オレンジのトップページ

2013年11月15日金曜日

owncloud試してみた

いいところ

インストールが簡単。
安いCentOSのVPSで試したが、公式サイトで紹介されている手順でやるとほぼフルオートで入って感動的。

速度がまぁまぁ速い
自分専用だしと期待し過ぎだったけど、まぁ速い。仕組み上オーバーヘッドが大きんだろなぁ。

iPhoneアプリ最強
owncloudアプリがあってDropboxアプリと変わらない。速度が速いからpdfなんかもすぐ開いて快適。


悪いところ


クライアントソフトが良くない。
Winデスクトップクライアントは平気そうだったがFedora 19のLinuxデスクトップクライアントは落ちまくる。

使い勝手が悪い。
突然に全ファイルをアップロードし直す。
デスクトップクライアントにLAN内同期機能が無い。今後の対応リストには入っているらしいが。



結論
Dropboxを置き換えるのは無理。さすがDropboxはよく出来てるよ。
owncloudサーバをLAN内のローカルサーバで動作させるという条件でなら多少おかしな挙動をしても困らないかもしれないけど、でもやっぱ全ファイルのアップロードし直しってやめて。



インストール手順


まずレポジトリを導入してyumで。
cd /etc/yum.repos.d/
wget http://download.opensuse.org/repositories/isv:ownCloud:community/CentOS_CentOS-6/isv:ownCloud:community.repo
yum install owncloud

DBにsqliteで良ければ
このまま http://サイト/owncloud/ にアクセスすれば初期設定画面が出て使える。mysqlを使う時は予めDB名=ユーザー名=owncloudのDBを作っておいて初期設定時に拡張設定すれば良い。

データの保存場所を
変えたければ予め/data/owncloudなどを作っておいて、apacheの持ち物にしておく。

初期設定のやり直しは
/var/www/html/owncloud/config/config.php を消す。



2013年11月14日木曜日

gnome3でbitsync

試してみた。
容量無制限、速度も速い、いいんじゃないか。

[hoge@mypc ~]$ gnome-session-properties
でメニューを出して

/home/hoge/btsync
を自動起動に登録。

http://localhost:8888/gui
でステータス確認。使用ポートをチェック。


たまにファイルのアップロード中のまま同期が完了しない共有フォルダが生じる。
1台残してあとのPCのフォルダを解除+フォルダ内容を削除。あらためて空フォルダを作成して再登録すれば直る。
この不具合は最近治った。

ログは.sync/sync.log。
Windows版だとメニューを出して「履歴」タブか、%AppData%\BitTorrent Sync\sync.log。同期が完了しなくなったらログをチェック。


2013年9月4日水曜日

ネクストでIPv4 over IPv6 IPsec/IPIP VPNをYAMAHAのRTXで張ってみる。

(2015/10/6 更新)

(注)IPv4 over IPv6 IPsec VPN と IPv4 over IPv6 IPIP の違いと使い分けについて

暗号化されたIPv4 over IPv6 IPsec VPNではRTX1200以降を使うと、通常の IPv4 ipsec VPNと同程度の140Mbps程度の速度が出て実用的です。それ以前のモデルだと速度が全く出ませんが、pingの数値は良いのでちょっとしたIP電話など低遅延が求められる用途にはいいかもしれません。

暗号化されない IPv4 over IPv6 IPIP だとRTX1100でもそこそこの90Mbps程度の速度が出ます。RTX1200/RTX3000を使うと300Mbps超えと速いです。
VPNを設定するときIPIPではホスト名(v6ネーム)が指定できずIPアドレス指定なのことに注意します。

RTX1500はIPv6をVPNに使うとどうやっても全く速度が出ません。やはり速度が出ないだけでpingの数値は良いのでIP電話程度には平気そうです。このモデルは歴代のRTXシリーズの中でも構造が違い、IPv6のファストパスに対応していないのが原因なのではないかと思います。IPv4ショートパケットの性能が良いことで定評があるのでIPv4用と割り切って使うのが良いかなと思います。

ファストパス
http://www.rtpro.yamaha.co.jp/RT/docs/fastpath/



RTXシリーズの違いによるCPU負荷
RTX1200はipsecで100M超え、IPIPで200M超えの通信を行うとCPUが100%に張り付きやすく、ちょっとした負荷を足すと数値もバラつくのでパワー不足になるようです。大容量のファイル通信を長時間行うには向きません。
RTX3000はIPIPに限りますがピーク速度でRTX1200に負けますがCPU負荷が張り付きません。設計は古いものの基本的なCPUパワーがあるようです。大容量のファイル通信を長時間行っても平気です。



IPIPの暗号化しないことによる不安について
IPv6通信は東西NTTフレッツ網内限定なので構わないし、気になるなら相手先IPv6アドレスのみフィルタ許可してもいい。
インターネットリーチャブルなIPをもらっていてもHGWのある環境だと、HGWのデフォルトがIPv6パケットフィルタ設定(IPoE)が[有効[/[セキュリティレベル標準]で、網内折り返しのみ許可、インターネット側からの着信が拒否になっているのでRTXでフィルタしなくても問題なさそうです。



iperfを使ったテスト結果
パケットサイズはiperfデフォルトの64K。もちろんサイズを増やすと上がるが目安になると思います。拠点はすべてフレッツネクスト隼でIPv4のプロバイダはすべてインターリンク1Gで、両端の拠点にはi5-760のLinuxサーバを置いています。
■サーバ側
iperf -s
■クライアント側
iperf -c 192.168.x.y

**** IPv4 over IPv6 IPIP
相手先 RTX1200 <-> こちら RTX1200/3000  速度390-260M。
相手先 RTX3000 <-> こちら RTX3000  速度300M。
相手先 RTX1100/1200/3000 <-> こちら RTX1100  速度85-90M。
相手先 RTX1100/1200 <-> こちら RTX1500  速度15M。

**** IPv4 over IPv6 ipsec(暗号化は3des-cbc md5-hmac)
相手先 RTX1200 <-> こちら RTX1200  速度130-150M。
相手先 RTX1200 <-> こちら RTX3000  速度15M。
相手先 RTX1100/1200 <-> こちら RTX1100  速度14-15M。
相手先 RTX1100/RTX1500 <-> こちら RTX3000  速度10M。
相手先 RTX1100/RTX1200/RTX1500 <-> こちら RTX1500  速度7-9M。

**** IPv4 over IPv6 ipsec(暗号化はaes-cbc sha-hmac)
相手先 RTX1100 <-> こちら RTX1100  速度14-15M。
相手先 RTX1100/RTX1200/RTX1500 <-> こちら RTX1500  速度4-5M。

**** 通常のIPv4-IPv4 ipsec(暗号化は3des-cbc md5-hmac)
相手先 RTX3000(eo光1G) <-> こちら RTX3000  (インターリンク1G) 速度140M。
相手先 RTX1200 <-> こちら RTX1200/3000  速度120-140M。(以下両拠点インターリンク)
相手先 RTX1200/1500 <-> こちら RTX1500  速度85-90M。
相手先 RTX1200 <-> こちら RTX1100  速度78M。


*単位Mbits/sec




というわけで気を取り直して、

ネクストの網内折り返し通信ができるIPv6アドレスを使って高速なIPv4のVPNを張ります。
(手っ取り早く設定を見るには「RTXの設定例」までスクロール)

ネクストではV6オプションを申し込むと、半固定で割り当てられるIPv6アドレスの網内折り返し通信が可能です。西日本ではオプションですが東日本ではデフォルト有効になったようです。無料で網内折り返しができるってイイんじゃないの?このIPv6アドレスを使ってIPv4-VPN組んじゃえば高速だしプロバイダーの通信帯域を使わないし。って考えるのは当然で、ネクストのサービスが出た当時から有料無料のソリューションも結構あったりする。

しかしネクストでもらえるIPv6アドレスは半固定というのが問題で、どう乗り越えるかが鍵となります。
V6オプションで網内だけ通信できるIPv6アドレスが割り当てられる時も、そこからさらにプロバイダに申し込んでインターネットリーチャブルなIPv6アドレスが割り当てられるときも同様に半固定。IPv6アドレスが変わるたびにtelnetログオンしてパラメータ書き換えるって、、、、そんなことやりたいSIerはいないよ。ってことでこれはネクスト網内でだけ使えるIPv6ネームを使ってクリアするのが簡単で確実っぽい。
(追記: IPv6ネームが使えるのはIPsecの時だけ。IPIPではネームは使えないから、IPv6アドレスが変わったらあきらめよう。)


さすがに有料のソリューションはIPv6アドレスが半固定の問題をクリアしているようですが、無料のソリューションのうちいくつかは、クリアしていません。

有料のソリューション
「IPv6を利用してインターネットVPNを効率化」(大塚商会。ルータはYAMAHA)
http://www.otsuka-shokai.co.jp/corporate/release/2012/120126.html

「IIJが新インターネットVPN、NGNのIPv6活用で回線料金を節約」(ルータは当然自社のSEIL) 2012/04/24
http://itpro.nikkeibp.co.jp/article/NEWS/20120424/393108/

「 NTT のフレッツ・サービスの網内 IPv6 通信のサポート」(softether社なのでルータはやっぱりソフトウェアか。)
http://www.softether.co.jp/en/vpn3/vpn4beta/5.aspx


無料のソリューション
古河電工 FITELnet を対向で使える。(IPv6アドレスが変わってもネームを使うので安心)
http://www.furukawa.co.jp/fitelnet/product/f200/setting/detail/square_next_ipv6_ipsec.html

富士通 Si-R Gを対向で。(IPv6半固定なのを解決する提案はなし)
http://fenics.fujitsu.com/products/technical/example/internet-vpn/internet-vpn16.html

NEC UNIVERGE IX2000/IX3000シリーズ(やっぱりNECの設定例も、IPv6半固定なのを解決する提案はなし)
フレッツ 光ネクスト向け IPv6 VPN接続 設定ガイド(IPv6 IPoE)
http://jpn.nec.com/univerge/ix/Support/ipv6/native/ipv6-vpn_r.html
http://jpn.nec.com/univerge/ix/Support/ipv6/native/ipv6-vpn_d.html


YAMAHAを使ってIPv6でVPNを張ってIPv4通信してみる
設定例は本家サイトに出てないけれど、ググると早くも2011年12月にやっている人がいたので、基本的に手順をそのままなぞって先月うまくいったので記録しておく。
記事:「IPv6 IPsec」
http://seiyan.asablo.jp/blog/2011/12/13/


主な仕様はこのとおり
 ・ひかり電話なしでONU直下にRTXを設置する場合 / ひかり電話ありでHGWの下にRTXを設置も設定は同じ。
・ひかり電話ありでONU直下にRTXをHGWと並列に設置する場合はipv6の設定の仕方がちょっと違う、下の方に追記します。
・動作確認はRTX1100/RTX1500/RTX1200/RTX3000。
・IPv6アドレスはIPで指定しなくても、MLでヤマハさんがv6ネームでできるよって教えてくれた。ipsecでは IPv6アドレスの代わりにネームをこのように指定できる。繰り返すけれどIPIPではネームは使えないのでIPv6アドレス指定する。
ipsec ike remote address xxx.p-ns.flets-west.jp


ほか細かな点

・IPv6オプションだけの網内IPv6アドレスの拠点と、プロバイダからIPoEでもらった正式なグローバルなIPv6アドレスの拠点同士も問題なく通信できる。
・IPv6アドレスは YAMAHAで show ipv6 address で確認できる。
・ipsec sa policy は3des-cbc md5-hmacを使う。ファストパスのページには、3desもaesもハードウェア実装していてどっちもファストパスに入ると書いてはあるが、IPv4 over IPv6 ipsecがノーマルパスになってただでさえ遅いRTX1500ではaes-cbc sha-hmac だとさらに遅くなる。早い話CPU処理になるとaesの負荷は3desよりも高いんだろう。ヤマハの2015/Jul/23に更新されたFAQページには今でも「基本的には、3DES-CBCの利用をお勧めします。」となっている。

YAMAHA|ファストパス
http://www.rtpro.yamaha.co.jp/RT/docs/fastpath/

YAMAHA FAQ|暗号アルゴリズムには何を用いたら良いですか? (2015/Jul/23)
http://www.rtpro.yamaha.co.jp/RT/FAQ/IPsec/normal-encryption-algorithm.html


それからほんとに細かいことだけど
・切れた時メンテのためにtelnetを互いに許可しておく。
・例ではVPN間はフィルタしてない。NetBIOSのフィルタが必要なら入れたりする。
・natタイマーのデフォルトが長いので短くしている。


RTXの設定例
対向拠点の設定は192.168.1を192.168.0に入れ替えるだけで同じ。
show configで出てくる順をちょっと見やすく項目別に並べ替えた。

<IPv4LAN関係>
ip route default gateway pp 1
ip lan1 address 192.168.1.1/24
ip filter source-route on
ip filter directed-broadcast on
ip route 192.168.0.0/24 gateway tunnel 1

<トンネル1とトンネル2を自動切替する場合。IPIPは一度切れるとなかなかトンネル回復しないので必須の設定。例えばどちらかの拠点のルータを再起動するとIPIPトンネルは数分切れたままになってこわい。この設定を入れておくことで5秒おきにpingをとばして5回切れていればトンネル2に切り換わり、トンネル1が復帰すれば数秒でトンネル1に戻るので、何かの理由で切れても最大30秒程度にできる。>
ip route 192.168.0.0/24 gateway tunnel 1 keepalive 1 gateway tunnel 2 weight 0
ip keepalive 1 icmp-echo 5 5 192.168.0.1

<IPv6関係>
念のためLAN2側にフィルタ入れてあります。インターネットリーチャブルなIPv6をもらっていなければ省略してもいい、スループットは1割ほど上る。
ipv6 prefix 1 ra-prefix@lan2::/64
ipv6 lan1 address ra-prefix@lan2::1/64
ipv6 lan1 rtadv send 1 o_flag=on
ipv6 lan1 dhcp service server
ipv6 lan2 secure filter in 1030 1031 1032 1033 1034 1035 2000
ipv6 lan2 secure filter out 3000 dynamic 100 101 102 103 104 105 106
ipv6 lan2 dhcp service client ir=on

<IPv4プロバイダ認証>
pp select 1
 pp always-on on
 pppoe use lan2
 pppoe auto disconnect off
 pp auth accept pap chap
 pp auth myname USER PASSWORD(プロバイダーの認証IDとパス)
 ppp lcp mru on 1454
 ppp ipcp ipaddress on
 ppp ipcp msext on
 ip pp mtu 1454
 ip pp secure filter in 1020 1030 1031 1040 1041 1042 1050 2000
 ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106
 ip pp nat descriptor 1
 pp enable 1

<トンネル1  メインで使う。IPv6-ipsecの場合>
tunnel select 1
 ipsec tunnel 1
  ipsec sa policy 1 1 esp 3des-cbc md5-hmac
  ipsec ike keepalive log 1 off
  ipsec ike pre-shared-key 1 naishonokey
  ipsec ike remote address 1 xxx.p-ns.flets-west.jp (対向ルータに割り当てられたIPv6アドレスまたはIPv6ネーム)
 ip tunnel tcp mss limit auto
 tunnel enable 1

<トンネル1  メインで使う。IPv6-IPIPの場合。>
tunnel select 1
 tunnel encapsulation ipip
 tunnel endpoint address IPv6アドレス(対向ルータに割り当てられたIPv6アドレス)
 ip tunnel tcp mss limit auto
 tunnel enable 1

<トンネル2 保険。IPV4-ipsec>
tunnel select 2
 ipsec tunnel 2
  ipsec sa policy 2 2 esp 3des-cbc md5-hmac
  ipsec ike keepalive log 2 off
  ipsec ike keepalive use 2 on
  ipsec ike local address 2 192.168.1.1
  ipsec ike pre-shared-key 2 naishonokey
  ipsec ike remote address 2 (対向拠点で契約している固定グローバルIPv4アドレス)
 ip tunnel tcp mss limit auto
 tunnel enable 6

<フィルタの定義>
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 reject 192.168.1.0/24 *
ip filter 1030 pass * 192.168.1.0/24 icmp
ip filter 1040 pass * 192.168.1.1 udp * 500
ip filter 1041 pass * 192.168.1.1 esp
ip filter 1042 pass * 192.168.1.0/24 gre
ip filter 1050 pass xxx.xxx.xxx.xxx * tcp * telnet (対向拠点で契約している固定グローバルIPv4アドレス)

ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * tcp
ip filter dynamic 106 * * udp

<NATの定義>
nat descriptor type 1 masquerade
nat descriptor timer 1 300
nat descriptor timer 1 protocol=udp port=domain 30
nat descriptor address inner 1 auto
nat descriptor masquerade incoming 1 reject
nat descriptor masquerade rlogin 1 on
nat descriptor masquerade static 1 1 192.168.1.1 udp 500
nat descriptor masquerade static 1 2 192.168.1.1 esp

nat descriptor masquerade session limit 1 1 500

<IPv6のフィルタ定義>
ipv6 filter 1010 reject * * udp,tcp 135 *
ipv6 filter 1011 reject * * udp,tcp * 135
ipv6 filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ipv6 filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ipv6 filter 1014 reject * * udp,tcp 445 *
ipv6 filter 1015 reject * * udp,tcp * 445
ipv6 filter 1030 pass * * icmp6 * *
ipv6 filter 1031 pass * * tcp * ident
ipv6 filter 1032 pass * * udp * 546
ipv6 filter 1033 pass * * esp
ipv6 filter 1034 pass * * udp 500
ipv6 filter 1035 pass * * 4       #IPIPのプロトコル4を通すフィルタ
ipv6 filter 2000 reject * * * * *
ipv6 filter 3000 pass * *
ipv6 filter dynamic 100 * * ftp
ipv6 filter dynamic 101 * * domain
ipv6 filter dynamic 102 * * www
ipv6 filter dynamic 103 * * smtp
ipv6 filter dynamic 104 * * pop3
ipv6 filter dynamic 105 * * tcp
ipv6 filter dynamic 106 * * udp

<ほか>
ipsec auto refresh on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.1.200-192.168.1.240/24
dns private address spoof on
schedule at 1 */* 01:35 * ntpdate ntp.jst.mfeed.ad.jp

<DNS>
# IPv4はプロバイダのIPv4DNS、IPv6はネクスト地域網のIPv6DNSを使う。v6オプションの申し込みだけでプロバイダからIPoEでIPv6をもらってない時はこれ。
dns server select 1 dhcp lan2 aaaa .     *
dns server select 2 pp 1 any . restrict pp 1     *

# IPv4/IPv6ともにネクスト地域網のIPv6DNSを使う。IPoE-IPv6対応プロバイダからインタネットリーチャブルなIPv6アドレスをもらっている時はこれでも良い。
dns server dhcp lan2



追記:DNS名前解決とv6ネームについて (2014/12/29)

設定例をアレンジしていると、v6ネームが引けくなる時があります。たとえば
dns server pp 1


とするとv6ネームが引けません。どうしてかというと、xxx.p-ns.flets-west.jp(西日本)なv6ネームをプロバイダーのDNSサーバは名前解決できないからです。 v6ネームの名前解決ができるのは、NTTフレッツ網が提供しているDNSサーバだけです。

niftyなんかでプロバイダーがIPv6 IPoEに対応していて、インターネットリーチャブルなIPv6をもらっている場合は
dns server dhcp lan2
で、フレッツ網から取得したIPv6のDNSが、IPv4もIPv6もフレッツ網内のホスト名もグローバルなホスト名もなんでも答えます。DNSSECにも対応しているし、ネットワーク的にも近いしでいうことなしです。

でもv6オプションを申し込んだのみでは、フレッツ網から取得したIPv6のDNSは、NTT網内ホストの名前解決するだけで、グルーバルなホスト名についてはIPv4もIPv6も答えません。フレッツ網のDNSサーバは、クライアントのIPv6アドレスを見ていて応答の仕方を変えているようです。


WEBページ見れないじゃん。と
dns server pp 1
に設定を変えると、WEBページは見れるようになりますが今度はv6ネームが引けません。


正解は、IPv6はフレッツ網のDNSを使い、IPv4はプロバイダーのDNSを使います。
http://www.rtpro.yamaha.co.jp/RT/FAQ/FLETS-HIKARI-NEXT/hikari_tv.html
 dns server select 1 dhcp lan2 aaaa .
 dns server select 2 pp 1 any . restrict pp 1

dns server selectコマンドについて詳しくはこちら。
http://www.rtpro.yamaha.co.jp/RT/manual/rt-common/dns/dns_server_select.html




追記:ひかり電話ありで、ONUの直下にHGWと並列にRTXを置きたい場合 (2015/06/23)

次のように設定を変更します。IPv6アドレスの値はRTXにログオンし show ipv6 address コマンドで確認します。
HGWのLANに最初の/60が使われるので、RTXのLANにはそれと重複しないように+10か+20します。これを忘れると最初は通信できていても途中で通信が切れます。

ONU直下に置いてもHGWの下に置いても速度差は誤差程度だったので、速度面でのメリットはないですが、どうしてもという場合はこのようにします。例では+20しています。

<IPv6関係>
ipv6 route default gateway dhcp lan2
ipv6 prefix 1 2001:xxxx:xxxx:(取得値+20)::/64

ipv6 lan1 address 2001:xxxx:xxxx:(取得値+20)::1/64
ipv6 lan1 rtadv send 3
ipv6 lan1 dhcp service server

ipv6 lan2 address dhcp
ipv6 lan2 secure filter in 1030 1031 1032 1033 1034 1035 2000
ipv6 lan2 secure filter out 3000 dynamic 100 101 102 103 104 105 106
ipv6 lan2 dhcp service client
ngn type lan2 ntt


これはどういうことかというと、
ひかり電話なし
ONU直下 /64
2001:xxxx:xxxx:1200::


ひかり電話あり
ONU直下 /56
2001:xxxx:xxxx:1200::
           |
2001:xxxx:xxxx:12ff::

HGW下 /60
2001:xxxx:xxxx:1200::
           |
2001:xxxx:xxxx:120f::

と割り当てられる。


参考
IPv6レンジ計算ツール
http://yamagata.int21h.jp/tool/cidrcalc/ipv6.cgi?

SEIL で NGN IPv6 ネイティブ (IPoE) 接続を試す
https://www.seil.jp/community/node/33
>ひかり電話がある場合、ONUの下にホームゲートウェイ(HGW)と呼ばれる機器が設置されます(ONUとホームゲートウェイが一体型の場合もあります)。この場合、ONU配下には/56のプレフィクスが配布されてきますが、さらにその先のホームゲートウェイではそれが /60 に分割されて配布されます。



追記:IPsec/IPIPトンネルでの最適なMTU (2015/10/6)

YAMAHAのトンネルのデフォルトはMTU=1260と小さめになっている。
これをその回線で使える上限まで上げることで、1割から2割ほど速度を上げられる。ルータのCPU負荷が上るしきい値が上がるようだ。たとえば1260/1460=1.16になるので比例している?

ただし回線で使えるMTUを越えて設定すると数十Mbps〜数百Kbpsに急激に下がる。NECのIX
シリーズでIPv4 over IPv6トンネルするときのトンネルのMTUは1500でいいとか書いてあったが、YAMAHAには設計の違いなのか当てはまらないので注意。しかし、たかだか1割か2割のアップのため設定をミスって逆に失敗するくらいならデフォルトの1260のままでも良いかもしれない。
以下3DESで設定して上限を調べた。IPsecトンネルの最大値は3DESとAESで違うので注意。


テスト方法(ip tunnel mtu 1500 と設定しておく)
ping -c 1 -M do -s 数値 IPアドレス
得られた数値+28が、MTU値。

最大MTU値
ネクストIPoE-IPv6回線のMTU:1500     ipv6-ipv4 over IPIPトンネルのMTU:1460    ip tunnel mtu 1460
ネクストIPv4回線のMTU:1454          IPv4 ipsec 3DES-CBCトンネルのMTU:1398     ip tunnel mtu 1398
光プレミアムIPv4回線のMTU:1438       IPv4 ipsec 3DES-CBCトンネルのMTU:1382     ip tunnel mtu 1382

*pingの対象は相手先サーバにしてテストします。pingの対象が相手ルータだと回線MTU値までトンネルでもpingが通ってしまうことがあるので注意。

*ネクストのIPv6のMTUは1500。
http://www.ntt-west.co.jp/info/katsuyo/pdf/10/tenpu20_1.pdf




まとめ

同一県内だとで7-9msのVPNが張れます。もしIPv6で作ったトンネルが切れるとき、iPv4で作ったもうひとつのトンネルのバックアップに切り替わって 30-40msになります。

pingの数値と実際の転送速度は比例していないので注意します。

拠点によってひかり電話があったりなかったり環境が違う場合、設定をアレンジしてあげればつながります。

HGWのあるなしによる速度変化について
RTXをHGWの下に置くのと、ONUの直下にHGWと並列にしても転送速度の影響はありません。

NTTフレッツ網から割り当てられる網内IPv6アドレスはひかり電話を申し込んだり解約しても、うちの環境ではマスク値が変わっただけで変わりませんでした。フレッツの速度契約を100M<->200M<->1G隼を変えてもやっぱりアドレスは変わらなかったので、v6ネームを使わずアドレス直接指定でも、トンネルの自動切替がなくても大丈夫そうです。

ルータ再起動時にv6通信がしばらく不安定になるのが気に入りません。

IPv6の時間帯による速度変化について
IPv6-IPIPのトンネルは意外と時間帯によって上下があります。ネクストのIPv6の帯域も時間帯によって変動があるようです。


今回の趣旨と違いますが、IPv4が動的な拠点はいったん切れるとすぐ再接続してくれないときがあるので、IPv4を使ってYAMAHAでVPN張るなら固定なIPv4を契約しておくのがおすすめです。

またIPv4を使ったipsec-VPNのプロバイダーとしてはインターリンクがおすすめ。センターまで行かずに県内?局内?で折り返し通信してくれますので、速度もping遅延も小さくて良いです。インターリンクを使っていればVPNを張るのにIPv6を使うのもIPv4を使うのもほとんど性能的な違いはありません。
とはいえプロバイダを使って大容量通信をすると通信規制がかかるので IPv6の折り返し通信を使うメリットはあるでしょう。

大塚商会さんはIPv6アドレスを書き換える(例のLunaスクリプトでも使ってるのかな)サービスで14,000/月もらってるんだ。販売目標初年度1000件ってどんだけ売れたんだろ。いいなぁ。。。。

ちなみにフレッツ網(西日本)のDNSサーバのアドレスは2001:a7ff:5f01::a と 2001:a7ff:5f01::a です。ONU直下だとこのアドレスが直接RTXにふってきます。HGWの下にRTXを置くとRTXにはHGWのアドレスがふってきます。

2013年5月30日木曜日

ネクストのホームゲートウェイ(HGW)にL2TP/ipsecが付いたっぽい


いつから付いたんだろうって西日本のサポートページを確認すると、2013/3/28のバージョンアップからだった。

L2TP/ipsecでつなごうとYAMAHA RTX1200/RTX810なんかでみんな頑張ってたけど、自宅に端末をつなぐだけならルータ買わなくていいじゃん。iPhoneなんかそのまま繋がってひかり電話の子機にして通話できたし、Windows8からも繋がってしまった。

まずVPNサーバ機能を有効にする。


適当なユーザを登録する。


表示をクリック。


事前有効鍵をメモして、あとは、グローバルIPを調べて、iPhoneやWindowsからつなげるだけ。
iPhoneはL2TPを指定。Win8はここの設定のようにしたらいけた。
https://vpn-ninja.net/win8_2.html

レジストリの修正が必要なのは モバイルルータなんかでプロバイダーからプライベートアドレスが配布される環境でだけなのかな、お互いフレッツ環境だと必要なかった。

日常的にリモートVPNが必要なら、固定IPを使うか適当なダイナミックDNSを使おう。

2013年1月17日木曜日

Windows Server 2012/Windows Server 2008R2 で動くフリーのアンチウィルスソフト

#2016/02/18更新

結論
・ 2012にはAvast for Business Free がおすすめ。でも登録が必要なので長期間動かすPCに。
・ 2008R2には、MS Security Essentialsが手軽でおすすめ。Server 2012にはSystem Center 2012 Endpoint Protection 180日試用版のクライアントソフトが期限後も動くと話題で、見た目もSecurity Essentialsそっくりですが180日過ぎたら消しましょう。
・ Clam系の無料アンチウィルスはファイルの検知のみで、ブラウザから感染するウィルスには無力で役に立ちませんからそのつもりで。



 早いもので2016年も2ヶ月が経って、新しいサーバOSの情報も出てきましたが、Windows Server 2016からはWindows Defenderが標準になるらしく、これでサーバも安心して使えそうです。

 それはともかく、radiusのテスト用Windows Server 2012にSecurity Essentialsが入りません。Server2008にはインストールできたのですが。忘れていました、Windows8からWindows Defenderに変わっていたのでした。それでは2012でもWindows Defenderが追加できるのでしょうか?いいえ、そのような機能の追加は用意されていませんでした。そんなわけもあってフリーのアンチウィルスソフトが2012と2008R2にインストールして使えるか試してみました。

 ComodoもサーバOSではインストールできなかった。


2013年1月と2016年2月にテスト
種類2008R22012
MS Security Essentials
MS System Center 2012 Endpoint Protection SP1未トライ
Comodo Antivirus未トライ
avast for business Free
avast 無料個人向け
AVG 2013 Free
Avira antivirus free
(Clam系)ClamWin未トライ
(Clam系)ClamAV(Windows GUIなし)未トライ
(Clam系)Immunet Antivirus未トライ
(Clam系)Gred Antivirusアクセラレータ(Immunetの日本語化版)未トライ



avast for business Freeについて

この中では2015年5月から使えるようになった avast for business Freeが、ライセンス的に気兼ねなく使えて良いと思います。

使い方
TOPページから普通にログインすると個人向けのavastにログインしてしまいますから、必ずメニュー→ビジネス→クラウド型管理→企業用アバストと辿って、この画面が表示されると正解です。
https://www.avast.co.jp/avast-for-business



ブラウザはchrome推奨ということらしいです。「今すぐサインアップ」でアカウントを作ります。すでにアカウントを持っていても、なぜかここで「ログイン」をクリックしても進みませんから、「今すぐサインアップ」→「既にアカウントをお持ちですか?ログイン」に進めばログインできます。



ログインするとダッシュボードが表示される。よくある企業用のアンチウィルスソフト管理コンソールのようでここに管理下のPC一覧が表示される。これが無料とは驚きます。Add New Devicesをクリックし、インストール用実行ファイルをダウンロードします。


インストール用リンクを送ることもできます。



さてインストールが済んだら、このダッシュボードに新しいデバイスが「未アクティベート」のPCとして追加されるので、アクティベートボタンを押せばOKです。たまにダッシュボードがバグる日があります。PC一覧が出ないのですが特にクライアントに異常は出ていません。無料でここまで使えるわけですから、そういうものと割り切りが必要です。





Clam系

有名なオープンソースのClamエンジンに、リアルタイムファイル監視機能とWindowsのGUIを付けただけのような、ウィルスファイル検出ソフトです。
ファイルサーバの共有フォルダのウィルススキャン用にと割りきって使うこと。これを入れているからと安心してインターネットブラウジングを楽しんではいけません。

今回アンチウィルス・クライアントソフトとしてどこまで使えるのか気になったので、改竄されたWEBサイトの閲覧でウィルス感染させるタイプのウィルスを検知するか、検証環境を作ってテストしたのですがClam系はどれも検出しませんでした。Symantecやマカフィーやトレンドマイクロの市販ソフトは検知しますし、無料で有名なAVGやavastも検知しますから、機能で劣るといって間違いありません。


*ClamWin
開 発元:オープンソースプロジェクト。企業のしがらみがないのがメリットです。残念ですが機能はハードディスク上のファイルをスキャンして隔離/削除するだけのようです。パターンファイルのダウンロードが表示されますが、サイトに接続できずエラーが出て何度かリトライしてやっとダウンロードが完了することもしばしば。ほっておけばいつの間にか終わっているので、使うときはささいなことを言わないようにしましょう。
https://osdn.jp/projects/clamwin/ からclamwin-0.99-setup.exe(2015-12-22版)をダウンロードする。




*Clamav
開発元:clamav社。CISCOに買収されています。Windows GUIなしのコマンドラインプログラム。今回インストールのみで動作チェックはしていません。
http://www.clamav.net/downloads から clamav-0.99.1-beta1-win.zip(2016/02/04版)を取得します。




*Immunet Antivirus

開発元:Immunet社。同じくCISCOに買収されています。
「Cloud Detectioin Engine」としてETHOSとSPEROというエンジンが、インストールしたユーザから集めたウィルス情報をデータベースとしてクラウドに置きローカルに持たないので動作は軽いです。ユーザが多ければ多いほど検出精度が高くなると謳っていて、インタフェースにオンラインのユーザ数が表示されますが、2016年2月の 時点で約1200万らしいです。
「ClamAV Detection Engine」はインストール後ONにもできるのですが、デフォルトはOFFにされているのはやはり、clamのデータベースサイトが遅いことに起因しているのでしょうか。それとも検出率からもクラウドエンジンにclamエンジンは劣っているのでしょう。スタートアップファイルやレジストリをスキャンする機能が付いていたり、過去数カ月のウィルス検出の履歴を確認できるのは安心できます。ユーザ登録が必要とホー ムページには書いてあるように見えるのですが、登録しなくても使えます。
有償版Plusにアップグレードすると別のエンジンが有効になるらしいのですが、どこまで使えるアンチウィルスソフトになるのか不明です。
http://www.immunet.com/ から ImmunetSetup.exe を取得します。


インタフェース。広告が出ます。



*Gred Anivirus アクセラレータ
開発元はSecureBrain社。
Immunet AntivirusをSecureBrain社が日本語化したもの。広告が差し替えられているほか、本家Immunet版はアーカイブファイルのスキャンを無料オプションで選べるが、Gred版は有償オプションという違いがあります。それ以外はバージョン表記をはじめ同じようです。
本家と同じく有償版にアップグレードするとエンジンが増えるというものでしたが、SecureBrain社はPlusの販売を終了。しかしそのままフリー版の配布を継続しているのがこれです。Immunet 社はユーザ数が欲しいことが影響しているのかもしれません。

SecureBrain社のトップページからのリンクは外されていますが
公式ページ http://www.securebrain.co.jp/support/gredavx/ から中ほどの「ダウンロード」をクリックすると http://inline.securebrain.co.jp/gredavx/GredAVSetup.exe を取得できます。



インタフェース。やはり広告が出ます。






Microsoft System Center 2012 Endpoint Protection

最後に紹介するのはこちら。Microsoft System Center 2012 Endpoint Protection。System Centerが何かはこのatmark-ITのページに紹介されていますが、一連の機能からなる統合管理ソフトです。
http://www.atmarkit.co.jp/ait/articles/1209/20/news142.html

このうちEndpoint Protection の180日評価版をダウンロードして、解凍して出てきたクライアントソフトをインストールすると、なぜか180日を超えても動いてるじゃないかとあちこちのBLOGで紹介されています。見た目も中身もSecurity Essentialsとほぼ同じものらしく、機能的には十分で、もちろんWEB改竄してウィルス感染させるタイプも検出します。

ダウンロードはここから。
https://www.microsoft.com/ja-jp/server-cloud/system-center/endpoint-protection-2012.aspx





そのままインストールするのではなく解凍して SMSSETUP\CLIENT\SCEPInstall からセットアップ実行



Essentialsとそっくりな画面が出ます。




以上です。