Network

VPN over SSH

僕の家でのネット接続はNATなLANに対してなので、普通のクライアントだけという使い方では問題ないが、僕はコンテンツを見るだけの人ではないので、グローバルIPアドレス引けないところにいるのは、なんだかいただけないのである。そこでグローバルIPアドレスが引けるところ(ymzk.org)までVPNを張って、そこからIPv6な世界に飛び込もうと言う算段なのである。今回はお手軽にVPNを引けると言う話の、VPN over SSHの方法を家属MLでゆうじさんに習ったので、Linux(Debian)という環境に特化して、書いてみることにする。おそらくどの環境でも似た話だと思うが…
今回は、pppdでつないでみることにする。(というか、それで十分だと思う。)
なお「待ち受け側」まで込みのメモは、http://www.gentei.org/~yuuji/rec/pc/memo/2002/02/01/を参照のこと。
上記のメモだと SSH-1 で設定を行っているが、いまやどのOSのOpenSSHも SSH-2がデフォルトなんで、いまはSSH-2を使うこととする。鍵を作って公開鍵をVPNの接続先のサーバ管理者に送付する。公開鍵はこんな感じにして作る。(pppdはrootで実行なので、鍵は/root/.ssh 以下に作成することとする。) パスフレーズは ssh-agentを使えばちゃんと設定しても行ける気がするけども。今回はパスフレーズは空でためした。どうせ公開鍵を送って、秘密鍵を持っていないと接続できないんだし。
# ssh-keygen -t dsa
鍵の名前はわかりやすい名前にするといいかも。ホスト hogehogeにつなぐなら 秘密鍵:/root/.ssh/id_dsa-hogehoge, 公開鍵:/root/.ssh/id_dsa-hogehoge.pub 等とすればいいんじゃなかろうか。対話的に鍵のファイル名を聞いてくるので、まぁ適当に答える。
うまくsshで接続できるか確認。(/root/.ssh/known_hostsに接続先を登録するという意味合いもある。)
# ssh -2 -i /root/.ssh/id_dsa-hogehoge -l vpn hogehoge.foo.bar w
これで、すんなり w コマンドの出力が得られたら、sshの設定は完了。
次にpppdで処理するスクリプトを作成。/etc/ppp/vpnssh-hogehoge と言うシェルスクリプトを作って、実行属性を付けておく。

PM-900ヘッドクリーニング Tips

どんなにクリーニングをしてもプリント結果に筋が残る状況で、何度かクリーニングを行って目詰まり確認の印刷を行ってもOKな状態にならない。さすがにこういう状況に我慢できなくなったので、EPSONインフォメーション・センタに電話して、ヘッド交換の見積もりをとることとした。症状から見て10000円程度との話を聞く。
ただその前にクリーニングをちゃんと行ってみてくださいと言うことで、技を教えていただいた。以下に忘れぬようにメモ。同じ症状の人は_自己責任_でやってくださいな。

1. まずインクを外す。(PM-900Cは途中で外してもOKだそうだ。)
2. もう一回付ける。
3. このとき電源投入時・ヘッドクリーニング時とはシーケンスが異なる、強めのクリーニングが入る。
4. 何度かヘッドクリーニングを行う。
5. 目詰まり確認印刷を行う。
6. テスト印刷を行う。
   上記の対応で、筋状のあとは目立たなくなった。まぁそのうちにヘッド交換に出そうと思う。印刷して気が付いたのだが、「オートファイン！4」を使用するとちょっと赤みが強いような気がする。普段sRGBで画像編集しているし、画面の色空間をsRGBにしているので、プリンタの色空間もsRGBにしてみた。結果としては直感的に好ましい色合いになっている気がする。もっともカラーチャートで色を合わせ込んでいく必要があると思う。これはCRTを買い直したあとでも良いかと思ったりする。
   ちなみにインクは_生もの_なので、賞味期限に注意。(その前に使いきろと言うことか…)

ネット関連メモ

IPv6を有効にしたカーネルを作ったが、意外なところに落とし穴。吉藤さんから教えてもらったので、そのまま転記。うちの環境では必要でしょう。追及手段をメモ。

# tcpdump -i eth0 -s 1500 -vvv -n

とかしてとったログを眺めて、名前はひけていて、TCPの接続(handshake)に失敗していると言うことがわかった。さらに、
23:21:49.695786 192.168.0.38.1070 > 10.0.0.1.22: SWE [tcp sum ok] 657341670:657341670(0) win 5840 (DF) (ttl 64, id 43121, len 60)~~
“SWE"で ECN が有効になっていることがわかったので、
# sysctl -w net.ipv4.tcp_ecn=0
をためして解決。kernel config 時に CONFIG_INET_ECN を削除すればOK）。
原因はIPv6とは全く関係ないのだが、カーネルコンパイルは家で行った方が良さそうですね。吉藤さんに多謝。

TLUC 大忘年会2002　〜IPv6とセキュリティで年忘れ〜

今日は東北Linuxユーザ連合会(TLUC)の忘年会と言うことで、蔵王ハイツにて、IPv6とセキュアなサーバー構築というテーマ(二者択一)の講義付きという贅沢な忘年会に参加。
IPv6の方は、USAGI Projectの吉藤さんによる、「IPv6をLinuxで使う方法」という内容で、クローズドなIPv6ネットワークの組み方・グローバルな環境への接続方法を中心として、LinuxにおけるIPv6の利用方法を講義していただいた。
セキュリティの方は、(株)ファム 根津さんによる、具体的にLinuxを用いて自宅内サーバーを構築し、どのようにして、人に迷惑をかけないサーバーを構築していくかをLinuxにおけるセキュリティセミナーで有名な講師と共に考えていこうという内容で、講義をしていただいた。
二者択一の厳しい内容の選択であったが、今年の第一目標は_IPv6を使う！_だっtので、迷わず選択。kernelコンパイルに時間がかかりすぎたので、補習までしていただいて、無事IPv6 Readyな環境になった。アドレスの手動設定・他ノードとの接続の確認・近隣探索情報の取得・静的経路制御の追加と確認と削除・トンネルの掘り方と削除の仕方・bindとapacheの設定など、内容もりだくさんであった。吉藤さんに多謝なのです。
と言うことで、徹夜に近い状況でコンパイル・設定を行いながら飲み会と言うことで、有意義な一日だった。

OpenVMS、僕にはやっぱりわからんOSじゃ

仕事柄、OpenVMSを1ユーザとして使う機会が多い。(仕事で使っている装置のOSがOpenVMSなんだわさ。) OpenVMSってネットワークにつながっているマシン同士でファイルのコピーなんかが、ローカルなファイルシステムでコピーするかのように、コピーできたりします。(Unixで言うところのNFSとかsmb-fsとかににているのかね。) 恐ろしく古いOSのわりには、かなり早い時点で独自にネットワークが使えていたんですね。コマンドが何となくMS-DOSに似ているというか、コマンドはVMS風でディレクトリの指定方法が、何となくUnix風でネットワーク機能が貧弱なOSがMS-DOS/Windowsなんですねぇ。
VMSのファイルシステムは風変わりで、ファイルの版管理ができます。(ただ単にコピーがいっぱい残っているようなイメージでファイル名にインデックスが付くだけだけど。) これをFTPで持ってきて、UnixないしWindowsで使うにはどうすればいいのかと思い悩んでいる。単純にコピーだとファイル名がだぶってしまうので、VMS側で工夫するしかないのかなと思っているが、残念ながらVMSのバッチファイルの作り方を覚えるほどの気力はもう無いです。はて、どうしたものか。