2013年12月15日日曜日

mikutter LiveDVD(NEGIX) 13.12のリリースと今後について

(ディストリビューション/パッケージマネージャー Advent Calendar 2013の記事を兼ねての投稿です.)

mikutter LiveDVD 13.12(NEGIX)リリース

ダウンロードしてDVDやUSBメモリに書き込んだらmikutter環境がすぐ使えるmikutter LiveDVD(NEGIX). その新バージョンとなる13.12をリリースしました.

http://yuzuki.hachune.net/negix/
http://repo.hachune.net/Linux/ArchLinux/iso/2013.12.15/

Arch LinuxのLiveCDと同様に毎月更新ということを銘打っていたのですが,今回はいろいろあって10月のOSC東京(秋)以来のリリースとなってしまいました.もうしわけねぇもうしわけねぇ.

mikutter LiveDVDの目標

mikutter LiveDVDの目標としては,以下の点があります.

  • Live環境を起動したら日本語環境でmikutterがすぐ使える状態にする
  • 毎月リリースする
    • Arch LinuxのLiveCDをベースに,可能な限り弄らない
    • Arch Linuxのパッケージをそのまま使う

何故かインストールが難しいと評判のmikutterを簡単に使えるようにすることを第一の目標としています. また,Arch Linuxらしさ(更新の早さ,パッケージの新しさ,簡素さ)も十分に発揮できるよう, 可能な限り毎月リリースすることも目標としています.そこで,最小限の手間でLiveDVDを作れるよう, 基本環境やパッケージには可能な限り手を入れないよう心がけています.

mikutter LiveDVDの今後

debianやubuntuの標準リポジトリにmikutterが入り導入難易度がぐーんと下がったということもあり, 若干存在意義が危ぶまれている感じもしますが, 「最新揃いのArch Linux環境でmikutterが簡単にすぐ使える」という売りもあるので, まだまだ需要は...ある?

Raspberry PiやBeagle Bone Blackとかでパッと使えるmikutter環境イメージがほしい, という意見もあったりするようで,いろいろ作ってみたいところですが,手が足りていない感じです. (今はOpenVPNとかをRPiで簡単に使えるようにする環境のようなモノを作っていたりもするので,それができたら...)

画像はイメージです

2013年8月6日火曜日

Android端末でOpenVPNを使ってみよう

何やらRTX810でVPNを張ってRDP経由でゲームするのが流行っているという噂を 某所で聞きました.しかし,RTX810は高くて買えないという方も多いので はないでしょうか. そこで,RTX810を買えない方でも気軽に試せるオープンソースのVPNソフト, OpenVPNを用いたVPN環境をWindowsとAndroid端末間で作る方法を紹介してみよ うと思います.

ここで例に上げる環境は,以下の通りになるよう構成します.

  • LAN: 10.39.39.0/24
  • VPN: 10.3.9.0/24
  • Windows: LAN - 10.39.39.31, VPN - 10.3.9.1
  • Android: LAN - 10.39.39.33, VPN - 自動割当

OpenVPNのインストール

サーバ(Windows)側

まずはOpenVPNサーバ環境をWindows側に準備します.公式ページでWindows用のイン ストーラが用意されているので,これをダウンロードしインストールしてくだ さい.
http://openvpn.net/index.php/open-source/downloads.html
インストール時に,「OpenVPN RSA Certificate Management Scripts」もイン ストールするようチェックするのを忘れないでください.

クライアント(Android)側

次に,クライアント環境をAndoroid側に準備します.OpenVPNはGoogle Playに て公式に配信されているため,これをインストールします.
https://play.google.com/store/apps/details?id=net.openvpn.openvpn&hl=ja
残念ながら,古いAndroidでは利用できないようです.(私は4.0以降の端末で動作確認しました)

OpenVPNでは,共通鍵暗号と公開鍵暗号の両方をサポートしていますが, Android版では公開鍵暗号のみをサポートしているため,こちらを利用します.

鍵生成の設定

OpenVPNの公開鍵生成の支援ツールは,C:\Program Files\OpenVPN\easy-rsa以 下にインストールされています.まずeasy-rsaディレクトリごとデスクトップ などにコピーし,メモ帳などでeasy-rsa\vars.bat.sampleの 以下の部分を環境に合わせて編集,vars.batとして保存します.

set KEY_COUNTRY="US"
set KEY_PROVINCE="CA"
set KEY_CITY="SanFrancisco"
set KEY_ORG="Fort-Funston"
set KEY_EMAIL="me@myhost.mydomain"
set KEY_OU="MyOrganizationalUnit"

今回の環境では,以下のように定義しなおしました.

set KEY_COUNTRY="JP"
set KEY_PROVINCE="Kanagawa"
set KEY_CITY="Kawasaki"
set KEY_ORG="Hachunet"
set KEY_EMAIL="phenomer@g.hachune.net"
set KEY_OU="Hachunet"

鍵生成

管理者権限でcmd.exeを開き実際に鍵生成スクリプトを実行します. build-*実行時にCommonNameとNameを問い合わせられた際には,それぞれの鍵 に適した名前を入力してください. また,buikd-key-serverとbuild-keyを実行する際に,以下のように問い合わ せがありますが,これは共にyとしてください.

  • Sign the certificate? [y/n]
  • 1 out of 1 certificate requests certified, commit? [y/n]
> cd \Program Files\OpenVPN\easy-rsa
> init-config
> vars
> mkdir keys
> clean-all
> build-ca
> build-key-server server
> build-key android
> build-dh

以上の作業で,それぞれの端末に必要な鍵ファイルの生成ができました. OpenVPNの実行に必要なファイルは以下の表のとおりです.

ファイル名必要とするホスト
ca.crtサーバ,クライアント
dh2048.pemサーバ
server.crtサーバ
server.keyサーバ
android.crtクライアント
android.keyクライアント

鍵生成まわりは,いろいろとハマりどころが多いように感じるので, 失敗した場合はドキュメント やエラーメッセージをよく読んでやり直してみてください.

サーバ(Windows)側の準備

メモ帳等を利用し,設定ファイルserver.ovpnを記述します. サーバ側の設定ファイルは,以下のようになります.

port  1194
proto udp
dev   tun
ca         ca.crt
cert       server.crt
key        server.key
dh         dh2048.pem

server   10.3.9.0 255.255.255.0
ifconfig 10.3.9.1 255.255.255.0

comp-lzo
keepalive 10 60
ping-timer-rem
persist-key
persist-tun
max-clients 5

この設定ファイルを保存したフォルダ内に,先ほど生成した鍵ファイルのうち サーバ側で必要なものをまとめて入れておいてください.

クライアント(Android端末)側の準備

Android用OpenVPNの設定は,以下のように記述します. 通常のOpenVPNの設定ファイルと異なる点として,次のようなタグを用い鍵ファイルの内容を全て 設定ファイル内に記述しなければならない点があります.

  • <ca> - ca.crt
  • <cert> - android.crt
  • <key> - android.key
client
dev tun
proto udp
remote 10.39.39.31 1194
persist-key
persist-tun
ns-cert-type server
comp-lzo

<ca>
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
</ca>

<cert>
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN PRIVATE KEY-----
MIIEvQIBADANBgkqhkiG9w0BAQEFAASCBKcwggSjAgEAAoIBAQDaPA6/FlqlL6gb
z/r1AzBF+VazenL6WHV2NkcPd1Fj0HUdowGaQR8E23rzN0dgwRkcRIp86dTMkPVN
hpvp3HE6ECcsW6LaskrIqXLZPkx5n9iVGvM0YPVY8zQkCM5uUhHQjDPaJry9fo58
nVr1YO8jFB7p0AxbZOyqVxKpsaZ49UOzLUTGIgP6QoqBGuR2YNmd/7OE+pG7A/m9
12u8G5CZ3XHoDAUUh0nazn4ob6PTGb0csZGjdhNJoOsIIQcVh0A3slgRlCMiYKLY
CKSXpvrvo3vwtJP3Fq3coU0dytriPJKrX6R6NSclVl7/cO4JnXZCuC3xXJNcADYu
aKvawvqbAgMBAAECggEAGWTnqmClh5c2DpZy81O9qEbNSfEzs+HbOTgzqJ8Pv3eg
SSSQqSxuuZf4hJioG6Acled73fEvq+YqRS0ms13NZx4+ELFRD/WzMgpVrOXM7FIn
V6JdLnkh04npRVApBTlTjVrjJb1gNQSm++UrkmYHLaPHvRlSdsgVqfSb3VcoseZR
Q0RTTm6iAx0+7fFUJg+rPfhtDpKCPdIOSPXksTObts+7ErWDGlr9DglIuJqUSo/Y
crPpkk8gZp1X6bJNS+glxJtwvXP0P2pikQIqKwM2MNgjRxr4fGtoD50LwC6N068o
ZSXKGOR+miw/5u+KJySdbGNlu5AbbIkeJtUEbPC2sQKBgQDz7pLhGCB1dw6Ga+Ox
wwxuAApPIBpywxHesEF06dQFITXs60Xm4LWmUAXdCjFO4NMQ0Fl6I9ozP1S7hQur
Qkds76dx9VJg6NkBwy/Ncma5oADjBi3hRbN6sO6MKBvqlF9nm8guR4dn5ZhoyO1v
uBnmvMOlIZzY88VlUf2PHPSuHwKBgQDlCAYx54vHylP49w/I19v/MzgX9OcTegz1
JxewFmpKvEgehNgvQpYbSIGjZ5UctoSbslDU47B2gb75ocI1JXIfhpNHkNqCZZ5j
zdtaKSp2NurEcop4tJ0f3h2o8zBhwrgsDsegIwP4XJVF7xjF/+ohLj6Vmk/Xhhaa
4hYBWansBQKBgQCbdXVoPT8afZjlNEc1mBAI3r+zM8uHTijKWlwtDYSRDFxYtIyl
GprJ9n/2IjPQiFobgh00STsbpAX1SFJqf+ATXhzB9M3ecycyB1okvf8X2BAYn2yI
ACrlS3OMIVfBRXQUDOUkEXQLU/iw9zTTGWpwcebiC6zxW1J3Qyysk5CgkwKBgGDa
8tu54tf7zWU0/hzehG+49ljTPcFz1PT7sj3KTOsMEqetYEskKpyhHgm/bUS2PwAk
+Z/+JgsHtX6WFK4rBsckPzZ9oJqSZNgqH0BStl1FviSTl9GR9/yZDwv6xBQjp4Ui
PvOOu0gVxx7LDTv2jMm5Z8gWePtY/khDojCx/XUNAoGAHEZ3i2mBT0/PPTbHdrK7
UkBMEZdXgVfwWkN7pDz18hqH2e5c0jX9BREd3DA6PLs9tUkwmw+acvbt9B3/igYl
pGwHdrIntfbDeVz2EoYXp/slEHHE0g6Gws36nIIy+2NKFIh/PfFWG+P/ylMwoek5
TgEVSiKmUDWPP7G8JbTQSp4=
-----END PRIVATE KEY-----
</key>

サーバ側の起動

サーバ側では,コマンドプロンプトを管理者権限で実行し,以下のように openvpnコマンドを実行します.

> openvpn server.ovpn

クライアント側の起動

OpenVPN Connectアプリを起動し,メニューから「Import Profile from SD card」を選択,先ほどコピーした設定ファイルandroid.ovpnを開きます.する と,「Connect」ボタンが出てくるので,これをタップします.

正しく接続が確立できると,以下のような画面になります.

また,サーバ側には以下のようにPeer Connection Initiatedと出るはずです.

Tue Aug  6 16:42:55 2013 10.39.39.32:48589 [android] Peer Connection Initiated with [AF_INET]10.39.39.32:48589

その他の設定

後はインターネット接続に利用しているルータ側で, UDP 1194番ポートへの通信をサーバ側に転送するよう設定し,クライアント側の設定をそのサーバのアドレスに変更すれば,インター ネット経由のVPNを介しWindowsマシンに安全にアクセスすることができるように なるはずです. 合わせて,Dynamic DNSの設定などもおこなうと,より便利になるかもしれま せん.

参考

2013年4月21日日曜日

OpenBlocks AX3でOpenVPN Serverを作る

GbEが4ポートもあるのならばVPNルータにしたいよなぁ、ということでOpenVPN サーバにしてみる。

ネットワーク構成

今回は、二つのサブネット(10.3.93.0/24, 10.39.3.0/24)の上に VPN(10.3.9.0/24)を構築する。

各ホストのハード・ソフトは以下の通りである。
  • server(OpenBlocks AX3)
    • Kernel: 3.0.6 #1 SMP Thu Apr 18 12:26:22 JST 2013 armv7l
    • OpenVPN: 2.1.3-2+squeeze1(Debian squeezeパッケージ)
  • hatsune
    • CPU: AMD Opteron(tm) Processor 3280
    • NIC: Intel Corporation 82574L Gigabit Network Connection
    • Kernel: 3.8.7-1-ARCH #1 SMP PREEMPT Sat Apr 13 09:01:47 CEST 2013 x86_64
    • OpenVPN: 2.3.0-2(Arch Linuxパッケージ)
  • kagamine
    • CPU: AMD E-450 APU with Radeon(tm) HD Graphics
    • NIC: Atheros AR8151 v2.0 Gigabit Ethernet (rev c0)
    • Kernel: 3.8.7-1-ARCH #1 SMP PREEMPT Sat Apr 13 09:01:47 CEST 2013 x86_64
    • OpenVPN: 2.3.0-2(Arch Linuxパッケージ)

鍵ファイルの生成

まず、認証に必要な公開鍵を作成する必要がある。OpenVPN公式にて用意して いる公開鍵基盤を管理するスクリプト群としてeasy-rsaが存在するので、これ を用いる。
easy-esaの各スクリプトを実行する前に、varsファイルを元に有効期限や証明 書の情報を環境変数に設定する。初期化する場合はclean-allスクリプトの実 行が必要である(clean-allを実行するとkeysディレクトリ以下の全ての鍵ファ イルが削除されるので注意)。
その後buildスクリプトを実行しCA鍵、サーバ鍵、クライアント鍵、DHパラメー タの生成を行う。ビルド作業はウィザード形式で行われるが、基本的にvarsファ イルと引数に渡した名前を元にデフォルト値が設定されているため、特に値を 指定し直す必要がある箇所はない。また、今回は秘密鍵にパスフレーズは付与 しない。
% git clone https://github.com/OpenVPN/easy-rsa.git
% cd easy-rsa/easy-esa/2.0
% vi vars
% source ./vars
% ./clean-all
% ./build-ca
...
% ./build-key-server server
...
% ./build-key hatsune
...
% ./build-key kagamine
...
% ./build-dh
...
生成した鍵ファイルはサブディレクトリkeys以下に全て保存される。 easy-rsaの詳細に関してはdoc/README-2.0やスクリプトのソースを参照すると よい。

サーバ設定

サーバのネットワーク設定とOpenVPNの設定ファイルの作成を行う。
miku@obsax3% sudo sysctl net.ipv4.ip_forward=1
miku@obsax3% sudo ip link set eth1 up
miku@obsax3% sudo ip addr add 10.3.93.1/24 dev eth1
miku@obsax3% sudo ip link set eth2 up
miku@obsax3% sudo ip addr add 10.39.3.1/24 dev eth2
OpenVPNサーバの最小限の設定ファイルは以下のようになる。
port  1194
proto udp
dev   tun0

ca         key/ca.crt
cert       key/server.crt
key        key/server.key
dh         key/dh2048.pem

server   10.3.9.0 255.255.255.0
ifconfig 10.3.9.1 255.255.255.0

client-to-client
client-config-dir ccd/
comp-lzo

keepalive 10 60
ping-timer-rem

persist-key
persist-tun

今回はクライアント毎にIPアドレスを固定で割り当てる為、 client-config-dirにて設定したディレクトリ(ccd)にCN毎のファイル (hatsune, kagamine)を置き、それぞれにIPアドレスの割り当てオプションを 記述する。
# hatsune
ifconfig-push 10.3.9.2 10.3.9.1
# kagamine
ifconfig-push 10.3.9.3 10.3.9.1

クライアント設定

hatsune

miku@hatsune% sudo ip link set enp4s0 up
miku@hatsune% sudo ip addr add 10.3.93.2/24 dev enp4s0
miku@hatsune% sudo ip route add 10.39.3.0/24 via 10.3.93.1
クライアントhatsuneの設定ファイルは以下の通りである。
client

dev tun0
proto udp
remote 10.3.93.1 1194

persist-key
persist-tun

ca   key/ca.crt
cert key/hatsune1024.crt
key  key/hatsune1024.key

ns-cert-type server
comp-lzo

kagamine

miku@kagamine% sudo ip link set enp2s0 up
miku@kagamine% sudo ip addr add 10.39.3.2/24 dev enp2s0
miku@kagamine% sudo ip route add 10.3.93.0/24 via 10.39.3.1
クライアントkagamineの設定ファイルは以下の通り。 hatsuneの設定ファイルとの違いは、リモートのIPアドレスと証明書・秘密鍵 のファイル名である。
client

dev tun0
proto udp
remote 10.39.3.1 1194

persist-key
persist-tun

ca   key/ca.crt
cert key/kagamine.crt
key  key/kagamine.key

ns-cert-type server
#comp-lzo
fragment 1472
mssfix 1472

各ホスト毎のファイルのリスト

各ホスト毎に必要なファイルは以下の通りである。
  • hatsune
    • client.conf (クライアント設定ファイル)
    • key/ca.crt (CA証明書)
    • key/hatsune.key (クライアント秘密鍵)
    • key/hatsune.crt (クライアント証明書)
  • kagamine
    • client.conf (クライアント設定ファイル)
    • key/ca.crt (CA証明書)
    • key/kagamine.key (クライアント秘密鍵)
    • key/kagamine.crt (クライアント証明書)
  • server
    • server.conf (サーバ設定ファイル)
    • key/ca.crt (CA証明書)
    • key/server.key (サーバ秘密鍵)
    • key/server.crt (サーバ証明書)
    • key/dh2048.pem (DHパラメータ)
    • ccd/hatsune (クライアントhatsune設定ファイル)
    • ccd/kagamine (クライアントkagamine設定ファイル)

デーモンの起動

各ホスト毎に先ほど準備したファイルを転送し、OpenVPNデーモンを起動する。 それぞれInitialization Sequence Completedとなれば接続が確立できている 筈である。
miku@obsax3% sudo openvpn server.conf
Fri Apr 19 22:19:05 2013 OpenVPN 2.1.3 arm-unknown-linux-gnueabi [SSL] [LZO2] [EPOLL] [PKCS11] [MH] [PF_INET6] [eurephia] built on Feb 21 2012
Fri Apr 19 22:19:05 2013 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Fri Apr 19 22:19:05 2013 /usr/bin/openssl-vulnkey -q -b 2048 -m <modulus omitted>
Fri Apr 19 22:19:06 2013 TUN/TAP device tun0 opened
Fri Apr 19 22:19:06 2013 /sbin/ifconfig tun0 10.3.9.1 pointopoint 10.3.9.2 mtu 1500
Fri Apr 19 22:19:06 2013 UDPv4 link local (bound): [undef]
Fri Apr 19 22:19:06 2013 UDPv4 link remote: [undef]
Fri Apr 19 22:19:06 2013 Initialization Sequence Completed
Fri Apr 19 22:19:15 2013 10.3.93.2:1194 Re-using SSL/TLS context
Fri Apr 19 22:19:15 2013 10.3.93.2:1194 LZO compression initialized
Fri Apr 19 22:19:15 2013 10.3.93.2:1194 [hatsune] Peer Connection Initiated with [AF_INET]10.3.93.2:1194
Fri Apr 19 22:19:22 2013 10.39.3.2:1194 Re-using SSL/TLS context
Fri Apr 19 22:19:22 2013 10.39.3.2:1194 LZO compression initialized
Fri Apr 19 22:19:22 2013 10.39.3.2:1194 [kagamine] Peer Connection Initiated with [AF_INET]10.39.3.2:1194

性能測定

VPNクライアント間の通信が確立できていることを確認し、性能を測定する。 クライアントの1つ(hatsune)にて性能測定用のファイルを生成し、tmpfsがマ ウントされたディレクトリに置きHTTPとSCPでダウンロード可能な状態にして おく。(tmpfs上に置くのは、ディスクアクセス速度がボトルネックとならない ようにするため)
測定用ファイルの生成は以下のように行った。
miku@hatsune% dd if=/dev/urandom of=/tmp/dummy.img bs=1M count=1000
miku@hatsune% dd if=/dev/zero of=/tmp/zero.img bs=1M count=1000
今回は、VPNを用いずに通信した場合、VPN上にてLZO圧縮を有効にし通信した 場合、VPN上にてLZO圧縮を無効にし通信した場合について比較を行う。 LZO圧縮を無効にする場合は、サーバとクライアント全ての設定ファイルから comp-lzoオプションを取り除く。
SCPの場合、以下のように/dev/nullを宛先として指定する。
miku@kagamine% scp 10.3.9.2:/tmp/dummy.img /dev/null
dummy.img                               100% 1000MB   5.0MB/s   03:22
HTTPの場合もSCPと同様に、/dev/nullを宛先として指定する。
% wget -O/dev/null http://10.3.9.2:3939/dummy.img
--2013-04-19 23:07:34--  http://10.3.9.2:3939/dummy.img
10.3.9.2:3939 に接続しています... 接続しました。
HTTP による接続要求を送信しました、応答を待っています... 200 OK
長さ: 1048576000 (1000M) [application/octet-stream]
`/dev/null' に保存中

100%[============================>] 1,048,576,000 5.01MB/s 時間 3m 21s

2013-04-19 23:10:55 (4.98 MB/s) - `/dev/null' へ保存完了 [1048576000/1048576000]
それぞれ10回づつ計測を行った場合の平均は以下のようになった。
テスト内容非VPNVPNVPN(lzo)
転送(1GB, HTTP, ZERO)112MB/s5.0MB/s7.8MB/s
転送(1GB, HTTP, RANDOM)112MB/s5.0MB/s4.9MB/s
転送(1GB, SCP, RANDOM)16.7MB/s5.1MB/s5.0MB/s
ping rtt min/avg/max/mdev0.557/0.699/0.765/0.0801.471/1.520/1.582/0.0581.525/1.558/1.638/0.031
ping(-s 1472 -M do)0.628/0.802/0.846/0.0712.119/2.180/2.276/0.0771.544/1.689/1.737/0.050
予想以上に暗号化処理の負荷が大きいようで、VPN経由だと非VPN経由の1/24ま でスループットが低下した。ファイル転送の際には、OpenBlocks上のopenvpn デーモンのCPU使用率が100%に張り付いていた。
OpenVPNは今のところ単一プロセスでのSMP対応はされていないため、2core以 上を活かしたい場合はサーバ・クライアント双方を–remote-random等で分割 し利用できるよう準備する必要がある。
似た構成のIPSecだとどの程度になるのか気になるところ。

OpenVPNのバージョンを上げてみる

試しにOpenBlocks上にてOpenVPN-2.3.1を野良ビルドし比較してみたが、今回 のテストにおける速度に関してはほとんど同じだった。
野良ビルドの手順は以下の通り。
miku@obsax3$ aptitude install liblzo2-dev libssl-dev libpam0g-dev
miku@obsax3$ wget http://swupdate.openvpn.org/community/releases/openvpn-2.3.1.tar.gz
miku@obsax3$ tar xzf openvpn-2.3.1.tar.gz
miku@obsax3$ cd openvpn-2.3.1
miku@obsax3$ ./configure --prefix=/usr/openvpn && make && sudo make install

beta版ファームウェア(wheezy)を試す

そうこうしているうちにdebian wheezyがOpenBlocks AX3に入ったようなので、 早速アップデートして比較してみる。wheezyでのカーネルのバージョンは3.2.36、OpenVPNのバージョンは2.2.1-8となっ ている。
テスト内容非VPNVPNVPN(lzo)
転送(1GB, HTTP, ZERO)112MB/s4.7MB/s7.6MB/s
転送(1GB, HTTP, RANDOM)112MB/s4.7MB/s4.7MB/s
転送(1GB, SCP, RANDOM)16.4MB/s4.7MB/s4.7MB/s
ping rtt min/avg/max/mdev1.096/1.596/1.767/0.2642.035/2.553/2.693/0.2022.052/2.589/2.863/0.208
ping(-s 1472 -M do)1.203/1.738/1.828/0.1822.694/3.109/3.285/0.2132.805/2.846/3.110/0.107
一気に速くなるのかなぁとわくわくしながら実行したのだが、結果は地味に遅くなってしまった。OpenVPN経由でない場合も遅くなっているようなので、 原因はOpenVPN以外(kernel側?)に存在する可能性が高そうである。

その他

kagamineのAtheros AR8151が、同時に蟹wlanを利用している状態である程度通 信すると突然死する謎の症状に悩まされる事があった。wlanを止めると死なな い。原因は不明。

2013年4月2日火曜日

feel6でIPv6(on Arch Linux)

プロバイダがPPPoEな固定IPv6サービスを始める気配がまったく無いので、久 しぶりにfeel6(http://start.feel6.jp/)を使ってみる。 ホスト環境はいつも通りArch Linux。

dtcpclientのビルド

dtcpclientのソースをダウンロードしてきてビルドする。FreeBSD用に書かれ ておりそのままではビルドできないため、オリジナルのMakefileを参考に直接 gccを叩く。

また、libbsdがインストールされていない場合は先にインストールしておく。

% wget http://www.imasy.or.jp/~ume/ipv6/dtcpclient-20060111.tar.gz
% tar xzf dtcpclient-20060111.tar.gz
% cd dtcpclient-20060111
% gcc -lbsd -lcrypto -Wall -DPREFIX=\"/usr/dtcp\" dtcpclient.c -o dtcpclient
% ./dtcpclient
usage: dtcpclient [-dDhlnU] [-b udpport] [-B naptport] [-e nickname]
[-f pidfile] [-m mtu] [-p port] [-s script] [-t tuntype] [-u username] server

起動

とりあえずfeel6にDTCPでログインできるか試してみる。 今回はNAT下で利用するため、-nオプションを付ける。-lは切断時の自動再接 続、-dはデバッグモードとなる。

% ./dtcpclient -d -l -n -t network -u ユーザ名 dtcp.feel6.jp 
no authinfo file found
password for hachune:
logging in to dtcp.feel6.jp port 20200
>>> +OK xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx FBDC TunnelBroker (version
0.2) Ready. <578926>:4096
<<< tunnel hachune yyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyy network
>>> +OK 118.1.71.38 43.244.255.37 2001:03e0:0988::/48
sleep(60)
<<< ping
>>> +OK pong
sleep(60)

ネットワーク設定スクリプトを作成

ログインに成功しアドレスが取得できたことが確認できたので、早速ネットワー ク設定スクリプトを書きなおす。dtcpclientの-sオプションに渡すスクリプト は、ログイン完了時と切断時に引数に以下のように渡され起動されるので、そ れに合わせて記述する。

up dtcp.feel6.jp 10.39.39.37 network 118.1.71.38 43.244.255.37 2001:03e0:0988::/48

LinuxにてIPv6 over IPv4なトンネルを利用する場合は、sitインターフェース を利用する。

#!/bin/sh

DEV=sit0
STATUS=${1}
SERVER=${2}
NLOCAL=${3}
MODE=${4}
LOCAL=${5}
REMOTE=${6}
V6PREFIX=${7}

case ${STATUS} in
up)
        ip link add link ${DEV} type sit
        ip link set dev ${DEV} up
        ip address add `echo ${V6PREFIX} | sed -e 's|/48||'`1/64 dev ${DEV}
        ip -6 route add default via ::${REMOTE} dev ${DEV}
        ;;
down)
        ip -6 route delete default
        ip link delete ${DEV}
        ;;
esac

確認

最後に、通信が確立していることを確認する。プロバイダのDNSサーバを利用 している場合、AAAAフィルタが有効になっていてv6アドレスが引けないことが あるので注意する。

% ping6 -c 4 ipv6.google.com
PING ipv6.google.com(2404:6800:4004:802::1012) 56 data bytes
64 bytes from 2404:6800:4004:802::1012: icmp_seq=1 ttl=53 time=17.6 ms
64 bytes from 2404:6800:4004:802::1012: icmp_seq=2 ttl=53 time=29.9 ms
64 bytes from 2404:6800:4004:802::1012: icmp_seq=3 ttl=53 time=15.5 ms
64 bytes from 2404:6800:4004:802::1012: icmp_seq=4 ttl=53 time=15.8 ms

--- ipv6.google.com ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3005ms
rtt min/avg/max/mdev = 15.518/19.732/29.904/5.929 ms

(参考)AAAAフィルタ

AAAAフィルタが存在する場合

miku@hachune% dig @10.39.39.1 AAAA www.kame.net

; <<>> DiG 9.9.2-P2 <<>> @10.39.39.1 AAAA www.kame.net
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58213
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;www.kame.net.                  IN      AAAA

;; ANSWER SECTION:
www.kame.net.           71617   IN      CNAME   orange.kame.net.

;; Query time: 16 msec
;; SERVER: 10.39.39.1#53(10.39.39.1)
;; WHEN: Tue Apr  2 11:53:43 2013
;; MSG SIZE  rcvd: 62

AAAAフィルタが存在しない場合

miku@hachune% dig @8.8.8.8 AAAA www.kame.net

; <<>> DiG 9.9.2-P2 <<>> @8.8.8.8 AAAA www.kame.net
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47873
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;www.kame.net.                  IN      AAAA

;; ANSWER SECTION:
www.kame.net.           21599   IN      CNAME   orange.kame.net.
orange.kame.net.        21599   IN      AAAA    2001:200:dff:fff1:216:3eff:feb1:44d7

;; Query time: 275 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Tue Apr  2 11:53:53 2013
;; MSG SIZE  rcvd: 90