戯言雑記

  TUF Gaming AX3000(中古）を買った(3)- 9/11/2022  でOpenVPNで繋げそうと言う話だったのをさらに進めたら、openVPNでとりあえずの拠点間接続ができた。 まずはすでにSoftetherでルーティングができるサーバーがあることを前提に 例えばAX3000が192.168.1.0のルーターとして192.168.1.1としてネットワークにを構成していて、そのルーターとなっているとする。 まずSOftetherでOpenVPNを有効にする。ポートはなんでもいいと思う。 OpneVPNクライアント用サンプル設定自動作成ツールでファイルを生成してダウンロードする。 AX3000のVPNフュージョンで 設定内容に適当にわかりやすい名前 ユーザー名には、Softetherでハブに設定したユーザーを登録、登録形式は「ユーザー名@ハブ名」 パスワードは、設定したパスワード で、落としてきたOpenVPN_Sample_Config_を解凍して、*openvpn_site_to_site_bridge_l2.ovpnをアップロード、で接続できる。 次にLANのルーティングテーブルを設定すると、通信できるようになる。 例えば、上の例だと別ネットワークへのルーティングを192.168.1.254に設定してやると良い。 通信速度は　TCPで50Mbpsくらい、UDPだと60Mbpsくらいでている。 ラズパイ3のsoftetherより遅い気がするが、とりあえず、VPNだけだと、三個あるCPUコアの一つが80％くらいか。まあ、わりと便利かも。IPsec（L2TP)でもつなげれるようながするが、それはまた別だね。 とりあえずSoftetherは神ソフトだな

 softether とyamaha RTX-1210 のL2TP接続。なんかうまくいかないので調査 無防備のubuntuにsoftetherインストールしたときにnmap は PORT     STATE SERVICE 22/tcp   open  ssh 443/tcp  open  https 992/tcp  open  telnets 5555/tcp open  freeciv 500/udp  open          isakmp 514/udp  open|filtered syslog 631/udp  open|filtered ipp 4500/udp open|filtered nat-t-ike 5353/udp open|filtered zeroconf 500と4500が問題か  問題のサーバーは、500と4500だけスキャン 500/udp  open          isakmp 4500/udp open|filtered nat-t-ike あいてるね  でもつながらない。 ファイヤーウオールをオフにするとつながるけど、特定アドレスからのすべての通信を通してもだめ、何でだろう。 ふとお思ったがの、外部をマルチホーミングにしたこと（softetherの動いているPCのファイヤーウオールのログを見ていて気づく） LAN内のIPアドレスによって接続先のプロバイダーを切り替えて，負荷分散をする。 のだが、softetherの動いているPCのファイヤーウオールのログを見ていると、見知らないIPからUDP:500に定期的にアクセスがある。気持ち悪いと思って見ていた。アドレスを探すと、最初はNTT系のIPで四国からのアクセスってでていた。さらに気持ち悪かったのだが、さらにIPアドレス検索すると、付近のIPでNTT。。。。！！！ マルチホームにしたときに、設定としてはプロバイダーAから出ていると思っていたが、実はプロバイダーBから出ているのではないか。 でRTX...

 時間もたったので、再度Raspberry PiにSoftetherをインストールする時の記録 以前は「 Raspberry PiでSoftether Bridge 」こちら、リンク先が消えていたりするので書き直し まず Softetehrのページ から「Softether VPN(Freeware)」→「SoftEther VPN Bridge」→「Linux」→「ARM 64bit(64bit)」を選択。今回はRaspberry PiのOSを64bitにしたので、前回とは異なる 基本的にはSoftEtherのこのページ通り ダウンロードしたファイル（softether-vpnbridge-v4.38-9760-rtm-2021.08.17-linux-arm64-64bit.tar.gz　バージョンによってファイル名は変わる）をraspberry Piの適当なディレクトリにコピー（ユーザーのHOMEディレクトリで良いと思う） tar zxvf softether-vpnbridge-v4.38-9760-rtm-2021.08.17-linux-arm64-64bit.tar.gz で展開、vpnbridge ディレクトリができるので cd vpnbridge make でmakeが始まる。ちょっと待つと終了する。特に何もすることは無い  cd .. sudo mv vpnbridge/ /usr/local ls -l /usr/local/ vpnbridge / cd /usr/local/vpnbridge/ chmod 600 * chmod 700 vpncmd chmod 700 vpnbridge 「 vpncmd の check コマンドによる動作チェック 」があるが、それはリンク先のページで exitで終了できる /etc/systemd/system/softether-bridge.service の作成 [Unit] Description=Softether VPN Bridge Service After=network.target [Service] Type=forking User=root ExecStart=/usr/local/vpnbridge/vpnbridge st...

NEC Aterm WG2600HSは静的ルーティングに対応していないことが明らかになった． 最上位のAterm WG2600HP3の機能表には静的ルーティングがあるが https://www.aterm.jp/product/atermstation/product/warpstar/wg2600hp3/function.html それ以下の機種にはない． https://www.aterm.jp/product/atermstation/product/warpstar/wg2600hs/function.html その昔はNECの中位のルーターにもあったが，現在のシリーズだと最上位にしかないらしい．どうせと思って安いのを買ったのが失敗だった．回避策をかんがえねば

munin　（softether経由だと）うまく動かないのか munin　（softether経由だと）うまく動かないのか2 munin（softether経由だと）うまく動かないのか3 SNMPは大丈夫 で問題になったsoftether経由のmuninでのデータ取得だが，どうもルーティングの問題だったようだ．Wimaxのルーターは　HOME01はルーティングの設定ができなかった． で．ラズパイのルーティングテーブルいじって対応していた，ちゃんとPing，tracerouteが通ることを確認していたのだがどうしても取得できなかったが，wimaxルーターから光回線に変化して，ルーターの静的ルーティングを設定しただけで，muninが通信できるようになった．SoftEtherさん疑ってごめんなさい．

こちらで解決（2019.11.29追記） munin（softether経由だと）うまく動かないが SNMPは大丈夫のようだ．うそ なにがだめなんだ！！！！

こちらで解決（2019.11.29追記） softetherの先のmunin-nodeから情報をうまくいかない。 muninサーバーからtelnet サーバー名 4949　で接続可。 list コマンド可 fetch コマンド可 なのにmuninがグラフにならない 理由がわからない。

使うのはEABI 32bit版 基本は http://blog.starstonesoft.com/?p=555 と https://qiita.com/kumasun/items/6fd9ddafc8ea6278f088 でOK。 ただし、接続されるだけなので、eth0をtapとブリッジする必要あり。 /etc/network/interfaces で eth0 とtapを bridgeする auto br0 iface br0 inet manual         bridge_ports eth0 tap /etc/dhcpcd.conf で固定ipアドレスを付与 denyinterfaces eth0 interface br0 static ip_address=192.168.x.x/24 #static ip6_address=fd51:42f8:caae:d92e::ff/64 static routers=192.168.x.x static domain_name_servers=192.168.x.x とする。 ルーティングを追加する sudo route add -net 172.16.0.0 netmask 255.255.255.0 gw 192.168.y.y sudo route add -net 192.168.0.0 netmask 255.255.255.0 gw 192.168.y.y 192.168.y.y はサーバーで作成した仮想NIC ただし。静的ルーティングの追加がわからなくなったのでwebminで追加 で再起動 ルーターの静的ルーティングも忘れずに設定

SoftEther VPNのページの内容(https://ja.softether.org/4-docs/2-howto/Other_VPN_Appliance_Setup_Guide/9-yamaha-rtx-l2tpv3 )で基本問題ないが一部舌足らずな点もあるので、追加しておく。 lan1とtunnel1をブリッジしてbridge1を作る。そのために「LAN1」という項目が利用できなくなる。その結果、一般的な設定である sshd host lan1 httpd host lan1        ip lan1 proxyarp on の設定をbridge1にする必要がある。これをしないと。 ・SSHで接続しようとしてもアクセス拒否をうける。 ・webコンソールにアクセスしようとしても表示されず。 ・pptpやl2tpでリモートアクセスを許可していても、VPNには接続されるのにVPNで接続したネットワークの内部と通信できないということが起こる。 sshd host bridge1 httpd host bridge1        ip bridge1 proxyarp on に変更する必要がある。 現在softethrとRTX-1210でl2tpv3で拠点間VPNができるようになった。 正しいかどうかは別にして以下の様に接続されている。Softether設置サーバー内にL3仮想スイッチを設置、別ネットワークのスイッチをルーティングしている。 https://ja.softether.org/4-docs/1-manual/A/10.6 の方式をとっている。 実験用ネットワークなのでRTX-1210とsofetherは物理1Gbpsのネットワークでつながっている。サーバーはかなり古い約10年前のAthlon X2搭載HDDのデスクトップPCを使っている。 それで、1Gbpsのネット経由でRTX-1210を経由してsambaで10.0.0.xがわにアクセス。時代だね。300Mbps程度の性能 同じサーバーに192.168.5.21でアクセスすると100Mbps手度の性能まあ、まあか。ただしこのときのRTX-1210のCP...

softetherで仮想レイヤ３スイッチのポートの仕様なのか、謎の挙動。 以下の様な構成の仮想ネットワークを構築 ubuntu-testにsoftetherをインストール仮想NICとしてtapを１つ追加仮想ハブとローカルブリッジしている。 この環境でubuntu-testからpingを172.16.2.1、172.16.20.1に投げると帰ってくる。 なのに、192.168.2.0/24の端末から172.16.2.20、172.16.2.1、172.16.20.1にpingを投げても帰ってこない。（当然ubuntu-testの/etc/sysctl.confのnet.ipv4.ip_forward = 1である。） ところが、仮想ハブ内に「仮想NATおよび仮想DHCPサーバー機能」の「SecureNAT」で 仮想ホストのネットワークインターフェイスを有効にすると、このインターフェスへのpingは返してくれる。例えば172.16.20.200にすると192.168.2.0から172.16.20.200へはpingが通るという謎。

softether起動時にルーティングテーブルとtapデバイスにipv4(ワイズリマインダー) 1．Softether Server をubuntuにインストール 2．/etc/systemd/system/vpnserver.service を作成 自動機同様のファイルを作成 　　[Unit] 　　Description=SoftEther VPN Server 　　After=network.target local-fs.target 　　[Service] 　　Type=forking 　　ExecStart=/usr/local/vpnserver/vpnserver start 　 　ExecStartPost=/usr/local/vpnserver/tap_start.sh 　　ExecStop=/usr/local/vpnserver/vpnserver stop      [Install]      WantedBy=multi-user.target 3．/usr/local/vpnserver/tap_start.sh　の作成 　　#!/bin/sh 　　 　　sleep 3 　　       #NIC名をtap_devに格納 　　tap_dev=`/sbin/ip tuntap | awk -F: '{print $1}'` 　　if [ -n "$tap_dev" ]; then 　　　#dhclient $tap_dev       #DHCPでもらうとき          #固定IPで設定する場合          sbin/ip addr add 172.16.2.20/24 dev $tap_dev          #ルーティングを追加          sbin/ip route add 172.16.20.0/24 via 172.1...

ブリッジするとsoftether側のDHCPが実ネットに流れてえらいこっちゃなのでフィルタリングの方法を探す フィルタリングはユーザーごとで行われる。 仮想ハブを開き。ユーザーの管理、対象ユーザーをダブルクリック、セキュリティーポリシーをクリック、 DHCPパケットをフィルタリング(IPv4) DHCPパケットをフィルタリング(IPv6) を有効にする。 https://qiita.com/t-ken/items/c43865973dc3dd5d047c

http://rauq04.blogspot.com/2014/02/linux-softether-vpn-client-vpngate.html クライアントのインストールは基本Serverと一緒  Softether Clientを/tmpにダウンロード 　　cd /tmp 　　tar -xvf softether-Client-(version).tar.gz 　　cd vpnclient/ セットアップコマンど実行 セットアップしただけではNICができないので、コマンドでNICを作成 /usr/local/vpnclient でvpncmdを実行　./vpncmd 2番の　VPN Clientの管理を選択 NICを生成 >  NicCreate 名前を入力、できあがったNICはVPN_名前になる 以下のコマンドで設定ができる >　AccountCreate 接続の名前： 接続先のHUBの名前： 接続するユーザー 使用するLANカードZ(VPNのLANカード（VPN＿無し）) LANカードを有効化 >　NicEnable　カード名 このときVPN_はいらない 接続先の　HUBのパスワードを設定 > AccountPasswordSet 以下のコマンドで接続される >　AccountConnect　接続名 DHCPで自動的にIP をもらわないので >　dhclient 接続名 以下のコマンドで静的ルートを追加 $ sudo route add -net 192.168.20.0 gw 192.168.2.254 netmask 255.255.255.0 vpn_test

実際にやり始めると結構色んなところで躓く。 softether　Serverのインストールそのものはいろいろな解説にある様にすればOK SoftEther VPN Serverをsystemd対応にする https://qiita.com/kumasun/items/6fd9ddafc8ea6278f088 ここを参考にした。 必要なものをインストール sudo apt install -y bridge-utils gcc make  Softether Serveを/tmpにダウンロード 　　cd /tmp 　　tar -xvf softether-vpnserver-(version).tar.gz 　　cd vpnserver/ 　　tar -xvf softether-vpnserver-v4.27-9668-beta-2018.05.29-linux-x64-64bit.tar.gz 　　ls -l 　　cd vpnserver/ 　　make 　　cd .. 　　ls 　　sudo mv vpnserver/ /usr/local/ 　　cd /usr/local/vpnserver/ 　　sudo chmod 600 * 　　sudo chmod 700 vpncmd vpnserver 　　sudo jed /etc/systemd/system/vpnserver.service 　　sudo systemctl daemon-reload 　　sudo systemctl enable vpnserver.service 　　sudo systemctl start vpnserver.service /etc/systemd/system/vpnserver.service　　の中身は 　[Unit] 　Description=SoftEther VPN Server 　After=network.target network-online.target 　[Service] 　ExecStart=/usr/local/vpnserver/vpnserver start 　ExecStop=/usr/local/vpnserver/vpnserver s...

6年くらいずっと使っていたVPNネットワークを更新しようと考える。 現状　openVPNでネットワークを組んでいる。 現状、拠点A仮想のLinuxサーバー、中継点がsakuraVPSでLinuxサーバー、拠点Bが仮想のLinuxサーバー  Linuxサーバーで構築していた結構柔軟な構成がとれた。 が拠点Aのサーバーをsynologyに置き換え得ることを検討。当初openVPNが使えるのではと考えていたが、いまいち現環境を置き換えることがうまくいかない。DSM のコントロールパネルからネットワークの接続でOPENVPNサーバーの接続が可能なのだが、このVPN環境が特殊なので（証明書認証の構築が多分中途半端）うまく接続できない。 さらに拠点Bにはyamahaのルータがある そこでsoftethertとipsecでVPNを組み直せないか検討する。 softethertは10年ぶりもっとぶりか、有償化前までは使っていたなー

ubuntu 16.04 で起動後pptpdサーバーにクライアントとして自動接続する方法 あまりスマートではないがとりあえず、切断時でも再接続できるようになったので記録しておく。 $ sudo pptpsetup --create pptp1 --server xxx.xxxx.xxx.xxx --username test --password hogehoge --encrypt  で/etc/ppp/peers/pptp1が作成され、/etc/ppp/chap-secretsにユーザーが追加される 。 /etc/ppp/peers/pptp1に再接続するために最終行に以下を追加する。 persist /root/script/vpn.shを作成し #!/bin/sh sudo pppd call pptp1 updetach sudo  route add -net 192.168.0.0 netmask 255.255.255.0 ppp0 なぜか　sudoをつけないとうまく接続されない・・・・。 で実行権限をつける. $ sudo chmod +x /root/script/vpn.sh これをwebｍminでcronに登録するシステム起動時に実行の設定で。 起動時にpptpdサーバに接続されるが経路情報が更新されないので、通信できない。 /etc/ppp/ip-up.d/pptp1 を作成  #!/bin/sh sudo route add -net 192.168.0.0 netmask 255.255.255.0 ppp0 実行権限をつける $ sudo chmod +x /etc/ppp/ip-up.d/pptp1 VPNの向こうのネットワークへの ルーティングを追加 これで起動時にpptpdに接続される。 やり方としては多分正式な方法ではないが、とりあえずOK

ubuntu 16.04でpptpクライアントにする場合、他のサイトでもあるよう奈設定でとりあえずOKだが sudo apt-get install pptp-linux の後にリブートしないと MPPEが有効にならないらしく以下のエラーが出る。 pppd[17985]: MPPE 128-bit stateless compression enabled pppd[17985]: MPPE disabled リブートすると有効になって接続できる

あんまりちゃんと検証していないけどyamahaのRTX-1210でpptpユーザのパスワードに_(アンダーバー)を入れるとうまく認証されない？ 記号も使えるという情報もある けど、うちではうまくいかないな？なぜだろう

RTX1210のファームをVer.14.01.20にアップグレードしたら リモートVPN接続できなくなる．原因不明 内部からVPNは接続できるのだが，外部からは認証までは求められるが，そのあとうまく接続できない． Windows 側で「リモートコンピューターと最初にネゴシエートするときに、セキュリティ層で処理エラーが検出された為、L2TP接続に失敗しました」 と表示される．今までつながっていたのに・・・・・・ なんか曖昧な設定をしていたのにバチが当たったか．

ほとんど以下のページの参照。「どてやの戯れ言」 $ sudo apt-get install ppp  strongswan xl2tpd /etc/ipsec.conf config setup  conn L2TP-PSK-noNAT      forceencaps=yes      authby=secret      auto=add      keyingtries=3      ike=aes-sha1-modp2048      esp=aes-sha1-modp2048      rekey=no      ikelifetime=8h      keylife=1h      keyexchange=ikev1      type=transport      left=192.168.0.251        #サーバー自身のIPアドレス      leftprotoport=17/1701      right=%any      rightprotoport=17/%any      dpddelay=40      dpdtimeout=130      dpdaction=clear      conn L2TP-PSK-NAT      rightsubnet=0.0.0.0/0       also=L2TP-PSK-noNAT /etc/ipsec.secrets 19...