投稿者「F@L」のアーカイブ

iOSDC Japan 2019 でネットワークスタッフやってきた。

iOSDC Japan 2019 に、ネットワークスタッフとして参加してきました。ちょっと遅れましたが、ブログ書きます!
ネットワークスタッフ2回目(iOSDCは初)です。

ネットワークスタッフ

カンファレンス会場で提供されるWi-Fi環境は、今回 株式会社KADOKAWA Connected さまの協力のもと、ネットワークスタッフの皆で作り上げ、運営しました。

どうやら昨今、ユーザーのトラフィックをさばくルーターやIPアドレスを割り振るDHCPサーバ、監視サーバなど各種サーバはDCやクラウドなどに設置し、カンファレンス会場からはそこへのVPNを繋ぐ手法が多くとられているようです。
そうすることで事前にネットワーク構築をおおよそ行うことができ、カンファレンス会場には物理ネットワーク機器を置いてケーブル繋ぐだけ(※理想)にすることができます。
今回の構成では、フレッツNGN 網内折り返しでのL2VPN(EtherIP)なので、まさにこれでした。
https://i.open.ad.jp/config/nec.aspx

そのDC側のつよつよ機材や、会場で使用するネットワーク機器などを提供していただいたのが、 KADOKAWA Connected さまということです。

開催の数ヶ月前から何度かネットワークスタッフはミーティングで集まり、ネットワーク機器と対面して設定を入れたり、リモートから設定できるようにしておいて、次のミーティングまでに細かな設定を詰めたり試したりしました。

私は会場・DCに設置する NEC UNIVERGE IX2215 の設定などを行いました。個人的にNEC UNIVERGE IXシリーズは好きなので、カンファレンスネットワークの構築でもやってみたかったのです。
分からないところは手練れの周りの人が相談にのってくれるので、安心して参加できました。(なので、ネットワークやりたい人Welcomeですよ!

iOSDC Japan 2019 当日の運営

開催前日にネットワーク機器の配線などを行いました。いや、半分嘘、私は午前は会社で仕事して午後から参加したら、ネットワークの設営は終わっていました。他のスタッフのみなさんありがとうございました。(出遅れた感いっぱいでめっちゃ悔しかった

当日はNOC(Network Operation Center)として会場の一角を借りて、会場のネットワークの番をしていました。

↑実は写真撮った時刻とツイートした時刻には開きがあって、まぁバタバタしていました。
事前に設定を済ませていたとはいえ、当日のトラブルはやはりいろいろありました。

とある一部屋のネットワークをまかなう電源タップが抜けたりとか。
その一部屋のWi-Fi AP全落ち、NOCに響くアラート「APxxが落ちました」。
パトランプ代わりに Crystal Signal Pi で光らせており、初めて見たので興味津々。

あとは、今回初使用のWi-Fi APとか。Wi-Fi 6(802.11ax)対応の、某社の最新AP20台ちょいだったのですが、APを集中管理するコントローラーが難しい。
最新のものでチャレンジしてみることが一つの目標だったのですが、1日目は安定していなかったのは申し訳なかったです。でも大丈夫、2日目はそれを乗り越え、割と安定して提供できたかと思います。

ちょっと話がそれますが、Wi-Fi 6対応のスマホはまだ国内に無いっぽい(?)んですね。つい先日、iPhone 11がWi-Fi 6対応と正式発表されましたが、それが国内初となるかと思います。Wi-Fi 6で接続できているところを見てみたかった・・・!

トークを見に行く余裕があまりなかったので、次は欲張ってトークも聴きたい。
ドタバタしちゃいましたが、ネットワークスタッフ楽しかったです。

布教活動

今回のiOSDC Japan 2019参加を通して、いくつかネットワークスタッフに布教しました。

  1. NEC UNIVERGE IX
    とあるネットワークスタッフの友人は、IXシリーズのルーターを買ってみたとのことです。ようこそIXの世界へ。
  2. 小型ONU
    私の、小型ONUにこだわりがあるという話からなぜか妙なノリで盛り上がりをみせ、一部のネットワークスタッフの方々には強烈に印象付いたかと思います。
    ぜひ将来、カンファレンスネットワークで小型ONUを使って欲しい、むしろ俺が導入するんだ!の気持ちでやっていきたいと思います。
    See also: 小型ONU画像まとめ – Togetter

さらなる布教活動

前述の個人的な布教活動は半分冗談として・・・

iOSDC Japanではネットワークやりたい人を募集しています。
来年もまたネットワークスタッフの募集があると思いますので、ぜひ応募してください!
なにとぞ!よろしくお願いいたします!!

NEC UNIVERGE IX2015のEtherIP over IPsecで外部のVPNサーバにDS-Lite経由で接続する。

前回はNEC UNIVERGE IX2015にて、IPv6 IPoEとDS-Liteを併用する設定について紹介しました。

今回は、DS-Lite経由で外部に設置したVPNサーバにEtherIP over IPsecで接続してみます。
VPNサーバとして、ConoHa VPS上に構築したSoftEther VPN Server (Version 4.29 Build 9680)を使用します。
前回の設定と比べると、さらに簡略化された最低限のコンフィグのみを記載します。
以下、NEC UNIVERGE IX2015 Version 8.3.49にて設定、動作確認しました。

WAN側IPv6設定

FastEthernet0/0.0 をWAN側とし、RA+DHCPv6でIPv6アドレスを割り当てます。今回FE0/0.0ではIPv4を使用しません。
また、LAN側のIPv6 IPoE設定も行いません。

ipv6 dhcp client-profile dhcpv6-cl
information-request
option-request dns-servers

interface FastEthernet0/0.0
no ip address
ipv6 address autoconfig receive-default
ipv6 dhcp client dhcpv6-cl
no shutdown

DS-Lite設定

Tunnel0.0 にDS-Lite用のIPv4 over IPv6トンネルを設定し、IPv4のデフォルトルートとします。
ただし、今回は簡略化のためproxy-dnsを設定していません。

tunnel destinationに設定したAFTRのアドレスは、例によってNTT東日本での現時点の設定例のため、最新のアドレスはプロバイダによって指定されるものを参照してください。

ip route default Tunnel0.0

interface Tunnel0.0
tunnel mode 4-over-6
no tunnel adjust-mtu
tunnel destination 2404:8e00::feed:100
ip address 192.0.0.2/29
ip tcp adjust-mss 1460
no shutdown

前回と異なる点は、トンネルにIPv4アドレスを割り当てたことです。
192.0.0.2/29 は必ずしもこのアドレスでなくとも動きますが、 RFC6333 で決められているDS-Liteのトンネル用のアドレスですのでこれを使います。
この設定を入れることで、IX2015のコンソール上から ping 8.8.8.8 などが通るようになったかと思います。

EtherIP over IPsec設定

SoftEther VPN ServerにEtherIP over IPsecで接続し、Tunnel1.0とFastEthernet0/1.0をブリッジします。
ここではVPNサーバのグローバルIPアドレスを 192.0.2.1 、IPsec事前共有鍵を vpntest 、ISAKMP Phase 1 IDを ix2015_jtgh3rt64yqhsu4h とします。
192.0.2.1 は単なる例示用のアドレスであり、前述の 192.0.0.2/29 とは何も関係がありません。

ip access-list allow_all permit ip src any dest any

ike proposal ike_prop_test1 encryption aes hash sha group 1024-bit lifetime 3600
ike policy ike_policy_test1 peer 192.0.2.1 key vpntest mode aggressive ike_prop_test1
ike keepalive ike_policy_test1 10 2
ike local-id ike_policy_test1 keyid ix2015_jtgh3rt64yqhsu4h
ike nat-traversal policy ike_policy_test1 keepalive 10

ipsec autokey-proposal ipsec_prop_test1 esp-aes esp-sha lifetime time 3600

ipsec autokey-map ipsec_map_test1 allow_all peer 192.0.2.1 ipsec_prop_test1
bridge irb enable

interface FastEthernet0/1.0
no ip address
bridge-group 2
no shutdown

interface Tunnel1.0
tunnel mode ether-ip ipsec
no ip address
ipsec policy tunnel ipsec_map_test1 out
bridge-group 2
no shutdown

bridge-groupが2であることに特に意味はありません。前回の設定と被らないようにずらしているだけです。

ここまで設定すれば、FE0/1.0に接続した機器はL2VPNに繋がった状態になるでしょう。

NEC UNIVERGE IX2015でIPv6 IPoEとDS-Liteを使用する。

IX2015はFastEthernetな機種なので、今からメインで使うことはないですが、IPv6 IPoE・DS-Liteのテストとして試しに設定してみました。
手元の環境がひかり電話なしのため、RA方式でIPv6アドレスを受け取る設定です。

http://jpn.nec.com/univerge/ix/Support/ipv6/index.html
基本的には公式の設定事例を参考にしているため、最新の情報はそちらを参照してください。
また、フィルタの設定を行っていません。ほぼ最低限のコンフィグのみです。

LAN側IPv4設定

FastEthernet1/0.0 をLAN側とし、インターフェースにIPv4アドレスを割り当て、DHCPを有効にします。

ここまで設定すると、FE1/0.0に繋いだ機器は192.168.1.0/24のIPアドレスが振られ、 ping 192.168.1.254 を実行するとIX2015から応答が返ってくるでしょう。

WAN側IPv6設定

FastEthernet0/0.0 をWAN側とし、インターフェースにフレッツNGNのRA+DHCPv6でIPv6アドレスを割り当てます。FE0/0.0ではIPv4を無効化しています。

ここまで設定すると、IX2015のコンソール上から外部のIPv6アドレスに対して ping6 2001:4860:4860::8888 などを実行すると、応答が返ってくるでしょう。

DS-Lite設定

Tunnel0.0 にDS-Lite用のIPv4 over IPv6トンネルを設定し、IPv4のデフォルトルートとします。

tunnel destinationで指定したDS-LiteのAFTRと呼ばれるアドレスは、NTT東日本での一例です。
最新のアドレスは、 http://www.mfeed.ad.jp/transix/ds-lite/ にある設定例などから確認してください。

また、IX2015の最終バージョンであるVer 8.3.49では、 proxy-dns ip enable request both というコマンドが使えず、IPv4で受けたDNS問い合わせをIPv6で上位に問い合わせることができないため、ここではGoogle Public DNSの8.8.8.8と8.8.4.4を設定しました。

ここまで設定すると、FE1/0.0に繋いだ機器からIPv4のインターネット接続が可能になっているでしょう。
機器側でのIPv6接続が不要であれば、ここまででおおよそ快適なインターネット接続が可能でしょう。

IPv6 IPoE設定

FastEthernet0/0.0 と FastEthernet1/0.0 の2つのインターフェース間で、IPv6のパケットのみブリッジするよう設定します。

ここまで設定すると、FE1/0.0に繋いだ機器からIPv6のインターネット接続も可能になっているでしょう。

IX他機種での設定

同世代以降のNEC UNIVERGE IXシリーズであれば、ほぼ同様の設定が使えます。

IX2005でも同様に設定して通信ができることを確認しました。これらの機種はFastEthernetのため、スループットは90Mbps程度で頭打ちしてしまいます。

DS-LiteやIPv6 IPoEの速度を十分に活用するには、GigaEthernet機種での使用をおすすめします。

フレッツ光の回線を光配線方式(小型ONU)に変更した。

かねてからの願望の一つであった、フレッツ光のギガ化、しかも小型ONUでの導入ができました。

回線は、フレッツ 光ネクスト マンション・ギガラインタイプで、ひかり電話なしの契約です。
ちなみに、工事費は16,200円(税込)でした。高いけど、しょうがない。

DSCN0982DSCN0983

DSCN0986DSCN0987

白いほうのケーブルが小型ONUに繋がるもの。スイッチの機種はH3C(HP)のS5100-8P-SIです。同じくH3CのS5100-24P-EIでも動きました。そりゃそうか。

これとは別に、TP-LINKのT1600G-28TSでは動きませんでした。T1600G-28TSは、SFPインターフェースにはspeed 1000とduplex fullが固定で設定されているのですが、どうやら私の持っている三菱製の小型ONU(GE-PON<M>A SFP-ONU<1>S)ではDuplexはオートネゴシエーションで決めないといけないらしく、スイッチ側にduplex autoを設定しようにも設定できなくて、使えませんでした。

一見設定できそうなのに、実際には設定できません。この仕様はちょっと残念です。
このため、上記の写真は、S5100-8P-SIはduplex autoで小型ONUを受けて、duplex fullでT1600G-28TSに流すだけの接続方法になっています。

2017-01-22 20.30.37
ちなみに、小型ONUの発熱は全く気にするレベルではなかったです。FLIR ONEで撮影してみましたが、このように、40度程度です。
左のRJ45ポートなどを見てわかるように、背景画像とサーモグラフィのズレがあります。なので、本当に発熱しているのはもう少し奥の、発熱注意のシールが貼られている箇所ですね。


小型ONU自体はまだ数日しか使っていませんが、さすがに1Gbpsの回線だけあって、上下500Mbpsくらいは安定して出ていますし、とても満足しています。

以下は、今回の回線変更についての経緯や申し込みのやり取り、スピードテストなどの駄文です。

続きを読む

nasneとChinachu βで録画予約情報を同期する。

この記事は DTV Advent Calendar 2016 18日目の記事です。

※以下の記事はChinachu βを対象としています。γへのアップデート後に動かないことを確認しましたので、あくまで参考としてください。

PCでDTVを楽しんでいるみなさん、いかがお過ごしでしょうか。私はChinachuを使いこなしたいと思うばかりの日々を過ごしております。

ところでみなさん、録画予約はどのように行っていますか?私は4半期ごとに(!)キーワードを登録したり、たまにWUIからポチポチと予約を入れていました。
nasne好きな私としては、主としてnasneで録画予約をしているので、それをChinachuでも録画予約するというのは面倒でつい忘れてしまいます。録画環境が複数あると、管理がめんどくさくなるんです。

nasne好きだけど、Chinachuも使いこなしたい。その想いから「録画予約情報を同期」という遊びに至りました。

nasneにはHTTPで通信できるJSON APIが存在しますし、Chinachuにも普通にJSON APIがありますので、それらを使えばアレコレ実現できそうです。
以下のようなスクリプトで、nasneに入っている録画予約情報をChinachuへ登録することができました。cronなどで定期実行することを想定しています。

これを利用することで、nasneにCHAN-TORUやtorne mobileなどから予約を入れておけば、外出中でも簡単にChinachuへの録画予約まで済ませられるんです!ちなみに我が家はBS/CSが映らないため、BS/CS対応はありません。

Chinachu側の番組表に見つからなかったもの(=放送予定なしや、番組表未更新によるもの)は同期されていませんが、それ以外は「手動」扱いでちゃんと予約されています。
synced-reserves

自分用のスクリプトでは、逆方向のChinachuからnasneへの同期にも対応しているのですが、いろいろと値が決め打ちの箇所があるため、今回は晒しません。良い感じのスクリプトが書けたら、あらためて公開するでしょう。これがあると、Chinachuを介してnasneでキーワード録画ができますね。

EpgTimerを使っていた頃にも、Reserve.txtに同期するスクリプトを動かしていましたが、Chinachuに移行してみて、JSONのAPIがあるとやはり扱いが楽で良いですね。APIを使って、快適録画ライフを送りましょう!

DTV Advent Calendar 2016 19日目、明日は @ryoi_ さんです。

Docker上でOpenWrtのビルドを行う。

先日、自宅ラック勉強会に参加しました。しかも珍しいOpenWrtについての勉強会です。
自宅ラック勉強会 #4.0 2015 ダンボー、OpenWRT、SoftEther、さぁハックの時間です。
家庭用ルーターを中心としてOpenWrtについてアレコレ、なかなか濃い勉強会になりました。

その際、OpenWrtのビルドを行う必要があったのですが、どうにもビルド環境を作るのが苦手なので、当初はOpenWrt Buildroot環境が整った既存のDockerイメージ(noonien/openwrt-buildroot – Docker Hub)を使うことにしました。

が、問題もあって、OpenWrt Barrier Breaker 14.07用であったり、Dockerfileのベースイメージであるubuntu:14.10がLTSではないためにapt-getしてもリポジトリが無くなっていました。

そこで、どうせなら自分用にDockerfileを作ってみようと思い立ち、試行錯誤しながら作成しました。勉強会後に手直ししています。
falms/docker-openwrt-buildroot – GitHub
安定志向のため、masterではなく15.05ブランチを使っていますので、PLANEX DB-WRT01のサポートは入っていませんのでご注意ください。
SoftEther VPNもインストールする想定であったため、el1nさん作成のOpenWRT-package-softetherもデフォルトで入れてみました。

続きを読む

QNAP Turbo NAS TS-120/TS-220にOpenSSHをインストールした。

QNAPのNASにはApp Centerというアプリストアがあり、そこからたくさんのアプリをインストール可能ですが、qpkgファイルを使って手動でインストールすることも可能です。

従来、QNAP NASにOpenSSHをインストールしようとすると、パッケージ管理システムのOptware IPKGのqpkgファイルをインストールし、ipkgコマンドを使えるようにする必要があったらしいのですが、どうやら今はOptware IPKGが非推奨となったそうで、必要なファイルが見つかりませんでした。
そのため、以下のWikiの情報は既に古いようでした。
http://wiki.qnap.com/wiki/Install_Optware_IPKG

じゃあどうするのか。どうやら今はQnapwareという、パッケージ管理システムを使うようです。
http://forum.qnap.com/viewtopic.php?f=320&t=100843
http://forum.qnap.com/viewtopic.php?f=11&t=70425
上記の手順に沿って作業します。

続きを読む

OpenWrt Chaos Calmer 15.05-rc1

https://openwrt.org/

OpenWrtの最新版、Chaos Calmer 15.05のRC1が公開されましたので、今回もBHR-4GRVにWZR-HP-G450H用OpenWrtをインストールしました。

使用したファイルは以下のもの。
https://downloads.openwrt.org/chaos_calmer/15.05-rc1/ar71xx/generic/
> openwrt-15.05-rc1-ar71xx-generic-wzr-hp-g450h-squashfs-tftp.bin
今回から、ファイル名にOpenWrtのバージョンがつくようになったんですね。分かりやすくて助かります。

さて、今回のRC1では、Known Issuesが二つ書かれています。どちらもopkgにかかわる箇所ですので、早々に修正しておきます。

続きを読む

ASUS RT-N66UがAndroid USBテザリングとOpenVPNに対応してた。

一万円ちょっとする、11n対応のルーター ASUS RT-N66U が、いつの間にやらAndroidのUSBテザリングとOpenVPNに対応していました。と、前ポストと同様の書き出し。

おそらくどちらもアップデートでの対応で、初期は対応していなかったのだと思います。

続きを読む

NETGEAR GS116EがWeb GUIに対応してた。

一万円ちょっとで買える、VLAN対応の16ポートスイッチ NETGEAR GS116E が、いつの間にやらWeb GUIに対応し、Windows以外でもブラウザを使って設定変更できるようになっていました。

同社のProSafe Plusシリーズのスイッチには、以前からVLANやQoS、ポートミラーリングなどの機能が備わっており、安価なスイッチの中では人気があったように思います。ただ、多くのレビューでは、その欠点として「設定はWindowsアプリケーションからのみ」という制限が挙げられていました。

GS116Ev2/JGS516PE Firmware Version 2.0.1.8
http://kb.netgear.com/app/answers/detail/a_id/24472

しかし、1月のファームウェアアップデートによって、16ポートのGS116Eにおいて、Web GUIのサポートが追加されています。8ポートのGS108Eには同機能を含むアップデートは(今のところ)ないようです。もうすぐ国内販売が開始されるGS105Eにもないでしょう。

残念ながらTelnetやSSHでの接続には対応していないのですが、これでひとまずWindows縛りは緩くなったでしょう。購入時にはこのファームウェアは入っていないと思われるため、初回アップデート時にはWindowsが必要です。

以下、いくつかスクリーンショット。

続きを読む