最近の投稿
- ケーブルテレビの Super Drama TV が終わる2026-06-27利用しているケーブルテレビだけど、海外ドラマとか好きだったのでよく見ていた“Super […]
PC9801RX,EPSON-PC2862026-06-23職場の改修工事に備え、部屋の跡片付け中、古い古い書類の下から、スペーサー状態のNEC-PC9801 […]- ベトナムの接続許可2026-06-23インターンシップ引率でベトナム行き… […]
- isc-dhcp から kea-dhcp に移行2026-06-19職場の自室で運用している Debian/trixie を forky […]
- Gemini for Home でのエアコン操作2026-06-12複数命令の認識 Google Home から Gemini for Home になって、Google […]
EdgeRouter-XでL2TPを導入
macOS, iOS 10 が出てきて、PPTP による VPN が使えなくなって、 L2TP を導入しようと、SoftEther VPN とかを試したけど設定が面倒というのが、 今回 EdgeRouter-X を導入しようとした一番大きい理由。
他の記事を参考に、簡単に L2TP 導入…といいたいけど、 まだ失敗の試行錯誤中。だけど、リンクをメモるために、記事としておく。
EdgeRouter-Xを導入しネットワーク構成変更
EdgeRouter-Xを導入する一方で、AirStation の配下の自宅サーバを運用したいので、
# 基本的な WAN+LAN4ポート構成を作る Wizards / Setup Wizards / WAN+2LAN WAN(eth0) - LAN(eth1,eth2,eth3,eth4) の構成を作成。 # eth4 は airstation と接続用に変更 Configuration / interfaces / switch / switch0 / switch-port / interface eth4 を削除 # eth4 に airstation のサブネット(192.168.AA.0/24) # へのゲートウェイを作る Congiguration / interfaces / ethernet / eth4 address : 192.168.AA.XX/24 # switch0(eth1,eth2,eth3) のネットワーク設定 Configuration / interfaces / switch / switch0 address : 192.168.BB.1/24 サブネットを指定。 Configuration / service / dhcp-server / shared-network-name / LAN / subnet Subnet : 192.168.BB.0/24 start : 192.168.BB.XX , end : 192.168.BB.YY
GPONのポートフォワーディング設定
図は閲覧制限
あ、ssh を忘れてら….
ネットワーク構成
図は閲覧制限
EdgeRouter-Xが届く
iOS 10でPPTP/VPNが使えなくなったので VPNサーバの導入を試していたけど、 SoftEther VPNで、まだWindowマシンから接続できなかったりするので、VPNルータを探していた。
でも専用機はどれも高く悩んでいたら、 知り合いの方がEdgeRouter-Xを 紹介してくれた。スループットも早いし、 設定も自由度が高そうということで即ポチ。
といってもAmazon japanでは高く、 アメリカより輸入代行会社経由で購入。 ルータ自体は5500円ほどだったけど、 手数料込みで約9000円。
他の購入者のblogを参考に、設定中。
check_dig が ADDITIONAL SECTION
自宅サーバを運用するなか、 自宅ドメインを外部でも使えるように、 mydns.jp で公開するが、 Dynamic DNS だからこそ、 自宅ドメインのアドレスが引けない時がある。
そこで、icinga を使って、外部で自宅ドメインのアドレスが引けるか 確認をしている。ただ、この中で、
DNS WARNING - 0.017 seconds response time (Server not found in ANSWER SECTION)
のエラーが1日に1回程度不規則に発生する。 DNS の応答時間の問題 かと思っていたが、 エラーが出ている時の方が、応答時間が短い。 Webで、"Server not found in ANSWER SECTION"をググると、check_dig が、 "ANSWER SECTION"の文字列を、大文字小文字区別で比較して、小文字で情報が帰ってくると アドレスが取れないという記事が見つかった。 しかし、ある程度古い記事だし、対応はとられていそう。 しかしめったに発生しない状況の時に、dig 出力が確認できて、 ようやく原因が見えてきた。 check_dig が呼び出している dig の応答が、問題みたい。
$ dig @dns1.ttn.ne.jp tsaitoh.net : ;; ANSWER SECTION: tsaitoh.NET. 278 IN A xxx.xxx.xxx.xxx
と表示されるのが普通だけど、時々、
$ dig @dns1.ttn.ne.jp tsaitoh.net : ;; ADDTIONAL SECTION: tsaitoh.NET. 278 IN A xxx.xxx.xxx.xxx
といったように、ADDITIONAL SECTION でアドレスが帰ってくる。 この現象は、Google DNS (@8.8.8.8) では発生しない。
vpnserver問題解決
SoftEtherのVPNサーバをインストールしたけど、 翌日にはうまく動かなくなり、原因を探っていたのだけど、 原因は、ケーブルテレビの光接続のルータだったみたい。 ALG設定で、IPsec,L2TP,PPTPの設定を外したら、動くようになった。
vpnserverの動作確認
vpnserverが動き出したのはいいけど、ちゃんと動いているのか、VPN接続があるのかを 把握したいので、icingaでモニタリングするようにしてみた。
(( check_vpnserver )) #!/bin/bash VPNCMD=/usr/local/vpnserver/vpncmd PORT=127.0.0.1:xxxx # VPNサーバに接続するポートを登録 HUB=VPN NAME=VPN # 0:OK, 1:Warning, 2:Critical, 3:Unknown if [ -x $VPNCMD ]; then # vpncmdで状態を読み込む ANS=`$VPNCMD $PORT /server /hub:$HUB /cmd:StatusGet` if [ "$?" -ne 0 ]; then # VPNサーバが動いていない echo "$NAME Critical - No server" exit 2 else ANS=`echo "$ANS" | /bin/grep "セッション数 (クライアント)" | /usr/bin/cut "-d|" -f 2` if [ -z "$ANS" ]; then # 接続無し echo "$NAME OK - Server waiting connection" exit 0 elif [ "$ANS" -gt 0 ]; then # 接続あり echo "$NAME Warning - $ANS clients" exit 1 fi fi else # vpncmd がインストールされていない echo "$NAME Unknown - No vpncmd" exit 3 fi
SoftEther VPNを導入
iOS10,macOS Sierraを導入すると、PPTP-VPNが使えなくなるようで、 Buffalo のVPN機能が使えなくなる。 ということで、Mac環境に macOS Sierra の導入ができなかった。
そこで、strongswan VPN サーバを導入しようと、色々試していたけど、失敗。 であればということで、SoftEther VPN(オープンソース版)を入れてみた。 色々試行錯誤のなか、ようやく動くようになった。
さあ、今から macOS Sierraをインストールするぞ。
職場のメインマシンには、ScanSnap のスキャナがあるけど、 macOS Sierraでトラブル報告があるので、 まずは、MacBook Air で試してみよう。
icingaのmap出力を派手に
nagiosからicingaに乗り換えた際に、map出力の アイコンが?だらけになっていたので、 設定を加えて、派手にしてみた。
イスラエルからの攻撃?
自宅サーバのVPNの設定がうまくいかないので作業中、 /var/log/syslog に以下のような出力が並ぶ。
Oct 2 19:19:01 perrine postfix/smtpd[13066]: connect from dsl212-143-40-109.bb.netvision.net.il[212.143.40.109] Oct 2 19:19:04 perrine postfix/smtpd[13066]: NOQUEUE: reject: RCPT from dsl212-143-40-109.bb.netvision.net.il [212.143.40.109]: 554 5.7.1 <eax_64@yahoo.com>: Relay access denied; from=<xo@ore.net> to=<eax_64@yahoo.com> proto=ESMTP helo=<192.168.0.46> Oct 2 19:19:04 perrine postfix/smtpd[13066]: lost connection after RCPT from dsl212-143-40-109.bb.netvision.net.il [212.143.40.109] Oct 2 19:19:04 perrine postfix/smtpd[13066]: disconnect from dsl212-143-40-109.bb.netvision.net.il[212.143.40.109] ehlo=1 mail=1 rcpt=0/1 commands=2/3O
イスラエル(.il)からみたい。この後も、SASL の LOGIN を試みるのが 止まらない。ブルートフォースアタックっぽいし、不気味なので、 国毎のIPアドレス表から作っている FireWall のブラックリストに、 中東、東ヨーロッパの国を追加。
# wc -l geoipdeny.store 26069 geoipdeny.store
ルータのWeb設定だけハングアップ
自宅サーバの警告でてたけど、 ルータのWeb設定のlogin画面が機能していない。 そのくせ、パケットは流れてる。
ルータ故障の前兆かもしれないので、メモ。
うーむ、Webハングアップが多発するな。
2016-10/02,23:13 2016-10/02,17:31 2016-10/02,06:44
症状の出始めからすると、IPv6パススルーに関係するのかな。 ということで、IPv6パススルーを切ってみる。
自宅内のIPv6ちょっと対応
iOS 10 の導入で、自宅サーバで IPSec の VPN サーバを動かしたいけど、 なぜかうまく動かない。光ファイバ通信の融通の利かないルータの中に、 融通の利く既存のルータの2段ルータ構造で、IPSec 関連のパケットが 落とされている可能性があったので、VPNパススルーやらIPv6パススルーを 試してみた。
ただ、IPv6パススルーを有効にすると、パソコンなどが IPv6 RA 情報を 拾って IPv6アドレスを取得する。これはいいんだけど、DNS として、 ルータを使うようになってしまう。我が家では自宅サーバ用に自宅内 DNS を動かしているので、グローバルなDNSに直接つながると、自宅内 で自宅 Web ページが見えなくなってしまう。
自宅内 IPv6 用 DHCP サーバ
そこで、IPv6用 DHCP サーバを以下のようにして動かした。
ただし、IPアドレスまで割り振りたかったが、RA 情報を使って V6アドレスをつかんでしまうので、自宅内 DNS サーバを使うように DNS サーバ情報を配るだけ。
(( /etc/default/isc-dhcp-server )) INTERFACESv4="eth0" + INTERFACESv6="eth0"
(( /etc/dhcp/dhcpd6.conf )) + option dhcp6.name-servers fe80::xxxx:xxxx:xxxx:xxxx; + option dhcp6.domain-search "自宅のドメイン名";
Google 検索
