先日導入したRTX1100ルータのスケジュール設定をしておいた。
RTXのスケジュール設定書式
schedule at スケジュール番号 日付 時刻 * コマンド
今回は・・・
schedule at 1 */* 00:05 * ntpdate time-nw.nist.gov #毎日午前0時5分にNISTのNTPサーバと時刻同期する
schedule at 2 */* 04:00 * mail-notify status exec #毎日午前4時に状態メールを送信する
みたいな設定。
まぁ、普通、一ヶ月動かしても時計は1分もずれないから、そんな毎日更新しないでも良いんだけど。
状態メールはコンフィグが乗るから、そのバックアップ的な意味もある。
(658)
そんなわけで期待していたWindows Server 2012の評価版公開されたので、先日のつぶやき通りさくらVPS
を1本解約して新規に契約したお名前.com VPS(KVM)
に導入して評価することにした。
で、今回の導入環境は、お名前.com VPS(KVM) 2GBプラン。
お名前.com環境はWindows化は超容易で、さくらのVPSのように面倒なことをする必要はない。
1,MSのサイトからWindowsServer2012評価版のISOイメージをダウンロードしてくる
2,お名前のコントロールパネルでSSL鍵をダウンロード、サーバ設定画面でVirtioをOffに設定しておく
3,ダウンロードした鍵を認証に使ってSFTP接続してISOをアップロード(Filezillaとかで)
4,お名前のコンソール上にアップロードしたISOが登場するから選択して再起動
5,普通のPCと同じようにインストーラが立ち上がってくるから、普通にインストールしておしまい。
ネットワークは1000MTレミュレートだから標準ドライバだし、他のデバイスも何も気にすることはない。
IPアドレスなんかもDHCPで払い出されるから本当にデフォルトで良い。
完了後にお名前コンソールで管理用リモートデスクトップの設定を入れてやれば、後は普通にリモートデスクトップで快適操作。
とりあえず、先日導入したRTX1100とIPSecを設定する。
しかし、従来通りローカルセキュリティポリシーのIPセキュリティの設定からポリシーを設定して割り当てを行ったが全然始動しない・・・
2008(R2も)はいけたんだけど、何かGPOの構成とか必要なのかな・・・? とりあえず、2008以降推奨手段であるセキュリティが強化されたWindowsファイアウォール(WFAS)にある機能で設定した。
WFASのIPSecは殆ど触ったことがないのでつまずいたが、最終的には設定項目にPFSが無いけど、PFS必須だったと言う点だけだった。
RTX1100のIPSec周りの設定
tunnel select 10
tunnel name “WS2012Eval”
ipsec tunnel 10
ipsec sa policy 10 10 esp aes-cbc sha-hmac
ipsec ike always-on 10 on
ipsec ike encryption 10 aes-cbc
ipsec ike group 10 modp1024
ipsec ike hash 10 sha
ipsec ike keepalive use 10 off
ipsec ike local address 10 RTXの内側IP
ipsec ike payload type 10 3
ipsec ike pfs 10 on
ipsec ike pre-shared-key 10 text 事前共有鍵
ipsec ike remote address 10 VPSのグローバルIP
ipsec auto refresh 10 on
ip tunnel tcp mss limit auto
tunnel enable 10
ip routeとかフィルタは以前の記事と同じ
WFASでのIPSec設定
試験企画:GUI操作は動画説明してみるテスト(動画中では試験用にDES/MD5を選択している)
操作ステップ1
操作ステップ2
1,’コントロールパネル’から’Windowsファイアウォール’を開き、左リストにある’詳細設定’を開く
2,左リストの、’ローカルコンピューターのセキュリティが強化されたWindowsファイアウォール’を右クリックして、’プロパティ’を開く
3,’IPSecの設定’タブを開いて’IPSec既定’の’カスタマイズ’を開く
4,’キー交換(メインモード)’を’詳細設定’ラジオボタンを選択して、’カスタマイズ’を開く
5,’セキュリティメソッド’の’追加’を開いて、’整合性アルゴリズム’で’SHA-1’を選択、’暗号化アルゴリズム’で’AES-CBC 128’を選択、’キー交換アルゴリズム’で’Diffie-Hellman Group 2’を選択してOKで閉じる
6,追加された項目を選択して、右側にある上下矢印で追加したメソッドを一番上にしてOKで閉じる
7,4番の画面で’データ保護(クイックモード)’も’詳細設定’ラジオボタンを選択して、こちらの’カスタマイズ’を開く
8,’この設定を使用するすべての接続セキュリティ規則に暗号化を要求する’をチェック、’データの整合性と暗号化’の’追加’を開く
9,’プロトコル’で’ESP’ラジオボタンを選択、’アルゴリズム’の’暗号化アルゴリズム’で’AES-CBC 128’を選択、’整合性アルゴリズム’で’SHA-1’を選択してOKで閉じる
10,追加された項目を選択して、右側にある上下矢印で追加したメソッドを一番上にしてOKで閉じる
11,’認証方法’も’詳細設定’ラジオボタンを選択し、’カスタマイズ’を開く
12,’1番目の認証’の’追加’を開く
13,’事前共有キー’ラジオボタンを選択し、テキストボックスにRTXに設定した’事前共有鍵’を入力してOKで閉じる
14,追加された項目を選択して、右側にある上下矢印で追加したメソッドを一番上にしてOKで閉じる。
’IPSecの規定値のカスタマイズ’画面もOKで閉じる。
’ローカルコンピューターのセキュリティが強化されたWindow・・・’(切れてる・・・)の画面もOKで閉じる。
これで1の画面まで戻ってきたはず。
15,左リストの’接続セキュリティの規則’を右クリックして’新しい規則’を開く
16,ステップ’規則の種類’で’カスタム’を選択して次へ
17,ステップ’エンドポイント’で、’エンドポイント1にあるコンピュータを指定してください’は’任意のIPアドレス’を選択。
’エンドポイント2にあるコンピュータを指定してください’は’これらのIPアドレス’を選択し、’追加’を開く。
’このIPアドレスまたはサブネット’を選択し、テキストボックスにRTX内側ネットワークを入力(192.168.10.1/24とか)してOKで閉じて、次へ
19,ステップ’要件’で’受信接続と送信接続に対して認証を要求する’を選択して次へ
20,ステップ’認証方法’で’既定’を選択して次へ(詳細設定で12/13/14同様の設定をしても良い)
21,ステップ’プロトコルおよびポート’で、’プロトコルの種類’で’任意’を選択して次へ
22,ステップ’プロファイル’で、’ドメイン’・’プライベート’・’パブリック’をチェックして次へ
23.’名前’に適当な名前を設定(必須項目)して、’完了’
24,作成された規則を右クリックして、’プロパティ’を開く
25,’全般’タブの’有効’をチェック、’詳細設定’タブの’IPsecトンネリング’の’カスタマイズ’を開く
26,’IPsecトンネリングを使用する’をチェック、’リモートトンネルエンドポイント’の’編集’を開く
27,’特定のアドレス’を選択して、’IPv4’テキストボックスにRTXの外側固定IPを入力してOKで閉じて、OKで閉じて、OKで閉じる(接続名のプロパティまで閉じる)
長かったけど、コレで完了。
お名前.com VPS(KVM)からフレッツ光ネクスト回線+固定IPプロバイダ
で接続したRTX1100経由でLAN上のWindowsHomeServer2011なProliant ML110 G7
との間でWindowsファイル共有のコピーで、4.5MB/s(36Mbps位)が実効レートだった。 このスピードならかなり快適に作業できるだろう(下手なUSBメモリ程度だ)
と言うわけで、LANのサブネットにWindowsファイル共有を開けて、インターネット上のファイルサーバに仕立ててみた。
外からでも使えるように、VPN(RRAS)も構成してL2TP/IPSecで入れるようにして、仮想ネットワークからもファイル共有を開けるようにした。
しかし、WFASのポリシーを何度かいじっているといきなり消えることがあるようだ。 やはり出たばかりでまだまだ安定に難があるかもしれない。
(400)
従来、自宅のルータはYAMAHA RTX1000とCISCO1812Jだったんだけど、RTX1100の中古価格がだいぶこなれてきたので、RTX1000をRTX1100でリプレースすることにした。
RTX1100に切り替えることでの我が家の利点は、1,優先・帯域制御が行えるようになる 2,L2TPサーバ機能が使えるようになる の2点だろうか。
帯域制御はストリーミングとダウンロードを同時に行う場合の快適度向上や、サーバの負荷抑制等が期待できる。 L2TPは、従来外からの自宅アクセスはauスマホのテザリングでPPTPだったのだが、最近契約したDoCoMoだとこれが使えずL2TPが代替案だったので欲しかった。
従来のRTX1000のコンフィグをTFTPで転送して、追加のL2TPとQoS設定を実施。
通常のネットワーク機能は問題なし。 外からのL2TPを試すと・・・ 遅い。
CPU負荷をみると99%になっていた。
いろいろ暗号化メソッド(DES/MD5,3DES/SHA,AES/SHA)などを変えてみるが負荷の高さは変わらず。 L2TP処理自体が重いのか?
Windows端末にはShrewsoft VPNクライアントを導入して、RTX1100にアグレッシブモードのIPSecを追加して接続してみる・・・
CPU負荷は5%程度。 オフローディングが効いているらしい。
この重さの違いは、もしかしたら、L2TPと組み合わせたIPSecはアクセラレーション対象外? それとも、細かい条件があるのだろうか。
Windows7+Shrewsoft VPN Client=GalaxyNote LTEテザリング=RTX1100=LAN(WindowsServer2012) で接続して、Windowsファイル共有の転送速度が1.4MB/s位(11.2Mbps) RTXのCPU負荷は4%
Windows7 L2TP/IPSec=GalaxyNote LTEテザリング=RTX1100=LAN(WindowsServer2012) で接続して、Windowsファイル共有の転送速度が400KB/s位(3.2Mbps) RTXのCPU負荷は75%
AllowsZ(ISW11F)+WiMaxでは、Shrewsoft VPN Client接続で500KB/s位(4Mbps)
スピードはさすがLTE。 +WiMaxはパケット制限がかからないけど、今ひとつスピードは出ない感じ。
まぁ、遅いながらもL2TPが使えるようになったのは良かったか。
Shrewsoft VPNクライアントで接続するならRTX1000で良かったのでは?というのは、1000にはNAT Traversal(NATを超えてIPSecする)機能が無くて1100から実装されたので、結局は1100にして正解だったわけだ。
古いRTX1000は売ってもたいした額にならないから、VRRPでバックアップにしようかな。
(874)
自宅の作業PC用UPSであるAPC SmartUPS750と、サーバ用UPSのSmartUPS1500のバッテリを交換した。
3.11以降、UPSの需要が増えたようで値下がりが激しく、安売り店では新品のSmartUPS1500が5万円程度で購入可能、対して純正の交換電池は4万円弱と、バッテリ変えるんだったら本体ごと買った方が良いんじゃ・・・?みたいな感じもしますね。
もっとも、本体交換した場合は一時シャットダウンが必要にはなりますが(SmartUPSは電源を入れたまま電池交換が可能)
まぁ、自宅用ですので、電池は互換品で済ませるわけですが。
そんなわけで、SmartUPS750用のバッテリは、WP7.2-12と言うバッテリを2個購入して両面テープで貼り付け、連結の端子は旧バッテリから取り外して使用します。 旧モデルのSmartUPS700もこの方法でOK。
SmartUPS1500はWP18-12Iと言うバッテリで、こちらも2個購入して750同様に加工。 旧モデルの白も現行の黒もこれでOK。
純粋な値段でいえば秋月が安いんだけど、ここのお店は廃バッテリーの回収をやってくれるので助かる。 下手に購入すると廃バッテリが軒先放置になる; 後は楽天ポイントが余ってたし。
容量が大きいタイプもあるんだけど、数分で回復しない電源切断はどうせ回復が期待できずオートシャットダウンするし、同じサイズで容量の大きい電池は設計がきつくなって寿命が厳しくなるんじゃないかなと言う考え(実際、NiMHの単3とかは、一時期3000mAh近い物も出ていたけど、不良率等の問題で2000mAhあたりがメインストリームになってる)で、あえて容量が小さい方を買っている。
ちなみにUPSを購入する場合の容量選択はAPCのUPS製品ページでプルダウンから電力を選ぶと、モデルごとのバックアップ時間が表示されるのが便利。
作業PC本体とディスプレイが200W弱なので750で22分バックアップ可能。 5分間電源が回復しない場合にシャットダウンするとして、平均シャットダウン時間は3分程度なので2倍の余裕がある。
サーバ、NAS、連動用ネットワーク機器が合計で400W弱なので1500で33分バックアップ可能。 こちらも同じポリシーでシャットダウンするとして、作業時間は平均10分かかるので、こちらも2倍の余裕がある。
(1134)
以前から期待しているWindows Server 2012のRTM版がMSDNサブスクライバダウンロードサイトで公開された。
2012で個人的に注目しているのはNTFS拡張の重複除去機能。
高価なストレージに載っていた、重複情報チャンクを共有して冗長データによるディスクの無駄を排除できる機能だ。
ファイル圧縮も良く登場するデータを辞書により縮小するが、こちらはボリューム上のチャンクを対象とするから、異なるファイル間でも有効に働く。
ただし、専用装置と違ってリアルタイムに処理できず、デフラグみたいなソフトで処理することになるんだけど、それでも標準機能でこれが乗ってくるのはかなり大きい。
RCの評価で、開発用ノートPCの従来圧縮では数パーセントしか縮小出来なかったボリュームで40パーセント近い容量確保に成功していて、HDDからSSDに移行してきつくなっていたディスク容量に大きな効率化を実現してくれている。
とりあえず、今日はこいつの導入評価を実施しよう。
(158)
先日契約したGMOクラウドのVPS
に本番系のサイトを移してみて気がついた。
さくらVPSやお名前.com VPSに比べてUnixBenchで劣るけど、WordPressのスピードが速い。
ネットワーク速度も自宅NASからのバックアップ処理でスループット20Mbpsくらいしか出ないんだけど、従来2500msecかかっていたWPの平均表示時間が1200msecに落ち着いた。
DBをフルダンプして入れ直したり、開発系のモジュールが外れたっていうのはあるけど、それにしても半分以下まで高速化するとやっぱり実効速度的な優位性があるんじゃないだろうかと思えてくる。
VPS用高負荷テストとして使っている地デジトランスコーダを設置してベンチしてみようかな。
(270)
従来、VPSのFTPはSFTP(SSHトンネリングしたFTP)を使っていたんだけど、先日導入したQNAP NAS(TS-419P II)のバックアップサービスは、RSYNC・RTRR・FTP・FTPS(FTP over SSL/TLS)の対応だったので、セキュリティと導入容易性からFTPSを追加導入することとした。
なお、QNAPはAmazonS3等のクラウドストレージにもバックアップすることが出来たが、既存のお名前.com VPSやさくらVPSの契約があれば、VPSを利用した方が容量あたりの計算でオトク度が高いと思う。
なので、今回は、先日契約したお名前2GBメモリプランに導入した。
yumでサービスを導入して設定編集
yum install vsftpd
vi /etc/vsftpd/vsftpd.conf
anonymous_enabled=NO
local_enable=YES
write_enable=YES
chroot_local_user=YESssl_enable=YES
rsa_cert_file=/etc/pki/tls/certs/my.crt
rsa_private_key_file=/etc/pki/tls/private/my.pem
force_local_logins_ssl=YES
force_local_data_ssl=YES
ssl_ciphers=HIGH
匿名ログイン禁止
ローカルユーザでのログイン許可
書き込み許可
ローカルユーザはchroot(ホームディレクトリをトップとして扱う)
SSL有効
RSA公開鍵ファイルを指定
RSA秘密鍵ファイルを指定
ログイン処理はSSLを強制
データ転送はSSLを強制
SSL処理をHIGH設定に(デフォルト強度だとネゴシエートできなかった)
/etc/init.d/vsftpd start
chkconfig vsftpd on
SSL鍵自体は、いつも記事に登場しているSSLボックス
のRapidSSLを利用している。
(461)
JVN
