(( 必要なファイルのインストール )) $ sudo aptitude install php5-curl # 'HTTPClient'インスタンスが必要で CurlHTTPClient が # デフォルトなので、php-curl をインストール $ composer require linecopr/line-bot-sdk # composer.json, composer.lock, vendor/* が作られる - LINE@アカウントを準備 - LINE BUSINESS CENTERでトークン取得とエントリーポイントの設定 - 自分のサーバで https が通るようにする -
imaps などを経由してブルートフォースアタックされるのも怖いので、 hashlimit を用いた制限
((/etc/ferm/ferm.conf))
domain ip {
table filter {
chain HASHCHECK {
mod hashlimit
hashlimit-name HASHCHECK_TABLE
hashlimit 1/m
hashlimit-burst 30
hashlimit-mode srcip
hashlimit-htable-expire 120000 ACCEPT ;
mod limit
limit 1/s LOG log-prefix '[iptables hash drop]: ' ;
DROP ;
}
chain INPUT {
:
proto tcp dport imaps jump HASHCHECK ;
:
}
}
:
}
安価なVPNルータとして自宅で使っている、EdgeRouter-X が このゴールデンウィーク直前に 1.9.1 → 1.9.1.1 が出ている。
微妙な末尾のリリース番号だし、早々に適用しておこう。
サーバ(debian)の更新をかけてたけど、今日はやたらと遅い。 サーバ側のトラブルかな。
サーバを ftp.jp.debian.org から、ftp.jaist.ac.jp に 変更したら、サクサクとダウンロードされるじゃん。
EdgeRouter-X が届く前は、linux サーバ側で VPN gateway への ping を チェックして、接続時に管理者にメールが届くようにしていたけど、 新しいルータでも同様のことをやりたい。
パスワードもそれなりに長い桁にしているし、L2TP の PSK 方式で、 事前共有キーとパスワードが合わせて漏れなければ、VPN に接続できないので、 十分安全....。 とはいえ、もし破られたら...のことを考え、L2TP の利用の際に自分宛の メールが来るようにしてあれば、見覚えのない接続=侵入された...で発見できる。
EdgeRouter-X でメールを出すって、かなりいじらないとダメかとおもったけど、 ssmtp というソフトが入っていたので、意外と簡単。
(( /etc/ssmtp/ssmtp.conf )) root=postmaster mailhub=自宅のメールサーバ rewriteDomain=自宅のドメイン名 hostname=ルータのホスト名
まずは、メールサーバにメッセージを送れるように、ssmtp の設定。
(( /etc/ppp/ip-up.d/l2tpd ))
#!/bin/sh
# $1 Interface name ppp0
# $2 The tty ttyS1
# $3 The link speed 38400
# $4 Local IP number 12.34.56.78
# $5 Peer IP number 12.34.56.99
# $6 Optional ``ipparam'' value foo
SSMTP="/usr/sbin/ssmtp"
IFACE=$1
test -x $SSMTP || exit 0
case "$IFACE" in
l2tp* )
echo -e "From: root@tsaitoh.net\n
Subject: [ERX] interface $IFACE is UP.\n\n
IP address: $4 <=> $5\nOption: $6\n" \
| $SSMTP foo@example.com
;;
esac
最初、/etc/network/if-up.d/l2tp で処理を書いたけど、ダメでちょいと悩んだ。
昨日、モバイル Suica のパスワード忘れで、変更を行おうとしたが、 まるっきりうまくいかない。
でも調べてみたら、パスワード間違いをすると、「24時間ロックがかかる」 といった情報を見つけたけど、どちらにしろパスワードを変更しないと ダメ。そのくせ、パスワード変更の画面にたどり着けない。
でも、ようやく変更ができた。
パソコンでJR東日本サービスにログインするための、画面の中に、 「Suicaパスワード再登録」があった。ここで、登録時のメールアドレス を入力し、届いたURLにアクセスすると、ようやく再登録画面に巡り合えた。
んで、無事パスワードを変更できたけど、「24時間ロック」なのか、 まだサービスにアクセスできない。明日の22:00ぐらいまで、待つか...(はぁ...)
(2016-11-09)追記:24時間経過後...ということで、モバイルSuicaアプリを起動し、 パスワードを間違えないように(また24時間待ちたくないし)慎重にパスワードを入力し、 無事起動できました。はぁ、なんて時間がかかるんだ...
Apple Watch の Suica アプリを使おうとしたら、 Suica カード登録時のパスワードが分からない。
しかたなくパスワードの再発効を行うこととした。 ただ、Suica アプリで メールアドレスを入力し、 メール添付の URL を開いてパスワード登録を する.....はずなんだけど、変。
メールに送られてきた URL をアクセスすると、 「Suica アプリの起動」が表示される。 えーっと、新規パスワードを入力する画面、 一切表示されなかった。
イライラしながら、問い合わせの電話をかけたら、 10:00から19:00の間に電話しろ...って留守電システムの 返答。イライラ。 # 10:00って、普通 09:00から仕事しろよ...。
EdgeRouter-X を導入した最初の目標でもある、VPN 機能の設定ができた。 VPNに接続できても、内部ネットワークに繋がらない...と悩んだけど、 自宅サーバ側のFireWall が、EdgeRouter を拒絶していただけだった。
$ configure
set vpn ipsec ipsec-interfaces interface eth0
set vpn ipsec nat-networks allowed-network 0.0.0.0/0
set vpn ipsec nat-traversal enable
set vpn ipsec auto-firewall-nat-exclude enable
# eth0が固定IPの場合の設定(eth0のサブネット)
set vpn l2tp remote-access outside-address 192.168.AA.XXX
set vpn l2tp remote-access outside-nexthop 192.168.AA.YYY
# クライアントに割り振るIP(eth1..3のサブネット)
set vpn l2tp remote-access client-ip-pool
start 192.168.BB.XXX
set vpn l2tp remote-access client-ip-pool
stop 192.168.BB.YYY
# プレシェアード認証
set vpn l2tp remote-access ipse-settings authentication
mode pre-shared-secret
set vpn l2tp remote-access ipse-settings authentication
pre-shared-secret [XXXXXXXX]
set vpn l2tp remote-access ipsec-settings ike-lifetime 3600
# 認証方法
set vpn l2tp remote-access authentication mode local
set vpn l2tp remote-access authentication
local-users username [XXXX] password [XXXX]
set vpn l2tp remote-access mtu 1280
# 自宅サーバのDNSを参照(自宅サーバのDNS)
set vpn l2tp remote-access
dns-servers server-1 192.168.CC.XXX
set service dns forwarding listen-on lo
commit
save
macOS, iOS 10 が出てきて、PPTP による VPN が使えなくなって、 L2TP を導入しようと、SoftEther VPN とかを試したけど設定が面倒というのが、 今回 EdgeRouter-X を導入しようとした一番大きい理由。
他の記事を参考に、簡単に L2TP 導入...といいたいけど、 まだ失敗の試行錯誤中。だけど、リンクをメモるために、記事としておく。
