Manabii の紹介

無気力です。

OpenVPN で VPN トンネル内に IPv6 を通す

とりあえず、Debian GNU/Linux 9 において、OpenVPN の VPN トンネル中で IPv6 を通すメモです。

基本的に「OpenVPN 設定メモ (Debian 7 Wheezy)」の項目が設定できていて (Debian 9 でもおおよそ同じです) 、サーバ側にはグローバル IPv6 が当たっていて、適切なフィルタリングが出来ているものと想定します。

■前提

  • VPN の内側で使用するネットワークは、ユニークローカルアドレス、「fd00:abcd:abcd:abcd::/64」、サーバの VPN 側 IPv6 は「fd00:abcd:abcd:abcd::1」を使うことにする。
  • 上記のメモの内容が Debian GNU/Linux 9 の OpenVPN パッケージで構築済みである。
  • 設定するサーバには IPv6 の接続性がある。

■設定

/etc/openvpn/server.conf に以下を追記します。

server-ipv6 fd00:abcd:abcd:abcd::1/64
push "route-ipv6 fd00:abcd:abcd:abcd::/64"
push "route-ipv6 2000::/3"
push "dhcp-option DNS DNSサーバのIPv6アドレス" # オプション

ip6tables で以下の様なルールを設定します。(設定内容はこのままコピペじゃなくて、実際の環境に合わせて下さい。)

ip6tables -A INPUT -i tun0 -s fd00:abcd:abcd:abcd::/64 -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -A OUTPUT -o tun0 -d fd00:abcd:abcd:abcd::/64 -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -A FORWARD -i tun0 -o ens3 -s fd00:abcd:abcd:abcd::/64 -d ::/0 -j ACCEPT
ip6tables -A FORWARD -i ens3 -o tun0 -s ::/0 -d fd00:abcd:abcd:abcd::/64 -j ACCEPT -m state --state ESTABLISHED,RELATED
ip6tables -t nat -A POSTROUTING -o ens3 -s fd00:abcd:abcd:abcd::/64 -d ::/0 -j MASQUERADE
ip6tables -A FORWARD -j DROP

上記を設定後、openvpn サーバを再起動させて、iPhone などのクライアントから OpenVPN で接続すると、VPN 側で IPv4 アドレスの他、IPv6 アドレスも付与されます。

■課題

当然ながら、IPv6 アドレスオンリーのサイトにも繋がるはずですが、なぜか一部画像が表示されなかったりという現象を確認しています。mtu の問題なのかなぁ、と思っているのですが、「OpenVPN Connect iOS FAQ」によれば、iOS の OpenVPN クライアントでは fragment パラメータを設定しているサーバには接続できないらしく、どうしたものかと考え中です。

サイト復旧のお知らせ

2017/06/28 午前 7 時ぐらいより、本サイトのコンテンツが閲覧できない場合がありました。
現在は復旧しています。原因はキャッシュが正常に供給されない現象によるものでした。ちょっと、設定を変更して様子を見てみます。

※自分でアクセスしても 403 エラーが出てびっくりしたよ・・・。

今日行ったこと

自宅でルータのログ取得兼、DNS64 / NAT64 箱兼、DNS キャッシュサーバ兼、VPN サーバを兼ねている Raspberry Pi の Linux カーネルを最新に上げようとして失敗する。

起動しなくなったので、とりあえず数時間寝る。

起きてからおもむろに、Raspberry Pi から MicroSD カード (/boot) と外付け USB-HDD (/) を外し、macOS で動いている VMware Fusion 上の Linux から、/boot 相当 (/dev/sdb1) を /mnt/sdb1 、/ 相当 (/dev/sdc1) を /mnt/sdc1 にマウントして、以下のコマンドを投入。

# wget "https://raw.githubusercontent.com/Hexxeh/rpi-update/master/rpi-update"
# chmod 755 rpi-update
# ROOT_PATH=/mnt/sdc1 BOOT_PATH=/mnt/sdb1 ./rpi-update

再度、Raspberry Pi に microSD を挿入、外付け USB-HDD を接続し、電源投入で復活。

性懲りも無く、再度 Linux カーネルをビルドする。ただ単に、カーネルソースが必要なだけなのだが。で、今度は成功する。たぶん、環境変数が引き継げていなかったのが原因だった気がする。

そして、Jool をビルドして終わり。

やはり失敗した場合は、一度寝るに限る。

ConoHa を使っていて友達はいないが

CohoHa には「このとも」という友達紹介制度が存在します。

ですが、私には紹介するような友達が居ません。

と言うわけで、以下に「このとも」経由で ConoHa に申し込めるリンクを張っております。上記「このとも」の内容に問題が無くて、ConoHa を始めるような方がいらっしゃれば、クリック頂ければ嬉しいです。

「このとも」経由で ConoHa サイトへ

本サーバの OS アップデート

本サイトのサーバ OS をアップデートしました。これにより、以下の変更が発生しています。

  • HTTP/2 に対応しました。
  • SNI の設定を変更したので、HTTPS 経由で SNI 非対応のブラウザ (例えば Windows XP の Internet Explorer) からは本サイトが表示できなくなりました。
    ※ここ数年ぐらいの環境であれば影響しないはず。

なお、VPS は引き続き ConoHa を利用していますが、HDD の旧プランから SSD の新プランに移行しています。下にも書いているけれど、SSD のおかげか、はたまた fcgid に変更したからか、体感レベルでパフォーマンスは上がっています。

続きを読む

nsd4 と nsd3 でマスター、スレーブサーバを設定した備忘録

以下のような環境で設定した備忘録である。なお、IP アドレスは例である。

■環境

・マスター (Debian GNU/Linux Stretch) / nsd4

IPv4 アドレス: 192.0.2.1
IPv6 アドレス: 2001:0DB8::1

・スレーブ (Debian GNU/Linux Wheezy) / nsd3

IPv4 アドレス: 192.0.2.2
IPv6 アドレス: 2001:0DB8::2

続きを読む

けものフレンズ最終回を観た

端的に言うと、これは、かばんちゃんが「自尊心」を確立するまでの過程のお話だ。

と言うか、細かい舞台の考察よりも物語の本質を追うべきだったのだ。

自分自身が、「新世紀エヴァンゲリオン」に始まり「魔法少女まどか☆マギカ」まで、割と陰惨な舞台かつ、最悪の方向に進む様な作品を好んできたからか、考察をしなければならない、と言う強迫観念にとらわれていたのかもしれない、と感じた。