04/29 (2004) →つっこみ
[08:51] VPN奮闘記その1
おあそびタスクリストのVPNをやってみようの回。
目的は、出先から様々な手段で自宅ネットワークに入れることと、 さーばー常設者の間でお互いのディスクをマウントできること。
ひっこしさきのせんせぇがおそらくwinマシンしか用意できないので、 unix限定はダメってことでとりあえずvtunが落ちる。 かといって自宅にフルタイム稼動winマシンがあるのはうちくらいなので、 softetherだけというのも難しいところですが、 特にクライアントの用意のしやすさという点では特筆すべきものがあるので保留。
混在環境でのVPNとしては、実績のあるものではPPTP、新しいものではOpenVPNがあるようです。 概念的にはethernetえみゅれーしょんのOpenVPNのほうがわかりやすいというか、 どうもPPTPだとsshトンネリングと使い勝手があまり違わないいめーじが…
あと、使うかどうかは知りませんがoverHTTPが合体してるかどうかもいちおう気にする。 別にいれなきゃいけないと、なんかsoftetherに負けてるようなきがするしw
と、言うわけで、いろいろ試しつつ本命はOpenVPNということで。
[09:03] その2 - softether編
いまや素人の知ってるVPNとしては圧勝の感があるsoftether。
概念的にはハブを用意した他は既知のものの組み合わせなので、 Linuxさーばとか立てながらこれ使ってると素人扱いされそうではありますが、 試してみると確かに使いやすい。とにかく入門ドキュメントがしっかりしてるし。
概念としては、 どこかに(どこにも繋がっていない)仮想ハブを常設しておいて、 そこに参加者がwinクライアントからみんなで繋ぐ。 そこまでは非常に簡単にできます。
個人的にはあの対話式めにゅー設定やるくらいなら設定ファイルでも書かせろと 思いますが、ネットワーク機器屋には普通のセンスなんでしょーかね…
んで、問題は仮想NICと物理ネットワークの接続なのですが、 これをwinXPかw2kServerのブリッジ機能に頼らなければいけないと。 このへんの事情はOpenVPNでもだいたい同じみたい。
クライアントの中にLinuxが混ざってればブリッジとかNATで他に通すのは簡単なのですが、 それが不可能なsoftetherでは、 多くの人が使ってるであろうw2kProでダメというのは痛いです。
打開策としては2つあって、 w2kのproxy(NAT)機能を使うか、 フリーのw2k用ブリッジソフトを入れるか、 です。
w2kのNATは、「このカードのインターネット接続を共有する」 っていう例のやつ。例のとかいって使ったことありません。 すいませんNAT嫌なんです。他のNICのアドレス全部強制変更されるし。 こいつはw2kでできたという情報があります。
ブリッジソフトは Ethernet Bridge 1.14てのを発見 (日本語訳) 。 w2kへのインストールは、レジストリを手で数個書くというローテクなものですが、 指示どおりにやれば正しく動きます。 んで、ちゃんと、外のマシンから
(仮想ハブ-仮想NIC-ブリッジ-物理NIC)-物理ハブ-他のマシン
って経路で他のマシンにも繋がりました。(**)でくくったとこが待ち受け用のw2kマシンね。
で、最大の問題は、このブリッジがVMwareのブリッジと相性がどうなのよ、というところ。 少なくともうちではよろしくないのですねー。 つうか同じことを複数のプログラムがやるわけですから 何か問題が起きても不思議はないのですが、 具体的にはVMware側のブリッジが働かなくなっちゃって大弱りでした。 けっきょくEthernet Bridge 1.14外してVMware再インストールするはめになったと…
ここまでやってて思ったのですが、 うちと全く同じ状況(ホストOSがw2k)の人は、 ホスト側でブリッジしないで、 softetherのNICをvmnet2とかの仮想ネットワークにvmwareの機能でブリッジして、 これをゲストOSのセカンドNICで受け取ってvmnet0の方にLinux的ブリッジしてやればいいかなと。 つーかそこまでしてsoftether使わないでいいよってきもしますがw
逆の、ホストがLinuxでゲストがw2kの場合はゲストの内部で Ethernet Bridge 1.14 を使う分には問題無いような気がします。
[18:38] その3 - OpenVPN編
で、当初の予定どおりOpenVPNを入れる。 リリースの出し方はけっこうゆっくりなので今は1.5.0が最新。
windows版はインストーラ付きのもあって、 これだとTAPデバイスを入れるとこまで自動でやってくれる。 たぶん自動じゃないのを使ってもすぐですけど。
Unix版はあまり環境に依存しないように作ってあるようで、 配布もソースのtarballのみ。 でもまぁ、各地にパッケージは当然あって redhat用だとgoogle検索でいっぱつ。http://dag.wieers.com/packages/openvpn/
このrpmはliblzoを使ってるのでapt-getで見つけていれとく。
# apt-get install lzo # rpm -U openvpn-1.5.0-0.rh80.dag.i386.rpm
設定ファイルはwindowsなら Program Files/OpenVPN/Config にサンプルがあるのでリネーム。 Linuxの方は redhat的rpmだともちろん /etc/openvpn ができてたんですが、からっぽだったので winの設定ファイルをコピーして使いました。 自分で書いてもほんの数行なんだけど、 サンプルにはコメント説明がいっぱいあるからいちおう…
認証方式はいろいろあって、いちばん楽なのがkeyファイルを生成して両側に置いておく方式。 この生成も、windows側だとスタートメニューからいっぱつでできるので、 それをunixのほうにコピーして使いました。 改行コードは不安だから直しちゃったけど、そのままだとどうなるのかは不明。
以下はOSによらない部分。
最低限の設定は、ほぼサンプルそのままで、
remote [接続さき] port [port] dev [tap] ifconfig [tapに付けるIP] [netmask] secret [key.txt]
あとpingとかcomp-lzoとかあるけどサンプルのままで放置。 んで、remote項目があるとクライアント、無いとサーバーとして動作します。 一つのデーモンで複数のプロセス?が動けて、 設定ファイルの数だけクライアント/サーバーが作られるみたいです。
このとき、単に1v1でVPNを張りたいなら 両側のtapのIPは普段使ってるLANとは違うサブネットにします。 でないとルーティングが混乱するから。
あとは、双方で起動すれば勝手に繋がります。 route設定は、起動するときにifconfig行をみて勝手に追加されますが、 それじゃ足りない場合はrouteコマンドで手動追加してもいいし、 設定ファイル内にroute行を使って書いとくこともできます。
さてさて、この状態では1v1接続が行われただけなので、 networkとの接続を実現するにはサーバー側でブリッジしないといけません。 もはや本質的にOpenVPNとは別のことなんですけどね。
Windowsの人はsoftetherのときと同じ事情なのでほっといて、 Linuxの場合は、ブリッジデバイスがあることと、コントロールツールが必要。 ブリッジデバイスが入ってればmodprobeが無言で返ってくるので、 brctlが無ければこれもapt-getでさくっと…
# modprobe bridge # apt-get install bridge-utils
んで、(うちでは)tap0とeth0が繋がればよいのですが、
- tapデバイスの作成(デーモン起動で作られる)
- ブリッジで接続
- ブリッジに対するifconfigとルートの追加
って順序でやるので、まずはOpenVPNデーモンを起動してtap0を存在させとかないといけません。 ただし、 このときifconfigオプションでIPを指定しとくと、 後でブリッジに繋ぐときにeth0のIPと合体しちゃうのでちょっとよろしくありません。 サーバーのconfファイルには、ネットワーク関係のものは
port [port] dev tap0
だけ書くようにします。(ifconfigを書かない) んで、別のシェルスクリプトかなんかで
brctl addbr br0 brctl addif br0 eth0 brctl addif br0 tap0
route add -net 0.0.0.0 gw 192.168.1.1 metric 1 netmask 0.0.0.0 br0 ifconfig br0 192.168.1.18 netmask 255.255.255.0 broadcast 192.168.1.255
ifconfig tap0 0.0.0.0 promisc up ifconfig eth0 0.0.0.0 promisc up
とかしてみます。 これ書いたときはよく理解してなくてあちこちからかき集めてきたのでだいぶ冗長ですw
最初のbrctlで、br0を作ってそこに2つのNICを繋いでます。 次のrouteとifconfigで、br0がこのマシンのメインNICとして見えるようにします。 (192.168.1.18てのがこのマシンの今までeth0が持ってたメインアドレス) でないと、今まで使ってたeth0はもはや直接外には見えなくなってるので全く通信できません。 最後に個々のNICに再起動をかけてますが、promiscまでする必要はないかもしれません。 まあ、しょせんLANの通信なので無駄に広く取っといても害は無いでしょうってことで。
ここに繋いでくるクライアントのマシンは、とくに設定を変える必要はありませんが、 もはやLANの内部に直結するわけですから、 LANのサブネットのIPを持つようにifconfigしといて良いと思います。
[18:45] はんせい
- tap0とかは繋ぐ相手ごとに1つ必要。だから3人分待ち受けるサーバーは設定ファイルが3つ必要、なのかな?
- 無理にIPを合わせてブリッジしなくてもブロードキャスト以外はルーティングでもいいはずなんですが、なんかwinだとうまくいかなかった…
- 認証がkey.txtだけってのはアレなのでSSLをちゃんと使うページとか見るべき…(汗)
- そもそも、ねっとわーく同士を繋ぐにはIPsecのトンネルモードを使えればいちばん自然なはず?
04/28 (2004) →つっこみ
[09:30] よこはま
横浜で 劇場版コナン を見る日。
朝までVPNと格闘していたので遅れそうになりながら快速にのる。 その後は直通で行けるので楽だけど、やぱけっこう遠いですにゃ。
はらぺこで泣きそうだったけど、とりあえず映画。 ……… つか、コナンもキッドも本職丸投げでひたすら飛行機の操縦について語る映画でした。 わたくしとしては非常に楽しかったのですが、 ふつーのコナンふぁんに対してはちょっとどうかとw
いとしの哀さまはろくに活躍しなかったけど、 「いいえ、無理よ。この機体の着陸滑走距離は2000mを越えているわ」 とか他の小学生とはちょっと違うところを見せ付けていました。 にしても旅客機は長いな。 三菱C-1なんて500mだにょ。
その後はおいしいパスタくって、 ぶらぶら遊ぶかと駅の周りひとまわりしたけど、 なんもなぃ… 大都市かとおもってたんですが、 微妙に古くから都市だったせいか大きい建造物が少ないきがする。 食べ物やさんはいっぱいあるんすけどねぇ。
帰りに秋葉でいったん降りて、めいこさまの本を探したけど見つからず、 満月の本を一冊だけ買ってふらふら帰宅。 あ、また寝過ごして千葉までいっちゃった…(汗)
04/26 (2004) →つっこみ
[13:11] 恒例のやすみじかん
自宅のBeeふれっつがリンクしなくなってしまいました。 外で工事とかいっぱいやってるのでどっか切られたのかもしれない。 家の内部をちょうどりんくしすルータに代えたところなので、 もぉ何が原因か可能性がありすぎてあわてたあわてた。
修理は火曜の午後だそうですが、学校なのでわたしいませーん…
唐突にToDoりすと(おあそび編)
- カレンダーで内容の無い日付をくりっくしたら予定入力画面にとぶ
- 管理者ぱすわーどをクッキーから読めるようにする
- さっさとうぇぶぺーじ改装おーぷん(汗)
- 今日のとーさかを日課にw
- 家庭内ふぁいる検索しすてむをもっともっとえらくする
- もえんちか巫女んちとVPN張って、他人のaviファイルをダブルクリックで再生しよう計画
04/19 (2004) →つっこみ
[12:51] じゃばこ
前期の間、毎週この時間はばいとの合間になるのでひまです。
もとGP見た後なのでバイクで来たかったんですが、 雨かもしれないので今日は車なのです。
んで、バイト先ちかくのコンビニに立ち読み+朝ご飯で立ち寄ったら、 駐車場で隣の車に見覚えのある学生さんがいてぺこりとかされました。 でもめげずに立ち読みw
時間は戻って、
Fate全コースクリアの後 2、3枚練習してみたらわりと気に入ったのがでたので手抜き彩色。 いつものごとく、いまひとつかわいく描けないのですが、 デッサンは比較的狂ってないきがします。 平均でこのくらいのデッサンになればなぁ…
遠坂はごしゅじんさまというよりは、憧れのひとなのです。はい。 今面接とかで「尊敬するひとは?」 って聞かれたら遠坂せんぱいって答えるでしょう。
04/18 (2004) →つっこみ
[23:00] rrdtool
いままでのルータを後輩に売りつけて 新しいのに変えたので、 わくわくしながらSNMPで監視を試みます。
とりあえず、もえんちに習ってrrdtool+HotSaNICでやろうとしたら、 こいつはローカル以外のマシンを監視するにはひょーじゅんてきなMIB構成 じゃないと設定を書くことすらできないので、 いろいろ試したり書き換えてフックしたりと試みたけど、 手間があほらしいので途中でぽいぽい。
高機能ツールを使うのが怖くなったので、 MRTG+rrdtoolをとりあえず試すと、 まぁなんでも行けそうだから、これでいいかにゃ。
何が困るって、 ルータがあほでifツリーが無い(=転送バイト取れない)のと、 ディスク容量を監視したいのがw2kマシンなので 拡張SNMPとか入れないと便利にとれなさそーというところ。
まぁ、監視さーばにsmbmountはしてあるので、 dfの出力をちょきちょき整形して書き込めばおっけぃ?
ルータのSNMPに内向きポートまで含むぜんぶのif情報が出てれば文句無しだったんだけど、 ないのよねぇ… 他の家庭用りんくしすルータだとどうなんでしょうか。 web管理画面からは全ポートの情報がしっかり見られるので、 ただのL2スイッチじゃなくてちゃんとXscaleが管轄してるのは間違いないんだけど。 まぁ、最悪の場合web管理画面を取得して整形という手があるなと思いましたw
あとは、MRTG+rrdtoolだと、MRTGはデータ収集だけをやるようになって、 グラフを書くのはcgiからの指示によるので、 かっこぃぃ形にするにはけっこう手間がかかりそう。 かといってお仕着せも嫌なので、仕方ないんですけど。
04/12 (2004) →つっこみ
[09:00] ばいと初日
準備しとかなきゃ…
04/09 (2004) →つっこみ
[14:00] せみなぁ
04/05 (2004) →つっこみ
[09:00] FATEくりあ
やっとクリアしました。桜色ー☆
くろ桜、へたれなければもっとよかったのですが、 最後の一瞬までまったくへたれなかった遠坂がぜんぶもっていきました。 いやもう、最後のへたれ具合まで遠坂らしくて、お見事。 途中の日常は、桜コースの場合だけ陰鬱であんま楽しくなかったんですが、 我慢してやってよかった。
最終順位:遠坂>イリヤ>>その他
だよなぁ、ありがちだろうけど、やっぱり。
その後、PureGirlに載ってるなすきのこさんロングインタビューを読む。 ふむ、シロウには全く共感しないまま必死で書いたので、 新しい経験になったそうで。なるほど。
そんなシロウに(学会まえとゆータイミングのせいもあって) かなりしんくろしているわたしはすっかりきのこさまの手のひらで踊らされていますね。 さすがですにゃー。
04/03 (2004) →つっこみ
[19:00] はにゃみ
次があるかどうかわからない突発したぼく。
去年より参加人数は少ないですが、 おなじく小田原城にお花見ってきました。 おー、象さんひさびさにゃー☆
その後いろいろあって、厚木の元禄寿司でお寿司たべて、 新宿でPostPetV3買って帰宅。
つーか、V3から登場したこももが可愛いのです。 小田原のゲームセンターでとったぬいぐるみを KANONテーブルの上にちょこんと座らせてうっとり。 横のほうでは母親も大喜びでいつも話し掛けていますw
