OpenVPN で VPN トンネル内に IPv6 を通す

投稿日時: 07/01/2017 投稿者: Manabii

とりあえず、Debian GNU/Linux 9 において、OpenVPN の VPN トンネル中で IPv6 を通すメモです。

基本的に「OpenVPN 設定メモ (Debian 7 Wheezy)」の項目が設定できていて (Debian 9 でもおおよそ同じです) 、サーバ側にはグローバル IPv6 が当たっていて、適切なフィルタリングが出来ているものと想定します。

■前提

VPN の内側で使用するネットワークは、ユニークローカルアドレス、「fd00:abcd:abcd:abcd::/64」、サーバの VPN 側 IPv6 は「fd00:abcd:abcd:abcd::1」を使うことにする。
上記のメモの内容が Debian GNU/Linux 9 の OpenVPN パッケージで構築済みである。
設定するサーバには IPv6 の接続性がある。

■設定

/etc/openvpn/server.conf に以下を追記します。

server-ipv6 fd00:abcd:abcd:abcd::1/64
push "route-ipv6 fd00:abcd:abcd:abcd::/64"
push "route-ipv6 2000::/3"
push "dhcp-option DNS DNSサーバのIPv6アドレス" # オプション

ip6tables で以下の様なルールを設定します。(設定内容はこのままコピペじゃなくて、実際の環境に合わせて下さい。)

ip6tables -A INPUT -i tun0 -s fd00:abcd:abcd:abcd::/64 -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -A OUTPUT -o tun0 -d fd00:abcd:abcd:abcd::/64 -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -A FORWARD -i tun0 -o ens3 -s fd00:abcd:abcd:abcd::/64 -d ::/0 -j ACCEPT
ip6tables -A FORWARD -i ens3 -o tun0 -s ::/0 -d fd00:abcd:abcd:abcd::/64 -j ACCEPT -m state --state ESTABLISHED,RELATED
ip6tables -t nat -A POSTROUTING -o ens3 -s fd00:abcd:abcd:abcd::/64 -d ::/0 -j MASQUERADE
ip6tables -A FORWARD -j DROP

上記を設定後、openvpn サーバを再起動させて、iPhone などのクライアントから OpenVPN で接続すると、VPN 側で IPv4 アドレスの他、IPv6 アドレスも付与されます。

■課題

当然ながら、IPv6 アドレスオンリーのサイトにも繋がるはずですが、なぜか一部画像が表示されなかったりという現象を確認しています。mtu の問題なのかなぁ、と思っているのですが、「OpenVPN Connect iOS FAQ」によれば、iOS の OpenVPN クライアントでは fragment パラメータを設定しているサーバには接続できないらしく、どうしたものかと考え中です。

本サーバの OS アップデート

投稿日時: 04/29/2017 投稿者: Manabii

返信

本サイトのサーバ OS をアップデートしました。これにより、以下の変更が発生しています。

HTTP/2 に対応しました。
SNI の設定を変更したので、HTTPS 経由で SNI 非対応のブラウザ (例えば Windows XP の Internet Explorer) からは本サイトが表示できなくなりました。
※ここ数年ぐらいの環境であれば影響しないはず。

なお、VPS は引き続き ConoHa を利用していますが、HDD の旧プランから SSD の新プランに移行しています。下にも書いているけれど、SSD のおかげか、はたまた fcgid に変更したからか、体感レベルでパフォーマンスは上がっています。

続きを読む →

nsd4 と nsd3 でマスター、スレーブサーバを設定した備忘録

投稿日時: 04/22/2017 投稿者: Manabii

返信

以下のような環境で設定した備忘録である。なお、IP アドレスは例である。

■環境

・マスター (Debian GNU/Linux Stretch) / nsd4

IPv4 アドレス: 192.0.2.1
IPv6 アドレス: 2001:0DB8::1

・スレーブ (Debian GNU/Linux Wheezy) / nsd3

IPv4 アドレス: 192.0.2.2
IPv6 アドレス: 2001:0DB8::2

続きを読む →

postfix で RBL を利用する場合

投稿日時: 10/14/2016 投稿者: Manabii

返信

Postfix で RBL を使用する場合、単純に「smtpd_recipient_restrictions」内のしかるべき場所に「reject_rbl_client」で指定してあげたら良いだけです。

ただ、改めてドキュメントを見ていると、返答された A レコードの内容によって通したり通さなかったり出来る模様でした。

smtpd_recipient_restrictions =
	permit_mynetworks,
	permit_sasl_authenticated,
	reject_unauth_destination,
	reject_rbl_client all.rbl.jp,
	reject_rbl_client bl.spamcop.net,
	reject_rbl_client zen.spamhaus.org=127.0.0.[2;3;4;5;6;7;10;11]

こんな感じで書いた場合、

all.rbl.jp および bl.spamcop.net で接続元 IPv4 (aaa.bbb.ccc.ddd だと ddd.ccc.bbb.aaa.rbl_domain の様な形式) で A レコードを引いて、何か値が返ってきたらブロック。
zen.spamhaus.org で引いた場合で、127.0.0.2, 127.0.0.3, 127.0.0.4, 127.0.0.5, 127.0.0.6, 127.0.0.7, 127.0.0.10, 127.0.0.11 のいずれかが返ってきた場合ブロック。

となる様でした。

なお、「reject_rbl_client」パラメータの「rbl_domain=」の後の IPv4 アドレスは Postfix 2.1 以降、[] 内の値を「;」文字で分割できるのは、Postfix 2.8 以降で使用できる模様です。

ちなみに、zen.spamhaus.org を使用している場合で、本当に設定が有効になっているかどうかを確認するには、設定したサーバから「nelson-sbl-test [アットマーク] crynwr.com」あてにメール送信をします。

正しく設定されていると、サーバ側のメールログにブロックされている旨が記録されますし、結果もメールで返送されてきます。

squid 3.1 設定のメモ (Debian GNU/Linux 7 での場合)

投稿日時: 05/28/2016 投稿者: Manabii

返信

Debian GNU/Linux 7 での設定例です。キャッシュは使用しません。プロキシのポート番号は 8080 です。

■設定とインストール

・インストール

# apt-get install squid3

・認証用ファイルを作る

以下のような形式のプレーンテキストファイルを「/etc/squid3/passwd」に作成し、適切な権限を与えます。

Username:Password

# cd /etc/squid3
# echo "Username:Password" > passwd
# chmod 600 passwd
# chown proxy:proxy passwd

・squid3 の設定ファイルを編集

/etc/squid3/squid.conf を編集する。

# Digest 認証部分
auth_param digest program /usr/lib/squid3/digest_pw_auth /etc/squid3/passwd
auth_param digest children 5
auth_param digest realm Proxy Server
auth_param digest nonce_garbage_interval 5 minutes
auth_param digest nonce_max_duration 30 minutes
auth_param digest nonce_max_count 50

# キャッシュマネージャーの ACL
acl manager proto cache_object

# localhost の ACL
acl localhost src 127.0.0.1/32 ::1

# Digest 認証の ACL
acl passwdauth proxy_auth REQUIRED

# Proxy での SSL ポート番号並びに通すポートと CONNECT メソッドの ACL
acl SSL_ports port 443
acl Safe_ports port 80
acl Safe_ports port 443
acl CONNECT method CONNECT

# キャッシュマネージャーへのアクセス制限 (localhost のみ)
http_access allow manager localhost
http_access deny manager

# プロキシへのアクセス制限 (あらかじめ定義したポート、メソッドで localhost は許可、それ以外は Digest 認証が必要)
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow passwdauth
http_access deny all

# プロキシのポート番号
http_port 8080

# キャッシュ設定 (使用しない)
cache_mem 0 MB
cache deny all

# 実行ディレクトリ
coredump_dir /var/spool/squid3

# プロキシサーバが出力するヘッダを抑制
forwarded_for delete
via off

・設定確認

# squid3 -k parse

「via off」部分で WARNING が出ますが、ヘッダの抑制は行われます。

・再起動

# /etc/init.d/squid3 restart

■その他

squid3 が動作しているサーバが IPv6 アドレスも持っている場合、IPv4 な接続元から squid3 経由で通信すると、要求された接続先が IPv6 アドレスを持っている場合、IPv6 でアクセスすることを確認しました。プロキシ形での IPv4 <-> IPv6 変換としても使用できそうです。