abじゃなくてad
2011年度から今の事業所に異動になっていたちまきですが,10月からまた異動で,もとの研究所に戻ってくる事になりそうです.
2年半の間,国内外,公私を含め様々な経験をし,幾人もの部下と外注の指揮を執ってきましたが,ついに終了ということに.
ただまぁ,戻り先の物理的な場所は,都内ではなく横浜の方になりそうなので,また新しい環境,ということになりそうです.
まぁ,そんな状態ですが,環境構築の記録がまだ終わっていないので,今日も続きを(笑)
というか,前回でVMのデプロイも完了して,後は普通に運用するだけのはずが,まだまだいぢってる訳です(笑)
今回は,IEEE802.3adを利用した環境へと改造しました.
お約束ですが,IEEE802.3ab(1000BASE-T)ではなく,IEEE802.3ad(Link Aggregation)です.
元々の発端は,やっぱりQNAP TL-569Lです.
このNAS,LANポートを2つもっていて,IPアドレスを2つ設定することができ,またiSCSIターゲットとして動作させることができます.
ESXi側のiSCSIイニシエータにもiSCSI用のLANポートを2つポートバインディングして,iSCSIのデータパスとしては4系統検出できている状態なので,冗長性,帯域としては十分な状態(パス選択はESXi任せ)です.
なので,VMware環境としては変更する必要がないんですが,NAS側がOpenVPNサーバやSMBサーバも兼ねているためNASとスイッチの間の冗長性(と負荷分散)をVMware以外でも確保したい,と考えたのでした.
QNAPの設定WebUIにはこの辺りの設定があって,[システム管理]>[ネットワーク]にあるTCP/IPタブにある「ポートトランキング」から行います.
LANポート1と2をそれぞれトランキンググループに入れ,パス選択方式を「IEEE802.3ad」にすることでNAS側の設定は完了,です.
後はDHCPサーバにLAN1側のMACアドレスでIPアドレスを割り当てれば,LANポート1,2とも同一のIPアドレスとして動作します(パス選択はIEEE802.3adのLACPになります).
そう,設定自体は簡単なんですが,これ,NAS側だけの設定では終わりません.
実はIEEE802.3adをサポートするスイッチとその設定が必要,という話です.
もちろんパス選択の方式には一般的なスイッチ(要は普通に売ってる安いHUB)でも実現可能なものもあるんだけど,今後のステップアップ(特にスイッチ間接続でのLink Aggregation)を考えて,今回はIEEE802.3adに対応したスイッチを導入します.
といっても資金がそんなに潤沢にはないので,お安いNETGEARのGS724T-300JPSを導入しました.
これ,IEEE802.3adにも対応した安価なL2スイッチ(相当の機能を持つ物)らしいです.
安価なだけに,専用のマネージメントポートがなかったりしますが,まぁいいでしょう.
そもそも今サーバ用に使っているスイッチは,ただのHUBだし,8ポート全部埋まってるし,超熱いし,代替としてはいい選択かな,と.
ファンレスなので静かですが,廃熱に関して若干心配ではあります.
だけど,人間と共存することになるので,この辺りは人間側への配慮をした形です(笑)
さて,スイッチをネットワークにつないで起動させると,DHCPでIPアドレスを取得してくれるので,ブラウザでアクセスします.
IEEE802.3adの設定自体は,[Switching]>[LAG Configuration]から行います.
ここで,LACPで接続するポートのグループを作成(グループは初期状態作成されているので名前を変更)し,LAG typeにLACPを指定します.
使用するポートを[LAG Membership]から登録することで,Link Aggregationが機能し始めます.
あと,個人的にはまったのは,Ethernet Frameのサイズです.
デフォルトでは1518になっていたので,NASへのアクセスが上手くいかず(NAS側は9000になっていた)はまりました(笑)
なので,[Switching]>[Ports]から,LAGメンバのポートと,LAG自体のMaximum Frame Sizeに,それぞれ9216(最大値)を設定しておきました.
基本ですね(笑)
ちなみにこのスイッチはPort VLAN,Tag VLANにも対応していますが,この辺りはご家庭ネットワークなので設定していません(笑)
後はNASをLAGメンバのポートを使って接続すれば,後は勝手にリンクアップして単一IPアドレスを持ち,冗長パスを使えるNASになります.
この段階でNASのWebUIやサービスに接続できないようだと,どこか設定がおかしいってことですね.
ちまきもFrame Sizeではまっていたので,NASを通常の(LAGメンバになっていない)ポートに接続したりしてあれこれ設定をしたりしてました(笑)
WebUIくらいならFrame Sizeには影響受けてなかったのかしら?
さて,無事NASのサービスアクセスできるようになったら,今度はESXi側でパスの確認です(笑)
vSphere ClientからESXiに接続して[構成]>[ストレージアダプタ]からリスキャンをかけます.
iSCSIターゲットの動的検出を行っていれば,これでパスが見つかり,従来4パス(ESXitoスイッチ間×スイッチtoNAS間)だったものが,2パス(ESXitoスイッチ間のみ)に見えるようになるはずです.
[構成]>[ストレージ]にある当該パス上のDatastoreの[プロパティ]>[パスの管理]から確認できます.
ちなみに,ESXiのパス選択ポリシーもここから変更できます.
後はメンテナンスモードを終了して,VMが起動できれば無事完了です.
まぁなんというか,機材を買って導入しましたってだけの話なんだけど,設定が必要なスイッチを買うのが初めてだったので,新鮮だった(笑)
ハードウェア的な投資はこれで大体決着かな?って感じです.
まぁ,スイッチをもう1台欲しい,とかいろいろありはしますが(笑)
次回はDLNAサーバの構築なんかについて書いていきたい!(笑)
でもその前に引っ越しとかもあって大変かも?(汗)
L2じゃないとだめ?
さて,相変わらず月一連載の体を成してしまって申し訳ないです(汗)
引っ越したり,仕事が変わったりといろいろ有りましたし,まだまだ安定した生活(主に仕事が)はまだまだですが,ぼちぼち日記も書いていこうと思います.
さて,格安サーバを購入し,ESXiを導入,VMを載せたり,パス冗長化をして無事運用開始,というところまで行っていました.
今回は,DLNA環境の構築です.
といっても,機能自体はQNAPがTwonky ServerなるDLNAサーバをはじめから持っているので,これを有効にして終わり,まる.
後はデータの置いてある場所を指定するだけなので,とっても簡単です.
問題はここから先です.
せっかく構築したOpenVPNによるVPN環境を使って外部から接続し,DLNAサーバからのメディア配信を行いたい,と思ったのでした.
具体的なユースケース,としては,実家に帰った際に,ノートやiPadで動画を見たり,写真を見たりできるようにしたい,というものです.
まぁ,よくある話ですね.
ただ,タイトルからも察しが付くかも知れませんが,ちまきが構築したのはL3 VPN(OpenVPNのルーティング方式)で,DLNAが利用するマルチキャストパケットの中継ができない(?)ようなのでした.
解決策として手堅いのはL2 VPNを構築(OpenVPNだとブリッジ方式)する,なんですが,がんばって構築方法を調べるのも面倒だなぁと思っていたのです.
で,いろいろ調べていると,クライアントによっては大丈夫,みたいな話があったので,いろいろクライアント(iOS用)を試しました.
結論をかいてしまうと,OpenVPNサーバとDLNAサーバが同一サーバ上で構築されていれば,OpenVPNクライアント側からDLNAサーバが見えました.
使用したクライアントは8Player(iOS用)です.
簡単に前提環境を書くと,内部セグメントは192.168.xxx.yyyとしているんですが,OpenVPNサーバはVPN用のセグメントとして10.aaa.bbb.cccを持っています.
OpenVPNクライアントには10.aaa.bbb.dddが割り当てられるんですが,どうやら10.aaa.bbb.cccを指定してやればDLNAサーバが見えるようです.
具体的には,8Playerのサーバ管理で,宅内でDLNAサーバを追加します.
例:http://192.168.0.10:9000/TMSDeviceDescription.xml
上記を追加したら,今度はVPN用に,
例:http://10.8.0.1:9000/TMSDeviceDescription.xml
を追加します.
これで,宅内からは「192.168.0.10」側が,VPN接続時は「10.8.0.1」側が見えるようになるはずです.
とりあえず結果オーライで外部ネットワークからも宅内DLNAサーバからのメディア配信ができるようになりました.
さて,とりあえずこれで目的は達成したように見えますが,実はまだ続きます.
というのも,QNAP上のOpenVPNサーバで構築した環境だと,4Mbps程度しか速度が出ないのです.
もちろん転送レートの低い(低画質な)動画とかはこれでも大丈夫なんですが,4Mbpsを超えるような動画では,当然コマ落ちしたり再生できなかったりします.
というわけで,この後専用ルータを用いたL2 VPNの構築を行うことになります(笑)
その辺りはまた次回にでも(笑)
てか,twitter上では写真とかも流しているので,気になる人は確認してもらうといいですが,YAMAHAのVPNルータ(RTX810)で構築しています(笑)
というかもうOpenVPN使ってないよ(笑)
あぐれっしぶ!
さて,QNAP上で構築したOpenVPN環境でスループットがでない,という話でした.
そんなわけで,いつものように力業で解決します(ぉ
具体的には,VPNをなんらかのハードウェアで構築しよう,という話.
まずは要件から.
VPN構築というわけなので,ルータなりサーバなりってことなんだけど,電力面とハードウェア性能,ということで専用ルータを導入する,という選択をします.
それからそもそもの大前提で,今のインフラ契約を変更せずに構築したい.
なのでDDNSなりなんなりを利用した形で,動的IPアドレスでもVPNを構築できること.
続いて,スループットは最低でも上下それぞれ30Mbps程度でること.
ハードウェア化を前提にする以上,スループット,特に上り側が回線速度通りにでる,というのが理想.
あとDLNAの件もあるので,できればL2 VPNを構築できること.
それから,可能であれば実家と相互接続できるようにしたい.
あとあと,DHCPで配布できるIPアドレスが変に制限されないこと!
これは現状メインルータにしているNECのAterm WR8700N固有っぽい制約だけど,DHCPで配布できるIPアドレスが32個までしかない事に由来しています.
VMとかで遊びだすといい加減危ないので,この制約に当たらない環境にしたい.
こんなところかな?
でまぁ,値段の事を考えなければYAMAHAのRTX810がいいかな?って感じ.
値段的には普通のご家庭用無線LANルータの4倍程度と,ちょっと高級.
まぁVPNの便利さは既にOpenVPNでよく分かったし,スループットが大きなネックになってるので,悪い選択ではないのでした.
あと問題は,設定関係がうまくできるかどうか.
各所の記事を見る限り,本当に主要な部分は簡単に設定できるようになっているみたいだけど,詳細な設定とかはやっぱりコマンドベースになる模様.
この辺りが耐えきれるかどうか,というところかしら?
まぁでも,やれば何とかなるだろう,ということで購入しました.
というか,最終的には2台目も購入して拠点間VPNを構築したり,やりたい放題やることになるんだけど,それはまた後日.
というわけで,早速通常の接続設定から.
RTX810を電源に接続して起動,またLANポートにPCを1台直結してこちらも起動します.
とりあえずDHCPは動いているみたいなので,「http://192.168.100.1/」にPCのブラウザからアクセスすると,RTX810の設定画面が出てきます.
ユーザ名とパスワードは空欄のままでOKみたい.
設定画面が出てきたら,「プロバイダ情報の設定」に行きたくなるところだけど,まずは「詳細設定と情報」からIPアドレスの設定を既存の環境に合わせます.
「LANの設定」からルータ自身のIPアドレスの変更(「LANポートのIPアドレス設定」)と「DHCPサーバ機能」の設定を変更します.
ちなみに,片方ずつ変更したりすると,設定中のPCから接続できなくなったりする(デフォルトゲートウェイの設定とDHCP配布のIPアドレスがかみ合わなくなるっぽい)ので,同時に変更することをお薦め.
IPアドレスはとりあえず200個くらいを配布できるように設定して,ここは完了.
後は,PCから接続し直してから「本体の設定」から日付関係,「ユーザーとアクセス制限の設定」からパスワードなんかを変更しておきます.
一通り設定したら,ようやく接続先の設定をすることになるので,まずはWANポートにモデムを接続します.
接続できたら,トップページにある「プロバイダ情報の設定」から,接続先の設定をします.
接続型やID&パスワード,DNSサーバアドレスなんかをしたら完了です.
これで,設定画面のトップページで接続中になってれば,とりあえず普通のルータの代わりにはなるっぽい?
あ,ちなみにRTX810には無線LAN機能はないので,既存のAtermをAPモード(アクセスポイントとして動作)で動かして使用します.
もともとはRTモード(ルータとして動作)だったものを,APモードに切り替えると設定は初期化されるっぽいです.
で,RTX810とIPアドレスが被っていたりすると,IPアドレスが自動補正されたりするので(http://192.168.*.211/などになる),その点だけ注意が必要っぽいです.
てことで,そこさえ気をつければ,後はAtermの設定をし直せば無線LANもすぐに復旧します.
さて,とりあえず宅内ネットワークは復旧しましたが,次はいよいよL2 VPN構築です.
といっても次はさすがに来年かな?(笑)
まだまだ現状の環境に追いつかないねぇ・・・.
というか,アグレッシブが登場してないよ(笑)
もあぐれっしぶ!
PS4はふらっと寄ったヤマダ電機に売っていたので,うっかり買ってしまいました(笑)
とりあえず設置はしたんですが,ゲームは付属のNACKだけで,追加では買ってなかったり.
まぁWiiUと同じく,ハードウェアを買って満足,という流れです.
さて,今回は年末に書きかけていたVPN環境の構築の続きです.
とりあえずモデムと繋いでインターネット接続ができて,無線LANも旧ルータをアクセスポイントとして接続して使える状態まできていました.
いよいよ外部から接続するための設定をします.
大きな流れとしては,(1)モバイルデバイスなどからの接続先となるルータ本体に外部から名前でアクセスできるように「ネットボランチDNS」に登録し,(2)ルータにVPN接続用の設定を追加,(3)モバイルデバイス側にもVPN接続設定を追加して接続する,という感じです.
まずネットボランチDNSですが,これは要はYamahaで提供しているDDNSの事みたい.
設定は簡単で,[トップ] > [詳細設定と情報] > [ネットボランチDNS ホストアドレスサービスの設定]から,好きな名前で登録するだけ.
接続プロバイダは前回設定した自分のプロバイダ(PP1で設定されているはず)を選んで,ホスト名(RTX810の外部からの名前になる)を決め,設定の確定を押すと,利用規約への同意を求められ,同意すれば登録される,という流れです.
続いてルータのVPN設定をします.
まず[トップ] > [詳細設定と情報] > [VPN接続の設定]からVPN設定を追加します.
「PP[02]またはTUNNEL[01]」にある「追加」を押します.
Wizardに従って進み,「L2TP/IPsecを使用したリモートアクセスVPNサーバー(Anonymous)」を選びます.
続いてVPN接続設定の登録,ユーザー(1アカウント目)設定の登録をします.
VPN接続設定では事前共有鍵以外に,使用する認証アルゴリズム,暗号アルゴリズムなんかを指定するんですが,ちまきが構築した時点では,iOSからは認証アルゴリズムにHMAC-SHA(2番目に暗号強度が強い物),暗号アルゴリズムにAES256-CBC(一番暗号強度が強い物)を使って接続できました.
あと,NATトラバーサルも有効にしておきます(RTX810の最新ファームウェアではGUI設定できますが,古いとコマンドで設定しなくてはならない).
ユーザ設定は,適当に指定しておきます.
このユーザは,VPN接続する時に使用しますが,複数ユーザから接続する場合は,別途追加します(後述).
IPアドレスの割当は,RTX810でDHCPサーバを兼ねているので,「DHCPサーバー機能から割り当て」を選んでおきました.
IPアドレスを決めておいて,アクセス制御などをする場合は,「固定割り当て」が良さそうですが,今回はそこまでしないのでDHCPでいきます.
切断タイマは初期設定の60秒のままで,設定の確定をすると,ルータ側の接続設定は完了です.
これで,VPNの設定や,IPフィルタの設定,NAT Descriptorの設定が自動的に行われる様です.
ちなみに,VPN接続ユーザを増やす場合は,[トップ] > [詳細設定と情報] > [VPN接続の設定]から「PP[02]またはTUNNEL[02]」にある「追加」を押し,Wizardに従ってユーザとパスワードを設定します.
VPN自体の設定は,「L2TP/IPsecを使用したリモートアクセスVPNサーバー(Anonymous)」で1つの設定(先に行った設定)を共有しているので,アカウント追加だけ,という形式になるみたい.
ちなみに,ユーザ1名追加につき,TUNNELを1個使用するので,RTX810だと6つまでに制限されます.
なので,拠点間を繋ぐ場合は,クライアントからルータに繋ぐのではなく,ルータ同士を拠点間接続する方が(TUNNEL1個で済むので)お薦めです.
逆に今回みたいなアカウント追加は,モバイルデバイスなど,出先から接続する場合に使う,という使い分けになりそうです.
さて,ここまで来たら後はiPhoneなどの設定です.
当たり前ですが,LAN内からVPN接続はできないので,接続試験をする場合は無線LANをOFFにしてからやりましょうね.
設定自体は簡単で,「[設定]>[一般]>[VPN]」から「VPN構成を追加」するだけ.
L2TPを選んで・・・
・サーバ名にはネットボランチDNSに登録したホスト名(my_rtx810.aa0.netvolante.jpみたいな感じ)
・アカウントは追加したユーザ名のどれか1つ
・RSA SecurIDはOFF
・パスワードはユーザ名に対応した物
・シークレットには事前共有鍵
・すべての信号を送信はON
とします.
これで接続試験して,うまくつながればOK.
RTX810のトップにも通信中として表示されればばっちりです.
ちまきが最初に使っていたファームウェア(Rev.11.01.12)では手動設定なんかもあったので(知らないと)苦労したんですが,Rev.11.01.19ではいろいろGUIから設定できるようになっていて,かなり楽になりましたね.
特に,NATトラバーサルの設定については,ヒントもなにもなく,ただiPhoneから接続できない,という状態にしかならないので,結構はまったポイントでした.
かくして,どこからでも宅内LANにアクセスできるだけでなく,期待通りのスループットがでるようになって大変満足(笑)
これでHD画質の動画もコマ落ちせずに見れるように(笑)
リモートサイトの夢をみるか?
どんどん拡張を続けている我が家のコンピュータ環境ですが,この後どう拡張していくか,というのを一度整理しておこうかな,と.
まず前回までの流れを簡単に復習しておきましょう.
・QNAPのNASを導入
・ESXiを使った極小VDI環境構築
・DLNA&OpenVPNサーバをQNAP上に構築
・RTX810によるVPN環境構築
こんな感じでしょうか.
で,これからこの環境をどうしていきたいのか.
まず1つ目.
RTX810を導入する際にもふれていましたが,実家側にもRTX810を導入して,拠点間VPNを構築したい.
もともとOpenVPNからL2TP/IPsecによるVPNに移行したのは,QNAPのVPNスループットが出ないため,でした.
が,L2TP/IPsecでのVPNは,iOSデバイスは標準サポートですが,Windowsでは面倒っぽい.
有料クライアントを導入するのも手なんだけど,それならば,ということで,拠点間VPNを構築しよう,と.
これができると,今後やりたいことの基盤として大いに役立つ.
2つ目.
実家側にもサーバを導入して,ルータの管理含め,実家環境のメンテナンスをできるようにしたい.
特に拠点間VPNを構築した場合,リモートサイト(実家側)のルータを操作するために,ルータ配下ネットワークのマシンが必要だったりします.
Wake on LANでもいいかな,と思ったときもあったんだけど,Windowsがハングアップしたら回復不能だし,そういった事態は割とよく起こりそうなので,BMCが使える(最低限電源長押しのシャットダウンができる)サーバを導入したい.
これなら,いちいち実家に連絡して操作することもなく,運用可能になるかな,と.
まぁでも,きっとESXiを導入して仮想化して使うと思います.
3つ目.
割と細かくネットワークの制御をしたい.
具体的には,拠点間VPNを構築した後の話なんだけど,VPNを超えてローカルサイト(自宅側)にアクセスできるマシン類を制限したい.
というのも,DLNAサーバや共有ファイル(smb)にリモートサイトから自由にアクセスできると嫌だったり困ったりするから(笑)
でも,実家に行った時は,ちまきのPCやデバイス類からは意識せずとも使えるようにしたい.
L2TP/IPsecでVPNを構築しているメリットはそのままに,アクセス制御をできる限り行いたいって話ですね.
最も面倒なのはリモートサイト,特に親の使っているPCとかに設定変更などの影響を及ぼさない必要があるということ.
なので,DHCP環境で配布するIPアドレスを制御した上で,ルータでのフィルタリングになるかな?
4つ目.
3つ目とも絡むけど,RDP環境はきっちり作っておきたい.
サーバ側などのちまき配下リソースはもちろん,親のPC群も最悪こちらでメンテ可能にするため,RDPだけはVPN経由で利用可能にしたい.
こういう細かな事を言い出すと,RTX810のようなワンパッケージ品は便利な予感.
5つ目.
vSphere環境を構築したい.
現状,ESXiを導入した環境にはなっているんだけど,勉強もかねてvSphere Essential Kitを導入したい.
そもそもvSphere5.1以降に拡張される新機能は,vSphere Web Clientからしか設定不能.
現状,かろうじてvSphere Client(C#ベースの単独アプリ版)からESXi直結は可能であるものの,これがいつ終息するか分からないので,早く移行したい.
可能であれば,ローカル,リモート(導入予定)の両サイトのESXiをまとめて管理したい.
6つ目.
MSDN OSを導入したい.
これは,vSphere Essential Kitを導入する際の前提になりそうなもの.
Windowsのサーバ系OSを使ってvCenter Server環境を構築してみたい.
まぁ,OSのみで購入してもいいんだけどね.
あとあわせてHyper-V環境の構築もしてみたいかな.
なので,Windows Server2012の上に,Hyper-V3.0環境を構築して,その上にvCenter Server用の2008R2もしくは2012を入れる感じ.
この辺りをやり始めると,サーバがもう1台必要,という話でもあるが・・・(汗)
7つ目.
リモートレプリケーション環境を構築したい.
これは,QNAPをリモートサイトに導入して,iSCSIターゲットにするだけじゃなくて,ローカルサイトのバックアップに使う,という話.
うまくディザスタリカバリまでできれば最高だけど,まずはレプリケーションだけでもしたい(笑)
具体的にはQNAPのRTRR(リアルタイムリモートレプリケーション)を使う感じかな.
iSCSIターゲットでもできるかどうかは分からないけど・・・.
ダメなら普通にローカルサイトからリモートサイトにバックアップするスケジュールを組む感じかな?
整理するとだいたいこんな感じですかね.
実際このエントリーを書いている段階では,5つ目まで完了してたりしますが(笑)
また,6つ目は別の解決を見ることになったりしています.
Hyper-Vは導入しないことにしましたけど.
あと,他の方向に拡張してたりもするので,その辺はまた追々書いていきます(笑)
拠点間VPN
すっかりGWに入ってますね.
すでに実家に帰省していますが,従来だとGWは帰省しなかったり,したとしてもごく短期間(2泊程度)だったんだけど,今回は割と長めに帰省しています.
なぜかといえば,実家が新築した(といってももう2年ほど経ちますが)ということ以外に,やはり拠点間VPNを構築したことが大きいです.
今までだと,帰省の度に持って帰るデータを準備したり,ノート1台であるが故にサービスレベルが下がったりと,いろいろあった部分が,拠点間VPNの構築によって全部解決されたわけです.
前回触れていたやりたいことリストの1個目,ですな.
今日は,この拠点間VPN構築について.
既に自宅側(ローカルサイト)にはRTX810を導入済みなので,ローカルRTX810への拠点間VPNの設定(トンネル追加)と,実家側(リモートサイト)へのリモートRTX810導入と拠点間VPNの設定をすればいい,という話.
問題は,リモートサイトの物理結線からいじる関係で,実家へ行かざるをえない,ということ.
特にRTX810は自身の宅内LANポート側(LAN1)からしか設定変更できないため,VPN環境が整うまでは遠隔地からの設定変更は困難.
幸い,ローカルサイト側にはL2TP/IPsecのVPNと,OpenVPNのVPN両方が準備してあり,実家側から自宅のVDI環境にRDPして,そちらからローカルRTX810を操作できるので,行ったり来たりというのは避けられそう.
というわけで,まずは自宅側での設定を.
基本的にはYAMAHAが公開している設定例を踏襲すればOK.
なんだけど,躓いた点について.
具体的には,「IPsecを使用したネットワーク型 LAN間接続VPN」の設定時に,「経路情報の設定」として何を設定すればいいのか,ということ.
最近ちまきがたき付けてYAMAHAのルータ(ファイヤーウォール製品のFWX120)を導入させた同僚も,やっぱりはまっていました.
これ,言葉が分かりにくくて(しかもいろいろIPアドレスが設定できる関係で)何を設定すればいいのかわからないんですよね.
まぁ,素人特有の出来事ではあるんですが.
この項目,要はVPN(トンネル)経由で対向側ルータに転送する宛先(IPアドレス)を記載する場所なんですね.
なので,今回の場合だと,ローカル側(例:192.168.1.0/24)のルータにはリモート側のネットワークアドレス(例:192.168.2.0/24)を,リモート側(例:192.168.2.0/24)のルータにはローカル側のネットワークアドレス(例:192.168.1.0/24)を転送先として記載する,となる感じ.
複数記載できるのは,例えばRTX1200(RTX810の上位製品)を中心としたスター型のVPNネットワークを構築する際に,末端側のルータからRTX1200に転送するアドレスを複数指定する(拠点の数分アドレスがあるはず)ようなケースに対応するためなんでしょうね.
ともかく,この経路情報の部分さえ理解できていれば,あとは共通鍵を作って設定するだけで設定自体は簡単に終わります.
ちなみに認証アルゴリズム,暗号アルゴリズムは,それぞれ一番強度の高そうなHMAC-SHA256とAES256-CBCにしておきました.
さて,ここからは懸案の実家サイドです(笑)
実家では既にAterm WR9500Nをメインルータにしたネットワークを組んであるんですが,このルータをRTX810に置き換え,さらにWR9500Nをアクセスポイントに切り替える,というところからスタート(笑)
まぁ,これ自体は既に自宅で経験済みなので,手間がかかるだけって感じですかね.
まぁ,ネットワークの基幹を組み直すの自体は大したことないので,さくさくやって,あっさり復旧.
後はVPNの設定をするだけなんだけど,これもさっきのYAMAHAのサイトを見ながらやるだけ.
なんだけど,ふと疑問が.
よく考えたら,ローカルルータを設定していたときに,拠点間VPNを接続する手続き(ボタンを押すとかそういうの)がなかったよなーと.
これって本当にうまくいくんだろうか・・・,と思いながらもとりあえず設定してみました.
で,設定が終わってしばらくすると(1分以内程度),ルータのWeb設定画面のトップページにあるステータスが,接続状態になったのでした.
どうやら,明示的な接続手続きはなく,インターネットに繋がった段階で自動的に拠点間VPNが稼働し始めるようです.
これは快適(笑)
というか,冷静に考えると,自動接続でなかった場合は,何かで回線が切断される度に拠点間通信が途絶する事態になるので,この設計は正しい気がします.
かくして,自宅と実家はネットワークで繋がれ,DLNAサーバのコンテンツもネットワーク越しに配信することができるようになったのでした.
やったね!
ただ,ここには大きな罠があったのでした・・・.
というところで,今回はここまで(笑)
DLNAの秘匿
家庭内でのコンテンツ配信に使われるDLNAですが,みなさんどんなものを配信してるんですかね?
ただ,家族であっても見せたくない物,ありますよね?
てことで,前回ふれた罠がこの点になるわけです.
素朴にQNAP TS-569L上で動いているDLNAサーバで認証かけられないのかな,と思って設定画面を見てみても,それらしい項目はなし.
どうもDLNAではユーザによるアクセス制御の考え方はない模様.
.htaccessを使って(ホスト単位で)制御することもできるみたいなんだけど,これはこれで面倒くさそう.
さてどうしたものか,というところで,RTX810のフィルタ機能を使うことに思いいたったのでした.
ここで,簡単にYAMAHAルータのフィルタ機能を確認しておくと,ルータに入出力されるIPパケットを静的,動的にフィルタし,破棄したりできる機能,ですね.
細かなフィルタ適用位置はYAMAHA公式のFAQを見てもらうとして,要はLANポート(LAN1,ローカル側)の入力,出力と,WANポート(LAN2,グローバル側)の入力,出力の4カ所にチェック機能を付ける,という感じ.
リモートサイト(実家側)からローカルサイト(自宅側)へのパケット転送(=VPN経由)を制限する,という意味だと,リモートサイト側のLANポートに入力されるパケットを検査して,送信元によって通過か破棄かを決定する,という感じでいいかな,と.
もちろんWANポートから出力されるパケットを検査する,というのでも同じ効果が得られそうなんだけど,なぜLANポート側にしたのか?
このフィルタの設定は,RTX810の「[トップ]>[詳細設定と情報]>[ファイアウォールの設定]」から設定するんだけど,WANポート側には外部からの侵入を防いだりするフィルタが既に定義済みで,ここに自分の個人的なフィルタを混ぜたくなかったから,という,素朴な理由です(笑)
ちなみに,LANポート側には入力,出力ともにフィルタが設定されていない,というのが初期状態です.
実はこの初期状態が重要で,後でとんでもない地雷を踏みます(笑)
さて,フィルタの位置が決まったところで,1つ問題.
このフィルタ,送信元IPアドレス,送信先IPアドレスとポート番号を使って制御をかけることになるんだけど,よく考えたらDHCPで適当にIPアドレスを割り付けているので,ただフィルタを設定するだけではダメ,と気づいたのでした.
各ホスト毎に手動設定する,というのも手ですが,新しいものが増えた場合や,自分のノートをリモートサイトで接続する場合など,自動でIPアドレスが割り振られないのはかなり面倒.
さらに言うと,両親のマシンをいちいち設定するというのも避けたい.
というわけで,RTX810のDHCPサーバ設定を変更して,MACアドレスから決まったIPアドレスが割り振られるようにします.
その上で,ローカルサイトに接続許可するIPアドレスを決めて,フィルタとして設定すれば良い,となるわけですな.
まずは「[トップ] > [詳細設定と情報] > [システム情報のレポート作成] 」から,現在DHCPがIPアドレスを割り当てている装置をMACアドレスから特定して,割り当てるIPアドレスの一覧を作って割り当てを決めます.
実はこれが一番大変だった(笑)
DHCP設定前にレポートを見ると,
「(タイプ) クライアントID: (ZZ) XX XX XX XX XX XX」
という表記と,
「クライアントイーサネットアドレス: YY:YY:YY:YY:YY:YY」
の2種類があって,これによってDHCPの設定コマンドが多少違うみたい.
具体的には,それぞれ
「dhcp scope bind 1 192.168.0.??? ZZ XX XX XX XX XX XX」
「dhcp scope bind 1 192.168.0.??? YY:YY:YY:YY:YY:YY」
という感じで,微妙に違います.
詳しくはマニュアルを見てもらうとして,これで雰囲気は伝わったと思います.
DHCPで,宅内の通信を行うホストがすべて特定できている状態にできたら,今度はLANポート入力側のフィルタを設定します.
リモートサイト(192.168.2.0/24)側ルータのLANポート設定例を示します.
ip filter 10 pass 192.168.2.??? 192.168.1.0/24 * * *
ip filter 30 pass 192.168.2.0/24 192.168.1.0/24 * 3389 *
ip filter 50 reject-nolog 192.168.2.0/24 192.168.1.0/24 * * *
ip filter 99 pass * * * * *
VPNの先にあたるローカルサイトは192.168.1.0/24です.
フィルタ#10がVPN経由のVPN経由通信を許可するもの,#30はリモートデスクトップ(RDP)のポート番号(3389)を使ってすべてのRDPを許可する,そして#50でそれ以外のVPN経由通信をすべて破棄します.
直感的にはここまでの設定で大丈夫そうですが,すべてのパケットを通過させる#99が必要となります.
前述の地雷とはこの設定の事で,具体的にはこことここに記載のあるdefaultフィルタの挙動を考慮しています.
要は,初期状態で何もフィルタが設定されていないフィルタ適用位置に,フィルタを追加すると,フィルタ条件にヒットしないパケットはすべて破棄される,というもの.
フィルタ設定なしの状態から,うっかり#50だけ設定したりすると,全パケットが破棄されるようになり,インターネットに出て行けなくなるどころか,管理画面にも繋がらなくなる,といった事態に陥ります.
というか,陥りました(笑)
もし同じ状況になってしまったら,慌てず騒がず「microSD+USB+DOWNLOAD」を押しながら電源を入れ直しましょう.
これで工場出荷時の状態に戻ります.
かくして,実家内のDHCPによる配布IPアドレスを固定させ,そのIPアドレスを用いて拠点間VPNを超えるホストの制御を可能にすることができました.
また,RDPについては,ポート番号を使ったフィルタを適用することで,これ以外のポートからの通信は拠点間VPNを通過させないようにすることもできるようになりました.
これで,お茶の間を気まずい空気の嵐に巻き込むこともなくなります(笑)
やっと安心して拠点間VPNを運用できるようになりました(笑)
iLO3
かくして実家との拠点間VPN構築ができて,運用も軌道に乗った所なんだけど,ここでさらに追加を.
拠点間VPNの要となっているルータ,RTX810は,拠点間VPNといえど,WAN経由ではルータ本体の設定変更ができないのです.
もちろんセキュリティ上,正しい設計だとは思います.
でもまぁ,リモートから実家のルータをいじりたい時もあるので,何とかしよう,という話です.
思い当たる作戦は3つ.
1つ目の候補は,1番簡単なんだけど,要は親のパソコンにRDPで繋いで何とかする,というもの.
ただ,正直自分の配下にないのと,無線LANベースなのでリモートで電源が入れられない,という問題があり,これはパス.
じゃぁ,ということで2つ目の候補は,自分のPC,ThinkPadX201sを実家に設置する,というもの.
これは割といい案なんだけど,有線LANとWoLによる遠隔起動はともかく,ハングアップしたときなんかに,やっぱりどうしようもない,という問題が.
ここまで来るとどうしようもない,という感じではあるんだけど・・・.
てことで,最終候補は,実家にもサーバを導入する,というもの.
ただし,リモートで電源操作のできるもの(いわゆるBMC搭載機),というのが条件.
値段さえ問題なければ,実はこれが一番確実なのよね.
てことで,各社の格安サーバを調べてみると,hpのProLiant ML110 G7が良さそう.
ちなみに既に導入済みの富士通のPRIMERGY TX100 S3pは,BMCを搭載していないみたい.
当初は気にしていなかったとはいえ,ちょっとがっかり.
もちろん高級モデルでは搭載してるんだけど,個人で導入できる値段のものには付いてないみたい.
DELLも同じく安いモデルにはBMCがない,またNECは(調べた当時は)安いサーバがなく,断念.
というわけで,みんな大好きNTT-X Storeでご購入,と相成りました.
クーポン込みで12000円と,格安です.
てことで,実家に配送してもらい,自らも帰省して作業します(笑)
ちなみに,スペックとしてはCeleron G530(2コア2スレッド,2.4GHz),メモリ2GB,HDD250GBと最低限.
ここに直接OSを入れても良かったんだけど,後々のことも考えて,メモリを増設して,ESXiを入れてVMを載せて使うことにしました.
ESXi自体はUSBメモリにインストールして,内蔵HDDをVM用データストアにして運用します.
注意点としてBIOSの設定を変更しないと,PSoDでESXiが死ぬらしい,というものがあるみたい.
要は,
・HP Power Regulator: OS Control Mode
・HP Power Profile: Custom
・Minimum Processor Idle Power State: C6 States
の3つを設定しておけばいいってことらしい.
まぁ,ESXiのインストール自体は慣れていればすぐなんだけど,サーバ自身にDVI出力がない関係で,D-Sub15ピンの繋がるディスプレイを用意するのが大変だった(笑)
封印されていたディスプレイがあって良かったです・・・(汗)
#その気になれば,後述のiLO3で何とかなったんだけどね.
さて,ESXiもインストールできたので,件のBMC経由の電源操作を行ってみることにしました.
ML110 G7には,オンボードNICが2ポート用意されていて,そのうち1ポートをBMCが兼用しているらしいです.
なので,MAC ADDRESSは3つあったり.
ちなみに,BMC専用LANポートを増設するキット(514206-B21)も4000円くらいで売られており,それを増設すると兼用されなくなります(ちなみにこのポートで使うMAC ADDRESSは兼用時とは異なります).
まぁ,1万円強のサーバにそんなに投資してどうするんだって話はありますが(笑)
さて,このBMCにDHCPでIPアドレスを割り付けたら,ブラウザでアクセスします(拠点間VPN経由のアクセスフィルタもこの段階で許可しておく).
すると,iLO3(Integrated Lights-Out 3)の画面が表示されます.
ログインすると,電源操作や画面表示ができるようになっています.
ちなみに,画面表示機能(正確にはリモートKVM,リモートメディアなど,サーバ管理上大変便利な機能)は,ML110 G7に標準で付いているライセンスでは1分間で切断されてしまいます.
ただ,電源操作(電源投入や,強制シャットダウン)程度なら十分可能なので,問題なしです.
しかもESXiも載せてるから,ゲストOSの画面ならvSphere Client経由で見れるしね(笑)
ゲストOSは,自宅側のESXi上で動いているWindows8Proを引っ越して載せることにしました.
まぁ,Windows7ばっかりで,あんまり使ってなかったしね(笑)
データをVPN経由で移動して,ESXiのインベントリに登録するだけ(笑)
あとは,DHCPでIPアドレスの設定をするのと,VPN用パケットフィルタを解除しておしまい.
で,さっくり動作することを確認したら,自宅側からも接続したりして,一通り確認.
ちゃんと,自宅から実家のVMへRDPして,そこから実家のRTX810設定画面が開けることも確認済み(笑)
これで,自宅から実家の環境を好きなときに管理できるようになったよ!
すごい,やり過ぎ感・・・(笑)
疑惑のスロット3
ストレージとサーバを導入し,仮想環境の構築を行い,拠点間VPN環境も構築できたところで,そろそろ他のことをしたくなってきた,という展開.
常時サーバとストレージを稼働させている,ということで,もっと有効活用したい,と思い立って,foltia ANIME LOCKERを導入しようとしたわけです.
いわゆる録画サーバを作る,という話です.
ただ,普通とちょっと違うのは,VMware環境上のVMとして作ってみる,という点.
まずは物理機材を買ってみました.
定番のPT3とNTTコミュニケーションズのICカードリーダー(SCR3310-NTTCom)をさっくり購入して,サーバ(TX100 S3p)に取り付けます.
ESXiを起動してvSphere Clientで確認すると,無事両方とも認識しています.
物理デバイスが認識された段階で,実際にVMを作ります.
foltia ANIME LOCKER Ver.3はCentOSベース(CentOS 6.4 x64)の録画サーバアプライアンスなので,CentOS 4/5/6(64bit)を指定してVMを作成します.
このVMにPT3(Altera Corporation <class> Multimedia Controller)とカードリーダ(SCM SCR3310-NTTCom USB SmartCard Reader)をパススルーして接続します.
vCPUはとりあえず2基,メモリは4GB,起動ディスクは適当に100GBにしておきました.
後は,ISOイメージを接続して,ISOイメージから起動させ,インストールを行うだけです.
インストール自体は,マニュアルの手順に従うだけなので,簡単です.
ちなみに,録画先はQNAP上でSMB共有してあるエリアを指定しました.
そして問題が(汗)
ちなみに,この問題自体は仮想化の影響ではなく,TX100 S3pの問題なので解決できる,という点は先に明示しておきます.
では,具体的な問題がどう顕現したか.
インストールにおけるチャンネルスキャンのステップで,チャンネルスキャンがうまくできない,という形で顕現しました.
テレビとかでもある常識的なチャンネルスキャンと言えば,チューナのチャンネルを(自動で)変えていって,受信レベルが高いチャンネルを探し当てるもの,というのは周知の話ですね.
なので,当然ある程度の時間がかかるはずなんだけど,なぜか一瞬で終わってしまう・・・.
デバイスはESXiからも,OS(CentOS)からも認識されているのに,なぜかうまく動かない・・・.
そして散々調べた結果.
富士通のサイトでTX100 S3pのシステム構成図(2013年4月版)を入手してよくよく調べていたら,4ページ目のPCIeスロット3(x8)の部分に注釈が有り,「SASアレイコントローラカード専用のスロットです。」という衝撃の記載が(汗)
こんな記載あったっけ?と思って2013年1月版や2012年5月版を探し出して確認したところ,古い構成図では注釈自体がなく,「オプションカードの搭載枚数」なる謎の表があるのみ(同じくページ4).
確かにこの表を見ると,SASアレイコントローラカード(PY-SR2C2)を挿すと,それ以外のカードが使えないように解釈できるのに,最大搭載枚数という謎の項目が「4」だったりと,正直このマニュアルを書いた人に説教したくなるレベル.
成り行きはよくわかんないけど,とりあえずPCIeスロット3は,富士通SASカード以外使えない死にスロット,ということみたい.
これはなんていうか,カタログの記載が詐欺なんじゃないか,と思ってしまうレベル・・・.
サーバのくせにIPMIも使えないし,安さに釣られて,とんでもないものを買ったなぁ・・・(ぶつぶつ
はて?
これってもしかして,VDI環境の構築で,1VMだけちゃんとVGAが使えなかったのと同じ原因なのでは・・・(汗)
ま,これはそのうち確認する,ということで(汗)
さて,気を取り直して.
現状,TX100 S3pに搭載しているPCIeカードは,VGAと増設NIC(2port)の2枚.
利用可能なPCIeスロットはPCIeスロット3以外の3スロットなので,PT3を追加してもギリギリOKという感じ.
スロットに挿すカードを並べ替えて,ESXiからパススルー設定をやり直して(バス番号などが変わるため),再度ESXiとVMを起動させてみる.
foltia自体は,チャンネルスキャンをスキップしてインストール自体は完了させてあったので,設定画面から再度チャンネルスキャンを実施してみた.
すると今度はあっさりスキャンが実行され,設定ができたのでした.
というわけで,どうやらTX100 S3pの罠に振り回されただけで,あっさり構築できる,ということみたいですね.
さて,ちょっと使ってみましたが,PCIeスロットが全部埋まってしまったのでVGA増設&VDI環境追加ができない,とか,そもそもfoltiaのリアルタイムエンコードが重すぎて,TX100 S3pが1台では,ちょっと厳しい,というのが分かってきました.
これを解決するには,サーバを増設するしかない,という話なんですが,はて,どうしたものやら・・・.
といいつつ,結局サーバを追加する,という流れなんだけどね(笑)
続きは次回へ.
最後のIBM
さて,foltia ANIME LOCKERを導入して録画サーバを構築する,という話の続きです.
前回,foltiaの構築自体はできたものの,サーバ(TX100 S3p)のPCIeスロットが足らない,という状況でした.
で,結局サーバを増設しました(笑)
今まで,富士通,HPと購入してきたので,今度はNEC(鼻毛サーバ)かな?と思っていたんですが,思いの外安い機種がなくて断念.
仕方ないので,他社のを探していたんだけど,IBMの掘り出し物を見つけたので購入することにしました.
モノはIBM System x3100 M4L(2582-F4J)です.
何が掘り出し物って,CPUがXeon E3-1270v2(3.5GHz,4コア8スレッド)で7万円台ってこと.
これに加えて,冗長電源対応,ServerRAID-M1015が付いています.
ディスクレスとはいえ,IBMの装置でこれなら,かなりお値打ちな感じです.
これにIMM2(IBMのBMC)アップグレードライセンスをつけて,トータル約9万円.
ちょっと奮発気味だけど,CPUパワーも欲しいし,ちょうどいいよねってことで(笑)
ちなみに,メモリは別途24GB購入したので,トータル13万程度ですかね.
で,これにAPCのUPS(SMT1000J)とIntel NIC(EXPI9402PT)も増設しているので,都合18万くらいかかっていそう・・・.
ともかく,一式到着したので,メモリ,NICを増設して,USBメモリにESXiをインストールします.
ちなみに,IBMのESXiカスタムISOイメージは,MyVMwareにはなく,IBMのサイトからダウンロードします.
IBMにはカスタムISOイメージがないのかと思ってどきどきしたけど,自社サイトにしか公開してないのね.
ちなみに,富士通,NEC,HPなんかは,MyVMwareからダウンロードできるみたいです.
まぁ,インストール自体はさっくり終わるし,簡単なんだけどね(笑)
とりあえずNICだけ増設して,ESXiをインストールして,x3100のESXiにvSphere Clientから接続して設定して・・・ってあたりはTX100 S3pと同じ.
で,続いてVMの配置をどうするか,という話.
デバイスをパススルーして使用するVMは,現状,Win7(VDI)とfoltiaの計2台.
これに加え,例のPCIeスロット3疑惑が解決するようなら,取り外してあるVGAを1枚復活させてWin7(VDI)をもう1台増やしたい所.
x3100自体は,x16スロット(x8相当)が1本,x4,x1が1本ずつという構成で,かつスロットの縁がTX100 S3pのように貫通していないので,ビデオカードは1枚までしか増設不可.
なので,foltiaをx3100に,VDI用のVMはTX100 S3p側に載せることにしました.
というわけで,PT3とICカードリーダーをx3100に移動させ,TX100 S3pにはビデオカードが2枚(もちろんPCIeスロット3は未使用)になるように変更しました.
ちなみに,データストアはx3100とTX100 S3pで共通のディスクをiSCSI経由で使用しているので,VMの移動自体は簡単.
引っ越し元のESXiにvSphere Clientで接続して,インベントリからVMを消し,引っ越し先のESXiにvSphere Clientで接続して,データストアブラウザからvmxファイルを指定してインベントリに追加するだけです.
で,パススルーの設定をし直して,さらにvCPUも4基に増やしてからfoltiaを起動させるとあっさり起動.
ライブストリーミングもコマ落ちなくでき,快適に動作しました.
あわせて,TX100 S3p側のVDI用VMもパススルーの設定をし直して起動してみました.
こちらも無事起動するので,問題ないよう.
こっちはまたそのうちWindowsを追加してVDI運用可能か,チェックしてみたいです.
てなところで,foltiaは無事通常運用できそうなので,ライセンスも適用して常時稼働を開始しました.
ただ,こうやってサーバが増えてくると,いよいよ管理が面倒になってきたのも事実.
実家のサーバは常時稼働じゃないからまだいいとしても,自宅側はいよいよ面倒です.
そろそろ有料ライセンスを購入する時期なのかも知れません・・・.