EdgeRouter-X が届く前は、linux サーバ側で VPN gateway への ping を チェックして、接続時に管理者にメールが届くようにしていたけど、 新しいルータでも同様のことをやりたい。

パスワードもそれなりに長い桁にしているし、L2TP の PSK 方式で、 事前共有キーとパスワードが合わせて漏れなければ、VPN に接続できないので、 十分安全….。 とはいえ、もし破られたら…のことを考え、L2TP の利用の際に自分宛の メールが来るようにしてあれば、見覚えのない接続=侵入された…で発見できる。

EdgeRouter-X でメールを出すって、かなりいじらないとダメかとおもったけど、 ssmtp というソフトが入っていたので、意外と簡単。

(( /etc/ssmtp/ssmtp.conf ))
root=postmaster
mailhub=自宅のメールサーバ
rewriteDomain=自宅のドメイン名
hostname=ルータのホスト名

まずは、メールサーバにメッセージを送れるように、ssmtp の設定。

(( /etc/ppp/ip-up.d/l2tpd ))
#!/bin/sh
# $1 Interface name  ppp0
# $2 The tty         ttyS1
# $3 The link speed  38400
# $4 Local IP number 12.34.56.78
# $5 Peer  IP number 12.34.56.99
# $6 Optional ``ipparam'' value  foo
SSMTP="/usr/sbin/ssmtp"
IFACE=$1
test -x $SSMTP || exit 0
case "$IFACE" in
l2tp* )
echo -e "From: root@tsaitoh.net\n
Subject: [ERX] interface $IFACE is UP.\n\n
IP address: $4 <=> $5\nOption: $6\n" \
| $SSMTP foo@example.com
;;
esac

最初、/etc/network/if-up.d/l2tp で処理を書いたけど、ダメでちょいと悩んだ。

自宅サーバを運用するなか、 自宅ドメインを外部でも使えるように、 mydns.jp で公開するが、 Dynamic DNS だからこそ、 自宅ドメインのアドレスが引けない時がある。

そこで、icinga を使って、外部で自宅ドメインのアドレスが引けるか 確認をしている。ただ、この中で、

DNS WARNING - 0.017 seconds response time
(Server not found in ANSWER SECTION)

のエラーが１日に１回程度不規則に発生する。 DNS の応答時間の問題 かと思っていたが、 エラーが出ている時の方が、応答時間が短い。 Webで、"Server not found in ANSWER SECTION"をググると、check_dig が、 "ANSWER SECTION"の文字列を、大文字小文字区別で比較して、小文字で情報が帰ってくると アドレスが取れないという記事が見つかった。 しかし、ある程度古い記事だし、対応はとられていそう。 しかしめったに発生しない状況の時に、dig 出力が確認できて、 ようやく原因が見えてきた。 check_dig が呼び出している dig の応答が、問題みたい。

 $ dig @dns1.ttn.ne.jp tsaitoh.net
:
;; ANSWER SECTION:
tsaitoh.NET.        278     IN      A       xxx.xxx.xxx.xxx

と表示されるのが普通だけど、時々、

 $ dig @dns1.ttn.ne.jp tsaitoh.net
:
;; ADDTIONAL SECTION:
tsaitoh.NET.        278     IN      A       xxx.xxx.xxx.xxx

といったように、ADDITIONAL SECTION でアドレスが帰ってくる。 この現象は、Google DNS (@8.8.8.8) では発生しない。

SoftEtherのVPNサーバをインストールしたけど、 翌日にはうまく動かなくなり、原因を探っていたのだけど、 原因は、ケーブルテレビの光接続のルータだったみたい。 ALG設定で、IPsec,L2TP,PPTPの設定を外したら、動くようになった。

vpnserverの動作確認

vpnserverが動き出したのはいいけど、ちゃんと動いているのか、VPN接続があるのかを 把握したいので、icingaでモニタリングするようにしてみた。

(( check_vpnserver ))
#!/bin/bash
VPNCMD=/usr/local/vpnserver/vpncmd
PORT=127.0.0.1:xxxx  # VPNサーバに接続するポートを登録
HUB=VPN
NAME=VPN
# 0:OK, 1:Warning, 2:Critical, 3:Unknown
if [ -x $VPNCMD ]; then
# vpncmdで状態を読み込む
ANS=`$VPNCMD $PORT /server /hub:$HUB /cmd:StatusGet`
if [ "$?" -ne 0 ]; then
# VPNサーバが動いていない
echo "$NAME Critical - No server"
exit 2
else
ANS=`echo "$ANS" | /bin/grep "セッション数 (クライアント)" | /usr/bin/cut "-d|" -f 2`
if [ -z "$ANS" ]; then
# 接続無し
echo "$NAME OK - Server waiting connection"
exit 0
elif [ "$ANS" -gt 0 ]; then
# 接続あり
echo "$NAME Warning - $ANS clients"
exit 1
fi
fi
else
# vpncmd がインストールされていない
echo "$NAME Unknown - No vpncmd"
exit 3
fi

nagiosからicingaに乗り換えた際に、map出力の アイコンが？だらけになっていたので、 設定を加えて、派手にしてみた。

自宅サーバの警告でてたけど、 ルータのWeb設定のlogin画面が機能していない。 そのくせ、パケットは流れてる。

ルータ故障の前兆かもしれないので、メモ。

うーむ、Webハングアップが多発するな。

2016-10/02,23:13
2016-10/02,17:31
2016-10/02,06:44

症状の出始めからすると、IPv6パススルーに関係するのかな。 ということで、IPv6パススルーを切ってみる。