趣味のプログラム工房

ネットワーク

Linux MintでSoftether VPN

--前回までの話。
Linux MintにVirtualBoxをインストール
ゲストOSとして「Sophos XG Firewall」をインストール。
Sophos XG FirewallでVPNサーバを構成しようとしたが上手くいかず断念。


というわけで、ホストの方に「Softether VPN」を入れることにしました。
目的はOpenVPNによるandroidスマホからの接続です。
インストール手順は、、ここでは省略。
インストール後、Softether VPNの設定自体は、ManagerをインストールしたWindowsマシンから行います。


当初、ローカルブリッジの設定にて、「物理的な既存のLANカードとのブリッジ接続」を行っていたのですが、上手くいかず断念。
仮想NATとか、構成してみたのですがどうやってもうまくいかず。

その後、ローカルブリッジの設定を「新しいtapデバイスとのブリッジ接続」で構成し、やはり、仮想NATとかを構成したり試行錯誤したのですがやっぱり思うようにいかず。
うーん、、、
そのあと、参考にしたのが
http://www.jifu-labo.net/2015/11/softether_ubuntu/
ひょっとしてブリッジインタフェースにIPの設定が必要なのか?
ということで、「新しいtapデバイスとのブリッジ接続」で作成された仮想ブリッジに対しIPアドレスを設定してみました。(仮想ブリッジ名はifconfigで確認できます。)
すると、、、おっ!こいつ、、動くぞ!

「Softether VPN」側の設定としては、VPNのクライアント側は別セグメントのアドレスを割り当てているので、SecureNAT機能を有効にして、仮想DHCPサーバを設定。
ただし、NAT変換は不要なので、SecureNAT機能を有効にしつつも、設定としては仮想NATは無効。
デフォルトゲートウェイには、上記で設定した仮想ブリッジのアドレスを設定。
正解かはわかりませんが、今のところこれで正常に動いています。

2016年12月19日


Sophos XG FirewallでVPN接続

外出先から家のネットワークへつなぐため。Sophos XG FirewallVPNの設定をしてみました。

とりあえず、androidで使うことを想定して、L2TP/IPSecを設定、、しようと思いましたが、よくわからない。IPSec接続もさっぱり。
というわけで、結局OpenVPNによる「SSL VPN」で行うことにしました。

これは、設定が簡単で、クライアント側の設定も「User Portal」から設定ファイルをダウンロードして、OpenVpnでインポートするだけ。
の、はずなのですが微妙にうまくいかない。

WAN側(インターネット)には普通にアクセスできるのですが、LAN側にはアクセス不可というわけのわからない状況。
ルーティングもちゃんとできているはずだし、原因不明。
いろいろ試してみたのですがお手上げ!

というわけで、最終的にはSophos XG Firewallによる、VPNは断念。


ホストのLinux Mint側にて、「Softether VPN」による、VPNを組むことにしました。
とりあえず、それで目的は達成できましたが、、、Sophos XG FirewallVPNの使いにくい! 以上!


Linux MintでSoftether VPN

2016年12月11日


VirtualBoxにSophos XG Firewallを導入

無償の仮想アプライアンス製品「Sophos XG Firewall」を自宅のサーバの
Linux MintのVirtualBoxに入れてみることにしました。

対象のマシンには物理的に、LANポートが2つあるので、
LAN側のポートをport1、WAN側のポートをport2として、仮想マシンを設定。
port1はブリッジ接続でホストとゲストで共用。
port2もブリッジですがホストでは無効にして、仮想マシン側(Sophos XG Firewall側)のみ使用。

あとは、Sophos XG Firewallのインストール。


インストール後は、WEBの管理画面から設定をしていくのですが、
デフォルトのIPアドレスが「172.16.16.16」に設定されており、使いにくいため、コンソールで、先にネットワークの設定をします。
初期パスワードは[admin]。

アドレスについては、当初、LAN側も、WAN側も同じ、192.168.1.0/24にしようと思ったのですが、うまくいかなかったので、結局FWをルータ代わりにして、ネットワークを分けることにしました。


IPアドレスの設定完了後、WEB画面へアクセスして、ウィザードに従い初期設定。
今回は、ブリッジモードで設定しています。
基本これで動くはず!
だったのですが、動かない。インターネットに出れない。

ファイアウォールの設定でNATを入れると通るということから、
うーん、、、まさか!と思って、ルータに対し、192.168.2.0へのルーティングを設定したらうまくいきました。
これくらいのルーティング自動的に設定されないんだ、、、。
あとは、ポリシーの微調整ですね。
マルウェアスキャンは、FTPとHTTPを設定、HTTPSを入れると、いろいろなサイトで動きが怪しくなるのでやめました。

まあ、そんな感じでしょうか。

回線速度も(1時14分現在)でインターネットとの接続で72Mbps出ており、速度ダウンはない印象。
とりあえず、しばらくこれで運用してみよう。

2016年12月05日


Sophos 無償のUTM・ファイアウォール製品!

最近、仕事でUTM製品について調べていたのですが、、、Sophosで無償のUTM(ソフトウェア)があるのを知り自宅に導入してみよう!と思った次第です。
OSイメージが提供され、仮想マシンや物理マシン等で動かすことができます。

無償であるSophos UTM Home Editionを導入しようと、Sophosのサイトへ行ったところ、Sophos XG Firewall Home Editionなんて製品もあるんですが、、、どっちがいいの?と。

名称的には、UTM>Firewallなわけですが、はっきりしたことは結局わからなかったのですが、どうも、Sophos XG Firewallの方が新しそう。
それに、Sophos XG Firewall自体もFirewallだけというわけでなくUTM製品ということで、Sophos XG Firewallの方を導入することにしました。

その為に、今回、「GIGABYTE GA-H170M-D3H」、「Celeron G3900」、
さらに、LANポートを追加するため「AREA ジーノ2世 ギガビットLANカード」を準備しました。(ブリッジモードで動かすため、NICが最低2つ必要)
今回、VirtualBox(ホストはLinux Mint)の仮想マシンとして動かすので、
物理ポートは1つで、ハブでLANとWANの線を分ければもよかったかもしれませんが、、いろいろ怪しいので、正攻法でNIC二つとしました。
別途ハブを準備するのも面倒ですし。

というわけで、次回、インストールです。



2016年12月04日


OCN 光でl2tp(VPN)の設定にハマった[PR-S300NE]

OCN光に乗り換えて、PR-S300NEが導入されたので、ホームサーバにVPN(L2TP/IPSec)できるように設定しました。

普通に、PR-S300NEの設定画面から、
「詳細設定」-「静的IPマスカレード設定」で、
UDP 4500,500、ESPのパケットをサーバに飛ばす設定を入れてやったけどうまくいかない。(これで4時間)
で、とりあえず、DMZホスト機能を使うと接続できることを確認。なぜだ。

、、、あっーーー! これか!!
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1272329382
>追加した静的IPマスカレードの横にあるエントリって書いてあるチェックを付けて保存したらいけました。

わかりにくいよ!!!



2016年04月03日


Symantec PKI Class 1 CertificateのSHA2への移行

10/2に知らないうちに移行されていました。。。

そのため、10/1以前と、10/2移行で証明書の中間証明書が変わっています。
気にしていないと問題があるところもあったのでしょうか。。。

サーバ側でクライアント認証している場合とか場合とか場合とか

2015年10月11日


Zenfone2 Android 5.0 楽天モバイルでL2TPがうまく動かない

タイトル通り、Zenfone2、Android 5.0楽天モバイルの環境でL2TPがうまく動きません。

原因不明です。

自宅に、VPNのサーバを立てているのですが、まず、Wifiでは安定してつながります。
というわけで、ハード、OS、設定には問題なし。
しかし、MVNO(楽天モバイル)経由だとコネクションはされるのですが、しばらくするとすぐに切れる。
ほとんど使い物になりません。
ってことは、楽天モバイル(回線)が悪い?
でも、楽天モバイル(回線)をデザリングして、iPhoneからサーバへつなぐと安定してつながる、、、あれ?
というわけで原因不明なのです。

VPNサーバ - Wifiルータ - Zenfone2 ・・・OK
VPNサーバ - ルータ - 楽天モバイル - Zenfone2 ・・・不安定
VPNサーバ - ルータ - 楽天モバイル - Zenfone2 - iPhone ・・・OK

というわけで、これ何が原因なの?

いろいろと、トライ&エラーを繰り返してみたのですが、やっぱり原因不明。
syslogに Maximum retries exceeded for tunnel XXXX. Closing.
というログがあったので、これをヒントに調べたところ、
L2TPのKeepaliveの設定が怪しいとのこと。

というわけで、Gitからソースをダウンロードしてきて、L2TPの固定値を変更してコンパイルすることに。
2tp.h
#define NZL_TIMEOUT_DIVISOR 40
#define HELLO_DELAY 260 /* How often to send a Hello message
#define DEFAULT_MAX_RETRIES 20 /* Recommended value from spec */


network.c:248
// tv.tv_sec = 1;
tv.tv_sec = 10;

でも、全く意味なし。


いろいろ調べたのですが、どうも、android側から切断しているようなので、
サーバ側のパラメータを変更してもあまり意味がなさそうです。
(切断のタイミングを見たところ、どうもandroid側が先に切れている)

というわけで、全くのお手上げ。
回線の関係上、PPTPは使えないし、どうしたものやら。。。

2015年09月22日


RaspberryPiをMiracast(Piracast)サーバにする!

家に死蔵されていたRaspberryPiを引っ張り出してきて、Miracastの代わりにしてみようとやってみたのですが、

結論 無理!

参考にしたサイトはこちら
https://github.com/codemonkeyricky/piracast

RaspberryPi上でMiracastサーバとなる、Piracastというソフトのgithubです。
日本語のサイトも多少あったのですが、、、、githubに書いてあることそのままなので、全く参考になりませんでした。それどころか有害、、、


さて、現状、私の環境では無理というのも、、、
ハードウェア要件が結構厳しいようです。

制約:Only works with TP-Link dongle.

つまり、サポートするNICがTP-LINK TL-WN725Nオンリーなんですよね。。。
これ、手元にないので無理っす。
ちなみに、私が使ってるのは、buffalo 無線lanアダプター


それでも、何とかならないか試したのです。

まず、サイトの手順通りに作業を進めても、
hostapdとwpa_supplicantが動いていないと怒られます。

一応、GITHUBから落としてきたソースのscript中にもあるんだけど、動かしてくれていないので、自分でパッケージをインストールして起動しないとダメなようです。

というわけで、hostapdとwpa_supplicantは頑張って動かしましょう。
ちなみに、hostapdはアクセスポイント化するためのソフト
wpa_supplicantはWPAの暗号化通信をするためのソフトですね。多分

で、これらをインストールしても、最終的に、
Could not connect to kernel driver.
と怒られます。

やっぱ、指定のデバイスじゃないと動かないのかな。。。
とそういう感じです。

RaspberryPiMiracast(Piracast)する
http://ivis-mynikki.blogspot.jp/2015/03/raspberrypimiracastpiracast.html
をみてやってみよう!と思っても、できな場合はできないのであきらめてください。。。
もしできたら、やり方教えてください(笑)



TP-LINK TL-WN725N Wireless N Nano USB Adapter 150Mbps by TP-Link [並行輸入品]


2015年09月19日


AndroidでVPN接続 L2TP/IPsec

楽天モバイルでは今まで使っていたPPTPが使えないので、新たに、L2TP/IPsecを導入しました。

まあ、それだけなのですが、とりあえず、L2TP/IPsecならVPN接続ができました。
PPTPよりはコネクションに時間かかるかな?って気がしますが、大した問題ではない。

2015年07月20日


OpenWrtによるUSBデバイスサーバ!

特に変わったことはしていません。
sshでルータにアクセスして、USB/IP関連パッケージをインストールするだけ。

少し、手間取ったのが、WEB画面へ入って、パスワードを設定すると、telnetではアクセス付加となるため、sshでログインする必要があったということ。
あと、パッケージをインストールした後、ルータの再起動が必要ということ。
再起動しないと、usbipのコマンドがうまく動きませんでした。

さらに、、、バスパワーのBlu-rayドライブが使用不可。。
これは、書いている通りバスパワーの問題だと思います。(USB電源の容量不足)


参考にしたサイトは、
http://wiki.openwrt.org/doc/howto/usb.iptunnel

一応、インストールのコマンドは、
opkg install kmod-usb-ohci
opkg install http://downloads.openwrt.org/attitude_adjustment/12.09/ar71xx/generic/packages/usbip_1.1.1-2_ar71xx.ipk
opkg install http://downloads.openwrt.org/attitude_adjustment/12.09/ar71xx/generic/packages/usbip-client_1.1.1-2_ar71xx.ipk
opkg install http://downloads.openwrt.org/attitude_adjustment/12.09/ar71xx/generic/packages/usbip-server_1.1.1-2_ar71xx.ipk
となっていますが、見ての通り、バージョン12用なので、このあと、updateします。

これで、OpenWrtによるUSBデバイスサーバが完成です!
お手軽!!

次は、クライアント側の設定です。
WZR-HP-G301NHのOpenWrt化
Ubuntu 14でのUSB/IPの利用

2015年05月17日


次へ