DigiLoog

PC関係の事なら何でもいけるそんな処

Archive for the ‘Network’ Category

VyOSでIPv6-Only IPSecVPN設定時に出るエラー回避方法

2020年08月08日(土) - 22:35 | カテゴリ: Network

“ns-lab BB”の自宅サーバとリモートで動いているVPS・専用サーバを繋ぐ為、
VyOSを使って拠点間IPSecVPNを構築してNW通信が出来る様にしてある。

従来はVPN専用に固定IPプロバイダを契約してIPv4 IPSecVPNを張っていたのだが、
費用とVPN冗長化の課題が出てきたので何とかしようと考えていた。
そんな中『PPPoEで大量に振ってくるIPv6を使えば専用プロバイダいらないのでは!?』
と思い立ったので、IPv6 IPSecVPNへ移行する事にした。

………

そうなると、IPv6アドレスのみ付与したインターフェースでIPSecを張る必要が出てくるのだが、
VyOS v1.2.Xに設定を投入するとこんなエラーが出てきた。

# commit
[ vpn ipsec site-to-site peer 2001:ffff:ffff:ffff::1 tunnel 1 ]
VPN configuration error: IPv4 over IPv6 IPsec is not supported

Warning: Local address 2001:0:0:0::1 specified for peer "2001:ffff:ffff:ffff::1"
is not configured on any of the ipsec-interfaces and is not the
clustering address.  IPsec must be re-started after address
has been configured.

VyOS公式でもバグ報告が上がっているのだが、優先度低になっており何時直るのか判らない状況。
コレが出来ないとIPv6環境に移行が出来ないのは勿論の事、修正を待って何もしないのもどうかと思ったので、
自力でVyOS内のIPSec設定スクリプトを直してみた。

………

修正箇所は次の通り。スクリプトがperlで書かれていたので読みやすかった。
どうやら、IPv6のみ付与したインターフェースでIPSecを設定しようとすると、
条件判定に引っかかってしまいエラーが出る様だった。
この問題は、VyOSのフォークとなるEdgeRouterでも発生するらしく、
先人の知恵も借りながら次の通りに修正してみた。

 

修正前:[/opt/vyatta/sbin/vpn-config.pl]

  550    # Check remote/local and peer protocol consistency
  551    # IPv6 over IPv6 scenario is actually supported by StrongS/WAN,
  552    # we do not allow it in this version because of design and QA issues.
  553    if (($conn_proto != 6) && ($leftsubnet_proto == 6)) {
  554        vpn_die(["vpn", "ipsec", "site-to-site", "peer", $peer, "tunnel", $tunnel],
                 "$vpn_cfg_err IPv6 over IPv4 IPsec is not supported");
  555    } elsif (($conn_proto == 6) && ($leftsubnet_proto != 6)) {
  556        vpn_die(["vpn", "ipsec", "site-to-site", "peer", $peer, "tunnel", $tunnel],
                 "$vpn_cfg_err IPv4 over IPv6 IPsec is not supported");
  557    }

 

修正後:[/opt/vyatta/sbin/vpn-config.pl]

  550    # Check remote/local and peer protocol consistency
  551    # IPv6 over IPv6 scenario is actually supported by StrongS/WAN,
  552    # we do not allow it in this version because of design and QA issues.
  553    if (($conn_proto != 6) && ($leftsubnet_proto != 0 and $leftsubnet_proto == 6)) {
  554        vpn_die(["vpn", "ipsec", "site-to-site", "peer", $peer, "tunnel", $tunnel],
                 "$vpn_cfg_err IPv6 over IPv4 IPsec is not supported");
  555    }
  556    if (($conn_proto == 6) && ($leftsubnet_proto != 0 and $leftsubnet_proto != 6)) {
  557        vpn_die(["vpn", "ipsec", "site-to-site", "peer", $peer, "tunnel", $tunnel],
                 "$vpn_cfg_err IPv4 over IPv6 IPsec is not supported");
  558    }

554行目と557行目は幅の関係で改行しているが実際は1行で書く。
実際の修正箇所は553行目と556行目の判定処理。
この改修を入れると、IPv6 IPSec VPNも設定が通る様になった。
だが、VyOSのアップグレードをすると元に戻る筈なので注意が必要。
そのうち公式修正で直ると思うが、それまではこの改修でお茶を濁そうと思う。



DNSSEC検証用にJPドメインを取得してみた

2020年06月29日(月) - 22:48 | カテゴリ: Network

独自ドメインを利用するには何でも良いから権威DNSが必要となるので、
普通の人ならばレジストラが提供している権威DNSを使っていると思う。
筆者の場合はスキル向上と世間のDNS動向を調査する為に自前で権威DNSを運用しており、
メインで利用している “ns-lab.org” 含め、関連する4ドメインで分速10~50クエリを捌いている。

DNSは昔から存在する事もあり基本的な考え方は枯れているが、
昨今は「DNS over TLS/HTTPS」セキュリティ強化を図ったり、
以前話題になった「NXNSAttack」の様に新しい攻撃手法が日々編み出されたりしている。

………

そんな中、古めの技術なのに日本で普及していない技術としてDNSSECが存在する。
DNSSECを使うにはレジストリにDSレコード登録が必要な上、ミスるとドメインが全滅する危険がある。
また、キャッシュDNSがDNSSECに対応していない事も多く普及していないのが現状となる。
筆者が所有している4ドメインもコレに漏れず、権威DNSはDNSSECに対応していない。
そもそも、利用しているレジストリがDSレコード申請に対応していない事もあるのだが、
KSK/ZSK運用のナレッジも無いので、対応をずっと見送っていた。

ちょっと前に自宅サーバ刷新が完了した事もあり、暫くの間は積みゲーで遊んだりしていたのだが、
そろそろ自鯖沼に戻りたくなってきたので、スキルを磨けそうなネタが何か無いか探していた。
今上がっている物としては、ESXi 7.0構築、eBGP/iBGPルーティングがあるのだが、
ずっと放置していたDNSSECに着手するのもアリだと思ったので本格的に検討してみた。



AlliedTelesisのAT-SH210-24GTの2台目を分解してみた

2020年06月28日(日) - 23:58 | カテゴリ: Network

業務用途のL2SWを弄り出した頃、実費で初めて購入したのがAlliedTelesisのスイッチだった。
駆け出しの頃お世話になった事もあり、今でもプライベートではAlliedTelesis製品を使っている。
記事タイトルにもなっている「AT-SH210-24GB」は2016年頃に新品で購入済で、
現在も小型ONU経由で入ってくるパケットを、ISP接続用の各ルータに中継する大事な仕事をしている。
AT-SH210/AT-X210シリーズはコマンド体系がCiscoCatalyst風で使いやすく、
発熱が少なくてファンレス稼働も出来る上、業務用途の機能も搭載しているので隠れた名機だと思う。

今回、故障でも無い無いのに稼働中機種と同じ物を購入したのは、
上記の通り重要部分を収容しているL2SWのオンプレ保守部材確保とL2SW検証を行う為。
というのも、メイン用途から退役済のCiscoCatalyst2960Gを検証用にしていたのだが、
機種が古くなってきたのと、古いからこそのファン軸ブレが発生してしまい騒音が凄まじかったから。

一時期はAT-SH210が潤沢に出回っていたのだが、昨年末から流通量が減って値段が高騰していた。
虎視眈々と購入チャンスを伺っていたのだが、従来の相場相当で出ている中古品を偶然発見。
『コレは買うしかない』と何かを感じたので即購入した。


という事で、2台目の「AT-SH210-24GT」を入手。
中古ならば保証も関係無いので、前回は見送ったシャーシ分解をしてみる事にした。



  • 応援中

    『放課後シンデレラ』を応援しています!
    Cabbit 第四弾!「鍵を隠したカゴのトリ-BIRD IN CAGE HIDING THE KEY-」応援中!