blog.monophile.net

コンピュータのこととかのメモ。

山本 一彰 | Takaaki Yamamoto

山本一彰(Takaaki Yamamoto)

東京工業大学において計算機科学と応用数学を学び、 情報科学芸術大学院大学[IAMAS]においてメディア表現を専攻し修了。 2015年にコンビネータ論理を基に計算完備な計算手法 "論理珠算"を開発し、 それを含む体系である"算道"を構成した。 その成果により、2016年に 第19回 文化庁メディア芸術祭 アート部門 新人賞 (文部科学大臣賞) を受賞。 現在はSRE(サイト信頼性エンジニア)として生計をたててている。

技術

Configuration Management Terraform, Ansible, Cloud-Init
Cloud Platform GCP, AWS, Azure, OpenStack
Virtualization, Container QEMU+KVM, Proxmox, Xen, LXD/LXC, Docker, Kata, systemd-nspawn
OS, Distribution Debian GNU/Linux, Ubuntu, CentOS, FreeBSD, macOS, ...
Storage Ceph, GlusterFS, ZFS, Btrfs, ...
Router Linux+Netfilter, Quagga, FRR, VyOS, Cisco IOS, YAMAHA RTX, ...
Switch Dell FTOS, AlaxalA, NETGEAR, ...
SQL MySQL, MariaDB(Galera Cluster), PostgreSQL, BigQuery, ...
NoSQL Elasticsearch, InfluxDB, etcd, MongoDB, ...
WebApps WordPress, GitLab, Redmine, ...
Monitoring Grafana, Prometheus, Nagios, Munin, Zabbix
DNS CoreDNS, dnsmasq, Unbound, BIND9, ...
Misc Kubernetes/Istio, certbot, HAProxy, ...

自称はネットワークエンジニアだが、 Linuxのネットワークと仮想化技術が得意なため、 サーバエンジニアの雰囲気のほうが強いかもしれない。

習得中

Virtualization, Container, OS VirtIO GPU, okd, CDH, CoreOS, ...
Network mVPN, Calico, IoT(6LoWPAN, LoRaWAN), ...
NoSQL BigTable, HBase, OpenTSDB, Redis, ...
Misc Test Engineering, Android Apps, ...

大きな領域では、セキュリティを考慮した複数パブリッククラウドの相互運用に興味がある。

投稿

socatでtapインターフェースを作成して認証も暗号化もしないVPN

概要

socatでTUN/TAPインターフェースを扱えるらしく、 UDPで転送すれば簡単なVPNが構成できそうだったので、やってみた。 認証も暗号化も行わない。 想定する環境は↓。

サーバ クライアント
OS Linux Linux
UDPで接続するIP 192.168.1.1 192.168.1.2
tap1のIP 10.0.0.1/24 10.0.0.2/24

サーバ側

サーバ側で↓を行うとUDPの1194番ポートでListenされる。

一応↑ではrangeオプションでクライアントのIPからのみ許可するように設定しているが、 セキュリティ的にはよくはない。

そして、この段階ではまだサーバ側にはtap1インターフェースはできていないはず。

クライアント側

サーバ192.168.1.1:1194につなぎに行くように↓を行う。

するとクライアント側にtap1インターフェースが作成された。

IPアドレス10.0.0.2/24も付加されている。

pingをクライアントからサーバへ打つ

この状態でpingをクライアント側からサーバ側10.0.0.1へ打ってみるとpingが返ってくる。

そして、サーバ側にtap1インターフェースが作成されていることがわかる↓。

MTUの調整

上記で作成されたtap1インターフェースのMTUをサーバ側とクライアント側の両方で設定しておく。

Layer byte
IP 20
UDP 8
Ethernet 18

tapデバイスはイーサネットのフレームも含むため、 L3までに含まれるの各種ヘッダの量は↑である。 したがって、VPNを張りたい経路のMTUが1500の場合、 tap1に設定されるべきMTUは(1500 - 20 - 8 - 18) => 1454と計算できる。

備考

TUN/TAPのうちTAPにしたかったのは仮想ブリッジに接続したかったからだが、 仮想ブリッジの作成まで記事に含めるのは冗長な気がしたので、 tap1インターフェースに直接IPを振った。

ちなみに、socatはopensslも使えるため暗号化できそうだが、 残念ながらTCPをバインドしてしまって、UDPでは不可能だった。 一方で、openssl s_serverでDTLSを指定するとUDPをバインドすることは確認できたので、 そのうちsocatも対応してくれそうな気がする。

参考