2012年8月31日金曜日

ヤマハルータでIPsec(固定IPでのVPN)の設定 : マロンくん.NET

ヤマハルータでIPsec(固定IPでのVPN)の設定 : マロンくん.NET:

'via Blog this'

ヤマハルータでIPsec(固定IPでのVPN)の設定

ここでは、ヤマハルータ YAMAHA RTX1000  を利用したVPN構築を解説しています。
一般的にIPsecPPTPより強力な暗号化技術を実装しているといわれます。
IPsecは、IPパケットに対して暗号化と認証の機能を提供する物なので、NetBEUI,IPX/SPXなどのIP以外のプロトコルには対応していません。
IPsecに対応した機器、OSによって対応している認証や暗号アルゴリズムが違うことがあり、接続ができないケースが少なからず存在しますので注意が必要です。
ここでは、双方共に YAMAHA RTX1000  を利用したIPsec構築について説明します。
ここではYAMAHA RTX1000  を例にとって手順を説明していますが、 RTX1100  , RTX1200 でも設定は同じだと思います。
VPN構築でセキュリティ強化をするには固定IPをおすすめします。
インターリンク は固定IPにこだわったプロバイダで複数固定格安! 月額2100円/3675円でグローバル固定IPを取得できます。

双方が固定IPのケースのIPsec

ここでは双方のルータが固定IPであることを前提で設定手順について説明します。
片側が動的なIPであってもアグレッシブモードという機能を使ってIPsecができます。
詳しくは ヤマハルータでIPsec(片側が動的IPでのVPN)の設定 を参照下さい。
では、実際に以下の条件での構築とします。
  • ルータ双方が固定IPである
  • 双方のルータのLAN側IPが重複しないようにする
※ あくまでも接続設定が出来ているものとしていますので接続設定については 基本的な接続設定 を参照してください。
(ネットワーク構成)
|         |
-----+----+----+---- 192.168.0.0/24
          |
     LAN1 | .1
     +---------+
     | RTX1000 | A地点
     +---------+
     LAN2 | 61.XX.XX.XX
          |
    インターネット ########
                          #
                         VPN
                          #
    インターネット ########
          |
     LAN2 | 61.YY.YY.YY
     +---------+
     | RTX1000 | B地点
     +---------+
     LAN1 | .1
          |
-----+----+----+---- 192.168.1.0/24
     |         |
(IPsec情報)
共通鍵ipsec-password
(1) A地点
# 使用するtunnelインターフェース番号
tunnel select 1
# tunnelインターフェースで利用するIPsec設定の番号の定義
# 分かりやすいようにtunnelインターフェース番号はtunnel番号に+100を足した
# ものとしました。
 ipsec tunnel 101
# IPsecプロトコル、暗号化アルゴリズム、ハッシュ関数の定義
# (書式)
# ipsec sa policy ポリシー番号 識別id esp 暗号化 ハッシュ関数
# 今回は、選択できるIPsecの暗号化アルゴリスム、ハッシュの中から一番
# セキュリティが高いと思われる3des-cbc,sha-hmacを使用しました。
  ipsec sa policy 101 1 esp 3des-cbc sha-hmac
# ipsecのキープアライブの定義
  ipsec ike keepalive use 1 on
# 2004.11.05修正) 自分自身のルータのLAN側IPの定義
  ipsec ike local address 1 192.168.0.1
# IKEフェーズ2でPFSを使用するための定義
  ipsec ike pfs 1 on
# IKEフェーズ1で相手を認証するために使用する、共通鍵の情報
  ipsec ike pre-shared-key 1 text ipsec-password
# 対向のルータのグローバルIPの定義
  ipsec ike remote address 1 61.YY.YY.YY
# トンネリングインターフェースの有効
tunnel enable 1
# IPsec SAの自動更新を有効
ipsec auto refresh on
# 対向のルータのネットワークへのルーティング定義
# ゲートウェイとしてtunnel 1となります。
ip route 192.168.1.0/24 gateway tunnel 1
# NATの定義
# ディスクリプタNo.1で定義してあるものとします。
# IPsecで利用するudp500,espをNATします。
nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.0.1 udp 500
nat descriptor masquerade static 1 2 192.168.0.1 esp
(2) B地点
# 使用するtunnelインターフェース番号
tunnel select 1
# tunnelインターフェースで利用するIPsec設定の番号の定義
# 分かりやすいようにtunnelインターフェース番号はtunnel番号に+100を足した
# ものとしました。
 ipsec tunnel 101
# IPsecプロトコル、暗号化アルゴリズム、ハッシュ関数の定義
# (書式)
# ipsec sa policy ポリシー番号 識別id esp 暗号化 ハッシュ関数
# 今回は、選択できるIPsecの暗号化アルゴリスム、ハッシュの中から一番
# セキュリティが高いと思われる3des-cbc,sha-hmacを使用しました。
  ipsec sa policy 101 1 esp 3des-cbc sha-hmac
# ipsecのキープアライブの定義
  ipsec ike keepalive use 1 on
# 2004.11.5修正) 自分自身のルータのLAN側IPの定義
  ipsec ike local address 1 192.168.1.1
# IKEフェーズ2でPFSを使用するための定義
  ipsec ike pfs 1 on
# IKEフェーズ1で相手を認証するために使用する、共通鍵の情報
  ipsec ike pre-shared-key 1 text ipsec-password
# 対向のルータのグローバルIPの定義
  ipsec ike remote address 1 61.XX.XX.XX
# トンネリングインターフェースの有効
tunnel enable 1
# IPsec SAの自動更新を有効
ipsec auto refresh on
# 対向のルータのネットワークへのルーティング定義
# ゲートウェイとしてtunnel 1となります。
ip route 192.168.0.0/24 gateway tunnel 1
# NATの定義
# ディスクリプタNo.1で定義してあるものとします。
# IPsecで利用するudp500,espをNATします。
nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.1.1 udp 500
nat descriptor masquerade static 1 2 192.168.1.1 esp
これで設定は完了です。
A地点、B地点で接続したクライアントに対してファイル共有、PING等で通信の確認ができればVPNは構築できています。
また、その際のWAN側への フィルタ設定 には、udp500,espを通すようにしてください

FAQ for YAMAHA RT Series / Introduction

FAQ for YAMAHA RT Series / Introduction: "pp auth accept chap pap"

'via Blog this'

PPTPによるリモートアクセス RTX1100設定例|星屋工作室 hoshiya.biz

PPTPによるリモートアクセス RTX1100設定例|星屋工作室 hoshiya.biz:

'via Blog this'

RTX1000にPPTPで接続する

RTX1000にPPTPで接続する:

'via Blog this'

【連載】ヤマハルータでつくるインターネットVPN (5) VPNプロトコルの概要 - IPsec | ビジネスPC | マイナビニュース

【連載】ヤマハルータでつくるインターネットVPN (5) VPNプロトコルの概要 - IPsec | ビジネスPC | マイナビニュース:

'via Blog this'

無料で構築するセキュリティシステム  iPhone4 と Yamaha RTX1000 など RTXシリーズに VPN(PPTP)接続する

無料で構築するセキュリティシステム  iPhone4 と Yamaha RTX1000 など RTXシリーズに VPN(PPTP)接続する:

'via Blog this'

ESXI 5.0 でローカルHDDをRDMしてみる | Free day

ESXI 5.0 でローカルHDDをRDMしてみる | Free day:

'via Blog this'

ESXI 5.0 でローカルHDDをRDMしてみる

どうもこんばんわ、昨日鯖をWindows Server 2008R2からESXIに
乗り換えてみました。一番の理由は仮想で使いたいOSがあるのにhyper-vが
対応していないってのが一番の原因ですかねぇ・・・まあLinux Kernel 3系からは
カーネルモジュールに入ってるのでビルドすれば使えるのですがね。(FreeBSD….)
でもって仮想で使う上で一番ボトルネックになるのがディスクI/Oですね
今回はなるべくWS2008R2を仮想上でもネイティブ環境に近い感じで動かしたかったので
RDM(Raw Device Mapping)をしてインストールしてみました。
普通はiscsiでマウントしたデバイスじゃないとRDMは出来ないのですが
自己責任でローカルにぶら下がっているHDDでも可能です。
ではやって行きましょう
まずはvSphere側でSSHとESXIシェルを有効にして下さい
で持ってSSHでESXI鯖にアクセス(SSHのやり方はぐぐってください→ぐーぐる)
# ls -l /vmfs/devices/disks/
-rw-------    1 root     root         8015314944 Feb 26 22:42 mpx.vmhba32:C0:T0:L0
-rw-------    1 root     root            4161536 Feb 26 22:42 mpx.vmhba32:C0:T0:L0:1
-rw-------    1 root     root          262127616 Feb 26 22:42 mpx.vmhba32:C0:T0:L0:5
-rw-------    1 root     root          262127616 Feb 26 22:42 mpx.vmhba32:C0:T0:L0:6
-rw-------    1 root     root          115326976 Feb 26 22:42 mpx.vmhba32:C0:T0:L0:7
-rw-------    1 root     root          299876352 Feb 26 22:42 mpx.vmhba32:C0:T0:L0:8
-rw-------    1 root     root       320071851520 Feb 26 22:42 t10.ATA_____WDC_WD3200AAKS2D00B3A0________________________WD2DWMAT15387859
-rw-------    1 root     root       320070483968 Feb 26 22:42 t10.ATA_____WDC_WD3200AAKS2D00B3A0________________________WD2DWMAT15387859:1
-rw-------    1 root     root       500107862016 Feb 26 22:42 t10.ATA_____WDC_WD5000AAKS2D22V1A0________________________WD2DWCAWF3925659
-rw-------    1 root     root       500104200704 Feb 26 22:42 t10.ATA_____WDC_WD5000AAKS2D22V1A0________________________WD2DWCAWF3925659:1
HDDの型番を探しますt10.ATAってやつです
※ちなみにデーターストアで使ってるHDDはRDMできないのでご注意を
##vmdkファイルを作成します##
# vmkfstools -z /vmfs/devices/disks/t10.ATA_____WDC_WD3200AAKS2D00B3A0________________________WD2DWMAT15387859 /vmfs/volumes/Storage/Windows\ Server\ 2008\ R2/WDC_WD3200AAKS2D00B3A0.vmdk -a lsilogic
 
##確認してみます##
# ls -l /vmfs/volumes/Storage/Windows\ Server\ 2008\ R2/
-rw-------    1 root     root       320071851520 Feb 25 15:21 WDC_WD3200AAKS2D00B3A0-rdmp.vmdk
-rw-------    1 root     root                537 Feb 25 22:47 WDC_WD3200AAKS2D00B3A0.vmdk
-rw-------    1 root     root              74232 Feb 26 07:40 Windows Server 2008 R2.nvram
-rw-r--r--    1 root     root                  0 Feb 25 15:19 Windows Server 2008 R2.vmsd
-rwxr-xr-x    1 root     root               3223 Feb 26 07:40 Windows Server 2008 R2.vmx
-rw-r--r--    1 root     root                277 Feb 25 22:47 Windows Server 2008 R2.vmxf
作成時に何も出なければ問題ないと思いますvmdkと-rdmp.vmdkができてれば完成
後はvSphereで作ったvmdkファイルをマウントするだけです
RDMの利点はパフォーマンスとそのままV2Pした時に普通に使えることですかねー
他にもやりたい事がたくさんあるのでどんどんやってはブログに書きたいなとか思ってます

VMware の仮想ディスクを物理ディスク構成に変更する方法 :: drk7jp

VMware の仮想ディスクを物理ディスク構成に変更する方法 :: drk7jp:

'via Blog this'

Solaris 10 x86 サーバー構築記録

Solaris 10 x86 サーバー構築記録:


質問:

LinuxやFreeBSDなど他にたくさんあるのに、なぜこのサイトはSolarisを取り上げるのですか?



回答:
一言で云えば 「Solarisは他と比べて少しだけ難しいから」 です。


「パフォーマンス」 「管理のし易さ」 「簡単さ」 から、最近は私も仕事では殆どをLinuxで行うように
なりました。LinuxはSolarisに比べれば非常に楽です。


でもLinuxしか知らない職場の後輩達は、イザという時のトラブルに非常に弱いんです。


Linuxだけの彼等と比較してSolarisを深く知っている我々のような古い技術者は、Linuxでトラブルが
発生してもすぐに原因箇所を特定し、適切な対処判断を一瞬にして下します。
今まで未経験のトラブルでもSolarisで苦労した経験があるので、各デーモンの細かい動作原理を自然に
体得しているから簡単に解決出来るんですね。


一方LinuxやBSDは動作原理を理解していなくても簡単に構築出来てしまいますから、それしか知らない
彼らは深刻なトラブル発生時に「お手上げ」になるみたいなのです。
車に例えると、オートマティック車しか知らない人はマニュアル車は運転できませんが、マニュアル車を
得意とする人はオートマティック車も難なく乗りこなす。というのと少し似ていると思います。


よく「UNIXをはじめる時はSolarisから入るのは無謀だ。LinuxかFreeBSDから始めるべきだ」という声を
耳にしますが、それは間違いだと思います。その言葉は私には「ギターをはじめる時はガット・ギターから
入るのは無謀だ、エレキから始めるべきだ」と言っているように聞こえます。ネックが細くて弦の柔らかい
エレキ・ギターを最初に覚えてしまうと、和音の原理・法則も理解らない、アコースティック・ギターさえ弾け
ない、技術力のない奏者になってしまいますよ。  最近多いですよね、「それで金を取るのは如何な
ものか?」と云いたくなる音が・・・芝居の世界も同じ・・・UNIXやネットワークも一緒なんです。


「自己を鍛える」という意味でもSolarisを使うことをあなたにもお奨めします。是非苦労してみて下さい。


最初は「見よう見真似」でいいんです。このサイトはUNIXを始めたばかりのスキルの無かった頃の
自分に語りかけるように、理解りやすくて見やすく構成することを心掛けています。
でも環境の違いなどから、きっと壁にブチ当たる時が来るでしょう。


その壁を越えた時、あなたは階段を一段上がった事に気がつくはずです。
'via Blog this'