.137.1を手動で192.168.1.***に変更してPPPoE接続ができた。
◆3 XPからインターネット接続が不能。内容は、DNSから始まるブラウザによるテストでは、DNSとスリーウェイハンドシェイクがwindows10の内部的な通信だけ行われて、XPにはそれらのパケットの一部が到達したものの、XPでのブラウズはできなかった。また、タイムサーバーによる時刻合わせも不可能だった。
3の問題未解決・・・問題解決になりそうな設定で思いつくのは、サービスのRouting and Remote Accessを自動にして開始をクリックすることくらいだが、それは実行していないままである。
もしかすると、ファイアーウォール設定が絡んでいるとしたら、どの設定をいじくってみるべきか不明。
もう一つ、192.168.137.1が標準設定されているwindows10でそれをデフォルトゲートウェイのIPアドレス192.168.1.1に設定する方法が考えられるが、試していない。
WANに繋がるLANデバイスのIPアドレスを192.168.1.***にしてPPPoE接続ができたのだから、レジストリが関係していれば、問題となるのは、XPに対するルーティングだけである。
ルーティングには、デフォルトゲートウェイIPアドレスがかかわっているようである。
◆4 PPPoEで接続出来た時に、WAN=インターネットからのTCP445番ポートへの接続要求に応答していた。
4の問題解決・・・ファイアーウォールの受信設定のSMBに関するパブリックプロファイルの設定でリモートの相手先がローカルサブネットになっているものを削除してローカルエリア内のIPアドレス範囲を登録。それでインターネットに対するSMBファイル共有によってポートがオープンになるのを阻止。(ICMPについても同様だと考えられる。)
◆5 PPPoE切断後、システムの通信が切断後もインターネット接続していた。ブラウザによる通信は不能。
5の問題・・・明らかに、windows10には、ユーザーの行う設定を回避した隠ぺいされたネットワークを作っていることを示す。
※その隠ぺいネットワークの仕組みは、ファイアーウォール設定、hostsファイルでシステムの行う通信をリダイレクトさせる設定、または通信させない設定を回避する。
そのためか、隠ぺいネットワークは、WANに繋がるLANデバイスのIPアドレスからインターネットの相手と通信していた。
通常、PPPoEを切断するとネット側との通信は、発信IPアドレスがローカルのものだから、ネットには飛ばず、ただ流れるだけとなる。
windows10の隠ぺいネットワークは、インターネット上の相手と通信していたのは、WANに繋がるLANデバイスのほかに仮想のLANデバイスと仮想のPPPoE接続を作って、WANに繋がっているLANデバイスを通過させたその先に仮想のLANデバイスを稼働させていたものと考えられる。
システムの通信ーーーWAN側に繋がるLAN192.168.1.***ーーー隠ぺいPPPoEデバイス+隠ぺいLANデバイスーーー光端末ーーーインターネット(WAN)
それが言えるのは、PPPoEを切断後、隠ぺいネットワークがPPPoEを密かに起動し、ネット側とのやり取りが物理的に存在するLANデバイスを介して行われていたからwiresharkには192.168.1.***のIPアドレスが表示されたからである。
特長としては、パケットモニターから言えるのは、物理的に存在するLANデバイスの後に仮想のネットワークを作っていることである。
物理的なLANの手前にシステムの通信元がある。だから、wiresharkにパケットがキャプチャされたのだろう。その際のネットとの通信IPアドレスは、ローカルのIPアドレスになる。(グローバルIPアドレスではない)
●192.168.137.1のレジストリ
192.168.137.1の固定設定は、レジストリにある。以下が参考。
https://network-cisco.seesaa.net/article/467868556.html
『Windows インターネット共有 IP変更』
レジストリの場所
HKEY_LOCAL_MACHINE¥SYSTEM¥CurrentControlSet¥services¥SharedAccess¥Parameters
のScopeAddress
※記事で設定しているIPアドレスの意味は、デフォルトゲートウェイである。
デフォルトゲートウェイは、パソコンではなくパソコンのWAN側にあるネット機器のものである。
つまり、XPに対してwindows10がインターネットに対してルーティングしてやるには、
1 サービスのRouting and Remote Accessを自動・開始
2 レジストリで192.168.1.1を設定
3 win10のWAN側LANデバイスのIPアドレスを192.168.1.***に設定、デフォルトゲートウェイを192.168.1.1に設定
4 DNS設定は、PPPoE接続のプロパティで設定
5 ファイル共有設定は、SMB関係のファイアーウォールの受信設定でパブリックのプロファイルの『リモート』の相手をローカルエリア内のIPアドレス範囲に設定(ローカルサブネットを削除して)
※WANに繋がるLANデバイスのIPアドレスが192.168.137.1だったのを192.168.1.***に変更してもPPPoEには差し支えないが、ルーティングには差し支えがある、と言うことかもしれない。
================================
★【SMBの大問題】
グループポリシーには、SMBの大問題となる部分が記載されている。
場所(win10の1709の場合)
コンピューターの構成・・・管理用テンプレート・・・ネットワーク
ネットワーク接続・・・windows defenderファイアーウォール
ドメインプロファイルと標準プロファイルの「windows defenderファイアーウォール:着信ファイルとプリンター共有の例外を許可する」
それには次の文言が書いてある。
+++++++++++++++++++++++
「着信ファイルとプリンターの共有を許可します。このために、UDP ポート 137 および 138、TCP ポート 139 および 445 が Windows Defender ファイアウォールで開かれます。
このポリシー設定を有効にすると、Windows Defender ファイアウォールでこれらのポートが開かれ、印刷ジョブや共有ファイルへのアクセスの要求をこのコンピューターで受信できます。これらの着信メッセージを許可する IP アドレスまたはサブネットを指定する必要があります。コントロール パネルの Windows Defender ファイアウォール コンポーネントで、[ファイルとプリンターの共有] チェック ボックスがオンになり、管理者がこのチェック ボックスをオフにすることはできなくなります。
このポリシー設定を無効にすると、Windows Defender ファイアウォールでこれらのポートがブロックされ、このコンピューターではファイルとプリンターを共有できなくなります。管理者がローカル ポートの例外の一覧に追加することによってポートを開こうとした場合でも、Windows Defender ファイアウォールではポートは開かれません。コントロール パネルの Windows Defender ファイアウォール コンポーネントで、[ファイルとプリンターの共有] チェック ボックスがオフになり、管理者がこのチェック ボックスをオンにすることはできなくなります。
このポリシー設定を未構成にすると、Windows Defender ファイアウォールでは、ポートは開かれません。このため、他のポリシー設定を使用して必要なポートを開かない限り、コンピューターではファイルやプリンターを共有できません。コントロール パネルの Windows Defender ファイアウォール コンポーネントで、[ファイルとプリンターの共有] チェック ボックスがオフになります。管理者はこのチェック ボックスの設定を変更できます。
注: いずれかのポリシー設定によって TCP ポート 445 が開かれる場合、[Windows Defender ファイアウォール: ICMP の例外を許可する] ポリシー設定によってブロックされている場合でも、着信 ICMP エコー要求 (Ping ユーティリティによって送信されるメッセージ) は許可されます。TCP ポート 445 を開くことのできるポリシー設定には、[Windows Defender ファイアウォール: 着信ファイルとプリンターの共有の例外を許可する]、[Windows Defender ファイアウォール: 着信リモート管理の例外を許可する]、および [Windows Defender ファイアウォール: 着信ポートの例外を定義する] があります。」
++++++++++++++++++++++++
文言で最大の問題は、サブネットの意味である。ふつうは・・・ローカルサブネットならローカルエリアのそれだと思うところが、違うのだ。ローカルサブネットとは、PPPoE接続でWANに直接接続されている状態では、インターネットもローカルサブネットになるのである。ーーー結果は、tcp445番ポートをネットに対しても開いてしまう。(ファイアーウォールのSMBのパブリックプロファイルの「リモート」がローカルサブネットであるため。それを削除して、ローカルIPアドレス範囲に設定し直す必要がある。)
グループポリシーの文言に書いてあるSMBの大問題点は、XPをルーターにしてSMBのファイル共有をした場合におこるインターネット=WAN側に対するポートが開いてしまう現象である。もちろん、ICMPにも応答する。
XPでは、ファイアーウォールの例外のところで「ファイルとプリンタ共有」でtcp445番ポートにチェックが入っているのを外し、詳細設定のところのICMPのところのチェックをすべて外すことでインターネットに対してステルスになる。
それと同じことをwindows10に行うには、ファイアーウォール設定をいくつか変更しなければならないだろう。
SMBのファイアーウォール設定でICMPの設定があれば、多分それだけの設定変更で間に合うと思えるが、ファイル共有をあきらめれば、パブリックプロファイルのSMBに関するものを選んでパブリックからプライベートに変更するだけでもインターネットに対してステルスになった。
ステルス検査は次のサイトを利用した。
Welcome to ShieldsUP!
https://www.grc.com/x/ne.dll?bh0bkyd2
それで検査してステルスを確認できればオーケー。PPPoEでファイル共有やる人は、要注意点、XPでも同様。
=======================
●XPをルーターにしたインターネット環境
従前のインターネット環境は、とても安定している。
特長としては、XPをルーターにするほかの端末は、XPから有線LANで繋がっている有線・無線アクセスポイントの接続可能台数である。
問題点は、唯一、フラッド攻撃をXP配下のパソコンから行う場合、XPのサービスのRouting and Remote Accessを自動と開始した状態でも3000パケットくらいの後に一時的に50秒ほどルーティングができなくなり、その後復活することである。
サービスのRouting and Remote Accessを無効状態では、フラッド攻撃がある数までパケットを飛ばすとルーティングが停止してしまうことである。回復することはないが、サービスのICSを再起動することで復活したり、PPPoEを切断・再接続で復活したりする。
光回線ーーーPRS300NE(LAN 192.168.1.1 ブリッジ)ーーー
ーーー〔LAN1 192.168.1.***〕〔PPPoE〕WindowsXP-sp3〔LAN2 192.168.0.1〕ーーー
ーーー〔LAN4 192.168.0.250〕エレコムルーター(無線・有線アクセスポイントモード・空きポート2)======(複数端末接続)
ーーー〔LAN5 192.168.0.***(有線か無線)〕Windows10-22H2***
ーーー〔LAN6 192.168.0.***(有線か無線)〕Windows10-他
ーーー〔LAN7 192.168.0.***(無線)〕Windows10-他【これ以降はすべて無線のみ24台くらいまで】
=========================
≪パソコンがルーターと言う定義≫
ルーターの定義は、以下のとおりである。その定義は、光回線の一般的なものである。
1 その機器がインターネットに対して契約先のプロバイダーのサーバーとの間で認証受け、グローバルIPアドレスを貸し与えられる機器である。
2 その機器がインターネットに対して直に接続しているインターネット端末である。
3 その機器が配下に複数のインターネット端末を繋ぎ、配下のインターネット端末に対してルーティングする機器である。
インターネット検索で見つけられるwindows10をルーター化するというものは、すでにインターネット環境があり、そのルーター配下の端末の一つが、他のインターネット端末にルーティングするだけのものである。
それゆえ、巷のルーター化したwindows10には、グローバルIPアドレスは存在しないからインターネットに直に接続していない。
ここでは、ルーターとルーティングとを区別している。
============================
パケベックのハンドルネームで以下のブログをやっている。
コメントは、https://ameblo.jp/push-gci/のブログだけで対応することにした。
2019年10月10日。
ameba
https://ameblo.jp/push-gci/
fc2
http://keyhole276p3mhz.blog75.fc2.com/
livedoor
http://blog.livedoor.jp/push_gci/
ameba
https://ameblo.jp/papa-quebeck/
goo
http://blog.goo.ne.jp/push-gci
jugem
http://papa-quebeck.jugem.jp/
cocolog
http://papa-quebeck.cocolog-nifty.com/blog/
hatena
https://papaquebeck.hatenablog.com/
Twiter
https://twitter.com/Target_Quebeck
============================
ボンクラタワー ハンター9871 これよりマークシート開始
ボンクラータワー ハンター9871 上昇
ボンクラータワー ハンター9871 ポールが見えない
ボンクラータワー ハンター9871 ブリザードだ
ボンクラータワー ハンター9871 うぉぉぉぉぉぉぉ!
ハンター9871 ボンクラータワー あっ!・・・・ハンターっ!
ボンクラータワー ハンター9981 墜落したぞ
ボンクラータワー ハンター9845 どうやって墜落したんだ?!