【作業記録】fail2ban インストール

Kagoya VPS の Ubuntu 20.04 で、ssh への攻撃が多数あり、色々試させない為にfail2banをインストール

情報源: 【Ubuntu Desktop 20.04】Fail2Banをインストールする – Crieit

情報源によると、既定で sshd は有効となっているそうで、特に何もしなくても良さそう。

しかし、待てど暮せど中々 Ban してくれない。

これは私も経験済みです。jail.local(jail.conf)の設定は「backend = auto」で良いよとされてはいるのですが、起動時のログを見ると backend が “pyinotify” に設定されてしまいます。

情報源: fail2banをうまく動かすためのTips。正規表現はシンプルに見やすく – のめうブログ

/var/log/fail2ban.log を見てみると、

pyinotify って知らんけど、backend の動作モードが違っててワロタ。

新規ファイルを作成して、動作モードを polling にして、設定を再読込。

無事、polling モードで動作するようになった。

IPアドレスが逆さま

softether で、L3スイッチに設定したIPアドレスを、192.168.30.0 のゲートウェイにすべく、ルータに経路設定したのだが、なぜかIPアドレスが253.11.16.192と逆さまになっている。

昔、Laneed の無線LANルータ使ってて、設定したIPアドレスが逆さまになる現象が発生した覚えがあるが、わしの部屋は夏場灼熱地獄だし、長期間稼働しっ放しだと壊れるのかもしれん。

BUFFALO BHR-4GRV は、表示はおかしいけど、一応PING のICMPは届いているのが謎だが、もうそろそろ寿命かねえ。

【追記】
これ、TP-Link Archer MR600に変えても同じだった。
なんか気味悪いのう
【/追記】

【作業記録】cron-aptインストール、postfix設定

KaguyaのVPSで放置してても、システムを常に最新にしてくれる cron-apt を設定する。

しかし、cron-apt ってメールシステム必須なので、postfixが付随してインストールされてしまうので、不本意ながらメールシステムも設定する。



・postfixの設定編集

よく考えたら、リレーホストにTLS接続する為に、SSLのサイトの正式名称でないとエラーになるはずなので、わしのプロバイダのサーバーの正式名称である sv96.xserver.jp にしないといけない。

そして、プロバイダのメールアカウントの認証を通す為に末尾に設定を追加。

・中間証明書取得

TLS接続に中間証明書が無いとエラーになる事があるので、goddadyから頂いて /etc/postfix/cert ディレクトリに設置する。

・パスワード認証ファイルの用意

・postfixの再起動

・テストメール送信

・cron-apt設定

テスト実行

ログの確認

これで VPS放置してても勝手にアップデートされる。

VPS変更

WebARENA VPS indigo で VPN gateway を作ったが、VPN接続して、radiko 聴いたら即ブロック。

一応、端末でサーバー状態をモニタしていたが、Load avarage 0.02 位で全然負荷が掛かってない。

一体、どういう基準でブロックしてやがるのか? とサポートに問い合わせたら、次のページの条件だとの事。

情報源: インスタンスの安定運用の目安 | Indigo | VPS(仮想専用サーバー)はWebARENA

「1時間あたりのPV数 400PV以下」って、VPNパケット400個でブロックって事?そりゃ、ストリーム系の通信ながしたら即ブロックになるわなあ。

話にならん。という事で即解約。

道理でサクサク動いてると思ったら、用途としては、ほぼ誰も見ないわしみたいな(^^;個人用Webページ設置くらいしか使えん訳だ。

という訳で、Kagoya のVPSを契約。VPS indigo とほぼ同等で、値段はちょっと高い550円/月。使ってみた限りでは、indigoよりちょっともっさりした感はあるけど、ちょっとした事ですぐブロックしてないからだろう。

運用制限に関しては、ブロックしたりせずに帯域制限を行なう場合があると Webに書かれていて、こっちの方が何倍もええやんけ。

早速、KagoyaのVPSで、VPN gatewayを構築し、SoftEther VPN Server入れて、家のホームサーバから仮想Hubへカスケード接続。

indigo では仮想Hubへカスケード接続して家のDHCPからIPアドレス振ってたけど、これだと、VPSにVPN接続したら、DHCPのbroadcastに従い、gatewayが家のルータになるので、家のルータからインターネットへ出てしまう。

今後、楽天モバイル固定回線化した場合に、家経由したら通信が物凄く遅くなるので、今回は、仮想Hub に仮想DHCP動かして、secureNATでVPSから即インターネットにアクセスという様にした。

家へアクセスの為に、レイヤー3スイッチを有効にして、仮想Hub間ルーティングにより、VPNで接続したマシンから家のマシンへ接続する設定をしたのだが、ゲートウェイ設定を間違っていてまだできてない。

すぐに直したかったのだが、仮想マシンに SoftEther VPN Client入れたせいで、再起動が頻繁に起こり、仮想マシンのWindows 10 が破壊されてしまったので、今日一日、修復を試みて、最終的に修復インストール 2回目で何とか成功したという感じ。

なにせ、仮想マシンのWindows 10を起動すると、すぐに青画面になって、全然操作できない状態になっていた。

【追記】
修復インストールした Windows 10でも青画面が出て、おかしいなと思ったが、その時に、VPN接続を行なっていた。

VIrtualBox で青画面になるのは、どうやら、Hostマシンの Ubuntu 20.04で VPN 接続すると、検証した訳ではないが、KVMに悪影響が出るみたいだ。

VPN切断して、仮想マシンを起動したら青画面にならなくなったので、VirtualBox の仮想マシンを動かす時は、HostマシンでVPN接続するとマズいのだな。

【/追記】

時折、運良くPIN入力ができて、運良くセーフモード起動設定ができて、運良くセーフモードで起動するという偶然が重なって、sfc /scannowとかやって、また運良く通常起動で何とか修復インストールまで辿りついたが、よく修復できたものだと思う。くそが。

これから、修復完了したWindows 10に SoftEther VPN server管理ツールをインストールして、ゲートウェイ設定を直すつもり。

VPSとLAN共有 その3

VPSとLAN共有 その2

結局の所、SoftEther VPN serverをインストールし、そのIPSec/L2TPだと、何の問題も無く接続できた。

SoftEtherって、前チェックした時は Windows版しか無くて、その後全然動向を確認していなかったのだが、今では、Win、Linux、Macと網羅しているようだ。

Linux版は、intel/AMDは勿論、Raspberry Pi が流行したせいか、ARM版まである。

そこで、家の Raspberry Pi 4のARM 64bitのホームサーバにSoftEther VPN Bridge を入れてみたが、問題無く動いている。

家からVPS indigo の仮想Hubへカスケード接続すると、家のネットワークとLayer 2で仮想的に物理接続したみたいになり、家のルータのDHCPの broadcast がVPSの仮想Hubにも流れ、IPSec/L2TPで VPN 接続したマシンに家のルータのIPアドレスが振られる。

これはかなりいいな。気に入った。

SoftEther のWeb見てると、作者は Linux のプログラムが効率的でなく、性能が低いと書かれていて、Windows信者なのだが、SoftEther VPN Client を仮想マシンの Windows 10にインストールして使ってたら、仮想マシンがいきなり再起動するって現象が何度も起こり、ついに修復インストールをやるハメになってしまった。

いかに性能がよろしくても、こんな風に環境崩壊して、安定して使えないというのは本末転倒ではないのか?

天才プログラマーが2週間で構築 テレワークシステムが好評 – 産経ニュース

この作者って、拙ブログで取り上げたニュースの人なんだけど、この SoftEther って暗号通信のプログラムを永年やってきたから、それをベースに2週間で作れたんだって話をしたが、まあ、天才には違いない。

だけど、OSが腐ってるから、いくら高性能のもの作ったところで、まさに「砂上の楼閣」なんだよねえ。

VPSとLAN共有 その2

VPS とLAN共有

会社の仮想マシンの Ubuntu 20.04LTSに network-manager-l2tp-gnome をインストールして、VPS indigo のIPSec/L2TP に接続した所、

Received out of order control packet on tunnel 23815 (got 5, expected 6)

みたいな xl2tpd のエラーは出ず、安定的に接続できた。

違いと言えば、会社の回線はフレッツ光隼で OCN の回線で、ルーターは CISCO rv260
わしのは、フレッツ光隼で、mopera Uの回線で、ルーターは BAFFALO BHR-4GRV

回線によって違うのかルーターによって違うのか、何が原因なんだろうなあ。

やっぱり「反日」与党選出の大統領候補 韓国のトランプ「日本を追い越し、世界をリード」対抗意識むき出し 前科4犯、大学院生時代には論文不正も – zakzak:夕刊フジ公式サイト

<前略>

歯に衣(きぬ)着せぬ物言いで人気を集め、「韓国のトランプ(米前大統領)」と呼ばれる一方、知事選で虚偽の発言をしたとして起訴(最高裁で無罪確定)されたほか、飲酒運転や選挙法違反による罰金刑の前科4犯や、大学院生時代の論文不正なども確認された。城南市長時代に進めた官民合同の都市開発事業をめぐる疑惑も浮上している。

<後略>

情報源: やっぱり「反日」与党選出の大統領候補 韓国のトランプ「日本を追い越し、世界をリード」対抗意識むき出し 前科4犯、大学院生時代には論文不正も – zakzak:夕刊フジ公式サイト

李在明が「韓国のトランプ」って、そんないいものじゃなくて、「韓国のドゥテルテ」の方がしっくりくる。だって下品だもの。 🙂

前科者って話だけど、今は知らんが、南鮮の国会議員の立候補者の4割が前科者だった事あるし、文在寅の時の酋長選挙の候補者の6割が前科者だった。

まあ、南鮮の政治家の2人に1人は前科者って思っておけば間違いない。

南鮮が日本に言う事がチンピラじみてるのは当然で、前科者のゴロツキだからね。仕方ないね。 🙂

VPS とLAN共有

結局、VPS にlibreswan の IPSec/L2TPをインストールしたが、pppd でエラーが出て、2分程で切れてしまうという現象が出た。

google でこのログ情報を元に調べると、どうやら次の現象らしい。

情報源: L2TP/IPSecトンネルの崩壊と戦った話 | セキュリティブログ | 脆弱性診断(セキュリティ診断)のイエラエセキュリティ

パケットが分割されてシーケンス番号がズレると、pppd が順番のシーケンス番号のパケット待ちをしてる為、接続が崩壊してしまうと。

これに関して色々調べると、pppd のシーケンス番号処理は腐ってるようで、pppol2tp プラグインなるものが pppd に組み込まれていたら、UDPで送られてくる順番が違っているパケットの並べ替えを指定タイムアウト値内だったらやってくれる。

現状はUbuntu 20.04標準のパッケージのpppdは、pppol2tpプラグインが組み込まれておらず、タイムアウト0なので、順番が狂ったら即アウトという事で、こりゃ使えんなという感じ。

【追記】
調べてみると、linux-modules-extra-5.4.0-88-generic が入ってないだけだったが、これを入れて、/etc/ppp/options.xl2tpd に pppol2tp_reorderto 30 を設定しても同じエラーが出てダメだった。
【/追記】

昔ならソースゴリゴリやって、カスタムプログラムで解決してた所だが、もはや徹夜でソースゴリゴリやる体力が無い。

どうにか、indigo VPSにVPNで繋いだ端末から家のLANに接続する方法は無いものかと試行錯誤してる内に、VPSにPPTPサーバー入れてテストしてみると、安定してVPNを維持できる事が分かった。

で、家のPCでテストしてたけど、よくよく考えると、わしの使ってるルータのBUFFALO BHR-4GRVは、PPTP client機能があるではないか。

早速繋いでみると、ちゃんと繋がって、VPSのPPTP serverは 192.168.20.0/24 のIPアドレスを配布するようになっているので、

# iptables -t nat -A POSTROUTING -s 192.168.20.0/24 -j MASQUERADE
# route add -net 192.168.11.0 netmask 255.255.255.0 gw 192.168.20.2 ppp0

と設定する事で、VPS上から、家のLAN上のマシンにsshできるようになった。
これで、VPSにpptpでVPN張れたら、家のLANが如くアクセス可能になった。

しかし、今はBHR-4GRVのWANはグローバルIPだが、これをLAN上のホームサーバーのIPアドレスにしたらどうなるかは不明。

あー携帯電話ってVPNパススルー無い気がするな。

【追記】
色々面倒なので、Amazon UKで TP-Link Archer MR600 v2 £136.19(約20,804円)ポチったわ。

これだと、SIM直挿しで、VPN機能もついてるので、BHR-4GRVを置き換えるだけで済むんだな。
【追記】
TP-Link Archer MR600 v2 ってVPN Client機能が無いみたいだから、置き換えできんな。
結局は、BHR-4GRVのPPTP client接続を VPN Pass Throughで通してやるしかないみたい。
【/追記】
【/追記】

WebARENA VPS Indigo 契約

楽天モバイル固定回線化への実証実験として、NTTPCのWebARENA VPS Indigoの契約をした。

いわゆるレンタルサーバーというやつだが、時間制になっていて、インスタンスを起動していなければ課金されず、月額上限が決まっていて、それ以上は課金されない。

1時間あたり、0.5円(税込0.55円)、メモリ1GB、1vCPU、20GBで月上限318円(税込349円)。安くなったなあ。

とりあえず、IPSec/L2TPとngircd を入れてみたが、携帯電話でちゃんとVPNに繋がるし、IRCもちゃんと接続できた。

あとは、apache入れて、certbot入れて Let’s Encryptで無料SSL取得する位かな。
ircbot はJAVAベースなので重いからちょっと考えよう。

それと、IPSec/L2TPの拠点間接続(家からレンタルサーバー)をやって、ちゃんと外から家のマシンにアクセスできるか試さないといけない。

楽天モバイル接続だと、動的IPアドレスになるので、レンタルサーバーから動的IPアドレスへのルーティングがうまくできるかが問題だな。

ドコモ、月550円等の格安プランをMVNOと組んで提供 「エコノミーMVNO」発表 – Engadget 日本版

NTTドコモは2021年10月7日、「プレミア」の小容量プランよりもさらに低廉な料金サービスの提供に向け、エコノミーMVNO(フリービット、NTTコミュニケーションズ)との連携に合意したと発表しました。ドコモショップ店頭での契約や、dポイント付与、端末販売も予定します。

情報源: ドコモ、月550円等の格安プランをMVNOと組んで提供 「エコノミーMVNO」発表 – Engadget 日本版

これって結局、提携したMVNOの契約に対して、dポイントが付与されるのと、サポートがドコモショップで受けられるってだけの話だな。

ネットでSIMフリー携帯電話買って、MVNOと契約してるわしにとってのメリットは dポイント付与と通信費へのdポイント充当くらいしかない。

恐らく、IIJ mioとかでも提携するだろうけど、新規ドコモショップ契約者のみで、従来契約者はその恩恵は受けられないというパターンだろうな。

IIJ mio等のMVNOはドコモ通信回線を使用してるけど、あくまでも社外の業者なので、ドコモの4桁の暗証番号を使用できるドコモ網に接続できるようになるのかどうかだな。

今、docomoの3G回線使ってるけど、2026年3月末日で、3Gの電波が停波するから、この回線を場合によっては、エコノミーMVNOへの乗り換えも選択肢に入るけど、MVNOが社外扱いだと乗り換えるメリットが無い。

楽天モバイルが予想に反して気合を入れて、基地局増やしてるから、電話かけ放題で、月1GBまでの通信だったら、利用料無料ってのは非常に魅力がある。

docomoの3Gが停波したら、今の所、有力な候補はドコモ解約して、楽天モバイルへMNPで電話番号移動だな。

恐らく、現状のままだと、3G契約者の大半が停波後にドコモにとどまらず、楽天モバイルへ流れると思うので、エコノミーMVNOってのを出して来たのだろう。

一番安く済む「はじめてスマホプラン」で、最初の1年間だけ 1,078円で、以後、1,628円/月、しかもdカード払いでない場合、+187円。

同じ様なプランで楽天モバイルはタダ。これは比べるまでもない。

フレッツ光隼ネクストのプロバイダがmopera Uなので、ドコモの携帯を解約すると、携帯電話のオプション契約のmopera Uが無くなってしまうので、光回線の見直しも考えているが、楽天モバイルで通信すれば、通信し放題で月額3,278円になる。

ただ、携帯電話系のネットワークはプライベートアドレスなので、今やっている外出時にVPNで家のサーバーと接続して、全ての通信を家経由にするのと、IRCサーバーを運用するのが難しくなる。

500円/月くらいのVPSにIPsec/L2TP入れて、家から携帯電話回線でそこに接続し、外出時にはVPSにVPNで繋いで、家にアクセスするって方法位しか思いつかんな。

これを構築する事ができたら、月額通信費が、次の通りになって安くなるなあ。
VPS 550円
楽天モバイル 3,278円
IIJ mio 2GB 748円
計:4,576円

2026年3月末までだから、それまでに実証実験をやろう。