blog.monophile.net

コンピュータのこととかのメモ。

山本 一彰 | Takaaki Yamamoto

東京工業大学において計算機科学と応用数学を学び、 情報科学芸術大学院大学[IAMAS]においてメディア表現を専攻し修了。 2015年にコンビネータ論理を基に計算完備な計算手法 "論理珠算"を開発し、 それを含む体系である"算道"を構成した。 その成果により、 第19回 文化庁メディア芸術祭 アート部門 新人賞 (文部科学大臣賞) を2016年に受賞。 現在はインフラエンジニアとして生計をたててている。

技術

各種システムの設計/構築/運用を承ります。

Configuration Management Ansible, Terraform, cloud-init
Cloud Platform AWS, Azure, GCP, Openstack
Openstack Keystone, Glance, Cinder(Ceph), Neutron(VLAN), Nova(QEMU), Horizon
Virtualization QEMU+KVM, LXD/LXC, Docker
OS Ubuntu, Debian GNU/Linux, CentOS, ...
Storage Ceph, GlusterFS, ZFS, btrfs, ...
Networks Tunnel(IPSec, L2TP, VXLAN, GRE), WirelessAP, ...
DB MySQL, MariaDB(Galera Cluster), MongoDB
Mail postfix, dovecot
WebApps WordPress, GitLab, MatterMost, Redmine, RainLoop, ...
Monitoring Nagios, Munin
Misc certbot, dnsmasq, ...

技術(習得中)

Orchestration Kubernetes
Openstack swift, manila, trove
OS CoreOS(Container Linux), Vyatta(VyOS), ...
Networks IPv6, BGP(quagga, calico), flannel, fan, ...
DB/KVS Redis, etcd
Monitoring Prometheus, Zabbix
DNS CoreDNS, PowerDNS
Misc MAAS, Blockchain

投稿

2台のRTX1100でIPsec

概要

YAMAHA RTX1100が安かったので、2台でIPsecの設定をしてみた。

前提

  • 片方のRTX1100にはグローバルアドレスがついている。 これをRT0とする。
  • もう片方のRTX1100はNAPT越しでプライベートアドレスが付いている。 これをRT1とする。NAPTを担当するルータはRT9とする。
  • RT0(lan2) <-> (インターネット) <-> (ルータRT9) <-> (lan2)RT1
  • RT0とRT1の間でIPsec(トンネルモード)を張る。 RT1はグローバルアドレスがついていないため、RT0がアグレッシブモードで待ち受ける。
  • RT0
    • IP(lan2): A.A.A.A/A
    • IP(lan1): b.b.b.1/b
  • RT9
    • IP(lan2): N.N.N.N/N
    • IP(lan1): c.c.c.1/c
  • RT1
    • IP(lan2): c.c.c.2/c
    • IP(lan1): d.d.d.1/d

RT0

ip lan2 address A.A.A.A/A
ip lan1 address b.b.b.b/b

(RT0) IPsec トンネルモード

RT1のアドレスがわからない、という前提なので、remote addressはanyに設定する。

tunnel select TUNNEL_ID
 description tunnel RT0-RT1
 ipsec ipcomp type none
 ipsec tunnel POLICY_ID
  ipsec sa policy POLICY_ID GATEWAY esp aes-cbc sha-hmac
  ipsec ike encryption GATEWAY aes-cbc
  ipsec ike group GATEWAY modp1024
  ipsec ike hash GATEWAY sha
  ipsec ike keepalive log GATEWAY on
  ipsec ike keepalive use GATEWAY on dpd 20 3
  ipsec ike local address GATEWAY b.b.b.1
  ipsec ike local id GATEWAY b.b.b.0/b
  ipsec ike nat-traversal GATEWAY on
  ipsec ike payload type GATEWAY 2
  ipsec ike pre-shared-key GATEWAY text pskpskpsk
  ipsec ike remote address GATEWAY any
  ipsec ike remote name GATEWAY RT1
  ipsec auto refresh GATEWAY on
 ip tunnel tcp mss limit auto
 tunnel enable TUNNEL_ID

(RT0) masquerade

(RT0)をデフォルトゲートウェイにしたい場合は、マスカレードの設定が必要。

nat descriptor type 1 masquerade
nat descriptor address outer 1 A.A.A.A
nat descriptor address inner 1 b.b.b.1-b.b.b.254
nat descriptor masquerade static 1 1 b.b.b.1 udp 500
nat descriptor masquerade static 1 2 b.b.b.1 udp 4500
nat descriptor masquerade static 1 3 b.b.b.1 esp
nat descriptor masquerade static 1 10 b.b.b.1 tcp 22
nat descriptor masquerade static 1 11 b.b.b.1 tcp telnet
nat descriptor masquerade static 1 12 b.b.b.1 tcp www

RT1

ip lan2 address c.c.c.2/c
ip lan1 address d.d.d.1/d

(RT1) IPsec トンネルモード

tunnel select TUNNEL_ID
 description tunnel RT1-RT0
 ipsec ipcomp type none
 ipsec tunnel POLICY_ID
  ipsec sa policy POLICY_ID GATEWAY esp aes-cbc sha-hmac
  ipsec ike encryption GATEWAY aes-cbc
  ipsec ike group GATEWAY modp1024
  ipsec ike hash GATEWAY sha
  ipsec ike keepalive use GATEWAY on dpd 20 3
  ipsec ike local address GATEWAY d.d.d.1
  ipsec ike local id GATEWAY d.d.d.0/d
  ipsec ike local name GATEWAY RT1 key-id
  ipsec ike nat-traversal GATEWAY on
  ipsec ike payload type GATEWAY 2
  ipsec ike pre-shared-key GATEWAY text pskpskpsk
  ipsec ike remote address GATEWAY A.A.A.A
  ipsec auto refresh GATEWAY on
 ip tunnel tcp mss limit auto
 tunnel enable TUNNEL_ID

(RT1) 静的ルーティング

RT1からRT0へのトラフィックのみはRT9を通るようにし、それ以外はトンネルインターフェースを経由するように設定する。

ip filter 1000 pass c.c.c.1/c * * * *
ip filter 1001 pass d.d.d.0/d * * * *
ip route default gateway c.c.c.1 filter 1000 gateway tunnel 1 filter 1001 hide gateway c.c.c.1
ip route b.b.b.0/b gateway tunnel TUNNEL_ID
ip route A.A.A.A gateway c.c.c.1