RTA55i VPNの注意事項

過去のメモです。

[拠点1]
LAN(Private) 192.168.10.0/24
LAN(global) 111.222.120.128/29 (129-134)
NATに使うアドレス 111.222.120.137

[拠点2]
LAN(Private) 192.168.12.0/24
LAN(global) 111.222.51.136/29 (137-142)
NATに使うアドレス 111.222.51.142

1側 
  LAN1          +---------+     LAN2(111.222.120.129) 
----------------|  RTA55i |-------------- 
192.168.10.0/24 +---------+ 111.222.120.128/29 
                                      | 
                                      | 
                                      |(ここをPPTPで接続) 
                                      | 
2側 
  LAN1          +---------+     LAN2(111.222.51.137) 
----------------|  RTA55i |-------------- 
192.168.12.0/24 +---------+ 111.222.51.136/29

※注意事項
まず、お互いのフィルタを必ず通すこと。
拠点1がサーバなら、拠点2の 111.222.51.136/29 をpassにする。
なぜなら、PPTP(VPN)クライアントはNATで使用するアドレスから接続しようとするから!
ip lan1 secondary のアドレスではない!!!

あとはwebからのかんたん設定で大丈夫。
なお、かんたん設定にて設定されると、configは以下のようになる。

(拠点1側)
ip lan1 address 192.168.10.1/24
ip lan1 secondary address 111.222.120.129/29
ip lan1 routing protocol none
ip lan1 rip listen none
ip lan1 secure filter in 100000 100001 100002 100003 100004 100005 100006 100007 100099
ip lan2 routing protocol none
ip lan2 rip listen none
ip route 192.168.12.0/24 gateway tunnel 1 metric 1
ip route default gateway pp 1 metric 1
nat descriptor type 1000 masquerade
nat descriptor address outer 1000 111.222.120.134
nat descriptor address inner 1000 192.168.10.1-192.168.10.254
nat descriptor masquerade static 1000 1 192.168.10.1 tcp 1723
nat descriptor masquerade static 1000 2 192.168.10.1 gre *

(拠点2側)
ip lan1 address 192.168.12.1/24
ip lan1 secondary address 111.222.51.137/29
ip lan1 routing protocol none
ip lan1 rip listen none
ip lan1 secure filter in 100000 100001 100002 100003 100004 100005 100006 100007 100099
ip lan2 routing protocol none
ip lan2 rip listen none
ip route default gateway pp 1 metric 1
ip route 192.168.10.0/24 gateway tunnel 1
nat descriptor type 1000 masquerade
nat descriptor address outer 1000 111.222.51.142
nat descriptor address inner 1000 192.168.12.1-192.168.12.254
nat descriptor masquerade static 1000 1 192.168.12.1 tcp 1723
nat descriptor masquerade static 1000 2 192.168.12.1 gre *

 

IP電話とPBX。

つい最近、我が家に050番号のIP電話を導入してみました。

会社の人と通話して…それで今のところ終わっていますが、なかなか便利な時代になったものです。

それと、OpenSource PBXというもので、Asteriskというものがありますが、まだ遊んでません…。
(SIPも立ててみたいので、partySIPも入れてみるものの、時間がなさげ…。)

プロバイダの変更。

今まで使用していたプロバイダを解約し、Interlinkの接続だけになったとたん、我が家のクライアントPCが一斉にネットへでれなくなりました。まいったなこりゃ。(泪

原因を探ってみると、2つありました。

1つはゲートウェイ。
今までデフォルトゲートウェイの設定は個別にしてました。

ip route default gateway pp 1 filter 501060 gateway pp 2 filter 501050 gateway pp 1
ip filter 501050 pass [サーバのIP] * * * *
ip filter 501060 pass [ルータのIP] * tcp,udp * smtp,pop3
※pp1がDTI、pp2がInterlink接続

こうすることで、「501060」つまりサーバ以外ははpp1、サーバはpp2を経由してネットに行きなさい、というようなルーティングができるようです。私がやってしまったのは、pp1を消しちゃってるのに、pp1へ行きなさいと言っている(矛盾した)設定でした。これでは意図したとおり動かないわけですね。。。

2つめはDNS。
我が家のサーバはDNSサーバも兼ねており、ルータでDNSポートへのNAT割り当てをしています。ということは、DNS要求は全てサーバでやらなくちゃいけないということ?
あと、今まではpp1でDNSを外へ聞くことができたからうまくいっていたのかも?なかなかむずかしいですね。
はいはいということで、我が家のクライアントは全て自前のDNSを参照するようにしてみました。

勉強になりますよ。もぅ。

ネットワーク管理・サーバ管理はどうあるべきか。

職場から家に帰ってくると、なんともPCの電源をいれるのがかったるい今日この頃です。

なんとも最近は、仕事にたいして憂鬱というかなんというか、すべてに対してかったるいです(笑)。
私のやっている仕事はネットワーク管理・サーバ管理なのですが、そもそも本来どういう仕事なのでしょうか。

(今日はちょっと愚痴っぽい表記です。笑)

ネットワーク管理者の仕事として、一般的には

・ネットワークトラフィックの監視

・ネットワーク機器状態の把握、設定情報の把握

・クライアントに対する接続設定などのサポート

・情報セキュリティへの機敏な対応

というのがあげられるだろうと思います。
一方、サーバ管理者の仕事として、

・サーバ動作の監視

・ハッキング、クラック、ウィルス対策

・サーバ内におけるユーザ情報の把握

・サーバ内で動作しているソフトウェアの把握

・クライアントへの利用方法などの徹底

等があげられると思います。なんでこんなことを今自分が書いているのかというと、本来のネットワーク管理・サーバ管理とはかけ離れた業務をしていたり、いろんな事情もありますが前任者からの引き継ぎもうまく出来ていなかったり、いつのまにか面倒なことに巻き込まれていたり(笑)することが多いなぁ…と思うのです。
(まぁ、それはそれで退屈するよりも幸せですが。)

話はそれますが、ある案件を処理するのに、

・客先への訪問

・提案してみる

・見積をだす

・注文を受ける

・場合によっては外注処理をする

・クライアント対応
・請求書を出す

・入金の確認をする

・場合によっては集金してくる

・外注したものの支払い手続きを済ます

というような内容が必要になってくると思います。また、これは日頃から考えなくちゃいけないのですが、どうやったら顧客拡大ができるだとか、売り上げを伸ばそうだとか、そういう問題もあります。

正直、なんだか自分は一人で会社をやっているような認識をしてしまうので、最近はとても疲れたような気がします…。

そんなわけで、今日はもう寝まーす。

ドメインの取得。

このサイト、kenti.jpのドメインを取得するにあたってのメモ書きです。
以前の内容をそのまま書き込んでます。

固定IPを取ったらドメイン…ということで、今度はドメインの申請です。

いろいろ考えたあげく、KENTI.JPというJPドメインを取得することに。短いと覚えやすいですしね(^^ゞ
ということで、なるだけ安く取得しよう…と21-domainというところで取得してみました。
指定事業者は「アンネット」という広島の会社みたいですが、まぁJPRS代理店ってことで大丈夫でしょう。

申請すると1時間ほどで手続き完了。翌朝3時には、JPNICへ反映されるという仕組みです。

なお、申請にあたってのネームサーバに、さきほどの固定IPと、公開するネームサーバ名を入力する必要があります。ネームサーバはns.kenti.jpとでもしておきます。

> whois -h whois.nic.ad.jp kenti.jp/e[ JPNIC & JPRS database provides information on network administration. Its ]
[ use is restricted to network administration purposes. For further infor- ]
[ mation, use ‘whois -h whois.nic.ad.jp help’. To suppress Japanese output, ]
[ add’/e’ at the end of command, e.g. ‘whois -h whois.nic.ad.jp xxx/e’. ]

Domain Information:
[Domain Name] KENTI.JP
[Registrant] Kentaro Hashimoto
[Name Server] ns.kenti.jp
[Created on] 2002/12/08
[Expires on] 2003/12/31
[Status] Active
[Last Updated] 2002/12/8 15:27:54 (JST)

固定IPの取得。

昔の記事をblog側に持ってきて編集してみました。
書いた当初からずいぶん時間が経っているので、ちょっとおかしなところがあるかもしれません。

そんなことで、まずは自宅でサーバをたてる際、安価に固定IPを取得する方法です。

※この方法は、FreeBSDで直接PPTPをする方法です。先日、YAMAHAのRTA55iでこれと同様に行う方法を書いてありますので、そちらも参考にしてください。

自宅にて固定IPのサービスを受けるには、OCNのIP1プランなど、いろいろあると思います。
しかし、自分のプロバイダに固定IPのプランはないし、なによりプロバイダ変更したくない…。(^^ゞ

ってことで、インターリンクが行っている固定IPプランを使用してみました。
親切なことに、 設定方法などもありますので簡単にインストールすることが出来ました。
付与されたIPは、61.206.126.Aで、ゲートウェイに61.206.126.1を経由してインターネットへ接続するという内容でした。

なおこの機能は、PPTPによるVPN接続を使っているので、リンクが切れると最悪切れっぱなし…ということもありえるので、以下のようなスクリプトを書いてみました。

内容は、/etc/ppp/myipchk.plをcronでまわして確認し、ゲートウェイへpingが飛ばなかったり、IPが付与されていなかったら接続しにいく…。という感じです。

[ /etc/ppp/myipchk.pl ]#!/usr/bin/perl
$ifcmd = `/sbin/ifconfig | /usr/bin/grep 61.206.126.A`;
$picmd = `/sbin/ping -c 5 61.206.126.1 | /usr/bin/grep %`;
if ($ifcmd !~ ‘61.206.126.A‘)
{
print “Status:IP not assigned.\n”;
system(“/etc/ppp/myip.sh”);
exit(0);
}
elsif ($picmd =~ ‘100%’)
{
print “Status:no route.\n”;
system(“/etc/ppp/myip.sh”);
exit(0);
}
else {
print “Status:Ok!\n”;
exit(0);
}
exit(0);

[ /etc/ppp/myip.sh ]#!/bin/sh
kill -9 `/bin/cat /var/run/tun0.pid`
sleep 10
/usr/local/sbin/pptp 203.141.128.100 myip &

このような感じで、まずは固定IPを取得することが出来ました。まぁ、1個あれば十分(^^ゞ
ifconfigすると、こんな感じです。

# ifconfig tun0tun0: flags=8051<up,pointopoint,running,multicast> mtu 1448
inet6 fe80::200:e2ff:fe15:1727%tun0 –> :: prefixlen 64 scopeid 0x3
inet 61.206.126.A –> 61.206.126.1 netmask 0xff000000
Opened by PID 1074</up,pointopoint,running,multicast>

InterLinkのMyIPサービスを使ってみる。

我が家のサーバで以前使っていたInterlinkさんの「MyIPサービス」を、YAMAHAのRT55iでも使用できるか実験してみました。

ちなみに、1週間だけですが無料でテスト用アカウントを貸し出してくれるようです。
良心的ですね。ということで実験してみました。
(ちなみに今は、MyIPサービスのようなVPNではなく、固定IPをプロバイダから頂いてます…。)

簡単ですが、我が家の環境はこんな感じ。192.168.100.1…ルータ
192.168.100.2…このwebなどを公開しているサーバ

192.168.100.1…ルータ
192.168.100.2…このwebなどを公開しているサーバ
ルータには事前に、動的なIPが付与されるプロバイダ情報が設定されているものとします。
ポイントは、サーバはVPN経由(固定IP)でインターネットへ行き、それ以外は動的なIPのほうへ経路を設定します。
…なんとなくかっこいいじゃないですか。(笑)

まず、テストアカウントを申し込むと、プロバイダからユーザID云々のかかれたメールが届くので、それを元にconfigを作成してみます。

## PP 2にVPNの要領でアカウントの定義
pp select 2
pp name WAN/VPN:InterLink2
pp bind tunnel 1
ip pp mtu 1280
ip pp nat descriptor 1100
pp auth accept chap mschap
pp auth myname (付与されたユーザID) (付与されたパスワード)
ppp ipcp ipaddress on
ppp ccp type mppe-any
pptp service type client
pp enable 2nat descriptor type 1100 masquerade
nat descriptor masquerade static 1100 1 192.168.100.2 tcp smtp,www,pop3,https,ftpdata-21,ftpdata
nat descriptor masquerade static 1100 2 192.168.100.2 tcp 22,domain
nat descriptor masquerade static 1100 3 192.168.100.2 udp 22,domain
## Tunnelの定義(PPTP)
tunnel select 1
tunnel encapsulation pptp
tunnel endpoint address (付与されたVPN接続先)
pptp tunnel disconnect time 600
pptp keepalive use off
tunnel enable 1

あとは、webサーバにきちんとデータが届くようにNATの定義をしてみます。

nat descriptor type 1100 masquerade
nat descriptor masquerade static 1100 1 192.168.100.2 tcp smtp,www,pop3,https,ftpdata-21,ftpdata
nat descriptor masquerade static 1100 2 192.168.100.2 tcp 22,domain
nat descriptor masquerade static 1100 3 192.168.100.2 udp 22,domain

最後に、webサーバは固定IP側のVPN経由へ行くように、DefaultGatewayの設定をします。

ip filter 501050 pass 192.168.100.2 * * * *
ip filter 501060 pass 192.168.100.1 * tcp,udp * smtp,pop3
ip route default gateway pp 1 filter 501060 gateway pp 2 filter 501050 gateway pp 1

あたりまえですが、webサーバのDefaultGatewayはルータ(192.168.100.1)にしておきます。
そうすると、固定IPでインターネットからアクセスを受けることが出来ます。
これでドメインを取得したり、遊べますねー。