技術

Configuration Management	Terraform, Ansible, Cloud-Init
Cloud Platform	GCP, AWS, Azure, OpenStack
Virtualization, Container	QEMU+KVM, Proxmox, Xen, LXD/LXC, Docker, Kata, systemd-nspawn
OS, Distribution	Debian GNU/Linux, Ubuntu, CentOS, FreeBSD, macOS, ...
Storage	Ceph, GlusterFS, ZFS, Btrfs, ...
Router	Linux+Netfilter, Quagga, FRR, VyOS, Cisco IOS, YAMAHA RTX, ...
Switch	Dell FTOS, AlaxalA, NETGEAR, ...
SQL	MySQL, MariaDB(Galera Cluster), PostgreSQL, BigQuery, ...
NoSQL	Elasticsearch, InfluxDB, etcd, MongoDB, ...
WebApps	WordPress, GitLab, Redmine, ...
Monitoring	Grafana, Prometheus, Nagios, Munin, Zabbix
DNS	CoreDNS, dnsmasq, Unbound, BIND9, ...
Misc	Kubernetes/Istio, certbot, HAProxy, ...

自称はネットワークエンジニアだが、 Linuxのネットワークと仮想化技術が得意なため、サーバエンジニアの雰囲気のほうが強いかもしれない。

習得中

Virtualization, Container, OS	VirtIO GPU, okd, CDH, CoreOS, ...
Network	mVPN, Calico, IoT(6LoWPAN, LoRaWAN), ...
NoSQL	BigTable, HBase, OpenTSDB, Redis, ...
Misc	Test Engineering, Android Apps, ...

大きな領域では、セキュリティを考慮した複数パブリッククラウドの相互運用に興味がある。

socatでtapインターフェースを作成して認証も暗号化もしないVPN

linux, network

[publish: 2018-01-05]

概要

socatでTUN/TAPインターフェースを扱えるらしく、 UDPで転送すれば簡単なVPNが構成できそうだったので、やってみた。認証も暗号化も行わない。想定する環境は↓。

	サーバ	クライアント
OS	Linux	Linux
UDPで接続するIP	192.168.1.1	192.168.1.2
tap1のIP	10.0.0.1/24	10.0.0.2/24

サーバ側

サーバ側で↓を行うとUDPの1194番ポートでListenされる。

$ sudo socat udp-listen:1194,reuseaddr,range=192.168.1.2/32 tun:10.0.0.1/24,tun-type=tap,tun-name=tap1,iff-up,iff-promisc

一応↑ではrangeオプションでクライアントのIPからのみ許可するように設定しているが、セキュリティ的にはよくはない。

そして、この段階ではまだサーバ側にはtap1インターフェースはできていないはず。

クライアント側

サーバ192.168.1.1:1194につなぎに行くように↓を行う。

$ sudo socat udp:192.168.1.1:1194 tun:10.0.0.2/24,tun-type=tap,tun-name=tap1,iff-up,iff-promisc

するとクライアント側にtap1インターフェースが作成された。

$ ip link show tap1
56: tap1: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN mode DEFAULT group default qlen 1000
    link/ether ce:2d:c2:a5:12:f0 brd ff:ff:ff:ff:ff:ff promiscuity 1

IPアドレス10.0.0.2/24も付加されている。

$ ip addr show tap1
56: tap1: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 1000
    link/ether ce:2d:c2:a5:12:f0 brd ff:ff:ff:ff:ff:ff promiscuity 1
    tun
    inet 10.0.0.2/24 brd 10.0.0.255 scope global tap1
       valid_lft forever preferred_lft forever

pingをクライアントからサーバへ打つ

この状態でpingをクライアント側からサーバ側10.0.0.1へ打ってみるとpingが返ってくる。

$ ping 10.0.0.1
PING 10.0.0.1 (10.0.0.1) 56(84) bytes of data.
64 bytes from 10.0.0.1: icmp_seq=1 ttl=64 time=2.20 ms
64 bytes from 10.0.0.1: icmp_seq=2 ttl=64 time=0.750 ms
64 bytes from 10.0.0.1: icmp_seq=3 ttl=64 time=0.748 ms

そして、サーバ側にtap1インターフェースが作成されていることがわかる↓。

$ ip addr show tap1
39: tap1: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 1000
    link/ether ee:fe:01:71:e7:87 brd ff:ff:ff:ff:ff:ff promiscuity 1
    tun
    inet 10.0.0.1/24 brd 10.0.0.255 scope global tap1
       valid_lft forever preferred_lft forever

MTUの調整

上記で作成されたtap1インターフェースのMTUをサーバ側とクライアント側の両方で設定しておく。

Layer	byte
IP	20
UDP	8
Ethernet	18

tapデバイスはイーサネットのフレームも含むため、 L3までに含まれるの各種ヘッダの量は↑である。したがって、VPNを張りたい経路のMTUが1500の場合、 tap1に設定されるべきMTUは(1500 - 20 - 8 - 18) => 1454と計算できる。

$ sudo ip link set dev tap1 mtu 1454

備考

TUN/TAPのうちTAPにしたかったのは仮想ブリッジに接続したかったからだが、仮想ブリッジの作成まで記事に含めるのは冗長な気がしたので、 tap1インターフェースに直接IPを振った。

ちなみに、socatはopensslも使えるため暗号化できそうだが、残念ながらTCPをバインドしてしまって、UDPでは不可能だった。一方で、openssl s_serverでDTLSを指定するとUDPをバインドすることは確認できたので、そのうちsocatも対応してくれそうな気がする。

blog.monophile.net

山本一彰 | Takaaki Yamamoto

技術

習得中

投稿

socatでtapインターフェースを作成して認証も暗号化もしないVPN

概要

サーバ側

クライアント側

pingをクライアントからサーバへ打つ

MTUの調整

備考

参考

blog.monophile.net

山本 一彰 | Takaaki Yamamoto

技術

習得中

投稿

socatでtapインターフェースを作成して認証も暗号化もしないVPN

概要

サーバ側

クライアント側

pingをクライアントからサーバへ打つ

MTUの調整

備考

参考

山本一彰 | Takaaki Yamamoto