Monthly Archives: October 2019

IKEv2 eap-tlsで接続

以前にEAP-MSCHAPv2の設定をしたのですが、クライアントの証明書は必要ないことに気がついたのでEAP-TLSの設定をしました。クライアントを全部EAP-TLSで設定できればいいのですが、Linuxのstrongswan-nm(Network Manager)ではPUBKEYとEAP-MSCHAPv2とほかいくつかのマイナーなプロトコルしかつかえないので、PUBKEYを使うことにして、ほか、ルータ、armbianやWin/MACはEAP-TLSを使えるようにしました。 Server /etc/ipsec.conf config setup cachecrls=no strictcrlpolicy=no conn %default ikelifetime=60m keylife=20m rekeymargin=3m keyingtries=1 keyexchange=ikev2 # EAP-tls for Windows and macOS conn client-winmac left=myserver.com leftid=@myserver.com leftsourceip=%config leftcert=server@myserver.crt leftauth=pubkey leftfirewall=yes leftsubnet=0.0.0.0/0 #leftsubnet=1.2.3.4/32 right=%any rightid2=@myserver.com rightsourceip=192.168.100.0/27 #rightauth=eap-mschapv2 rightauth=eap-tls rightsendcert=never ike=aes128-sha256-modp2048! esp=aes128-sha256-modp2048! dpdaction=clear … Continue reading

Posted in Linux, Uncategorized | Comments Off on IKEv2 eap-tlsで接続

VPSのお引越し

ablenet VPSの更新日が来たので止めるか更新するか迷ってましたが、SSDで更新することにしました。今までのVPSは4年位使っていて、性能が相対的に見劣りしてきたのと、プログラムがかなり遅くなってストレスを感じたこともあって、自宅のサーバを強化したほうがメリットがあるという状況での選択になりました。自宅サーバは動的IPアドレスなので、途切れないようにするのがまた大変ですが、天秤にかけた結果なので受け入れるしかありません。データベースを走らせるとメモリの増強が必要になりVPSだと割高になってしまいます。メモリを増強しなければスワップを使うのでシステム全体が遅くなって使えないという状況になります。 自宅サーバを強化しようと思ったのは、前回の記事にも書きましたが、TV BOXに入れたarmbianがなかなか使えるということがありました。TV BOXは省エネのわりにインテルPCにかなわないものの高性能です。 引っ越しが一段落ついたので、新旧の性能を比較してみました。驚いたことに性能が倍も違いました。CPUがかなり良くなっていました。以下、結果を掲載します。 旧VPS) stress-ng –cpu 1 –cpu-method matrixprod –metrics-brief –perf -t 60 stress-ng: info: [18708] dispatching hogs: 1 cpu stress-ng: info: [18708] successful run completed in 60.32s (1 min, 0.32 secs) stress-ng: info: [18708] stressor bogo … Continue reading

Posted in Uncategorized | Comments Off on VPSのお引越し

rsyncでディスクスペースはあるのに write failed – No space left on device (28)となる場合

調べてみるとrsyncは一度キャッシュしてから目的のディレクトリにコピーするので–inplaceオプションを付けます。 rsync –inplace source destination https://serverfault.com/questions/688680/rsync-write-failed-no-space-left-on-device-28/688700

Posted in Linux | Comments Off on rsyncでディスクスペースはあるのに write failed – No space left on device (28)となる場合

VPNの新しいかたち、WireGuardを使ってみる

たまたまアマゾンで検索していたらVPNの使えるモバイルルータというのがあって、口コミを見ていたらWireGuardという聞きなれないVPNがあったので調べてみました。 WireGuard® is an extremely simple yet fast and modern VPN that utilizes state-of-the-art cryptography. It aims to be faster, simpler, leaner, and more useful than IPsec, while avoiding the massive headache. It intends to be considerably more performant than … Continue reading

Posted in Linux | Comments Off on VPNの新しいかたち、WireGuardを使ってみる

unattended-upgradesを有効にする

先日、緊急性のあるsudoバグのパッチがリリースされて、自分の管理するコンテナを含むマシーンを10台程度アップデートしました。数か増えると更新するのも大変ですね。コンテナは過去の記事にも書きましたが、overlayfsで重ね合わせているのでベースとなるコンテナをアップデートすれば良いので、作業は少し楽になりますが、大変なことには変わりありません。 作業している中で気がついたのですが、A2ホステキングのサーバだけはすでにアップデート済みでした。不思議に思って調べたのですが、aptが自動的にアップデートしていることがわかりました。 /var/log/apt/history.log Start-Date: 2019-10-15 06:45:45 Commandline: /usr/bin/unattended-upgrade -d Upgrade: sudo:amd64 (1.8.19p1-2.1, 1.8.19p1-2.1+deb9u1) End-Date: 2019-10-15 06:45:45 unattended-upgradeについて調べてみると自動アップデート機能だということです。使い方は次のようにするようです。 apt-get install unattended-upgrades dpkg-reconfigure -plow unattended-upgrades

Posted in Linux | Comments Off on unattended-upgradesを有効にする

VLANタグを使ってルータを構築

TV BOX(amlogic s905x)は普段使っているルータに比べて性能は格段に優れているのですが、LANポートが1つしかなくてネットワーク機器には不向きです。一方でルータは十分なLANポートをもっているがCPUスペックが低いです。そのためサービスが多くなるに従って動作が重くなり肝心のネットワークのスループットに影響が出てしまします。実際、IKEv2を使っていてルーターのネットワークのスピードの低下の影響はかなり大きいです。そこでTV BOXにarmbianを入れてルータにしてしまおうというのが今回の趣旨です。 OpenWrt Armbian 今年の夏にカーネル5.1のarmbianが出て、動かしてみるとかなり実用的であることがわかりました。それでcacti等を動かしていたのですが、まだまだパワーが余っています。ルータのタスクを一部移そうかと検討してたのですが、どうせならルータ化した方が話が早いという結論になりました。LANポートが1つしかないので、VLANタグを付けて、すなわちVLAN多重化してネットワークを分けます。そして旧ルータのVLAN機能のあるHUBと組み合わせて使います。VLAN機能によってかなり自由度の高いネットワークの設計ができます。自分専用のサーバのみならず、DMZを作ってインターネット用にサーバを立てることもできます。 ただし注意することはTV BOXはあくまでもマルチメディア再生機なのでネットワーク部分が弱いです。LANポートは100Mbpsしかないので、コンテナで複数サーバを立てるとネットワークがボトルネックになる可能性があります。ラズパイなどのSoCボードならその点は優れているのですが、熱暴走しないとかシステムの安定性となると製品化された方に優位性があります。それぞれ一長一短があるので使う人次第ということになります。さらにストレージがeMMCなのでHDDやSSDより性能が劣ります。 OpenWrt(旧ルーター)の設定 Vlanのタグをつかってセグメントを分けます。さらにInterfaceとZoneをつくります。 Network>Switch Network>Interfaces Network>Firewall Armbian(新ルータ)の設定 Debian旧来のネットワークの設定をします。一部vlanができないのでブリッジを使ってインターフェースを作りました。 LAN Networkの設定 # source /etc/network/interfaces.d/* # Network is managed by Network manager auto lo iface lo inet loopback #auto eth0 iface eth0 inet manual … Continue reading

Posted in Linux | Comments Off on VLANタグを使ってルータを構築

Debianの静的ルーティング

ノートPCをサーバ代わりに使っている状況で、ネットワーキングの設定は旧来のやり方、/etc/networkの設定で今まではうまく稼働していましたが、静的ルーティングの設定が反映されないという問題に直面しました。Debian Wikiではpost-upを使うように書かれています。 post-up route add -net 10.0.0.0 netmask 255.255.255.0 gw 192.168.1.100 dev eth0 ところがこれだとリブートしてもルーティングが反映されませんでした。さらに調べてみると、/etc/network/if-up.dにカスタムスクリプトがおけることがわかりましたので次のようにしてみました。 /etc/network/if-up.d/static-routing !/bin/sh IFACE=enp0s25 if [ -d “/proc/sys/net/ipv4/conf/$IFACE” ] then /sbin/route add -net 10.0.0.0 netmask 255.255.255.0 gw 192.168.1.100 dev $IFACE fi この設定をしてリブートしてip routeで確認してみます。 以上です。

Posted in Linux | Comments Off on Debianの静的ルーティング

Nginxでunix domain socketを使う

Alblenetでnginxを使っていたときは、lxcコンテナだったのでreverse proxyでローカルIPをlxcホストに飛ばしていましたが、A2ホスティングに移したとき、OpenVZだったのでコンテナが作れません。それでポートを使ってreverse proxyで飛ばしていましたが、httpポートが増えて煩雑になることとMySQLではローカルの場合ソケットを使っていてIPポートを使うより高速に動作するので、nginxでもソケットで飛ばせるのではないかと考えて、検索して調べてみました。私が思いつく段階ですでに頭のいい人たちがやっていることがほとんどなので、今回も例にもれず実例が見つかりました。upstreamを使う場合と、proxy_passに指定する方法の2通りありました。 Upstreamの場合 upstream backend { server unix:/var/run/mail.sock; } … server { listen 443 ssl; server_name mx.hottuna.tk; … proxy_pass http://backend; Proxy_passの場合 server { listen 443 ssl; server_name mx.hottuna.tk; … proxy_pass http://unix:/var/run/mail.sock; バックエンドサーバ例 server { #listen 83; listen unix:/var/run/mail.sock; server_name … Continue reading

Posted in Linux | Comments Off on Nginxでunix domain socketを使う