I know who Iam.
使用量 20GB超えたら赤くなるのね〜。
今日は文化の日だが、15時頃、10GB/日を超え、通信速度3Mbpsの低速制限に。
朝はネットで「真相深入り!虎ノ門ニュース」を見て、Youtubeで面白そうな動画を見たり、テレビ局のLiveニュースを見たりしていたが、さすが休日は、通信量が半端ない。
低速ペナルティを喰らってから、いつもやってるDMMのブラウザゲームをやろうとすると、余りの遅さにキレそうになった。
16:50 現在で29.91GBの使用量だが、このままの調子で、 23:59:59 になったら、一日平均 10GB以上は確実なので、ほぼ毎日低速地獄を味わう事になると考えると、わしの場合は光ファイバー回線の代替には使えんな。
という訳で、実験を始めて、早3日で断念に至る。
これが本当の3日坊主 🙂
さあ、家の回線を光ファイバーに戻そう。
23時頃に 3Mbpsの低速ペナルティを受けた。
昨日で、使用量 8.25GBなので、今日制限無しで使えるのが、18.25GBまでだが、23時でそれを超えてしまった。
今日は、会社から家の監視カメラ動画を確認したり、YoutubeやAbemaTV等、動画を見る事が多かったので覿面だな。
ちなみに 3Mbps の速度で AbemaTV を視聴すると、絵が止まったりするから、これは結構ウザいし、萎えるなあ。
明日は休日だが、早々に 10GB 超えてしまいそうな気がするな。
やっぱり、わしの使い方だと光ファイバーかねえ。
TP-Link MR600 v1を手に入れたので、楽天モバイルの固定回線化実験を11月1日 0:00 から始めた。
楽天モバイルのネットワークは、グローバルIPアドレスじゃなく、プライベートアドレスがDHCPで付与されるので、今まで、家にVPNで接続していたのをどうやって代替するのかが課題だった。
プライベートアドレスなので、外からは接続のしようが無い。
そこで、Kagoya VPSに月550円でサーバーを借り、softether VPN serverをインストール。
家のホームサーバーにも softether VPN serverをインストールし、仮想HUBからKagoya VPNのサーバーの仮想HUBにカスケード接続。
これで、VPS の仮想HUBへVPN接続すると、家との回線が繋がるという仕組み。
VPSにVPN接続すると、家のルーターからDHCPでIPアドレスが振られるので、家に居るのと同じ感覚で接続できる。
ちょっと盲点だったのが、家のネットワーク使用量で、平日の使用量で 8.25GBにもなっている。恐らく、VPN回線接続しっぱなしなので、微量ながらVPSとホームサーバー間で通信があるのだろう。
楽天モバイルは 10G/1日を超える通信量を使用すると、3Mbpsに速度を落とされてしまう。
平日で8.25GBなのだから、これが休日になると、10GB/1日くらい簡単に超えてしまいそう。
単純計算で1ヶ月300GB近く使ってたんだなあ。
このペースだと、ahamoなら 3日で20GB使い尽くすな。光ファイバーって偉大だねえ 🙂
とりあえず、休日の使い勝手をみた上で、光ファイバーから乗り換えるか考えよう。
Amazon.co.uk で10/10 にポチったMR600 v2 は結局来なかった。
ECMSという業者の追跡番号はあったが、サイトで検索しても結果が出ず、ECMS JPへ問い合わせても、登録されていないから番号を確認してくださいと返答があった。
Amazon.co.uk で返金処理をしたが、こんなのは初めてだ。英国郵便なら、割と早く届いていたのに、格安配送業者を使うようになったので不着なんて事態になる。
で、Yahoo shopping の Nomad StoreでMR600 v1をこうにう。
10/27夜にポチって、10/29朝に来た。国内業者だと早いね。
販売ページに「【国内正規品】」なんて書いてあるのが胡散臭いけど、紛うことなき正規品。ただし、TP-Linkのサイトでは、「日本ではArcher MR600のサポートはせんよ」と明言してある。
このルータを販売してるNomad Storeは、会社概要を見ると、株式会社Nomad Worksという会社が運用していて、Webサイトを見ると、NOMAD SIMってのを販売していて、電気通信事業者の登録番号も掲げている。
そこで、TP-Linkのサイトの文言だが、「Archer MR600は、TP-Link Japanでは通信事業者様向けの販売のみを行っており、エンドユーザー様向けの小売りの一切を行っておりません。」という事で、Nomad Worksは電気通信事業者だから、卸売りしてるという事だな。
で、早速、楽天モバイルのSIMを入れて、ルータにあるSPEED TESTを実行してみた。
ダウンロードが 55.2Mbps、アップロードは 34.2Mbps で、楽天モバイルのLTEにしては、まあまあ良いスピード。
ただ、今のフレッツ光ネクスト隼+Mopera Uだとダウンロード362.3Mbps、アップロード396.2Mbpsで、1/7以下の速度になっちゃうのかー。悩むのう。
/var/log/auth.log を見ると、既定の fail2ban.conf を避けるようにアクセスしてる奴が居たので、そういう奴を締め出すように設定変更。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 |
[DEFAULT] backend = polling banaction = iptables-multiport[blocktype=DROP] [sshd] # "bantime" is the number of seconds that a host is banned. bantime = 1w # A host is banned if it has generated "maxretry" during the last "findtime" # seconds. findtime = 3d # "maxretry" is the number of failures before a host get banned. maxretry = 4 mode = aggressive |
blocktypeをDROPに、出入り禁止期間 1週間、アクセス監視期間 3日、4回失敗でアウト。
情報源: iptablesはDROPすべきか、REJECTか。tcp-resetという手も – のめうブログ
注意すべき点は、これ、自分で sshのログインに4回失敗すると、セルフ出入り禁止になっちゃうので気をつけないといけない。
まあ、Kagoya VPSの場合、Webからアクセスしてコンソールからログインしたら回避できるので、特に問題は無いけど、会社の契約するサーバーなんかで maxretry = 3 とかになってて、アク禁喰らった事が何度かあったんだな。
【追記】
|
1 2 3 4 5 6 7 8 9 10 |
root@irc:~# fail2ban-client status sshd Status for the jail: sshd |- Filter | |- Currently failed: 48 | |- Total failed: 326 | `- File list: /var/log/auth.log `- Actions |- Currently banned: 51 |- Total banned: 52 `- Banned IP list: 199.19.225.248 209.141.60.103 209.141.55.232 165.232.73.255 141.98.10.60 211.220.60.139 83.197.11.156 84.39.185.25 45.141.84.126 222.187.232.39 221.131.165.65 141.98.10.81 117.68.2.93 68.183.180.46 88.198.43.118 209.141.47.39 222.186.30.112 185.73.124.100 222.186.42.7 185.73.124.253 198.98.48.67 64.92.16.242 199.19.224.76 222.186.42.137 60.170.247.162 199.195.253.199 64.20.142.67 222.186.42.13 141.98.10.82 222.186.30.76 199.195.251.49 221.131.165.50 222.186.180.130 209.141.59.184 211.196.226.37 221.131.165.33 202.29.214.13 2.222.115.231 209.141.53.99 205.185.116.163 217.229.50.210 159.223.2.20 221.131.165.75 205.185.119.4 221.181.185.151 221.163.103.143 209.141.36.13 198.98.52.12 221.181.185.94 222.187.254.41 209.141.33.121 |
3日間で51のIPアドレスをBAN。大漁や〜
【/追記】
Kagoya VPS の Ubuntu 20.04 で、ssh への攻撃が多数あり、色々試させない為にfail2banをインストール
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
root@irc:~# apt install fail2ban パッケージリストを読み込んでいます... 完了 依存関係ツリーを作成しています 状態情報を読み取っています... 完了 以下の追加パッケージがインストールされます: python3-pyinotify whois 提案パッケージ: mailx monit sqlite3 python-pyinotify-doc 以下のパッケージが新たにインストールされます: fail2ban python3-pyinotify whois アップグレード: 0 個、新規インストール: 3 個、削除: 0 個、保留: 1 個。 444 kB のアーカイブを取得する必要があります。 この操作後に追加で 2,400 kB のディスク容量が消費されます。 続行しますか? [Y/n] |
情報源: 【Ubuntu Desktop 20.04】Fail2Banをインストールする – Crieit
情報源によると、既定で sshd は有効となっているそうで、特に何もしなくても良さそう。
|
1 2 3 4 5 6 7 8 9 10 |
root@irc:/etc/fail2ban# fail2ban-client status sshd Status for the jail: sshd |- Filter | |- Currently failed: 0 | |- Total failed: 0 | `- File list: /var/log/auth.log `- Actions |- Currently banned: 0 |- Total banned: 0 `- Banned IP list: |
しかし、待てど暮せど中々 Ban してくれない。
これは私も経験済みです。jail.local(jail.conf)の設定は「backend = auto」で良いよとされてはいるのですが、起動時のログを見ると backend が “pyinotify” に設定されてしまいます。
情報源: fail2banをうまく動かすためのTips。正規表現はシンプルに見やすく – のめうブログ
/var/log/fail2ban.log を見てみると、
|
1 |
2021-10-23 15:33:56,022 fail2ban.jail [4794]: INFO Initiated 'pyinotify' backend |
pyinotify って知らんけど、backend の動作モードが違っててワロタ。
|
1 |
root@irc:/etc/fail2ban# vi jail.local |
|
1 2 |
[DEFAULT] backend = polling |
新規ファイルを作成して、動作モードを polling にして、設定を再読込。
|
1 |
root@irc:/etc/fail2ban# systemctl reload fail2ban |
|
1 |
2021-10-23 16:19:28,642 fail2ban.jail [4794]: INFO Initiated 'polling' backend |
無事、polling モードで動作するようになった。
softether で、L3スイッチに設定したIPアドレスを、192.168.30.0 のゲートウェイにすべく、ルータに経路設定したのだが、なぜかIPアドレスが253.11.16.192と逆さまになっている。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 |
noizumi@greyhound:~$ ping 192.168.30.1 PING 192.168.30.1 (192.168.30.1) 56(84) バイトのデータ 64 バイト応答 送信元 192.168.30.1: icmp_seq=1 ttl=126 時間=33.2ミリ秒 送信元 192.168.11.1 icmp_seq=2 ホストのリダイレクト(新しい次ホップ: 253.11.168.192) 64 バイト応答 送信元 192.168.30.1: icmp_seq=2 ttl=126 時間=32.6ミリ秒 送信元 192.168.11.1 icmp_seq=3 ホストのリダイレクト(新しい次ホップ: 253.11.168.192) 64 バイト応答 送信元 192.168.30.1: icmp_seq=3 ttl=126 時間=32.8ミリ秒 送信元 192.168.11.1 icmp_seq=4 ホストのリダイレクト(新しい次ホップ: 253.11.168.192) 64 バイト応答 送信元 192.168.30.1: icmp_seq=4 ttl=126 時間=32.6ミリ秒 送信元 192.168.11.1 icmp_seq=5 ホストのリダイレクト(新しい次ホップ: 253.11.168.192) 64 バイト応答 送信元 192.168.30.1: icmp_seq=5 ttl=126 時間=32.5ミリ秒 送信元 192.168.11.1 icmp_seq=6 ホストのリダイレクト(新しい次ホップ: 253.11.168.192) 64 バイト応答 送信元 192.168.30.1: icmp_seq=6 ttl=126 時間=31.8ミリ秒 ^C --- 192.168.30.1 ping 統計 --- 送信パケット数 6, 受信パケット数 6, +5 エラー, パケット損失 0%, 時間 5007ミリ秒 rtt 最小/平均/最大/mdev = 31.764/32.569/33.199/0.426ミリ秒 |
昔、Laneed の無線LANルータ使ってて、設定したIPアドレスが逆さまになる現象が発生した覚えがあるが、わしの部屋は夏場灼熱地獄だし、長期間稼働しっ放しだと壊れるのかもしれん。
BUFFALO BHR-4GRV は、表示はおかしいけど、一応PING のICMPは届いているのが謎だが、もうそろそろ寿命かねえ。
【追記】
これ、TP-Link Archer MR600に変えても同じだった。
なんか気味悪いのう
【/追記】
KaguyaのVPSで放置してても、システムを常に最新にしてくれる cron-apt を設定する。
しかし、cron-apt ってメールシステム必須なので、postfixが付随してインストールされてしまうので、不本意ながらメールシステムも設定する。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 |
noizumi@irc:~$ sudo apt install cron-apt パッケージリストを読み込んでいます... 完了 依存関係ツリーを作成しています 状態情報を読み取っています... 完了 以下の追加パッケージがインストールされます: liblockfile-bin liblockfile1 postfix 提案パッケージ: procmail postfix-mysql postfix-pgsql postfix-ldap postfix-pcre postfix-lmdb postfix-sqlite sasl2-bin | dovecot-common resolvconf postfix-cdb mail-reader postfix-doc 以下のパッケージが新たにインストールされます: cron-apt liblockfile-bin liblockfile1 postfix アップグレード: 0 個、新規インストール: 4 個、削除: 0 個、保留: 1 個。 1,239 kB のアーカイブを取得する必要があります。 この操作後に追加で 4,755 kB のディスク容量が消費されます。 続行しますか? [Y/n] |
よく考えたら、リレーホストにTLS接続する為に、SSLのサイトの正式名称でないとエラーになるはずなので、わしのプロバイダのサーバーの正式名称である sv96.xserver.jp にしないといけない。
そして、プロバイダのメールアカウントの認証を通す為に末尾に設定を追加。
|
1 |
root@irc:/etc/postfix# vi /etc/postfix/main.cf |
|
1 2 3 4 5 6 7 8 9 10 |
… relayhost = [sv96.xserver.jp]:587 … smtpd_sasl_auth_enable = yes smtp_sasl_auth_enable = yes smtp_sasl_password_maps = hash:/etc/postfix/smtp_sasl_password smtp_sasl_security_options = noanonymous smtp_sasl_mechanism_filter = plain smtp_use_tls = yes smtp_tls_CAfile = /etc/postfix/cert/gd_bundle-g2-g1.crt |
・中間証明書取得
TLS接続に中間証明書が無いとエラーになる事があるので、goddadyから頂いて /etc/postfix/cert ディレクトリに設置する。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 |
root@irc:/etc/postfix# mkdir cert root@irc:/etc/postfix# cd cert root@irc:/etc/postfix/cert# wget https://certs.godaddy.com/repository/gd_bundle-g2-g1.crt --2021-10-17 12:51:37-- https://certs.godaddy.com/repository/gd_bundle-g2-g1.crt Resolving certs.godaddy.com (certs.godaddy.com)... 173.201.249.4 Connecting to certs.godaddy.com (certs.godaddy.com)|173.201.249.4|:443... connected. HTTP request sent, awaiting response... 200 Length: 4795 (4.7K) [application/octet-stream] Saving to: ‘gd_bundle-g2-g1.crt’ gd_bundle-g2-g1.crt 100%[===================>] 4.68K --.-KB/s in 0s 2021-10-17 12:51:38 (303 MB/s) - ‘gd_bundle-g2-g1.crt’ saved [4795/4795] |
|
1 |
root@irc:/etc/postfix# vi smtp_sasl_password |
|
1 |
[sv96.xserver.jp]:587 アカウント名:パスワード |
|
1 |
root@irc:/etc/postfix# postmap smtp_sasl_password |
|
1 |
root@irc:/etc/postfix# systemctl restart postfix |
|
1 2 3 4 5 6 7 |
root@irc:/etc/postfix# cat << _EOD_|sendmail -t > From: 差出人メールアドレス > To: 宛先メールアドレス > Subject: test > > This is test mail. > _EOD_ |
|
1 |
root@irc:/etc/cron-apt# vi config |
|
1 2 3 |
… MAILTO="わしのメールアドレス" OPTIONS="-o quiet=1" |
|
1 |
root@irc:/etc/cron-apt# vi action.d/3-download |
|
1 2 |
autoclean -y dist-upgrade -y -o APT::Get::Show-Upgraded=true |
テスト実行
|
1 |
root@irc:/etc/cron-apt# /usr/sbin/cron-apt |
ログの確認
|
1 |
root@irc:/etc/cron-apt# less /var/log/cron-apt/log |
これで VPS放置してても勝手にアップデートされる。
WebARENA VPS indigo で VPN gateway を作ったが、VPN接続して、radiko 聴いたら即ブロック。
一応、端末でサーバー状態をモニタしていたが、Load avarage 0.02 位で全然負荷が掛かってない。
一体、どういう基準でブロックしてやがるのか? とサポートに問い合わせたら、次のページの条件だとの事。
情報源: インスタンスの安定運用の目安 | Indigo | VPS(仮想専用サーバー)はWebARENA
「1時間あたりのPV数 400PV以下」って、VPNパケット400個でブロックって事?そりゃ、ストリーム系の通信ながしたら即ブロックになるわなあ。
話にならん。という事で即解約。
道理でサクサク動いてると思ったら、用途としては、ほぼ誰も見ないわしみたいな(^^;個人用Webページ設置くらいしか使えん訳だ。
という訳で、Kagoya のVPSを契約。VPS indigo とほぼ同等で、値段はちょっと高い550円/月。使ってみた限りでは、indigoよりちょっともっさりした感はあるけど、ちょっとした事ですぐブロックしてないからだろう。
運用制限に関しては、ブロックしたりせずに帯域制限を行なう場合があると Webに書かれていて、こっちの方が何倍もええやんけ。
早速、KagoyaのVPSで、VPN gatewayを構築し、SoftEther VPN Server入れて、家のホームサーバから仮想Hubへカスケード接続。
indigo では仮想Hubへカスケード接続して家のDHCPからIPアドレス振ってたけど、これだと、VPSにVPN接続したら、DHCPのbroadcastに従い、gatewayが家のルータになるので、家のルータからインターネットへ出てしまう。
今後、楽天モバイル固定回線化した場合に、家経由したら通信が物凄く遅くなるので、今回は、仮想Hub に仮想DHCP動かして、secureNATでVPSから即インターネットにアクセスという様にした。
家へアクセスの為に、レイヤー3スイッチを有効にして、仮想Hub間ルーティングにより、VPNで接続したマシンから家のマシンへ接続する設定をしたのだが、ゲートウェイ設定を間違っていてまだできてない。
すぐに直したかったのだが、仮想マシンに SoftEther VPN Client入れたせいで、再起動が頻繁に起こり、仮想マシンのWindows 10 が破壊されてしまったので、今日一日、修復を試みて、最終的に修復インストール 2回目で何とか成功したという感じ。
なにせ、仮想マシンのWindows 10を起動すると、すぐに青画面になって、全然操作できない状態になっていた。
【追記】
修復インストールした Windows 10でも青画面が出て、おかしいなと思ったが、その時に、VPN接続を行なっていた。
VIrtualBox で青画面になるのは、どうやら、Hostマシンの Ubuntu 20.04で VPN 接続すると、検証した訳ではないが、KVMに悪影響が出るみたいだ。
VPN切断して、仮想マシンを起動したら青画面にならなくなったので、VirtualBox の仮想マシンを動かす時は、HostマシンでVPN接続するとマズいのだな。
【/追記】
時折、運良くPIN入力ができて、運良くセーフモード起動設定ができて、運良くセーフモードで起動するという偶然が重なって、sfc /scannowとかやって、また運良く通常起動で何とか修復インストールまで辿りついたが、よく修復できたものだと思う。くそが。
これから、修復完了したWindows 10に SoftEther VPN server管理ツールをインストールして、ゲートウェイ設定を直すつもり。
結局の所、SoftEther VPN serverをインストールし、そのIPSec/L2TPだと、何の問題も無く接続できた。
SoftEtherって、前チェックした時は Windows版しか無くて、その後全然動向を確認していなかったのだが、今では、Win、Linux、Macと網羅しているようだ。
Linux版は、intel/AMDは勿論、Raspberry Pi が流行したせいか、ARM版まである。
そこで、家の Raspberry Pi 4のARM 64bitのホームサーバにSoftEther VPN Bridge を入れてみたが、問題無く動いている。
家からVPS indigo の仮想Hubへカスケード接続すると、家のネットワークとLayer 2で仮想的に物理接続したみたいになり、家のルータのDHCPの broadcast がVPSの仮想Hubにも流れ、IPSec/L2TPで VPN 接続したマシンに家のルータのIPアドレスが振られる。
これはかなりいいな。気に入った。
SoftEther のWeb見てると、作者は Linux のプログラムが効率的でなく、性能が低いと書かれていて、Windows信者なのだが、SoftEther VPN Client を仮想マシンの Windows 10にインストールして使ってたら、仮想マシンがいきなり再起動するって現象が何度も起こり、ついに修復インストールをやるハメになってしまった。
いかに性能がよろしくても、こんな風に環境崩壊して、安定して使えないというのは本末転倒ではないのか?
この作者って、拙ブログで取り上げたニュースの人なんだけど、この SoftEther って暗号通信のプログラムを永年やってきたから、それをベースに2週間で作れたんだって話をしたが、まあ、天才には違いない。
だけど、OSが腐ってるから、いくら高性能のもの作ったところで、まさに「砂上の楼閣」なんだよねえ。