カテゴリ:プライベートクラウド( 68 )

Xenベースの仮想化プラットフォーム「Xen Cloud Platform 1.6」がリリース

XCP 1.6では新機能として、仮想マシンを共有ストレージなしでライブマイグレーションできる「Storage XenMotion」が加わった。仮想マシンがホスト間で共有されるストレージにない場合や、ホストが同一リソースプールにない場合などで利用できるという。


Red Hat、仮想化プラットフォーム Red Hat Enterprise Virtualization 3.1 をリリース-ハイブリッドクラウドと仮想化を推進

Red Hat のプロダクトマーケティング担当シニアマネージャ Chuck Dubuque 氏は InternetNews.com に対し、今回のリリースでの目玉となる機能は「Live Storage Migration」だと語った。

Live Storage Migration を利用すれば、ユーザーは異なったインフラ上にある仮想マシンのストレージを動的に移行することが可能になる。だがこの機能は、現在はまだプレビュー段階にある。


--

やっぱりまだまだ、仮想マシンイメージのマイグレーションは始まったばかり。

islandcenter.jp
[PR]
by islandcenter | 2012-12-06 16:11 | プライベートクラウド | Trackback | Comments(0)

なにを今更 Squid なんだ。という事を突っ込まれそうですが、SUSE Linux に Squid を導入してみました

2000 年前後のインターネット回線はまだ128K などの低速回線だったし、ウェブサイトも固定コンテンツだったため、それなりにこの種のネットワークアクセラレータも必要でした。

しかし、その後、ブログ、SNS、動画配信、ユーザー嗜好やロケーション公告など、利用者側のニーズが変わってきたし、合わせてサービスも変化しました。回線も高速化すると、ウェブアクセラレータの必要性も下がります。

しかし、最近はタブブラウザばかりで、クラッシュした後自動保存したページを一気に開いたりすると、ストレスが貯まります。

-ちなみに-

以前は Novell BorderManger や volera excelerator などの爆速プロクシキャッシュを使う時、「プロクシ認証」をさせてIPアドレスではなく「誰がどこのサイトを閲覧したか」を記録するようなシステムを作り、このやり方が一時、流行りましたが、最近はあまりそのような話は聞きません。個人情報保護対策はどこへ行ったのでしょう。

しかし、まだ大手のISPなどでは Squid などのアクセラレータにコンテンツフィルタを組み込んで利用しているところもあるでしょう。先年まで日本通信の b-mobile を使っていましたが「高速化のお知らせ」というメールがきたので見てみると、何のことはないただのプロクシの設定方法を説明したものでした。ユーザ側サイトでプロクシを使うことよりも、WEBアクセラレータとしてISP側やサイト側が導入するケースに絞られてしまいました。

しかし、タブブラウザはじめ、LAN内のユーザが複数のPCやタブレットなどを利用すると、LANからインターネットへのトラフィックは一気に上昇します。

私は東京めたりっく以来のADSL回線なので、それほど不便は感じてきていませんでしたが、最近はやれディストリビューションのダウンロードだとかクラウドだとかを考えると、ちょっと回線効率を考えるようになります。結局ちょっと下調べものはモバイル3Gルータをつかうことになります。

もっとも100Kmしか出ない車にで東名高速に乗っていて200Km出る車に乗り換えると、確かに感動しますが、そうなると今度は300Km出る車に乗りたくなるわけで、その後は高速道路でパトカーで高速機動隊が赤旗振って待っていたというオチもありますから、「凡人余計なことを考えるべからず」で今の回線をどううまく使うかを考えています。

--
ということで今回は SUSE Linux に Suquid を導入してみました。

-インストール-
YaST > Software Management から Squid を Search します。本来は yast2-squid はチェックされているはずなのですが時折チェックが外れていることがあるので、確認してチェックします。
a0056607_15273553.jpg

Acept すると Squid がインストールされます。

あとは YaST の Squid アイコンから設定を行います。

-HTTP ポート
a0056607_15295024.jpg

デフォルトで300番台のポートが降られているのでここでは 80 に変えました。

-ACL
デフォルトでは xx許可>xx許可xx許可>あとは全て拒否(Deny) なので、全て許可(Any;allow) としました。最近は Google のように SSL 接続しか許可しないところも多く、デフォルトでは Google にアクセスできません。ホワイトリストを作っていくのも大変です。
a0056607_15351468.jpg

ということで、どうせ所内のネットワークだし、「性善説」をとることにしました。

※ちなみに ssl 通信はクライアント側で使わない設定にしたほうが Google さんには確実につながるようです。(チェックははずしておくこと)
a0056607_15472259.jpg


-キャッシュ
キャッシュディレクトリば /var/cache/squid です。できれば、このディレクトリを別なデバイスを使ってマウントしておくことをお勧めします。 df -h コマンドを使って空き容量を確認してMB単位で与えます。ここでは仮想環境なので 10G のディスクを /var/cache/squid にマウントして 9990Mb 与えました。
a0056607_15583966.jpg


-保存して起動
あとは、 Save & restart するだけです。 When Booting もチェックしておきます。
a0056607_15413441.jpg


-入れてみて-

-決して早くなるわけではない-

いまどきのウェブサービスは動的なコンテンツが多いので、静的な画像や同じ広告のバナーを表示するのは速いことは早いのですが、html ソース自体が二度目のアクセスで書き換えられるケースも多く、決して「早くなった」ということはありません。逆にキャッシュされた差分の更新のため、ページの表示が一時停止してしまい、リロードなどが必要なケースも増えます。特にウェブページの先頭に別サイトへの広告リンクやSNSへのリンクがあるサイトはあまり高速化されません。

そもそもローカルキャッシュが先に使われるわけですから、同じページを見たときに「早い」と思うか「遅い」と感じるかは、そもそもPC自体の使い方、性能の問題です。プロクシが間に入る分、オーバーヘッドがあるので、一概に「早く快適」になるものではありません。

かつて「爆速キャッシュ」だった NetWare ベースの BorderManager とは時代も機材も状況も違うので、構内LANエッジとしての Squid の効果はあまりないように思えます。

個人的には Squid よりも、エッジの効率化を目的としたキャッシュアプライアンンスを導入したほうがよいように思います。


- PCが安定した -

早くなるか > ほとんど No です。何しろプロクシがあっても、ローカルキャッシュの方がよいに決まっています。

 ディストリビューションのダウンロードなどは、「あまりいじらない」仮想PCで行うのが一番確実なのですが、LAN内に「暴れん坊PC」が一台あるとたちまち回線は混雑してくれます。彼らが動画サイトなどにアクセスすると、他でダウンロードが途切れたりするのですが、構内LANにあるキャッシュを経由するようになると、トラフィックの交通整理をしてくれるためなのか、非常に安定した速度でダウンロードしてくれます。また、利用者のPCとサイトの接続をプロクシが代理応答するわけですから、たとえ遅くてもユーザシステムの通信負荷は若干減ります。実際 Proxy を使ってみてもらうと、よく落ちていたシステムが安定したという話は聞きます。逆に「プチフリーズしたか」という面もあります。

もちろん「暴れん坊」のアクセスは途切れたりするわけですが、これはこれで「ルールを守って100Kmで走ろう」ということであれば、仕方のないことです。

高速道路には、日常物資を運ぶトラックも走っているというわけです。

-再起動するとダウンロードがエラーになる-

当たり前ですが、Squid は設定を変更して再起動すると、これまでキャッシュ経由してダウンロードしていたリクエストは全部キャンセルされます。設定の変更は十分な計画とテストを行うべきでしょう。

-明示的にキャッシュを指定する必要がある-

アプリケーションによっては明示的にキャッシュサーバを指定しなければならないものがあります。

Windows 本題のIE や Chrome, Safari や SUSE Linux 本体はシステムのデフォルトを使用しますが Firefox(手動設定かシステムデフォルトとの切り替えはユーザ任意) Opera は自分で設定する必要があります。他のアプリケーション、特にアップデート系のアクセスは不明です。グループポリシーで設定できないと、ユーザに明示的に利用させるしかないでしょう。

100 台のマシンに Google Chrome を導入する際にダウンロードできるのは「本体」ではなくインストーラだけです。インストーラが Google さんから本体をダウンロードさせます。

アプリケーションではプロクシを使った場合どのような結果になるか、明らかにしている場合もあれば、まったく公開していない場合もあります。アナライザで調べるしか方法はありません。

簡単にボタンひとつで変更ができればよいのですが、プロクシの設定は管理者権限が必要なので、一般ユーザ権限でプロクシの設定を変えることはできないのは何とかしたいものです。

一応 tcpmon などのツールで見る限り、これらのアプリケーションのアップデートはシステムのデフォルトプロクシを使っているようですが例外も多くあります。Windows Update Server 並に利用中のアプリケーションのアップデートが始まったら、ユーザになるべく同じ時間帯にアップデートさせれば、効果はあるのかもしれません。

一番よいのは、トランスペアレントプロクシを使うことですが、耐障害性を考えると複数用意したいところです。しかし複数用意するとキャッシュ効果も下がるため、お勧めできるものでもありません。また、ネットワークの設計がかなり複雑になります。凝ったネットワークデザインは「マニアック」に陥りやすく運用面でトラブルが出るとお手上げになります。

ただし、全てのトラフィックがプロクシを経由するため、通信状況(ログ)の把握やブラックリストの管理は容易になります。

-キャッシュ容量-

これだけ光だDSLだ動画だSNSだとなると、今まで数Gもあれば良かったキャッシュ容量も膨大になります。本当に「効果」を感じるには数百Gバイト単位でウェブキャッシュを使う必要がありそうです。

たとえば、3G通信などは3Gバイトの転送制限をしている、あるいはOCNの光通信では月間アップロード量が30Gあると「お仕置き」が待っているように、1日1人1Gというのが最低の目安だとすれば、100人で1日100Gは最低。できれば1Tくらいのキャッシュ容量がなければ「快適になった」という実感はなさそうです。

となると squid 本体が動作するどこかのディスクにキャッシュを用意しなければならないということになります。デフォルトは /var/cache/squid なので、ここだけ別パーティション、別デバイスとするべきでしょう。しかし、iSCSI デバイスなどを使う限り、ローカルLAN内のトラフィックを増やすだけなので、DAS接続したドライブを使うべきなのかもしれません。


-それでも入れて見るべきかウェブキャッシュ-

これは技術の問題よりモラルの問題かもしれません。固定専用回線であっても、上位のISPがパンクするようでは意味がないので、クラウドを有効活用するには、少しでも自分たちの回線の「効率化」と「整流化」を考えても良いと思います。

ここでもし自分たちのためにウェブキャッシュを導入しようとするならば、自分たちの構内に置かなければまったく意味がないということです。データセンターにウェブキャッシュをおきたいというお客様がいましたが、データセンター自体、巨大なウェブキャッシュを持っているだろうから、まったく効果はありません。センターと構内を結ぶエッジに置くべきものです。

-DNSと同居-

ウェブキャッシュはDNSと同居させるのが一番楽な方法です。アドレスクエリを内部で処理できるため、余分なトラフィックを作らないでしょう。ただし、DNS本体が肥大化するため、この点でも設計は結構難しいかもしれません。


-問題はCIFSのアクセラレーション-

これは現実にお客様で聞いた話なのですが、某社の高価なCIFSアクセラレータを100人程度のリモートオフィスに導入したところ、全く役に立たなかったという話を聞いたことがあります。結局、そこでは全社的に Novell iFolder を導入しました。(現在はオープンソース化されています)結局 Windowsサーバ + CIFS を諦めて、全社的に Novell NCP (Port 524) を使った OES サーバを利用することになったようでした。結果的には CIFS キャッシュより NCP プロトコルの方が効率は良かったようです。エッジの効率化はまだまだ問題が多そうです。


islandcenter.jp
[PR]
by islandcenter | 2012-11-30 18:18 | プライベートクラウド

Sentinel™ Log Manager は Novell が開発して、現在NetIQブランドに移管されたログ管理製品です。

パフォーマンス、セキュリティ、柔軟性の向上
Novell Sentinel Log Managerはソフトウェアアプライアンスとして利用可能な業界初のログ管理ソリューションです。SUSE Studio™で構築されているので、短時間で運用を開始できます。Log Managerの導入後直ちに使用可能なイベントコレクション機能を活用して、セルフアップデート機能により時間のかかる保守プロセスを排除しましょう。

分散検索機能で状況を把握
Novell Sentinel Log Managerの分散検索機能により、ローカルおよび世界中のすべてのSentinel Log Managerサーバ上のイベントをシームレスに検索して、即座に結果を得ることができます。

ワンクリックレポーティング機能でコンプライアンスの徹底を簡素化
Novell Sentinel Log Managerの操作性に優れたインテリジェントなワンクリックレポーティング機能で、複雑な監査レポーティングプロセスを排除できます。検索結果から迅速かつ簡単に特定のコンプライアンスレポートを作成できます。

云々といった特徴があるようですが、マニュアルもなく、実機もないと評価のしようがないので、テストしてみました。


Novell Sentinel Log Manager 1.2.0.1リリースノート

マニュアル PDF - 日本語のインストールマニュアルがあります。製品も日本語でローカライズされています。

その他のドキュメントは英語です。
https://www.netiq.com/documentation/novelllogmanager12/

ダウンロードはこちら
Novell Sentinel Log Manager Free/Evaluation Version

ハードウェアアプライアンス版と仮想マシン用ソフトウェアアプライアンス( XEN および VMware 用) があります。 KVM 用、Hyper-V 用はありません。やっぱり海外では VMware と XEN はエンジニアの通過儀礼として必要な技術です。

XEN 上で動作させることを前提に XEN 用アプライアンスをダウンロードを解凍すると vm ファイルと、仮想マシンイメージがあります。
a0056607_152474.jpg


添付してきた VM ファイル
# -*- mode: python; -*-
name="sentinel_log_manager_1.2.0.2_64_xen"
memory=2048
disk=[ "tap:aio:sentinel_log_manager_1.2.0.2_64_xen.x86_64-0.954.0.raw,xvda,w" ]
vif=[ "bridge=xenbr0" ]

名前とディスクのイメージ名は変えてしまうことが出来ます。名前が長いと面倒なことになります。

ここでは思いつきで "flogman" としました。


-ということでインストール開始-

まず、 raw イメージは flogman.raw にリネームして、 /var/lib/xen/images/flogman にコピー(移動)します。

sles11:/var/lib/xen/images/flogman # mv /home/knakaj/ISO/sentinel_log_manager_1.2/senlog/sentinel_log_manager_1.2.0.2_64_xen-0.954.0/flogman.raw .
sles11:/var/lib/xen/images/flogman # ls -l
total 2762636
-rw-r--r-- 1 knakaj root 55874420736 Dec 28 2011 flogman.raw
sles11:/var/lib/xen/images/flogman #


ついでに vm ファイルも変えて /etc/xen/vm/flogman として保存します。

# -*- mode: python; -*-
name="flogman"
memory=2048
disk=[ 'file:/var/lib/xen/images/flogman/flogman.raw,xvda,w', ]
vif=[ 'mac=00:16:3e:12:12:12,bridge=br0', ]
vfb=['type=vnc,vncunused=1']


起動します。

sles11:~ # xm create flogman
Using config file "/etc/xen/vm/flogman".
Started domain flogman (id=42)
sles11:~ #



a0056607_15215822.jpg



起動してもログインプロンプトが出ません。ここからは xen ホストの操作が必要です。XEN の Dom0 から xm console flogman を実行すると、青いスクリーンが出てきます。 SSH 端末(Putty)から XEN ホストで作業しました。

a0056607_1529323.jpg


日本語もローカライズされて選択できますが、文字化けや誤訳、サポートの点を考えると English US を選ぶのが無難です。

キーボードは Japanese を選びます。
a0056607_15315872.jpg


TESTエリアで正しく特殊キーが押せることを確認します。
a0056607_15404090.jpg


ソフトウェアライセンスに Agree (space key) で次へ
a0056607_15442123.jpg


サーバ名と、ドメイン名(ここではローカルドメイン(intra)
[x] Assign Hostname to Loopback IP は必ずチェックを確認
a0056607_15484791.jpg


デフォルトでは DHCP なので Change
a0056607_15503350.jpg


Static IP を設定します。
a0056607_1553676.jpg


デフォルトでは Firewall disable/ SSH open です。次へ


タイムゾーン Asia > Japan を選びます。 Clock は UTC にチェックを入れません(Default)
a0056607_15573627.jpg


ルートのパスワード設定
a0056607_1604812.jpg


デフォルトの 2048Mb では少ないよ...
a0056607_1613928.jpg


admin パスワードと DB パスワードをセット
a0056607_1644285.jpg


ちょっとトイレタイム
a0056607_1655516.jpg


これでインストールは終了です。
a0056607_1675328.jpg


あとは root ログインして  NTP の設定を yast から行います。
a0056607_1694155.jpg


インストールの際、DNS と G/W の設定を忘れていました。Yast から変更します。
a0056607_16132489.jpg


外部のタイムソースとの同期も取れました。
a0056607_1616897.jpg


※個人的には仮想アプライアンスがハードウェアクロックを使うべきではないと考えています。ローカルLAN内のハードウェア(XEN のホストなど)から NTP で同期すべきだと思います。

この後 DNS のマスターサーバーに flogman の A レコードを追加して flogman で名前解決が出来ることを確認します。


ブラウザは FireFox 3.6(ずいぶん古いな、今15.01)か IE8 です。
ブラウザのアドレスバーに flogman.intra のアドレスをセットするとログイン画面が出ます。

admin / password でログイン
a0056607_1631476.jpg



初期設定画面です。
a0056607_16324563.jpg



--
sentinel log manager 1.2 のコンソールは直接操作できません。仮想XENホストから xm shutdown して再起動するかターミナルから接続して shutdown コマンドを実行します。

再起動はかなりCPUの負荷状態が高いようなので、実際に操作できるようになるまでハードウェアにもよりますが数分かかるようです。

XEN の基本知識があれば簡単に実装できます。おそらく30分もあれば可能でしょう。この記事を書くためキャプチャを取りながらでも2時間程度でした。 SUSE Studio での仮想アプライアンス製品としての出来のよさが良くわかります。

次回は「これで何ができるの」というところを攻めてみたいと思います。
sentinel_log_manager_1.2 評価(2) 展開編

Keyword

Novell Sentinel Log Manager コンプライアンス管理 ログ管理 仮想化 アプライアンス

islandcenter.jp

[PR]
by islandcenter | 2012-09-15 17:09 | プライベートクラウド | Trackback | Comments(0)

「うまく動かないなぁ」という時、パケットトレースが以外な状態を教えてくれる場合があります。現代は開放バス型のネットワークではないため、HUBにアナライザをつないで...という技が利きませんので、対象のPCのパケットを直接トレースして原因を調べることになります。

ここでお勧めしたいのが Ether Real の後継でオーブン化された WireShark です。

ダウンロードはこちら
Get Wireshark

ダウンロードしたファイルを実行します。

インストール > Yes

Welcome > Next

License Agree > Agree

インストール先 > 特に問題がなければデフォルト

インストールするコンポーネント
a0056607_1734743.jpg

特に問題なければ全てチェック

アイコンの位置
a0056607_173665.jpg

お好みでチェック

インストール先 > デフォルトで問題なければ OK

WinCap のインストール > 必ずチェック
a0056607_17385128.jpg


Install

あとは Finish が出るまでOK

-インストールしたら-

インターフェースの選択 - この作業は必ず起動後に行ってください。

メニュー、もしくはボタンから
a0056607_17444367.jpg


必ず I/F にチェックを入れます。ここでは LAN 用アダプタにチェックを入れました。
a0056607_17474966.jpg


特定のアドレスをモニタしたい場合
a0056607_17515484.jpg


Filter 欄に ip.adder == xx.xx.xx.xx を入れて必ず[Apply] <-- よく忘れます。

スタートボタンを押します。
a0056607_17544263.jpg


Ping しただけですが、このように表示されます。
a0056607_180036.jpg


いつまでもキャプチャを続けているとバッファオーバーフローしますから Stop ボタンを押します。
a0056607_1823636.jpg


もう一度キャプチャをはじめようとすると ”保存しなくていいの?”というダイアログが出ます。決定的な証拠が見つかったら保存します。決定的でなければ Save しないで次のキャプチャをします。

a0056607_1835925.jpg


簡単な例ですが、自分自身が正しくDNSに問い合わせをしているか確認します。
Filter 欄に "DNS and ip.adder==xx.xx.xx.xx(自分のIP)" をセットしてキャプチャしました。必ず条件( Fileter ) を設定した後 Apply を押してください。
a0056607_1817215.jpg


もう少しフィルタの高度な使い方を調べたい場合はこちらのサイトをご参考ください。

Wiresharkで特定の相手との通信だけを表示させる @markIT

Wiresharkで特定のプロトコルだけを表示させる@markIT

WIRESHARK(ワイアシャーク) 個人のサイトですが非常に詳しいです。

-よくやるドジ-

- I/Fを選んでいない
- Filter を変更して Apply を押していない。

以上2点です。

--
一応 Linux 版もリリースされていますし、ソースもあるのですが、依存関係があるので、あまりお勧めできません。 Linux には通常 tcpdump というコマンドがあるので、こちらをつかうのが良いでしょう。

islandcenter.jp
[PR]
by islandcenter | 2012-07-12 17:56 | プライベートクラウド | Trackback | Comments(0)

最近 BYOD という言葉が流行になっています。たとえ、社内のリソースを持ち出せない設定にしたとしても、仮想マシン上の Windows シンクライアントにRemote Desktop できればなぁ、とか、PUTTY や xming で Linux の操作ができればなぁ、ということを考えると、小さな iPod Touch ではなく iPad や今後販売が予測される Windows8 RT などでも「ノマドワーク」ができるようになります。

Transrate english

SUSE + XEN でpptp を動かすメリット

1) 安い、何しろ1年間のサブスクリプションが $375 32ソケットの制限はあるけど仮想化は無制限、 RH の場合は4仮想マシンまで、 Windows ならライセンスを別途購入。VMware はハードウェアを選ぶしCPUやソケット数で莫大なライセンス料がかかるし、別途 OS を購入する必要がある。

2) 追加サブスクリプションを購入すると、サポートも受けられる。(年間9万円位から)

3) どうせたいしたCPU能力もディスクも使わないし、セキュリティ上の問題から、本体のクラックを避けられる。仮想化で十分。サービスも最低なものにすれば再起動はめちゃくちゃ早い。

4) デメリットは外から dom0 が壊れたり pptpd をイジルとアクセスできない(当たり前ですけど)

ということで SOHO プライベートクラウドを作るにはよい選択です。まず、テスト環境でサッと作ってみてから、本番機にイメージコピーして xm create してやればよいわけですね。

ということで SUSE + XEN 環境で VPN 用の pptp サーバを構築してみます。

ここではテストのため、VPN 接続が pptpd との間のセッションが確立できることを確認するために、同じ LAN 内でつながることを確認してみました。

-SUSE への pptpd のインストール-

仮想マシンにリモート x で接続します。yast2 > Softwre Management > search から "vpn" をキーワードに探してみます。
a0056607_1216963.jpg

pptpd のチェックが入っていないのでチェックします。Network Manager などもチェックが入っていないのでついでにチェックを入れましたが、これはこちらがクライアントとして VPN 接続するための機能なので不要なようです。Accept を入れるとリポジトリからインストールが始まります。

SUSEでのVPNクライアントアクセスの設定の場合はこちらをご参考に
第14章 VPN サーバの設定

次に、pptpd が自動起動できるよう yast2 > system runlevel に pptpd がリストされている行のレベル、3、5をチェックします。
a0056607_1223162.jpg


この時点で /etc/pptpd.conf と /etc/ppp のデフォルトが作成されます。最悪、デフォルトに戻したい場合は /etc/pptpd.conf と etc/ppp/* を削除して、 yast から pptpd の削除と再インストールを行えば、初期設定に戻ります。

pptpd にはいい教科書がたくさんあるので、その中から肝要な部分をパクってみました。

※この先の作業は様々なネットワークの設定を変更します。 Domain-0 から xm console vpnx1 (myPPTPserver) で作業することをお勧めします。

pptpd サーバは vpnx1(192.168.1.22) 外部から接続するユーザは user/password です。192.168.1.40 以降のアドレスに割り当てるように設定します。イントラネットのドメイン名は intra です。

設定内容を確認してみましょう。斜線部分がこちらの環境に合わせて修正した部分です。

vpnx1:/etc # cat pptpd.conf
option /etc/ppp/options.pptp
localip 192.168.1.22
remoteip 192.168.1.40-49

pidfile /var/run/pptpd.pid
vpnx1:/etc #
vpnx1:/etc # cat ppp/chap-secrets
# Secrets for authentication using CHAP
# client server secret IP addresses
user vpnx1 password *

vpnx1:/etc # cat ppp/options.pptp
lock
# my pptp server name, myoffice domain
name vpnx1
domain intra

#
auth
refuse-mschap
require-mschap-v2
require-mppe-128

# my office-dns
ms-dns 192.168.1.2
#ms-wins 192.168.1.2

#
proxyarp
nodefaultroute
nobsdcomp
novj
novjccomp
nologfd

#
vpnx1:/etc #
vpnx1:/etc # /etc/init.d/pptpd restart
Shutting down MS VPN server pptpd done
Starting MS VPN server pptpd done
vpnx1:/etc #

ポイントは
1) ppp/options.pptp の
require-mschap-v2
の行です。他の認証方法は refuse します。

2) pptpd.conf に
pidfile /var/run/pptpd.pid
という行がなければ pptpd restart をしたときにエラーになります。

-Windows 側の設定-

これもさまざまな教科書があるので割愛します。肝要な点だけピックアップしました。

Windows XP の場合
PPTPクライアントの設定 for Windows XP

Windows 7 系の場合
VPN(PPTP)接続の設定方法(Windows 7)

デフォルトは「自動」ですが、これはあくまでも「総当り」方式なので接続に時間がかかります。pptp のみに設定します。
a0056607_12384463.jpg

また、MS-CHAP もチェックが入っていますが、セキュリティ上の問題で許可していないのでチェックをはずしておきます。

将来使うかもしれませんが ipv6 のデュアルスタックは止めます。
a0056607_12403125.jpg


接続先の pptp サーバのアドレスです。実際にはルータのグローバルアドレスを指定します。
a0056607_1685665.jpg


それでは /etc/ppp/chap-secrets に設定した user/password で接続してみましょう・
接続できたかどうか確認してみます。

C:\Users\myname ipconfig /all

Windows IP 構成

ホスト名 . . . . . . . . . . . . : mylaptop
プライマリ DNS サフィックス . . . . . . . :
ノード タイプ . . . . . . . . . . . . : ハイブリッド
IP ルーティング有効 . . . . . . . . : いいえ
WINS プロキシ有効 . . . . . . . . : いいえ
DNS サフィックス検索一覧 . . . . . . : intra

PPP アダプター test:

接続固有の DNS サフィックス . . . :
説明. . . . . . . . . . . . . . . : test
物理アドレス. . . . . . . . . . . :
DHCP 有効 . . . . . . . . . . . . : いいえ
自動構成有効. . . . . . . . . . . : はい
IPv4 アドレス . . . . . . . . . . : 192.168.1.40(優先)
サブネット マスク . . . . . . . . : 255.255.255.255
デフォルト ゲートウェイ . . . . . : 0.0.0.0
DNS サーバー. . . . . . . . . . . : 192.168.1.2
NetBIOS over TCP/IP . . . . . . . : 有効

イーサネット アダプター ローカル エリア接続:

接続固有の DNS サフィックス . . . : intra
説明. . . . . . . . . . . . . . . : Realtek PCIe GBE Family Controller


-以下略-



実際にネゴシエーションするところを WireShark で確認してみます。
Wiresharkはこちら

a0056607_12535685.jpg


今現在は直接 LAN と pptpd サーバがつながっているので、自分自身と pptpd サーバとのやり取りを覗き見してみました。チャレンジレスポンスで認証されている様子がわかります。

※ところで「3回ログインできなかったらロックアウト10分」といったパスワード総当たり攻撃の防御策はあるのでしょうか。探してもないのでどなたかご存知の方はコメントください。


-それでは本当に VPN でつながるか-

ISPのルータを設定します。

a0056607_12573965.gif


プロバイダからレンタルしているモデムから 1723ポートを pptpd サーバ(192.168.1.22)に開放します。このプロバイダはソラで覚えているくらいそうめったにグローバルIPが変わらないので、 VPN 接続にグローバル IP を設定します。LANケーブルをはずしてノートブックのモバイル回線から接続します。

※ iPod 系の場合は GRE ポート 47 も開放する必要があるようです。
SUSE Linux pptp で Android, iOS がリモート接続できない

------ The beginning of long way from here ... ここから長い道のりが始まる。

この後、モデムを出荷設定に戻したところ、何と丸一日後に復旧しました。

接続したところ、やっと ACK が返ってきました。
a0056607_13132100.jpg


一応、リモートデスクトップも使えます。
a0056607_1315655.jpg


PUTTYでリモート接続してみます。
a0056607_13152257.jpg


SPP でポートスキャンをかけると、色々ポートが開いていたので、yast > runlevell > expert mode から不要なサービスは止めておきます。最終的にはファイアウォールをかけることになるでしょう。またできればeDirectory+Ldap 認証(PDF)ができるように試みてみます。

さすが家庭用の回線で、細いのであまり実用的(xmingはタイムアウトした)とは言えないのですが、一応ここまでが手順です。

現実的かどうかは別にして、深夜、大きなファイルをダウンロードしているとか、バックアップが順調に進んでいるかの確認などは使えそうです。

※ セッションを閉じた後、しばらく接続できなくなりました。ルーターをリセットしたらOKなので、SOHO 環境ではプロバイダを選ぶということです。ちなみに Windows の着信接続を使っても同じ症状がでました。

この設定で iOS (iPod Touch) はLAN内は問題なかったのですがルーターは超えられませんでした。

--
SUSE SLES11 pptpd xen Novell プライベートクラウド

islandcenter.jp

[PR]
by islandcenter | 2012-06-25 13:31 | プライベートクラウド | Trackback | Comments(0)

SUSE Cloud Powered by OpenStack(tm)
に OpenStack の XEN イメージがあるので試しに入れてみました。

a0056607_1558770.jpg


ダウンロードした圧縮ファイルを解凍すると raw イメージと vm ファイルがあるので、 raw ファイルを /var/lib/xen/images/openstack にコピーし openstack.raw に rm します。

vm ファイルは次のように加工し /etc/xen/vm/openstack としました。

# -*- mode: python; -*-
name="Arnolds_Arnolds_1215_SUSE_Cloud_Powered_"
memory=4048
disk=[ 'file:/var/lib/xen/images/openstack/openstack.raw,xvda,w']
# disk= "tap:aio:Arnolds_Arnolds_1215_SUSE_Cloud_Powered_.x86_64-1.0.0.raw,xvda,w" ]

# vif=[ "bridge=xenbr0" ]
# vfb = ["type=vnc,vncunused=1,vnclisten=0.0.0.0"]

vif=[ 'mac=00:16:3e:00:00:08,bridge=br0', ]
vfb=['type=vnc,vncunused=1']

この状態で xm create openstack すると起動します。 GUI 起動するので virt-manager から open してライセンス同意など、一通りの設定をすると、インストールは完了です。

システムは root:openstack
OpenStack は admin:openstack

で入れます。

SUSE、OpenStackベースのクラウドインフラソリューションを公開


islandcenter.jp
[PR]
by islandcenter | 2012-04-19 16:08 | プライベートクラウド | Trackback | Comments(0)

ちょっと古い情報になりますが

双日システムズ、システム“丸ごと”の災害復旧サービスを提供へ

手間要らずの Platespin を使ったBCPサービスはこれからも成長が期待できる分野です。
[PR]
by islandcenter | 2011-11-10 12:42 | プライベートクラウド | Trackback | Comments(0)

登録されていない Mac アドレスや IP アドレスを検出すると、自動的に通信を遮断してくれるアプライアンスやソフトウェア類があります。

問題は、こういったプライベートクラウド環境に仮想サーバをインストールすると、他のサービスも同時に動作しなくなることがあるというところです。

例えば次の図のように VM1 が vif0 経由で物理 NIC を通してサービスを提供している間に VM2 を立ち上げる場合です。順仮想化する場合はあらかじめ MAC アドレスを指定できるのですが、Windows を完全仮想化する場合は、事前に MAC アドレスを指定することが出来ません。

a0056607_14542580.gif


したがって、Windows のインストールが開始されると、インストーラが仮の MAC アドレスで DHCP リクエストを発生させるため、いきなり不正PC監視アプライアンスが Eth0 に対してアタックを開始してしまうのです。こうなってしまうと、リモートから Dom-0 に SSH どころか Ping さえ通らなくなってしまいます。もちろん内部で稼動している他の仮想マシンも同じ通路を通っている以上、サービス停止に陥ります。

これを避けるには、独立した環境上で、あらかじめ Dom-U を作成しておくことです。Dom-U を作成し、Novell Virtual Machine Driver (VMDP) をインストールして、固定した IP と Dom-U の固定したMAC アドレスを確認した上で、不正PC監視アプライアンスの除外リストに登録しておかなければなりません。VMDP をインストールした後はデバイスマネージャで PnP で認識されてしまっている Realtek などのドライバは削除するか「使用不可」としておきます。

Dom-U が完成したら、USB のHDDなどで Dom-0 にコピーして、「既にある仮想マシンイメージ」で新しい仮想マシンを Create します。必ず、NICの設定は固定 MAC アドレスを指定することを忘れないでください。


-Keyword-

Novell SUSE SELS XEN VMDP 不正PC監視 プライベートクラウド構築
[PR]
by islandcenter | 2011-10-14 15:11 | プライベートクラウド | Trackback | Comments(0)

クニエ、ノベルのDR/バックアップアプライアンス「PlateSpin Forge」を用いたソリューションを提供

この中に出てくる「北海道総合通信網」は北海道電力(HEPCO) の子会社です。フロントエンドはクニエが担当し、Novell と Dell がサポートを担当し、実際のDR拠点として北海道総合通信網が担当するという構図でしょうか。

人的リソースの少ない北海道でも運用できる Platespin Forge は設置から運用までを容易にカバーできるDRシステムです。
[PR]
by islandcenter | 2011-10-05 14:03 | プライベートクラウド | Trackback | Comments(0)

今現在一番簡単なBCP対策、プライベートクラウド構築に最適化されたNovell Platespin シリーズがバージョンアップして新登場しました。

http://www.novell.com/ja-jp/products/forge/


合わせてセミナーも行われます。
http://www.novell.com/ja-jp/events/platespin_forge/?nov_gaevent=Japan_Homepage|HotOffer|PlateSpin_Forge_Demo_Seminar

聞くと見るとでは大違い。ぜひ興味がある方は申し込みを。無料です。


-Keyword-

BCP データセンター プライベートクラウド バックアップ ソリューション

islandcenter.jp
[PR]
by islandcenter | 2011-09-11 14:20 | プライベートクラウド | Trackback | Comments(0)