PC Junkie Rev3.0 http://xmms.jp/blog/index.php about copyright]]> 【HW/NW】SAXA SS3000で遊ぶ http://xmms.jp/blog/index.php?entry=entry220325-204409


  随分前にとある場所で「鉄(マテリアル)として廃棄する」というSAXA SS3000が大量にあり、試しに一つもらって遊んでみたところ、なかなか面白かったので鉄くずにするには惜しいと思い、更にいくつか買ってみました。(粗鉄として) ハードウェア的にも超今更感ありますが、用途によってはまあまあ使えるので情報をまとめてみます。
 なにげにかなり更新をサボっていたので久々の更新になりました。WFHが始まってから文字を打つことが多くて、Blogを書く気力がわかなかったです…。

ハードウェア構成について


 CPUにはAtom C2338 が搭載され、そこにSoCから3本のGbEとPCIEから2本のNICが生えているファンレス構成です。MBは「CASwell, Inc. COB-H500」とありますが、CASwellのページには該当するような箱は見つかりませんでした。この手の箱は大体ホワイトボックスを作ってるメーカーから似たようなものが見つかるのですが、今回は該当しなかったので、箱の削り出しとカスタマイズをしているのかもしれません。強いて言うならCAF-1020がどことなく似ていますが、構成は全く違います。箱の質感も結構お金かかってる感じがします。

 ACは12Vで、もとは大きめの4Aのものを使うようですが、消費電力的には2-3Aくらい流せれば十分だと思います。ACアダプタは抜けどめを気にしなければ外形5.5mmで内径3.3mmの汎用的なものが使えます。内径が2.2mmではないので注意が必要です。

 Linux上の認識は以下のようになります。

owner@SS3K-VPN:~$ lscpu
Architecture:        x86_64
CPU op-mode(s):      32-bit, 64-bit
Byte Order:          Little Endian
Address sizes:       36 bits physical, 48 bits virtual
CPU(s):              2
On-line CPU(s) list: 0,1
Thread(s) per core:  1
Core(s) per socket:  2
Socket(s):           1
NUMA node(s):        1
Vendor ID:           GenuineIntel
CPU family:          6
Model:               77
Model name:          Intel(R) Atom(TM) CPU  C2338  @ 1.74GHz
Stepping:            8
CPU MHz:             1750.071
BogoMIPS:            3500.14
Virtualization:      VT-x
L1d cache:           24K
L1i cache:           32K
L2 cache:            1024K
NUMA node0 CPU(s):   0,1
Flags:               fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx rdtscp lm constant_tsc arch_perfmon pebs bts rep_good nopl xtopology nonstop_tsc cpuid aperfmperf pni pclmulqdq dtes64 monitor ds_cpl vmx est tm2 ssse3 cx16 xtpr pdcm sse4_1 sse4_2 movbe popcnt tsc_deadline_timer aes rdrand lahf_lm 3dnowprefetch cpuid_fault epb pti tpr_shadow vnmi flexpriority ept vpid tsc_adjust smep erms dtherm arat

owner@SS3K-VPN:~$ lspci
00:00.0 Host bridge: Intel Corporation Atom processor C2000 SoC Transaction Router (rev 02)
00:01.0 PCI bridge: Intel Corporation Atom processor C2000 PCIe Root Port 1 (rev 02)
00:02.0 PCI bridge: Intel Corporation Atom processor C2000 PCIe Root Port 2 (rev 02)
00:03.0 PCI bridge: Intel Corporation Atom processor C2000 PCIe Root Port 3 (rev 02)
00:04.0 PCI bridge: Intel Corporation Atom processor C2000 PCIe Root Port 4 (rev 02)
00:0e.0 Host bridge: Intel Corporation Atom processor C2000 RAS (rev 02)
00:0f.0 IOMMU: Intel Corporation Atom processor C2000 RCEC (rev 02)
00:13.0 System peripheral: Intel Corporation Atom processor C2000 SMBus 2.0 (rev 02)
00:14.0 Ethernet controller: Intel Corporation Ethernet Connection I354 (rev 03)
00:14.1 Ethernet controller: Intel Corporation Ethernet Connection I354 (rev 03)
00:14.2 Ethernet controller: Intel Corporation Ethernet Connection I354 (rev 03)
00:16.0 USB controller: Intel Corporation Atom processor C2000 USB Enhanced Host Controller (rev 02)
00:18.0 SATA controller: Intel Corporation Atom processor C2000 AHCI SATA3 Controller (rev 02)
00:1f.0 ISA bridge: Intel Corporation Atom processor C2000 PCU (rev 02)
00:1f.3 SMBus: Intel Corporation Atom processor C2000 PCU SMBus (rev 02)
01:00.0 Ethernet controller: Intel Corporation I211 Gigabit Network Connection (rev 03)
02:00.0 Ethernet controller: Intel Corporation I211 Gigabit Network Connection (rev 03)


 腑分けするとこんな感じです。







シリアルピンについて


 シリアルについては変態^H^H先駆者より情報をいただきました。このピンがシリアルピンです。白ポチより横にシリアルの1-5ピンに相当するので(3.3Vではない)通常のシリアルを適当なジャンプワイヤーなどでつなぐとOS上のttyS0にアクセスできます。




 ただし、uEFIへのアクセスはファームウェアにパスワードがハードコートされているため、通常はアクセスできません。




 先駆者がEEPROMをダンプしてパスワード解析をしていましたが、Boot方式をBIOS/MBRからEFIにできること、無効になってるTurboを有効化できる(300MHzあがる)こと、PXEなどを有効化できること以外は特にいじるところはない気がしました。まあ、TBも(排熱などの)理由があって無効化されているはずですし、有効化しても上がり幅が300MHzだと違いがほぼないので、uEFIに入る理由はほぼないです。。

 あとはSATAはコネクタを実装すれば使えるそうです。どれだけアンペアが引けるのか不明ですが、シリアルピンの並びにあるPROにちょうど5Vが来ているのでSSDの電源ソースにいい感じに使えそうです。SATAの横の未実装スルーホールは15Vと3Vだったので微妙にそのまま使えそうにはありませんでした。USBのピンヘッダもあるので、そっちから5Vを引けるかもしれません(こちらでは電圧を確認できませんでしたが…)




 それ以外にも色々ピンが生えているのですが、自分の知識では何がどれにつながっているのかまでは解析できませんでした。実はパスワードバイパスピンがあるのではないかといろいろテスタを当てながらショートさせてみたりしたのですが、結局謎でした。

各シリーズについて


 SS3kには無印/II/Proとそれぞれありますが、ハード的にはほぼ違いはなく、ProのみMiniPCIEより11nのWLANが生えているので、そのアンテナのためのSMA端子があります。また、搭載されているSSDにも何種類かあり、8GBモデルと16GBモデル、及びTranscend製MSM610シリーズとInnodisk製3ME2シリーズがあるようです。SSDの中身については完全に消去されてしまっていたため、OSの違いについては不明です。SSDについてはInnodiskのほうがデータシート上の耐久値は高いのですが、ddコマンドなどで連続書き込みすると途中でバッファ切れで失速するような動きをするので、Transcendのほうが動きは素直でした。まあ、どちらにしても期待するようなIOPSや帯域は出ませんが。ただ、後述のCPUエラッタがあるのでリカバリ観点からUSBからの起動を推奨します。

NIC周りについて


 かなりクソ^H^H混乱を招く構成になっています。ハードウェア的には、SoCから2本Marvellの88E6320に伸びており、それがそれぞれLAN2、LAN3となっています。88E6320をSoCのPHYを取り出すために使っていると予測しますが、その間が常に接続済みとなり、ケーブルを刺していなくてもLAN2とLAN3は常にUP扱いになります。そのため、ケーブルが抜けたことを検知できません。そして残りの1本が88E6176と接続されており、88E6176からハードウェアスイッチとしてLAN4-7があります。




 LAN4-7はNECのIXシリーズのように分割して扱うことはできず、Linuxであればenp0s20f1の下にぶら下がります。イメージとしてはBuffaloの小さいGbスイッチに繋がれている感じです。小さい構成だと時としてこの構成は使いやすいですが、VLANタグなどを一切使えないアクセスポートとして使う以上のことはできません。幸い、VLANを喋れる独立したポートが他にあるのでなんとかなりますが…。

 WANとLAN1についてはSoCとは別にPCIEにI211が生えている構成になります。注意しないといけないのはこのポートはバイパスポートになっており、SS3kの電源が切れるとリレーにより内部で結線されます。Softetherのtap/ブリッジのVPN専用ポートとして使うときなど、WANとLAN1を同じLANにつなぐようなことになるとループが発生するので注意してください。(1敗) また、そのような構成のため、pfsenseなどを入れるときにはWANとLAN1を使うと思わぬ接続になりかねないので、バイパスされないWANとLAN2以降を使うことをおすすめします。LAN1/LAN2をOS上でブリッジさせ、そこにtcpdump/tsharkなどをかませてこっそりパケットキャプチャする、LAN1とLAN2でブリッジした上でNICごとに違うパケットフィルタルールを仕掛けて透過FWを作る、など、アイディア次第では色々できそうです。

 上記の構成をさらに混乱させる一番の問題は、OS上の認識順とポートの並び順がメチャクチャなことです。もともと他で使われることを想定していないので、勝手に蓋を開けられた上に想定外のOSをぶち込んでる外野にとやかく言われるのはいい迷惑だと認識した上でも、それにしてもどうしてこうなったのかという思いが強いです。特にLAN2-7はOSから見て常にLink Up扱いのためそれに気がつくまで無駄にあれやこれやとやってしまいました。

 初期値を画像にするとこうなります。見事に何一つ順番に並んでいません。どうしてこうなった…どうしてもこのクソ構成が気になる人はudevなどをいじって合わせてください。




Mini PCIEについて


 ProであればWPEA-121N/WというAtheros AR9382を搭載した11nのチップが乗っていますが、それ以外は空いています。シリアルの存在に気が付かなかったときは、mPCIEをPCIE x1に変換するアダプタと何故か転がっていたPCIE x1のMatrox G200を組み合わせて画面出力をしてアレコレしていました。

 




 ハーフmPCIEな拡張カードなら搭載できるので、なにかに使えそうではあります。

WLANについて


 WLANもせめて11acに対応できれば面白いとmPCIEな11acに対応した物を探したのですが、そもそも11ac(VHT)で5GHz帯にSSIDを吹こうとするとIntel系のチップはno-IR (no initiate radiation) フラグがファームウェアに書き込まれているため電波を発信することができず、Broadcomの場合はhost-apdに対応したx86向けドライバがプロプライエタリとして配布されているためSTAにしかなれず、Realtekの場合もno-IRが入っているようです。

 唯一の希望がAtheros/QualcommのQCA95xx, QCA98xx, QCA6300系チップを使ったものらしく、海外のフォーラムによるとMikrotik のR11e-5HacDがOpenWRTなどで使えるらしいです。まあ、ハーフサイズではないのでSS3kには入りませんが…。QCA系でも書き込まれているファームによってはW52帯でしかAPになれないものもあるようなので、組み合わせを探すのがなかなかに大変そうです。また、海外にはno-IRフラグを無視したドライバをビルドして使う方法もあるようで、その場合はIntel系チップでもAPになれるらしいです。

 個人的にはopen/dd dwrtでお手軽に作れればいいなくらいにしか思ってなかったのであまり詳しくは追ってませんが、どうしても11acのAPをx86で作りたい人は追ってみてもいいのではないでしょうか。




性能について


 2コアの1.7GHzプロセッサなので、そこまで高くはありませんが、LANの検証環境でOpn/pf senseでNATしてPPPoE接続した限り、1Gbpsくらいはさばくことができました。ただ、ntop-ngを動かすとFlowが少なくても全体の70%くらいを持っていかれてしまったので、あまり凝ったことはできません。それをしたいなら(Atom C3558+6GB RAMを搭載した)Sophos XG135あたりが性能的に必要になってくると思います。

 DebianとSoftetherを組み合わせ、電源入れるとおうちのLANをL2伸長する君をつくったときは、AES-NIが有効な状態でTLS_AES_256_GCM_SHA384アルゴリズムでレイテンシの低い環境なら大体400Mbpsくらいまでは出たので、ちょっとしたところで使う分には十分かなと思います。ファンレスなのでおうちのDS-Lite終端ルーターや、オークションでも安く出ていることがあるので複数買って雑にばらまくような使い方にはいいかと思います。

CPUのエラッタについて


 Atom C2000シリーズと言うと誰しも頭に浮かぶAVR54バグですが、SS3kもエラッタ持ちのCPUリビジョンが使われています。というか、エラッタ持ちのCPUは2013年から製造され、解消リビジョンは2017年からの供給になるので、一部の長期供給メーカー以外には出回ってないと思われます。その間にC3000シリーズも出てるので、多くの場合は2017年の段階でこちらにシフトしているのではないかと思います。また、調べた限りリビジョンを調べるにはCPUIDが同じため実際にヒートシンクを外して刻印を見る以外の方法がないようです。

 実際に問題が出るかというと、この時期まで生き残っている筐体についてはかなり淘汰されたあとなような気がします。実際に来た筐体に関してはサンプル数は数十ですがほとんど問題がなく、1台だけ起動するとLEDがアンバーになりシリアルコンソールに何も出力されない(しかしOSは起動している)という物がありましたが、それ以外は特に問題がありませんでした。しかし、実際に問題が起きている筐体もあるという報告もあるので、なんとも言えません。

 いつ死ぬかはわからないので、死んだら他の筐体に入れ替えて継続できるように、いま動かしているものについてはUSBメモリで起動するようにしています。遠隔地においてあるので、死んだらケーブルとUSBメモリを差し替えて使ってくれ、と現地にコールドスタンバイをおいて運用しています。


まとめ


 信頼性がない状態からスタートなので壊れたらすぐに交換できるような予備機が必要ですが、ネットワーク系のおもちゃとして遊ぶにはいい箱だと思います。それ以外の用途だと、ストレージの搭載が限られるので、使い所が難しい気がします。NICはたくさんあるのでNFSなどでNASなどに逃がせればいいですが、単体で使う場合はせめてUSB3.0くらいは欲しくなります。mPCIEからUSB3を引き出せればまだ可能性はありそうですが…。あとはメモリを少し多めに搭載してk8sのクラスタなどを作ってもいいかもしれません。CPUがCPUなので、KVMを動かすのは厳しいと思います。
 全く無いようで少しだけあるハードの拡張性とその制限を考えながら、何かを作るためのおもちゃとしては面白いので、安価に転がっていたら手を出してみるのはありかな、と思いました。以上。]]> 【Network】pfsenseでDS-Lite/transix 固定IP1を使う http://xmms.jp/blog/index.php?entry=entry200817-003557 前回の記事でpfsenseではDS-Liteが使えないと言いましたが、誤りでした。コメント内のアドバイスにより無事に接続ができたのでメモとして残します。通りすがりのどなたか、ありがとうございました。自分の理解のなさを改めて思いしりました。
 ただ、
・dhcp6cで受け取るDNSがシステムに登録されない
・Interface IDを指定できない(一度Preifxを確認してから決め打ちでVIPを作らないといけない)
 の2点がまだ解決できていないので、完璧ではないのですが…。

 環境:pfsenseCE 2.4.5-RELEASE-p1
 インストール自体は終わりWebUIに接続でき、WANアドレスにv6が割り振られている段階からの説明とします。ある程度pfSenseを扱った人を対象としているので一般的なお作法的な部分は省いています。

DNSの設定


 DHCPv6からDNSをもらっても何故かシステムに登録されないので、System→General SetupのDNS Serversに以下のホストを登録しておきます。

2404:1a8:7f01:b::3
2404:1a8:7f01:a::3





 dhcp6cコマンドを打つと帰ってくることは確認しているので、これについては設定次第でどうにかなる気がするのですが、今の所未解決なので決め打ちです。v4トンネル確立後なら通常の8.8.8.8なども使えるのでそちらでもいいのですが、外部DNSだとupdate.transix.jpが引けないので網内のDNSを使うのがいいと思います。
 ローカルコンソールに落ちて dhcp6c -i <WAN NIC>としてDNSアドレスが変わってないことを確認してから設定したほうがいいかもしれません。

DS-Liteの接続をする場合


 DS-Liteで接続する場合は例のIP固定が不要なのでかんたんでした。Interfaces→AssignmentsからGIFを選択します。




 そして、以下のように入力します。例によってgw.transix.jpというドメイン名は指定できないので、 2404:8e00::feed:100もしくは 2404:8e00::feed:101を入れます。
 以前できないと思っていたのは、 GIF tunnel local addressというのが親になるNICのIPv6アドレスを入力するのだと思っていたからでしたが、これはトンネル内で使うIPを指定するところでした。

 ただ、結局カプセル化されてしまうので何でもいいようです。DS-Liteの場合はトンネルのローカルに192.0.0.2を、トンネル先のアドレスに192.0.0.1を指定することになっているので、一応仕様どおりに指定します。




 あとはInterface Assignmentsに戻り、作成したトンネルインターフェースをOPT1として割り当てます。割当後、Interfacesから作成したOPT1を選択して有効化、及び名前の変更(任意)とMTU/MSSをクランピングします。
 



 割り当てたら、System→Routingより、Gateway Monitoringの「Disable Gateway Monitoring」にチェックを入れます。(arpingが届かないので、常にGWがDownと判定されてGWが使えなくなってしまうのを防ぐため)




 ローカルコンソールに落ちてping 1.1.1.1など、適当なところに疎通確認をして外との通信ができることを確認したら完了です。


Zoot Native固定IP1などのTransix固定IPを使う場合


 DS-Liteとほぼ同じなのですが、VIPの割当をするという一部だけ異なります。DUIDなどの調整によりPrefixをもとにホスト部をfeedにできるのではないかとそこそこ調べたのですが、解決できませんでした。IPv6は自分にはまだ早すぎた…。まあv6Prefixについてはそうそう変わらないはずなので、決め打ちで指定してもあまり問題にはならないとは思うのですが、納得できないです…。

 まず、WANにIPv6が割り振られていることを確認したら、そのv6のPrefixを確認します。そのPrefixをコピーしたら、Firewall→Virtual IPsに移動し、IP Aliasとして<Prefix>::feedというVIPを作成します。




 そして、DS-Liteと同じようにInterfaces→AssignmentsからGIFを選択します。VIPを作成したあとであれば、Parent InterfaceにVIPを指定できるので、こちらを指定します。GIF tunnel local addressにはもらったアドレスを、 GIF tunnel remote addressは適当に埋めます。何でもいいようなので、割り振られた固定IPを指定しています。(謝辞:通りすがりのpfSenseユーザーさま)




 最後に、コンソールに落ちて以下のコマンドを実行します。

curl "http://update.transix.jp/request?username=<もらったユーザーID>&password=<もらったパスワード>" --interface <作成したVIP>


 これでトンネルはとりあえずつながるはずなので、あとは、DS-Liteの設定と同じように、
・System→RoutingのGateway Monitoringの「Disable Gateway Monitoring」にチェックを入れる
・InterfacesからMTU/MSSを調整
 をすることによって接続できるようになるはずです。ちなみにDS-Liteと固定IPトンネルは共存できるので、1つのpfsenseで用途によって外に出るGWの選択(PBR)ができます。Rulesの各ルールの中のAdvancedから選べます。便利ですね。速度についてはDebianで接続してもpfで接続しても変化はありませんでした。

まとめ


 今の環境は、ネットワークについては最終的にでかくて複雑なpfsenseのVMで制御しているので、既存環境に設定追加で済むのは新しい管理対象を作らなくて済むのでありがたいです。方法を教えてくれた方に感謝しかありません。ありがとうございました。

 おわり]]> 【Network】InterlinkのZOOT NATIVE IPv4固定IP1個をDebianから使う http://xmms.jp/blog/index.php?entry=entry200812-194208 ZOOT NATIVE IPv4固定IP1個というサービスが開始されたのでこちらのサービスに変更しようと思っていました。
 しかし、いまいち使っているトンネルなどの仕様がよくわからず、動作対象外のOSで接続するにはどうすればいいのかがはっきりしなかったため二の足を踏んでいたのですが、人柱になろうと覚悟を決めて契約してみました。

tr;dr


・トンネルとしてはipip6トンネルを利用している
・oepnwrt、pfsense、opensenseといったメジャーどころは現状トンネル形式がipip6に対応していないっぽい
→pfは行けました
・vyarttaは多分イケそうだけど検証してない
・トンネルを張る前にv6網内のWebサーバにcurlなどでクエリを飛ばす必要がある
・ip token set ::feed dev ens192など、Interface IDを指定する必要がある
・Debianだと/etc/network/interfacesの中で完結できないため、いくつかスクリプトをかませる必要があった
・IPv6の再配布やルーティングは今回は考慮していない
設定方法まとめまで飛ぶ

何故保証外のOSを使いたかったのか


 そもそも何故おとなしく動作検証済みの機器を使わなかったかというと、OpenWRTやpfsense/OpenSenseなど、仮想環境で動くOSを利用したかったのです。
 仮想環境で動くものについては、CPUやNICなどの物理HWで殴ればそれに応じてネットワークを速くできること、物理的なネットワーク機器より安価にある程度の性能は達成できること、ハードウェアに縛られないので様々な入れ替えが効くといったメリットが大きく、昔は色々物理ネットワーク機器が動いていましたが、今はすべて仮想環境に集約してしまいました。

 そのため、今は動いているネットワーク機器というとスイッチとAPくらいしかありません。頑張って物理を減らしたのにその逆行をしたくなかったのです。

契約してみた


 契約するとこのような情報がきます。



 さて、この情報だけだとなかなかどうしたらいいかわかりません。なんもわからんので色々調べてみます。

そもそもどうすればつながるのかを調べる


 Univerge IXシリーズの設定例を見ると、どうやら4-over-6というトンネル形式を使っているようなので、これをサポートしているか色々調べてみました。トンネルにIPv4を設定するのにデフォゲアドレスを設定せずにデバイスを指定するのがなんとも違和感がありましたが、そういうものみたいです。DS-Liteの場合は192.0.0.2がB4(ルーターのトンネル内v4IP)で192.0.0.1がAFTER(トンネル先のIP)アドレスとして振られるので何となく分かるのですが、これでいいのかちょっと不安でした。

 transixのページを見てみると、こちらにはIPIPトンネルを利用しているという記述があるので、これらのキーワードで色々調べてみます。

pfsenseの対応


 pfsenseにはgreやgifトンネルを張る機能があるので僅かな可能性ながら行けるかと思いましたが、どうやらできないようです。DS-Liteを使おうとしたときも同じだったのでうっすらわかっていましたが。。いつか対応してくれると嬉しいのですが。
 →pfsenseについては接続できたので訂正します。

OpenWrtの対応


 OpenWrtはDS-Liteのトンネルを張るのに一番かんたんなOSでしたが、それ以外にも色々対応しているので行けるだろうと思っていました。しかし、対応するプロトコルには4-over-6はありませんでした。 6to4(IPv6-in-IPv4Tunnel)はあるのですが、欲しいのは逆なんだよなあ…。。IPIPトンネルもあるのですが、これはv4アドレス同士のトンネルを張るためのプロトコルで、v6アドレスを設定することはできませんでした。
 調べてみるとDebianでのチュートリアルがあったのでip -6 tunで設定できるかと思いましたが、どうやら入っているのはiproute2ではなくiproute1(もしくはBusybox的な何か?)が入っているようで、ip -6 tun addネームスペースは実装されていませんでした。Linux自体は対応しているので、需要が増えてくれば対応してくれる気もしますが、現状どうやってもトンネルは作れませんでした。

Vyattaの対応


 対応しているトンネル方式一覧にはあるので、多分問題なく行ける気がします。しかし、コントリビューター以外がダウンロードできるのはdailyのバッチビルドのOSのみで、個人的な経験ですがdd-wrtやpfsenseなどでdailyビルドについてはあまりいい思い出がないので導入をためらってしまいました。

 どれも微妙な状況だったので、どうしようかなあと思いましたが、Debianでのチュートリアルがあるので、一旦素のDebianでまず接続ができるかどうかを試してみることにしました。iptablesはよく忘れるので、できればWebUI持ってるOSが良かったのですが。CentOS?なんで家でまで社畜しないといけないんですか…。

Debianで接続を試してみる


 チュートリアルにあるように、まずは割り振られたIPをそのまま使って接続を試してみます。

ip l add link ens224 name vlan1000 type vlan id 1000
ip -6 tun add sit1 mode ipip6 local <自動でもらったIPv6> remote 2404:8e00::feed:140 dev vlan1000
ip link set dev sit1 up
ip a add dev sit1 <割り振られたIPv4>
ip route add default dev sit1

 さて、これでping 1.1.1.1などを試してみますが、案の定通信できません。

いろいろ調べてみる


 調べてみると、先駆者の方がいたので色々参考にしました。
https://y2web.net/blog/inet/now-available-fixed-ipv4-service-in-interlink-8229/
 こちらの方が調べたように、特定のURLに対してクエリを飛ばす必要があるようです。試しにcurlで突っついてみます。ここでやっとユーザーとパスワードの出番が来ます。

curl "http://update.transix.jp/request?username=<もらったユーザーID>&password=<もらったパスワード>"

 しかし、RAだけだとDNSまでもらえないので、update.transix.jpが引けませんでした。DS-Lite で接続しているOpenWrtでは引けたので、そちらでDNSを引いて直接IPにして実行しました。IPは変わる可能性があるので直接指定はおすすめしませんが、まずは接続を確立したいので一旦直接指定で進めます。

curl "http://[2404:8e00::feed:400]request?username=<もらったユーザーID>&password=<もらったパスワード>"
→OK

 OKが帰ってきたので行けるだろうと思いましたが、まだ駄目でした。上記ブログにあるように、どうやらアドレスを::feedにしないといけないようです。インターフェースIDってそういうことか…なんでそういう事するの…

ip -6 add add <割り振られたPrefix>::feed/64 dev vlan1000
ip -6 add del <RAでもらったIPv6> dev vlan1000
curl "http://[2404:8e00::feed:400]request?username=<もらったユーザーID>&password=<もらったパスワード>"
→OK

 この状態でping 1.1.1.1などを実行すると、ようやく応答が帰ってきました。やったぜ。

再起動後にも自動接続をするようにしたい


 接続は確立できたので、今回手でやった部分をうまくOSの仕組みに組み込んでいきます。 まずはDNSが引けないところとIPv6を手打ち指定しているところがイケてないので、これらをどうにかします。シェルスクリプトで組んでしまえばなんとでもなりますが、できればそれを避けてOSの標準機構で処理させていきたいと思うので更にいろいろ調べます。

 DNSをもらうためにはDHCPを受ける必要がありますが、inet6 dhcpを指定するとSLAACではなくステートフルDHCPv6で受けようとしているのか、ifupのときに永遠に何かを待ち続けてしまうので、公式マニュアルを参考にSLAACを受けるために以下の設定が必要でした。

#---/etc/network/interfaces---
auto ens224.1000
iface ens224.1000 inet6 auto
dhcp 1
accept_ra 1

 この設定でifup時に/etc/resolv.conに必要な情報が更新されるようになったので多分合ってる気がするのですが、正直あっているのかいまいち自信がありません…。しかし、これだけではアドレスがfeedにならないので、疎通時にホスト部を指定するためにはどうすればいいかと調べてみると、ip token set ::feed dev <IPv6を受けるインターフェース名>と指定すればいけるようでした。

 ただ、これを標準のオプションで指定する方法はないようなので、pre-upで指定するしかありませんでした。

#---/etc/network/interfaces---
auto ens224.1000
iface ens224.1000 inet6 auto
dhcp 1
accept_ra 1
pre-up /sbin/ip token set ::feed dev ens224.1000

 とりあえずこの設定でIPv6周りの設定は再起動後も要件を満たすようになりました。ちなみに受け取ったDNSは以下でした。

#---/etc/resolv.conf---
search flets-east.jp. iptvf.jp.
nameserver 2404:1a8:7f01:b::3
nameserver 2404:1a8:7f01:a::3


 次にトンネルの部分ですが、これが問題でした。Debian 10に入っているifupではインターフェース種類にinet6 tunnelを指定できなかったため、ifup2パッケージを入れ以下の設定をしましたがだめでした。

auto sit0
iface sit0 inet6 tunnel
mode ipip6
dev ens224.1000
local <割り振られたPrefix>::feed
remote 2404:8e00::feed:140
address <割り振られたIPv4>
post-up /sbin/ip route add default dev sit0
post-down /sbin/ip li del sit0

 トンネルはできるのですが、元になるインターフェース(dev ens224.1000の部分)がうまく入らないため、sit0@NONEというインターフェースが出来上がり、またlocalのIPも指定したものが入りませんでした。

 そもそもPrefixが変わってもip tokenで対応できるようにしたのに、localを直接指定するのがイケてないですね…。いろいろ調べたのですが結局解決できなかったなめ、ifup2を消してifupを入れ直し、以下のスクリプトで対応することにしてしまいました。

# --- mkv6tun.sh ---
#!/bin/bash
PATH=$PATH:/usr/sbin/
DEV="$1"
TUN="$2"
REMOTE="2404:8e00::feed:140"
IPADDR="<もらったIPv4>"
LOCAL=`ip -6 a s dev $DEV|sed -nr "s/^\s+inet6 ([^(fe80)][0-9a-f:]*)\/.*/\1/p"`
USER="<もらったユーザーID>"
PASS="<もらったパスワード>"

ip -6 tun add $TUN mode ipip6 local $LOCAL remote $REMOTE dev $DEV
ip l se up $TUN
ip l se mtu 1460 dev $TUN
ip a ad dev $TUN $IPADDR
ip r add default dev $TUN

while :; do
ping -c1 -w1000 update.transix.jp
if [ $? -ne 0 ] ; then
sleep 1
else
logger update url: `/usr/bin/curl -s "http://update.transix.jp/request?username=${USER}&password=${PASS}"`
break
fi
done&


 このスクリプトは引数に "元になるインターフェース" "作りたいトンネル名"を指定するとよしなにやってくれます。curlのところは実際に通信が通るようになるまでちょと時間がかかるので、それをバックグラウンドでやるための処理です。それをしないとsystemdがいつまでもその処理を待ってしまうのでそれの対応です。

 まあ、割り振られるPrefixが変わることはそうそうないので、一度実行すればしばらくは不要な気もしますが、念の為実行するようにしました。思いつきで5分くらいで作ったスクリプトなので雑ですが、とりあえず動いているので大丈夫そうです。これをinterfacesのpost-upに組み込みます。

#---/etc/network/interfaces---
auto ens224.1000
iface ens224.1000 inet6 auto
dhcp 1
accept_ra 1
pre-up /sbin/ip token set ::feed dev ens224.1000
post-up /opt/script/mkv6tun.sh ens224.1000 sit0

 再起動後、curl checkip.amazonaws.comなどで指定したIPが返答されることを確認したら、無事に自動起動の設定が完了です。ここにくるまでに2日かかってしまいましたが。

iptablesを書く


 そのままではルーターにならないので、NATをするためのiptabesを書きます。/etc/sysctl.confにnet.ipv4.ip_forward=1を追記した後、sysctl -pで反映させる必要があります。iptablesについては一般教養だと思うのであまり深く書きませんが、参考設定としてiptables-saveの出力をおいておきます。ens192というのが内部のLANインターフェースという想定で、内部からの接続はガバガバに受け付けます。

#---/etc/iptables.up.rules---
*nat
:PREROUTING ACCEPT [889:57084]
:INPUT ACCEPT [60:10005]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -j MASQUERADE
COMMIT
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o sit0 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
*filter
:INPUT DROP [32:1744]
:FORWARD ACCEPT [1643:1853819]
:OUTPUT ACCEPT [360:64590]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state ESTABLISHED -j ACCEPT
-A INPUT -i ens192 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A FORWARD -i ens192 -j ACCEPT
COMMIT

 -A POSTROUTING -o sit0 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtuが重要で、これをしないとMTU不整合で見えないページが出てきたりします。iptables < /etc/iptables.up.rulesで設定を反映させます。

 v6の方もガバガバなので多少締めます。 2404:8e00::feed(Transixのトンネル先)からの接続はガバガバに受け付けます。必要最低限に絞る作業に疲れました。

#---/etc/ip6tables.up.rules---
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [1570:205385]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state ESTABLISHED -j ACCEPT
-A INPUT -s fe80::/10 -d fe80::/10 -p udp -m state --state NEW -m udp --sport 547 --dport 546 -j ACCEPT
-A INPUT -s 2404:8e00::feed:140/128 -j ACCEPT
-A INPUT -p icmp6 -j ACCEPT
COMMIT

 -A INPUT -s fe80::/10 -d fe80::/10 -p udp -m state --state NEW -m udp --sport 547 --dport 546 -j ACCEPTが重要で、これを指定しないとDHCPv6を受け付けられません。ハマりました。こちらもip6tables </etc/ip6tables.up.rules で反映させます。

 これらの設定をifup/ifdown時に反映させるために、/etc/network/if-pre-up.d/iptablesというスクリプトを作成します。+xで実行権限を付けないと反映されないので注意です。あとシバン(#!/bin/bash)も忘れず指定してください。

#---/etc/network/if-pre-up.d/iptables---
#!/bin/bash
/sbin/iptables-restore < /etc/iptables.up.rules
/sbin/ip6tables-restore < /etc/ip6tables.up.rules

 これで無事に何度再起動してもルーターとして自動起動してくるようになります。長かった。

作業の要約


 長くなってしまったのでまとめます

ipip6トンネルを作成するためのスクリプト作成


/opt/script/mkv6tun.shなどとして作成します。chmod +xで実行権限を与えるのを忘れずに

#!/bin/bash
PATH=$PATH:/usr/sbin/
DEV="$1"
TUN="$2"
REMOTE="2404:8e00::feed:140"
IPADDR="<もらったIPv4>"
LOCAL=`ip -6 a s dev $DEV|sed -nr "s/^\s+inet6 ([^(fe80)][0-9a-f:]*)\/.*/\1/p"`
USER="<もらったユーザーID>"
PASS="<もらったパスワード>"

ip -6 tun add $TUN mode ipip6 local $LOCAL remote $REMOTE dev $DEV
ip l se up $TUN
ip l se mtu 1460 dev $TUN
ip a ad dev $TUN $IPADDR
ip r add default dev $TUN

while :; do
ping -c1 -w1000 update.transix.jp
if [ $? -ne 0 ] ; then
sleep 1
else
logger update url: `/usr/bin/curl -s "http://update.transix.jp/request?username=${USER}&password=${PASS}"`
break
fi
done&


/etc/network/interfacesの追記


 今回はens224のVLAN1000がWANになるNICですが、よしなに変えてください。post-upで上のスクリプトを指定します。

auto ens224.1000
iface ens224.1000 inet6 auto
dhcp 1
accept_ra 1
pre-up /sbin/ip token set ::feed dev ens224.1000
post-up /opt/script/mkv6tun.sh ens224.1000 sit0
post-down /sbin/ip li del sit0


iptables周りの設定


 NAT/パケットフォワーディングの設定を書きます。昔ながらのiptables-save形式ですが、他にも方法があればそちらでもいいと思います。ens192がLANインターフェースという想定です。
/etc/iptables.up.rules


*nat
:PREROUTING ACCEPT [889:57084]
:INPUT ACCEPT [60:10005]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -j MASQUERADE
COMMIT
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o sit0 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
*filter
:INPUT DROP [32:1744]
:FORWARD ACCEPT [1643:1853819]
:OUTPUT ACCEPT [360:64590]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state ESTABLISHED -j ACCEPT
-A INPUT -i ens192 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A FORWARD -i ens192 -j ACCEPT
COMMIT


/etc/ip6tables.up.rules

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [1570:205385]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state ESTABLISHED -j ACCEPT
-A INPUT -s fe80::/10 -d fe80::/10 -p udp -m state --state NEW -m udp --sport 547 --dport 546 -j ACCEPT
-A INPUT -s 2404:8e00::feed:140/128 -j ACCEPT
-A INPUT -p icmp6 -j ACCEPT
COMMIT


/etc/network/if-pre-up.d/にiptablesというスクリプトを作成します。+xで実行権限を付けないと反映されないので注意です。あとシバン(#!/bin/bash)も忘れず指定してください。

/etc/network/if-pre-up.d/iptables

#!/bin/bash
/sbin/iptables-restore < /etc/iptables.up.rules
/sbin/ip6tables-restore < /etc/ip6tables.up.rules


測定結果


 速度の測定結果は以下です。
https://beta.speedtest.net/result/9878034837



 PPPoEは下り30Mbps程度しか出ないことも多々あったのでだいぶ良くなったと思います。まあPPPoEも最初は数百Mbps出ていたので、こちらもトンネル先が詰まるまでの時間の問題かもしれませんが…。

 測定中の負荷は、Xeon 2695v2の上で動くVM(2vCPU/2GB/vmxnet3)ですが、atopで見ている限り1コアあたり20%程度irqに持っていかれる程度で、1Gbps環境では大した負荷ではないようです。まあiptablesにルールも大したこと書いてないので、これが増えてきたらどうなるかわかりませんが、最近の高クロックなCPUなら全く問題ないと思います。組み込み向けのCel N3000などでも物理で動かす限りは1Gbps程度なら問題ないと思います。

まとめ


 現状ではお手軽に、とは言えないものの、仮想環境(Linux)でもZoot Native 固定IP1を使うことは可能だとわかりました。transix IPv4接続(固定IP)形式を利用しているのであればほかでも同様だと思います。10G クロスの契約をしてもこの方法は使えそうですね。

 ただ、苦労をしたくないのであれば動作検証済みのネットワーク機器を入れるのがいいかと思います。実際途中で心が折れて中古のIX2106あたりを買おうかと思いました。あと少しで動きそうだけどなにかが足りない、という状況は、解決できないけど諦めもつかないという一番泥沼状態になりやすいですね。後半の動機は意地でした。

 Shorewallなどの検証もしてから切り替えようかと思ってるので実運用はまだできていませんが、いずれ切り替えていきたいと思います。固定IP1を契約した状態であっても(サポート的にはどちらか一方という回答をもらったものの)DS-Lite は利用できるので、併用して使っていくのはありだと思いました。

おわり]]> 【HW】新しめのFortigateに使われてるACを自作する http://xmms.jp/blog/index.php?entry=entry181226-010651 Confluenceもメモ書きとして契約してしまっているのでこのブログをどうしようか悩んでいるのでいるのですが、しばらくは生かしておこうかと思います。さて、ちょっと前に秋葉原で捨て値で売っていたFortigate 40Cをいくつか買ってみたのですが、ACが付いてこなかったためつくってみました。




 まず、このコネクタの名称の知識がなく調べる手がかりがなかったので、Googleの画像検索やら各レセプタの形状や名称一覧などを大量に調べました。その結果、どうやらMolex 5557の4.2ミリピッチというコネクタがそれっぽいようでした。


 コネクタやコンタクトピンについては、千石通商などに売っているようなのですが、SonicwallのAP(TZ-100)にも同型のコネクタが使われていて、そのACで基本的な動作確認が出来てしまったので「急ぎでもないし、より安価なモノタロウで何か買うついでにいつか買おう」と放置していました。(ちなみに買った時点ではぎりぎりライセンスが生きていたのでOSのアップグレードが出来ました。) そして先日、諸々を買う機会があったのでついでに興味本位で買ってみました。




今回買ったコネクタとコンタクトピンは以下の二つです。
Molex 5557コネクタ 5557-02R-210
https://www.monotaro.com/p/0856/1585/
コンタクトピン 5556T3L
https://www.monotaro.com/p/7593/9272/

コネクタについてはより安いこっちでもよかった気がします。
https://www.monotaro.com/p/0856/1472/

 とりあえずコネクタだけ形状が合うか確認しましたが、これであっているようでした。




 次に、起動できるACの極性を確認しましたが、爪がある方が+でその下がーになっているようです。




 極性が分かったのでピンをかしめていこうとしたのですが、専用の圧着機がないとつらいです。最終的にニッパーでかしめる技術を習得しましたが、何回かピンからケーブルがすっぽ抜けてブチ切れそうになったので、今回はやりませんでしたがハンダで軽くとめておくのが確実な気がします。(圧着とは…)

 絶縁のために(ビニールテープが見つからなかったので)養生テープで根本を軽く巻いたのですが、これが失敗でした。ただでさえコネクタの奥までピンを押し込むのが大変なのですが、このテープのせいで余計やりづらくなりました。電子工作になれている人やもっと几帳面な人であればこんなことをしないと思いますが、動けばいいだろ位な雑な気持ちでやった結果、無駄な苦労をしました。




 なんとかピンを奥まで押し込んでピンがロックされたことを確認したので、ちゃんとコネクタ内部のピン同士が接触していること、逆接になって爆発しないことを祈りながらACに繋いでみました。




 すると、電源の容量不足やピンの接触が甘いといったこともなく、爆発せずに無事起動してきました。コネクタからピンのすっぽ抜け防止に紫外線硬化樹脂などで後ろを固めるのがよりよいと思いましたが、必要な物を買うと割と高くなるうえに買っても使うことは多くなさそうなので今回は見送りました。

 作った感想ですが、コンタクトピンの圧着器を持っていないのであればおすすめしません。その辺の工具で済ませようとすると器用さというかコツが必要です。ラジオペンチやニッパーで代用は可能ですが、慣れるまでピンを4本無駄にしました。また、AC自体はオークションなどで1000円前後で売っているので、必要であればこっちを買うべきです。

 ただ、自分のようにジャンクでAC無しのFGをいくつか拾って、しかもACをいくつか欲しいけどACが本体より高いし12VのACは大量に余っているので自作したい、という貧乏な考えがあるのであれば作るというのも一つの手ではあります。
 しかし、カシメが不十分でケーブルがすっぽ抜けたりピンがしっかり奥まで入っていないためケーブルを動かすと接触不良で電源が落ちる、という事が起こるので(実際に起きて作り直した)、作ったとしても精々検証用にとどめておくのをおすすめします。

 ちなみに、このFGはFlets網内のv6折返しのテストに使おうと思っていたのですが、FortiOS 5.2だとIPv6の自動設定にDHCP6-PDやSLAACが使えず、かつNP6を搭載していないためv6の通信がCPU処理になってしまい残念なことになった(LAN内のv6NAT通信で200MbpsくらいでCPUが張り付く)ので、v6関係は諦めVDOMが使えた頃の軽量な4.0MR3に戻しました。v6のSNATができたのは良かったのですが…残念。]]> 【Network】Nuroを試してみた が… http://xmms.jp/blog/index.php?entry=entry170309-210000 一応、1Gの線は引いているのですが、19時前後では
http://beta.speedtest.net/
のSoftEther社を選んでも大体3-50Mbps程度で、午前3時4時に同じく実行すると上下500Mbps程度出たりします。1G線を引いた直後はそれなりに速かったのですが、最近になって速度低下が目立つようになってきました。PPPoEの収容が限界に近いという話もあり、そろそろつらい感じです。

生活LANの午前3時頃の速度です。



同日の午後19時頃の速度です



中々にひどい

 某所でv6のIPIPトンネル張ってあれこれしようという話もあったのですが、残念ながらひかり電話が必要なため、NGN網内IPv6が受けられず、この方法は断念しました。

 そんなところにNuroを500円で体験できるワンコイン体験キャンペーン(すでに終了してます)があったので申し込んでみました。が、開通まで1ヶ月以上要しました…。

開通までの苦痛


 新規で申し込むにあたり、ページにあるように
1 宅外FCキャビネットから宅内へのファイバ引き込み (So-net施工)
2 電線からFCキャビネットへのファイバ引き込み (NTT施工)
という2ステップの工事があり、2回の日程調整および立ち会いが必要になります。

 1回目のSo-net側の工事は問題なく終わったのですが、2回目のNTT側の工事で問題が起きました。宅内工事の際に、次回訪問日程の確認を行い、同意を得たはずだったのですが、当日19時になってもNTTが現れませんでした。

 19時はさすがに遅すぎると思いSo-netのサポートセンターに連絡したところ、申し込みの際に自宅の住所を「東京都千代田区千代田1-1-1」といった住所をハイフン抜きで入力してしまい、「東京都千代田区千代田111」と入力してしまったため、NTT側から「そんな住所ねえよ」と差し戻しを食らっていたとのことでした。

 1回目の訪問が(おそらく施工者がよしなに解釈してしまったが故に)問題なく行われていたため、まさか入力ミスがあるとは気がつきませんでした。
 確かに自分の非ではあるのですが、そもそも何故リジェクトされた時点でこちらに連絡をしないのか、NTTも郵便番号が入ってるのだからそれくらい分かるだろこのクソ役所ども…という黒い気持ちを抑え、とりあえず内容を修正してもらい、いつ頃なら予定が取れるかという折り返しの連絡をしてもらうことにしました。ここで1週間のロス。

 そして連絡を待つこと4日…未だに連絡が来なかったので、さすがに遅すぎると再度サポートセンターに電話をしたところ、「大変申し訳ありません。こちら予約の取得が可能となっておりました。最短1週間後から取得可能となっておりますが、いかがなさいますか?」との返答。

わーーー!!御社には引き継ぎと社内コミュニケーションが苦手なフレンズ し か いないんだね!!!!くそーーーーーい!!! ほんまつっかえ…
 こちらから連絡しなかったら永遠に来なかったのではないでしょうか…まあSo-netに多くのことを期待することがそもそもの間違えであり、経験上過去にも実績(悪い意味で)があるので、納得は出来ます。
  また、サポートセンターに繋ぐ際には非常に長くの時間「ただ今混み合っているので少々お待ちください」の自動音声を聞く必要がある為、スピーカーホンにしてしばらく電話を放置する必要があります。SIPサーバやVoIP機の音声の途切れや揺れなどを確認するためのベンチマークの電話先としてはいいかもしれません。
  まあ、そのレベルで人的資源が足りていないと言う事なのでしょう。

 結局、宅外工事は申し込んでから1ヶ月以上経ってようやく完了しました。

開通後の苦痛


 NuroではGPONがグローバルIPをもつ仕様となり、配布するのは基本的にローカルIPのみと言うことは把握していたので、前もって今のネットワークを大きく変更しないでGWを追加するためのセグメントを作成していました。しかし箱を開けてみてびっくり、渡されたHG8045Dが思っていた以上にクズでした。

  VLANが切れないとかIPインターフェースを複数持てないとかは許せないながらも仕方ないとして、スタティックルーティングすらも切れないのです。2000円で買えるばっふぁろーのルーターやNTTから渡されるONUについているおまけルーターですらもその程度は出来るので、まさかこれができないとは思っていませんでした。

 はっきり言って、HGWとして渡される何かは「でんきにつなげるとあったかくなるみどりいろにひかるゴミ」です。 既存の物があり、要件にも合わず、極力無駄なことをさせたくなかったので、無線も含めDHCPやDNSプロクシなど不要な機能は全て無効にしました。
 せめてもの救いとしてはDMZ機能を持っているので、この「みどりいろにひかるゴミ」をどうにかするために既存のVMにNATをさせ、普段はそちらのVMをDMZとし、ポートフォワードなどの必要な機能はNAT-VMでどうにかすることにしました。pfsenseちゃんマジ天使
 もっとも、固定IPオプション付きの法人向けのGPONはその下にDHCPでグローバルIPを払い出してくれるので、ある程度複雑なネットワークであればそちらにするべきだとは思います。費用的に個人で出すには少しつらいですが。

 ひとつNuroの肩を持つとすれば、下り2Gbpsというのは確かにでます。2台のDell Latitude E7440(片方はCore i5 4510u/RAM16G、もう片方は4500u/8G)を「みどりいろにひかるゴミ」のLANポートにそれぞれ直接接続しスピードを測ったところ、タスクマネージャからみてもそれぞれで違うサーバから900Mbpsに近い速度はでていたので、たとえそれが速度測定サイトのみ加速する、いわゆる「チートブースト」であったとしても一応スペック通りと言えるとは思います。



 また、VMにNAT(宅内二重NAT)させたあとのスコアも、上りが若干落ちるものの十分な速度はでています。ショートパケットはどうだか分かりませんが。



 では実際のところはどうか、となると、JAISTや理研などからDebianのISOを落とすときには大体3-400Mbps位になるので、まあそんなところです。
 ただ、Flets側が腐る時間帯でもNuroでは大きな速度低下はないので、メリットはありました。

まとめ


・So-netに何か確認するときには自分から積極的に進捗に関して突っつこう
・ある程度複雑なネットワークがあると、渡されるHGWは「でんきにつなげるとあったかくなるみどりいろにひかるゴミ」
・ネットワークに関しては、「今のところは」悪くない

以上、愚痴でした。]]> 【HW】RackSwitch G8124-Eのファンを交換してみた http://xmms.jp/blog/index.php?entry=entry161126-232435


 3年くらい前にRackSwitch G8124-EをeBayで仕入れ、しばらく使用していたのですが、あるときにファンの一つが故障し、それまで30%くらいで回転していたファンが全て減退運転に入り、全て80%くらいで回転するようになりました。それまでは結構静かだったのですが、さすがに小型ファンの高速回転はうるさく、部屋のノイズ主成分(音的な意味で)になっていました。
 うるさい事と定期的にファン故障のトラップが飛ぶ以外は特に問題がないので(問題ですが)、故障後も放置してしばらく使っていましたが、運良く非常に安くApresia 130000が手に入ったので交換してしまいました。





 燦然と輝く真っ青なスイッチに、VLANを使った程度のL2ネットワークをさせるだけではオーバースペック感ありますが、まあそれなりに静かでいい感じです。
 その後、G8124は放置になっていたのですが、ふと直せるかどうか気になったのでふたを開けてみました。

 壊れたファンはSUNONのGM1204PQV1-8Aと言うファンで、他のファンはUltraFlo W40S12BUA5-52なのですが、何故かこれだけSUNON製のものになっていました。元のオーナーが同じように手で直したのでしょうか…。




 とりあえず、ファンの形状やコネクタは一般的なもののように見えたので、手元のゴミを漁ったら秋葉原でいつか役に立ちそうな気がして買った40ミリファンの連結した何かが出てきたので、それを分解して交換することにしました。




 多分Supermicroの保守パーツ的な何かだと思いますが、もはやこれが何であってもどうでもいいです。




 その中のファンにはSanAceの109P0412J3063が使われていました。むしろ他のも全てこれに交換してしまいたいレベルですが、とりあえず壊れた部分だけ交換します。

 交換して、ひとまず動くか電源ON。起動しましたが、その直後異臭が立ちこめたので真顔で即座にACを引っこ抜きました。幸い、発煙や炎上はありませんでしたが、部屋がICを過電流で焼いたときの臭いで包まれました。この臭いほんとに嫌いです…(嗅ぐ羽目になったシチュエーションでは大体ああああああなことになってるので)

 原因を確認してみると、コネクタは普通の3ピンなのですがアサインが違いました。これは死ぬ。何故確認しなかったし…。




 解決策として、SUNON製のファンのコネクタを切り取り、綺麗な芋ハンダ(汚い)で直そうかと思いましたが、半田ごてをしばらく使っていなかったので引っ張り出すのがめんどくさくなり、その代わり手元にあったブレッドボード用のジャンプワイヤを使う事にしました。




 その後おそるおそる起動してみると、とりあえずファンは順調に回っていたので、再び電源を落とし、ふたを戻しました。
 ふたを戻したあと、起動してみると、普段はファン故障でファンの回転数は落ちないのですが、今回は無事に回転数が落ちました。ファンの全回転時と比べ、20Wくらいの差がありました。
 コンソールに入ってみると、無事に回転数も取れていました。

RS G8124-E#show sys-info

System Information at 15:44:38 Mon Sep 5, 2016
Time zone: No timezone configured
Daylight Savings Time Status: Disabled

IBM Networking Operating System RackSwitch G8124-E

Switch has been up for 0 days, 0 hours, 12 minutes and 9 seconds.
Last boot: 15:32:42 Mon Sep 5, 2016 (power cycle)

MAC address: xx:xx:xx:xx:xx:xx IP (If 1) address: 0.0.0.0
MGMT-A Port MAC Address: xx:xx:xx:xx:xx:xx
MGMT-A Port IP Address (if 127): 172.20.1.6
MGMT-B Port MAC Address: xx:xx:xx:xx:xx:xx
MGMT-B Port IP Address (if 128): 192.168.51.50
Hardware Revision: 8
Board Revision: 2
Switch Serial No: xx:xx:xx:xx:xx:xx
Hardware Part No: xx:xx:xx:xx:xx:xx Spare Part No: xx:xx:xx:xx:xx:xx
Manufacturing date: 10/46


Software Version 7.9.11 (FLASH image2), active configuration.
Boot kernel version 7.9.11



Temperature Sensor 1: 21.5 C
Temperature Sensor 2: 27.0 C
Temperature Sensor 3: 26.00 C
Temperature Sensor 4: 43.75 C
Temperature Sensor 5: 35.50 C

Warning at 85C and Failure at 100C

Speed of Fan 1: 7964 RPM (75 PWM)
Speed of Fan 2: 8169 RPM (75 PWM)
Speed of Fan 3: 8023 RPM (75 PWM) <---故障したファン
Speed of Fan 4: 8503 RPM (75 PWM)
Speed of Fan 5: 8256 RPM (75 PWM)
Speed of Fan 6: 8120 RPM (75 PWM)

System Fan Airflow: Front to Rear

State of Power Supply 1: On
State of Power Supply 2: On


 自分の不確認により一つSanAceの109P0412J3063が犠牲になりましたが、最終的には無事に直すことが出来ました。直しても今後使う予定はないので微妙ですが、某所のラボネットワークの変更時に持ち込もうかなあ…。

 ピンアサインにさえ気をつければ一般品でも交換できるので、保守のないスイッチで、もし同じようにファン故障で困っている人がいたら試す価値はあると思います。]]> 【HW】VR500(aka 鎖国ルーター)をゲットしたのでOpenWrtを入れて遊んでみた http://xmms.jp/blog/index.php?entry=entry160919-174552 VR500で面白そうな遊びをしていたので、VR500はHW面で興味があったのですが、自分も筐体をゲットできたので遊んでみました。文章が長いのと長い文章に疲れて所々雑になっているのは許してヒヤシンス




 色は、その昔同社のこんな色のスイッチがあったなーと言う深い青色です。金属筐体なので、テストしてるときもほんのり暖かかったですが、ちゃんと筐体全体で放熱できている証なのでしょう。

HWスペック


SRCHACKさんのページにもあるように、構成は MT7621A(2コア4スレッド)、RAM 256MB、Flash 64MBとなっています。このサイズのネットワーク機器としては非常にパワフルなスペックだと思います。

root@OpenWrt:~# cat /proc/cpuinfo |grep -E "(^core|^proc)"
processor : 0
core : 0
processor : 1
core : 0
processor : 2
core : 1
processor : 3
core : 1

root@OpenWrt:~# free
total used free shared buffers
Mem: 256044 71896 184148 752 5436
-/+ buffers: 66460 189584
Swap: 0 0 0


 MIPSでもSMTってあったんですね…知りませんでした。また、USB3.0も生えているので、どの程度使えるか気になるところです。ちなみに、デフォルトファームではUSB周りは使われていないようです。

OpenWrtを入れるために


 下記SRCHACKさんの手順にHOWTOは書いてあるので、こちらでは省略しますが、もし実際に機器をHACKする場合はパッチなど色々重要なことがいてあるので先に一読してください(重要と言いながら丸投げするスタイル)。

手取り足取り書いてある詳しい開国手順

 パッチの適用の仕方が分からないと言う事はないかもしれませんが、一応3のパッチ適用の際の補足
#gitから引っ張ってくるとデフォルトではopenwrtというディレクトリが出来るので、その下に下りてパッチ
dev1@debian-dev01:~/$ cd openwrt
dev1@debian-dev01:~/openwrt$ wget パッチ
dev1@debian-dev01:~/openwrt$ patch -p1 <VR500_r49404.patch

 また、USBにメモリなどを挿す場合は
> Kernel modules > USB Support
の中の
kmod-usb-storage
kmod-usb-storage-extras

> Kernel modules > Block Devices
にある
kmod-scsi-generic
を含める必要があったので、もしUSBをストレージ用途で利用しようと思っている人は注意してください。

 自分はOpenWrt初心者なので、make menuconfigを実行したときにパッケージを選択したときのMと*の違いが分からず、sysupgradeのファイルを作ってもパッケージが更新されないと悩みました。
 *はsysupgradeのイメージに含める、Mはパッケージの個別ビルドでイメージファイルの中には含めないという意味で、Mで作っていたので無駄に5回くらいmakeしました。

 ちなみに、OpenWrt入れた場合は基本的に元のファームには戻らないと覚悟した方がよいです。OpenWrtを入れたあと純正を入れてもWebUIはそれっぽく戻りますが、本気で戻したい場合はシリアルからあれこれして戻さないと怪しいです。

 もっとも、似たような機能についてはpfsenseのpfBlockerNGで実装されているので、どうしても鎖国したい場合は新しくpfsenseのVM等をたててそちらでやるべきだと思います。(話がそれてしまいますがイメージとしてはこんな感じで出来ます)




 今回テストに利用したe2fsprogs(mkfs.ext[2-4])やfdiskやSoftEtherやSambaなどを含めたごった煮パッケージを作成したので置いておきます。多分純正ファームのWebUIから入ると思います。入っているパッケージは.configファイルを見てください。

vr500-openwrtimages-Chaos_Calmer_15.05.1_r49404.tgz(17MB)

 色々含めたらファイルサイズが大きくなってしまいましたが、VR500には64MBという広大なフラッシュ領域と何かあればUSBメモリが使えるという利点があるのであまり気にならないと思います。まあ検証用なのでもっと切り詰めたい人は自分で作るなりしてください。

 initramfsの方だけでも色々使えるようになっていますが、squashfsの方を適用しないと再起動する度に設定が初期化されてしまうので注意してください。これで若干ハマりました。

OpenWrtで遊ぶ


 WebUIからInitramfsイメージを放り込んだら、そのあとOpenWrtからSquashfsの方を投げ込みます。Initramfsの方はもう少し小さくすれば良かったかなと思いつつ面倒なのでこのまま行きます。


 話がそれますが、OpenWrtの「Wrt」は、冒頭の写真の下に敷かれているWRT-G54のOSにLinuxカーネルやGPLライセンスのライブラリなどを使ってしまう→開示要求→ソース公開→公開されたソースでみんなが遊び始める、と言うのが元だったんですね…知りませんでした。WRT-G54はCiscoLinksysとLinksysのものを持っていたのですが、Linksysのものは壊してしまいました。


iperfで遊ぶ


 話がそれてしまいましたが、まずは単体性能としてiperfがどの程度出るか試してみます。検証では、XeonE3 1220v2がのったVMホスト上にあるほぼ素のDebianマシン上でiperf -sを実行し、VR500から下記コマンドを実行しました。

iperf -c IP -t 60 -i 1

 VMホストは10Gネットワークにいるのですが、VR500のWAN側はアップリンク10Gスイッチに繋がったAX3630S-48T2XWに接続されています。簡単な図を書くのにGliffy使いたいのでConfluenceのBlog機能に移行しようかな…




 その結果が以下です。




[ 3] 0.0-60.0 sec 6.27 GBytes 898 Mbits/sec

 と、大体900Mbp出ます。グラフ上だと欠落している谷があるのですが、iperf上で極端に落ちるようなことは無かったので、グラフの表示の問題(firefoxの問題?)だと思いますが謎です。


 次に、NATされたLANにいる物理PC(Thinkpad X220 /Windows8.1)から同じVMに対してiperfした結果です。




 ただし、Windowsのiperfは-w 128KなどとTCPのウィンドウサイズを大きく取らないと500Mbps程度で頭打ちになるようだったので、下記コマンドを実行しました。このオプションで、X220がVMと同じLANにいる限りはiperfで940Mbps程度出ていました。
iperf -c IP -w 128K -t 60 -i 1


 その結果が以下です。




[184] 0.0-60.0 sec 6.31 GBytes 904 Mbits/sec

 と、NATくらいではそこまで影響しないようです。

 その後、VR500にWANの5001をLANのX220にフォワードさせるルールを作り、VMホストから
iperf -c IP -w 128K -t 60 -i 1

 を実行してみました(FWルールはデフォルトのまま)。




 その結果です。



[ 3] 0.0-60.0 sec 3.59 GBytes 514 Mbits/sec

 と、大体500Mbps程度でます。ソフトウェアルーターとしてはがんばっている方なのではないでしょうか。

 最後に、pfsenseでDHCPの降ってこないVLANにPPPoEサーバを作成し、Untaggedな別VLANのスイッチのポートに接続したVR500のWANをPPPoEにして、pfsense上で今までiperfしていたVMに対してNATするルールを作成し、LANにいるX220からiperfした結果です。(要するにWANのエミュレーションをしたかった)




 最初はpfsense自体でiperfを動かしたのですが、pfsense自体でiperfを動かすとX220から直接PPPoEを接続しても何故か500Mbps程度しかでなかったため、今までのVMにフォワードさせたところX220から930Mbps出たのでこちらにしました。手順が怪しいので参考値です。




 結果は、
[184] 0.0-60.0 sec 2.73 GBytes 391 Mbits/sec

 と、大体400Mbps前後です。

 色々iperfで遊んだ結果を並べてみましたが、ラインレートまでとは行きませんが普通に多機能なルーターとしてもそれなりに使えると思います。これ取ってからデフォルトファームの動き見ておけば良かったと後悔…


USB3.0で遊ぶ


 せっかくUSB3.0が生えているので、こちらの動きも見てみようと思います。USBのストレージを有効にする場合は、上の方で説明したkmod-usb-storage等が必要になるのでコンパイルする際には注意してください。

 テスト機材は適当なUSBメモリがなかったので、その辺に転がっていた何かのケースのふたに750Evo(256GB)を接続してテストしました。




この組み合わせはT430のUSB3.0に接続してCrystalDiskmarkをかけたところR/W共に120MB/s程度は出るので今回は十分だと思います。




 とりあえず何も考えずにさしてlsusb(デフォルトではコマンドがないのでmakeするときに選ぶ必要があります)した結果です。
root@OpenWrt:~# lsusb -v

Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Device Descriptor:
bLength 18
bDescriptorType 1
bcdUSB 2.00
bDeviceClass 9 Hub
bDeviceSubClass 0 Unused
bDeviceProtocol 1 Single TT
bMaxPacketSize0 64
idVendor 0x1d6b Linux Foundation
idProduct 0x0002 2.0 root hub
bcdDevice 3.18
iManufacturer 3 Linux 3.18.36 xhci-hcd
iProduct 2 xHCI Host Controller
iSerial 1 1e1c0000.xhci
bNumConfigurations 1
Configuration Descriptor:
bLength 9
bDescriptorType 2
wTotalLength 25
bNumInterfaces 1
bConfigurationValue 1
iConfiguration 0
bmAttributes 0xe0
Self Powered
Remote Wakeup
MaxPower 0mA
Interface Descriptor:
bLength 9
bDescriptorType 4
bInterfaceNumber 0
bAlternateSetting 0
bNumEndpoints 1
bInterfaceClass 9 Hub
bInterfaceSubClass 0 Unused
bInterfaceProtocol 0 Full speed (or root) hub
iInterface 0
Endpoint Descriptor:
bLength 7
bDescriptorType 5
bEndpointAddress 0x81 EP 1 IN
bmAttributes 3
Transfer Type Interrupt
Synch Type None
Usage Type Data
wMaxPacketSize 0x0004 1x 4 bytes
bInterval 12
Hub Descriptor:
bLength 9
bDescriptorType 41
nNbrPorts 2
wHubCharacteristic 0x0009
Per-port power switching
Per-port overcurrent protection
TT think time 8 FS bits
bPwrOn2PwrGood 10 * 2 milli seconds
bHubContrCurrent 0 milli Ampere
DeviceRemovable 0x00
PortPwrCtrlMask 0xff
Hub Port Status:
Port 1: 0000.0100 power
Port 2: 0000.0100 power
Device Status: 0x0001
Self Powered

Bus 002 Device 002: ID 1f75:0888 Innostor Technology Corporation IS888 SATA Storage Controller
Device Descriptor:
bLength 18
bDescriptorType 1
bcdUSB 3.00
bDeviceClass 0 (Defined at Interface level)
bDeviceSubClass 0
bDeviceProtocol 0
bMaxPacketSize0 9
idVendor 0x1f75 Innostor Technology Corporation
idProduct 0x0888 IS888 SATA Storage Controller
bcdDevice 0.15
iManufacturer 1 Innostor Technology
iProduct 2 IS888 USB3.0 to SATA bridge
iSerial 3 088810000000
bNumConfigurations 1
Configuration Descriptor:
bLength 9
bDescriptorType 2
wTotalLength 44
bNumInterfaces 1
bConfigurationValue 1
iConfiguration 0
bmAttributes 0xc0
Self Powered
MaxPower 200mA
Interface Descriptor:
bLength 9
bDescriptorType 4
bInterfaceNumber 0
bAlternateSetting 0
bNumEndpoints 2
bInterfaceClass 8 Mass Storage
bInterfaceSubClass 6 SCSI
bInterfaceProtocol 80 Bulk-Only
iInterface 0
Endpoint Descriptor:
bLength 7
bDescriptorType 5
bEndpointAddress 0x81 EP 1 IN
bmAttributes 2
Transfer Type Bulk
Synch Type None
Usage Type Data
wMaxPacketSize 0x0400 1x 1024 bytes
bInterval 0
bMaxBurst 15
Endpoint Descriptor:
bLength 7
bDescriptorType 5
bEndpointAddress 0x02 EP 2 OUT
bmAttributes 2
Transfer Type Bulk
Synch Type None
Usage Type Data
wMaxPacketSize 0x0400 1x 1024 bytes
bInterval 0
bMaxBurst 15
Binary Object Store Descriptor:
bLength 5
bDescriptorType 15
wTotalLength 22
bNumDeviceCaps 2
USB 2.0 Extension Device Capability:
bLength 7
bDescriptorType 16
bDevCapabilityType 2
bmAttributes 0x00000002
Link Power Management (LPM) Supported
SuperSpeed USB Device Capability:
bLength 10
bDescriptorType 16
bDevCapabilityType 3
bmAttributes 0x00
wSpeedsSupported 0x000e
Device can operate at Full Speed (12Mbps)
Device can operate at High Speed (480Mbps)
Device can operate at SuperSpeed (5Gbps)
bFunctionalitySupport 1
Lowest fully-functional device speed is Full Speed (12Mbps)
bU1DevExitLat 1 micro seconds
bU2DevExitLat 101 micro seconds
Device Status: 0x0001
Self Powered

Bus 002 Device 001: ID 1d6b:0003 Linux Foundation 3.0 root hub
Device Descriptor:
bLength 18
bDescriptorType 1
bcdUSB 3.00
bDeviceClass 9 Hub
bDeviceSubClass 0 Unused
bDeviceProtocol 3
bMaxPacketSize0 9
idVendor 0x1d6b Linux Foundation
idProduct 0x0003 3.0 root hub
bcdDevice 3.18
iManufacturer 3 Linux 3.18.36 xhci-hcd
iProduct 2 xHCI Host Controller
iSerial 1 1e1c0000.xhci
bNumConfigurations 1
Configuration Descriptor:
bLength 9
bDescriptorType 2
wTotalLength 31
bNumInterfaces 1
bConfigurationValue 1
iConfiguration 0
bmAttributes 0xe0
Self Powered
Remote Wakeup
MaxPower 0mA
Interface Descriptor:
bLength 9
bDescriptorType 4
bInterfaceNumber 0
bAlternateSetting 0
bNumEndpoints 1
bInterfaceClass 9 Hub
bInterfaceSubClass 0 Unused
bInterfaceProtocol 0 Full speed (or root) hub
iInterface 0
Endpoint Descriptor:
bLength 7
bDescriptorType 5
bEndpointAddress 0x81 EP 1 IN
bmAttributes 3
Transfer Type Interrupt
Synch Type None
Usage Type Data
wMaxPacketSize 0x0004 1x 4 bytes
bInterval 12
bMaxBurst 0
Hub Descriptor:
bLength 12
bDescriptorType 42
nNbrPorts 1
wHubCharacteristic 0x0009
Per-port power switching
Per-port overcurrent protection
bPwrOn2PwrGood 10 * 2 milli seconds
bHubContrCurrent 0 milli Ampere
bHubDecLat 0.0 micro seconds
wHubDelay 0 nano seconds
DeviceRemovable 0x00
Hub Port Status:
Port 1: 0000.0203 5Gbps power U0 enable connect
Binary Object Store Descriptor:
bLength 5
bDescriptorType 15
wTotalLength 15
bNumDeviceCaps 1
SuperSpeed USB Device Capability:
bLength 10
bDescriptorType 16
bDevCapabilityType 3
bmAttributes 0x00
wSpeedsSupported 0x0008
Device can operate at SuperSpeed (5Gbps)
bFunctionalitySupport 3
Lowest fully-functional device speed is SuperSpeed (5Gbps)
bU1DevExitLat 1 micro seconds
bU2DevExitLat 1 micro seconds
Device Status: 0x0001
Self Powered
root@OpenWrt:~#"


 おお、見える見える。

 次に、USB3.0経由で接続したSSDに対してファイルシステムを通さずにddした結果です。

#書き込み
root@OpenWrt:~# time dd if=/dev/zero of=/dev/sda1 bs=1M count=4000
4000+0 records in
4000+0 records out
real 1m 1.54s
user 0m 0.02s
sys 0m 41.92s
(4 GB) / (61.54 s) =
64.998375 MB / s

#読み込み
root@OpenWrt:~# time dd if=/dev/sda1 of=/dev/null bs=1M count=4000
4000+0 records in
4000+0 records out
real 0m 48.64s
user 0m 0.05s
sys 0m 37.02s
(4 GB) / (48.64 s) =
82.2368421 MB / s


 読み/書き共にUSB2.0以上の速度で動いているので、USB3.0の効果はあります。この状態で、USBストレージにext4のファイルシステムをつくり、Sambaで共有をする準備をします。

root@OpenWrt:~# mkfs.ext4 /dev/sda1
mke2fs 1.42.12 (29-Aug-2014)
Creating filesystem with 61049088 4k blocks and 15269888 inodes
Filesystem UUID: cf655368-2b4d-4626-b7ef-9967a0a121a1
Superblock backups stored on blocks:
32768, 98304, 163840, 229376, 294912, 819200, 884736, 1605632, 2654208,
4096000, 7962624, 11239424, 20480000, 23887872

Allocating group tables: done
Writing inode tables: done
Creating journal (32768 blocks): done
Writing superblocks and filesystem accounting information: done

root@OpenWrt:~# mount /dev/sda1 /mnt
root@OpenWrt:~# time dd if=/dev/zero of=/mnt/a.img bs=1M count=4000
4000+0 records in
4000+0 records out


Sambbaで遊ぶ


 上のUSB3.0接続のSSDをSambaで共有して遊んでみます。/etc/init.d/sambaをstop&&startするとそのたびに/etc/samba/smb.conf.templateから書き戻されてしまうので、/etc/samba/smb.confに下記設定を書き足し、検証中はkillコマンドでサービスを止めたあと、smbd -Fで起動するという雑手順でテストしていたので、本格的に使う場合は別途考える必要があります。

#/etc/samba/smb.confの一番下に追記
[a]
path=/mnt
browsable=yes
read only=no
writeable=yes
publilc=yes
#

root@OpenWrt:~# kill `ps |grep -E "smbd -F$"|cut -d" " -f2`
root@OpenWrt:~# smbd -F
root@OpenWrt:~# chmod 777 /mnt -R


 その結果です。

読み込み


大体50-60MB/s程度です。

書き込み



大体20-30MB/s程度です。

 そもそもこういった用途では考えられていないので若干パワー不足感がありますが、topを見ている限りだとsmbdプロセスが1コア分しか使えていないようなので、多数の接続があればもう少し合計値は速くなる気がします。

SoftEtherで遊ぶ


 @el1n氏が作成したOpenWrt用パッチがあるので、何も考えずに入れます。ビルドには時間がかかるので、OpenWrtに入れる場合は一旦SoftEther単体でコンパイルが通ることを確認してから追加した方が良いです。

 また、今回は何もしていませんが、デフォルトで入るSoftEtherのバージョンが若干古いので、もし最新版を使いたいという人は適宜package/softethervpn/softethervpn/Makefileを見ながら変えてください。

dev1@debian-dev01:~/openwrt$ git clone https://github.com/el1n/OpenWRT-package-softether.git package/softethervpn
dev1@debian-dev01:~/openwrt$ ./scripts/feeds update
dev1@debian-dev01:~/openwrt$ ./scripts/feeds install softethervpn
dev1@debian-dev01:~/openwrt$ make defconfig
dev1@debian-dev01:~/openwrt$ make menuconfig
#その後TUIの中の > Network > VPNのsoftethervpnをMにしてパッケージを作る

 パッケージが作成されたら、個別で作った人はipkgをいれ、vpnserverコマンドを実行してSoftEtherサーバを作成します。(自分の作ったイメージでは最初から起動しています。)
 デフォルトではvpnbridgeとvpnclientも動いているため、サーバ以外を下記コマンドで無効化します。
root@OpenWrt:~# /etc/init.d/softethervpnbridge stop
root@OpenWrt:~# /etc/init.d/softethervpnbridge disable
root@OpenWrt:~# /etc/init.d/softethervpnclient stop
root@OpenWrt:~# /etc/init.d/softethervpnclient disable


 指摘されて思い出しましたが、VR500再起動後vpnsmngrから接続して仮想ハブの設定をしようとするとなぜか拠点間ブリッジとして動いてしまうことがあるので、下記コマンドで各設定を初期化し、以後拠点サーバとして動くように設定します。
#プロセスを殺す
for a in `ps |grep -E "/usr/bin/vpn.*"|cut -d" " -f2`; do kill $a ; done
#自動起動無効化
for a in bridge clilent ; do /etc/init.d/softethervpn${a} disable ; done
#設定ファイル初期化
rm /usr/bin/vpn_*
#VPNサーバ起動
/etc/init.d/softethervpnserver start



 起動後、LANに接続されたX220からvpnsmgrで接続し、仮想ハブを作成しますが、SoftEtherの初期手順については他の人が沢山作っているので省略します。

 仮想ハブをeth0:1(LAN)にブリッジさせ通信しようとしたのですが、eth0:1やbr-lanに対してSoftEtherからブリッジをかけても通信が出来なかったため、aというtapを作成し、sshからbrctrl addif br-lan tap_a を実行しました。

 コマンド実行したあとにWebUIからいじれることに気がついたので、次回再起動時も有効にするためにはNetwork->Interfaces->LANのPysical settings内のブリッジに追加すれば次回起動時も勝手にbr-lanにくっついてくれます。



 その後、デフォルトで起動している5555ポートに対してポートフォワードし、WANにいるT430(Win10)からVPN越しにLANにいるX220にiperfした結果です。



 速度としては、大体50Mbps程度で安定していました。BuffaroのWZR-HP-AG300H(AR7161@680MHz 128MiB 32MiB )で10-20Mbpsだったので、このレベルの機器としてはかなり速い方だと思います。

まとめ


 色々試してみましたが、普通のルーターとしても、NASのヘッドとしても、SoftEtherを動かすVPNサーバとしても、何をしてもそつなくこなせるだけのパワーはあると思います。
 これ以上のマシンパワーが欲しいのであればXeonE3等のマシンの上で動くVMでやるか、それなりのCPUを積んだ物理x86マシンの上でやるしかない気もします。
 個人的にはUSB3.0接続の複数HDD積める箱でも買ってmdraid+rsyncdサーバとして使ってみようかと思いつつ、ものがないので試せませんが。。

 ハードウェアとしてはいいので、2万円くらいでホワイトボックスルーターとして出てくれると手を出しやすいので夢が広がる気がします。以上!]]> 【NW】RouterBoardにおけるMTU/MRU問題 http://xmms.jp/blog/index.php?entry=entry140505-235851  結論から書くと、所謂MTU/MRU1454問題でした。まあこれだけ書けば分かる人には終了ですね。


 RBの仕様は、PPPoEセッション上のMTU/MRUがデフォルトで1480で設定されるのですが、NTT網内のMTU/MRUが最大1454であるため、フラグメントが起きてしまうようなページを開いてしまうと、ページが不完全のまま表示されるかタイムアウトしてしまうのです。
 
 具体的にはこのブログのTwitterプラグインで問題が起きます。なので、同様の問題があって検索した人がこのページを開けないという残念な問題が起きます。(ぇ もしかしたら不完全ながらも表示できるかもしれませんが。

 このページをRB2011から別のPPPoEセッションを張りWANから参照してみた際のログですが、デフォルトの設定だと、以下のように、特定のファイルだけいつまでもファイルが降ってきません。




 Pingなどが途切れることはなく、なおかつ問題ないページは問題なく表示されるのですが、一部の広告表示用Javascriptが挿入されているようなページだとタイムアウト待ちをするため、ブラウジングの際にページの表示速度が非常にストレスフルな表示速度になります。

 内側のLinuxから行ったtracepathの結果やWebFigの表示結果を見る限りは、MTUの値は1480のデフォルトでも正しく1454で受け取るようなのですが、MRUの値は1480のままであり、これが問題になるようです。





 解決するには、PPPoEインターフェースのMRUを変更します。




 MTUは自動設定されますが、一応変えておいたほうが無難だと思われます。OK/Applyをクリックすることにより設定を反映しますが、その際にPPPoEを切ってから再度接続を行うため、ISPによってはIPが変わります。(OCNの環境だとIPが変わりました。)

 変更後、見た限りWebページによって表示が遅い問題は解決しました。現在、2つのIFを束ねたBonding IF上に タグVLANを作成し、LANセグメントをいくつかとWANセグメントインターフェースを作成していますが、この構成でも問題なく動いています。

 完全に接続ができないわけではなく、さらに回線速度測定ページなどでは問題なく速度が出てしまうため、この問題に気が付きませんでした。
 悩んでいたところ解決の糸口を享受していただいた@neko6_tweetさんに感謝です。

 しかし、1.6万前後でここまでVLANなどがいじれるルーターはなかなかないですね。ちらっと見たところポリシーベースルーティング(PBR)も当たり前のようにできるようですし、ネットワークにおける大体のやりたいことをどうにかする方法があるようです。これは魅力に取りつかれる人が多いのも納得です。

]]> RouterBoard RB2011UiASに触ってみた http://xmms.jp/blog/index.php?entry=entry140204-003021
 今年第一の記事は、評価用のRB2011UiAS-RMを株式会社シー アイオープラスさんから貸していただいた(ありがとうございます!)ので、一部界隈でアツいRouterBoardについてファーストインプレッションと簡単なベンチマークをしてみました。

 本来だと先先週の初めくらいには評価を終わらせようと思っていたのですが風邪引いたり忙しかったり現場がクソ色々大変で全く何も出来ていなかったという…。





外観について






 まずは全面。しかし肝心の全体像の写真を撮り損ねていたので製品イメージ画像です。まだ手元にありますが撮りなおすのがめんd(ry
 インターフェース構成は、5GiE+1SFP+5FEと言う構成です。これらのインターフェースはルーティングインターフェースにもスイッチインターフェースにもなります。6つの1GibEというのは中々強そうです。
 また、Port1がPoE受電、Port10がPoE給電ポートになってはいるのですが、入力電圧が30Vで48Vのaf準拠ではないので一般的なスイッチにつないでも何も起きません。ここは対応してほしかったところではあります。




 そして裏面。裏面にはシスコきしめんのシリアルポートがあります。ACポートは、10-28Vの入力に対応し、口さえ合えば大体のACアダプタが使えます。最初からついてきたのは24V0.5Aだったので、大体12W前後あればよさそうな感じがします。




 奥行きです。横に長いものの、奥行きはものすごく短く、大体SSDと同じくらいの大きさでした。

 LCDを前面ではなく上面に配置し、より小型化したRB2011UAS-INというモデルがあるので、自分のように19インチラックを持っていない場合はこちらの方が設置には融通が利くかもしれません。




 電源を入れたところです。電源確認の青色LEDが思いの外輝度高いです。某DCの某ルーターで状態確認用青色LEDに養生テープが貼ってあったのを思い出します。丁度ネットワークラックの目の高さに置いてあったので、作業中にLEDの光が目に刺さって痛かったのでしょう。

 そんなことはどうでもよく、1Uサイズでラックマウントキットもついているので家で使うことはあんまり考えられていない気がしますが、人によっては寝床に置くには明るすぎるというかもしれません。その際には養生マスクがおすすめです。常時足元燈にはいいかもしれません。ちなみにファンレスです。




 次に、LCDです。このルーターにはLCDが搭載されていて、感圧式なもののタッチパネルなので、ぽちぽちとここから色々いじれます。




 PINの認証をすると、タッチパネルからシステムインターフェースのIPの設定も出来ます。あくまで簡易的なものなので、ここからVLANの設定などは出来ません。ちなみに初期PINは1234です。





 実用的なのは、このスループットグラフです。タッチすることによりppsとbpsを切り替えられます。この画面から抜けるには下から上にフリックする必要があるのですが、前述の通り感圧式なのでフリック系の作業は指の腹ではつらい時があります。ですが、物珍しくて面白いです。
 それ以外にも、Uptime、温度、入力電圧などの情報を一定間隔で切り替えるInfomationSlideshowというものもあります。


機能について



 まだ全ての機能を検証した訳ではないので、さわりだけ紹介します。

 RBを操作する方法として、WebFigというWebGUIを使う方法と、Winboxと言う専用アプリケーションを使う方法があります。どちらも操作できる内容としては同じなのですが、Winboxの方はIPでアクセスできなくてもシステム用ブリッジに繋がっていればMACアドレスを元にログインできるので、IPを変更したあと繋がらなくなってしまった場合につかえます。

 それらを使いインターフェースを設定していきます。インターフェースの種類は、物理インターフェースの他に、以下のようにVLAN、Bonding、GRE、EoIP、OpenVPN…など、大体のトンネルは制覇してそうな感じに種類があります。




 物理インターフェースは、デフォルトではeth1だけが別扱いで、それ以外はbridge-localというブリッジに繋がっていてL2として動きます。




 デフォルトのFWは以下のようになっています。




 NATのセクションでは以下のような設定が入っていて、デフォルトではeth1がWANインターフェースとして動いていて、内側の通信はマスカレードされて外に出て行きます。




 機能についてはまだまださわれていませんが、ぱっと見こんな感じです。



みんな大好きiperf




 とりあえず、素の状態でiperfしてどの程度でるか、と言うのが気になるので、特にチューニングせずiperfしていきます。
 今回はいつもの構成ではなく、以下のように一つの物理マシンをESXi5.5を入れ、VMを内部で2台動かし、ポート1とポート2でそれぞれのvSwitchを作成し、VM1とVM2の通信をこのポートを使って通信するように設定してます。ほんとは別件でVMサーバとして使おうと思いつつ放置していたサーバなのですが、ついでなので使いました。
 RBとサーバの間に挟まってる何かは今回全く使っていないので無視してください。




 HW構成
M/B : Supermicro X9SCL-F
CPU : Xeon E3-1225 V2
Mem : ECC UDIMM 4x4GB 1333MHz
NIC : Intel 1000PT/QuadPort
OS : VMware ESXi 5.5

テスト環境OS
割り当てCPU 2CPU
割り当てMem 2GB
OS Debian 7.2/x86-64
NIC : vmxnet3
1を作成後、vCenterServerよりクローンを行い2を作成したため、全く同じ構成のVMです。また、VMにはvmware-toolsが入っています。

  まずは、ループバックを作りiperfを行い、vmwareのカーネルの限界がまだ来ていないことを確認します。




 どうでも良いですが、かしめ器が有るとつい限界まで短いケーブル作ってしまいますよね。作ったあと、短すぎて自分でも何に使うか分からなかったのですが今回役に立ちました。

 以下のコマンドを実行した結果です。そのまま貼ると長くなるので結果だけ貼ります。

for a in {1,2,4,8,16,32,64,128} ; do iperf -c IP -i 1 -w ${a}K >>iperf_direct.txt ; done


 上からTCP Window sizeを1K、2K,4K、8K、16K、32K、64K、128Kと変化させました。


[ 3] 0.0-10.1 sec 159 MBytes 133 Mbits/sec
[ 3] 0.0-10.0 sec 624 MBytes 523 Mbits/sec
[ 3] 0.0-10.0 sec 566 MBytes 474 Mbits/sec
[ 3] 0.0-10.0 sec 794 MBytes 666 Mbits/sec
[ 3] 0.0-10.0 sec 996 MBytes 835 Mbits/sec
[ 3] 0.0-10.0 sec 1.09 GBytes 939 Mbits/sec
[ 3] 0.0-10.0 sec 1.10 GBytes 941 Mbits/sec
[ 3] 0.0-10.0 sec 1.10 GBytes 941 Mbits/sec


 物理マシン同士で実行してもこの程度なので、ハイパーバイザがネックになることはまだないと思われます。また、結果は1秒おきに出力しましたが大きなブレはありませんでした。

 この値を元に、ケーブルをRBのポート2と3に繋ぎ、同じようにiperfしてみました。


[ 3] 0.0-10.0 sec 153 MBytes 128 Mbits/sec
[ 3] 0.0-10.0 sec 520 MBytes 435 Mbits/sec
[ 3] 0.0-10.0 sec 556 MBytes 466 Mbits/sec
[ 3] 0.0-10.0 sec 738 MBytes 619 Mbits/sec
[ 3] 0.0-10.0 sec 844 MBytes 707 Mbits/sec
[ 3] 0.0-10.0 sec 1.02 GBytes 879 Mbits/sec
[ 3] 0.0-10.0 sec 1.06 GBytes 910 Mbits/sec
[ 3] 0.0-10.0 sec 1.06 GBytes 908 Mbits/sec


 若干の劣化はありますが、許容の範囲内だと思います。また、通信があるとLCDのインターフェース選択部分にも反映されます。








 このように、見てて面白いです。某店の某サービス提供時に配布される某所のOEMの某ラグビー型の某WLAN APもLCDついているならYoutube再生機能とか言う訳の分からないゴミクズバグ機能をつけないでこっちをつけた方が数百倍役に立ったのではと思います。

 この写真を撮る途中に切れないように10分間iperfを流しましたが、フリーズや再起動などはありませんでした。

 さて、ブリッジ同士での通信が取れたので、今度はWAN側に当たるIPマスカレード先の物理マシンにiperfしてみます。物理マシンとはL2通信時にはほぼループ時と同じ値がでていることを確認しています。

 その結果、以下のようになりました。


[ 4] 0.0-10.1 sec 33.1 MBytes 27.6 Mbits/sec
[ 5] 0.0-10.0 sec 272 MBytes 228 Mbits/sec
[ 4] 0.0-10.0 sec 295 MBytes 247 Mbits/sec
[ 5] 0.0-10.0 sec 299 MBytes 251 Mbits/sec
[ 4] 0.0-10.0 sec 303 MBytes 254 Mbits/sec
[ 5] 0.0-10.0 sec 307 MBytes 257 Mbits/sec
[ 4] 0.0-10.0 sec 296 MBytes 248 Mbits/sec
[ 5] 0.0-10.0 sec 297 MBytes 249 Mbits/sec


 んー?これは…少し性能劣化が気になるところです。NATさせると性能が落ちる、というのはどっかの銀色のルーターを思い出しますね。それよりは数十倍早いですが。

 こちらではRoutingでも最低は698Mbpsは出るような気がしていたのですが、それには及びません。そこで、FastPathとは何か、発動条件は何か、と調べてみると、以下のような制限があることに気がつきました。

http://wiki.mikrotik.com/wiki/Manual:Fast_Path



IPv4 fast path is automatically used if following conditions are met:

firewal rules are not configured,
Traffic flow is disabled /ip traffic-flow enabled=no
Simple and queue trees with parent=global are not configured.
source interface is not bridge port or bonding slave
destination interface queue is set to only-hw-queue and no queue tree entries with parent="dst interface"
no mesh, metarouter interface configuration,
sniffer, torch and traffic generator is not running
connection tracking is not active
ip accounting is disabled (/ip accounting enabled=no);
VRFs are not set (/ip route vrf is empty);
Hotspot is not used (/ip hostspot has no interfaces);
IpSec policies are not configured (ROS v6.8)



 要するに、CPUがパケットを見ずに、チップ上でスイッチできる必要があると言う事みたいです。しかしfirewal rules are not configuredという制限はちょっと辛い…。。
 試しに、Fastpathが有効になるかどうか、全てのFWルールを削除し、ローカルブリッジからeth2とeth3を外し、単純なIPルーティングのみをさせてみました。
 Port2が192.168.87.1/24で、Port3が192.168.86.1/24で、それぞれを独立インターフェースとして動かし、それぞれの仮想マシンのでふぉげを変更したルーターのIPにしました。


[ 3] 0.0-10.1 sec 49.9 MBytes 41.5 Mbits/sec
[ 3] 0.0-10.0 sec 648 MBytes 543 Mbits/sec
[ 3] 0.0-10.0 sec 755 MBytes 633 Mbits/sec
[ 3] 0.0-10.0 sec 789 MBytes 662 Mbits/sec
[ 3] 0.0-10.0 sec 889 MBytes 746 Mbits/sec
[ 3] 0.0-10.0 sec 1.01 GBytes 864 Mbits/sec
[ 3] 0.0-10.0 sec 1.04 GBytes 889 Mbits/sec
[ 3] 0.0-10.0 sec 1.03 GBytes 889 Mbits/sec


 確かに、速度は戻りました。色々見てみると、やはりNATを有効にするとブリッジポートではないRoutingPort間の通信は300Mbps前後に落ち込んでしまうようです。

 このテストをした後、RB勉強会があったので中の人に聞いてみたところ、「CPUでの処理はお察しください。そういった方は32コアのCCR1036-8G-2S+EM をどうぞ」と言われたので、やはりそういう物みたいです。
 とはいうものの、新品実売価格1万後半のルーターでここまで遊べるルーターを見たことないので、ネットワークGeekにはとてもおすすめです。全然深いところを触れていませんが、GUIを触った感じで「ああこれは遊べるな」と思えます。

 まだまだ機能にさわれていないので、もっと遊んできたいと思います。誰か時間ください。]]> 【NetWork】IX3010のGigaインターフェースとS5100-8P-SIがきた http://xmms.jp/blog/index.php?entry=entry130924-025005



 2-3年くらい前からどっかに転がってないかなあと思っていたIX3010のGbEトランシーバーが手に入りました。性能は、NATなしの2IF間ルーティングだと770-800Mbpsで、NATを有効にしてしまうと750Mbps程度です。概ねNECの測定ページに書いてあるとおりです。PPPoEを有効にした計測はしてないのでわかりません。
 まあ、いまさらこれにこだわるよりもIX2105とか2215とかの方が性能いい上に消費電力も低いので、今となってはコレクションアイテムですね。しかもWANが100Mなので無意味という。
 一応LAN内セグメントのGibE化はできますが、それはL3使うべきといわれますね。




 どうでもいいのですが、3010にもUnivergeロゴが入ってるのと入ってないのがあるんですね。2015では知っていましたが、今まで全然気にしてなかったので気がつきませんでした。ロゴありが新しいほうです。
 違いは、使ってるNICチップの消費電力が下がっているのは把握してますが、そのほかは知らないです。





 次に、H3CのS5100-8P-SIです。なんでこんなものがあるかというと、今GS908Mが動いている階段裏のスイッチを(GS908Mがいろいろイケてないので)交換しようといろいろ探していたら、このページ に 「 Noise parameter
None」と書いてあるので「ああファンレスかー」と思ってジャンク品を落としましたのですが…。現実には静かながらもファンありだったという。この取説(PDF)には確かにファンありと書いてあるので事前調査が足りなかったということになるのですが、そんなのって…

 このスイッチが手元に来た直後はログインパスワードがかかっていたものの、bootROMにはパスがかかっていなかったので、起動後Ctrl+B連打でbootmanagerへ入り、起動ファイルをデフォルトにしてなんとかなりました。残っていた設定ファイルに特に面白いところはありませんでした。

 ちなみに、ファームウェアはH3CからHPになってからは公開されているのでこのファームが使えます。自分はbootmgrからTFTPを使ってアップしました。

 H3Cはコマンドラインの内容はまあいいとして、ネーミングセンスがいけてないと何度も思いました。system-viewというコマンドが一覧にあったとして、誰がここからvlanの設定をすると思うんでしょうか(conf t相当)。undoがCiscoのnoにあたると誰が思うでしょうか。
 一般的なshowがdisplayコマンドに当たるのですが、何度showと打ち込んだかわかりません。

 数時間いじっていたらなれたものの、久しぶりにいじる度にこの思いをするのは辛いですね。中身は悪くないのですが…。

 せっかくなので、H3Cコマンドラインで遊ぼうとstackingに参加させてGiga1/2/1とかできるかと思ったのですが、stackingは10Gインターフェースを使わないとダメな模様でした。virtual stacking的に動かないかなあと思ったのですがちがうんですね。それならclusterに参加させようと思ったのですが、よくわからずNDPでは見えるもののクラスタには誰も参加してくれませんでした。悲しい。ただ理解できてないだけですが。

 まあ、この程度の音なら無視できる範囲な気もするので、とりあえず交換する方向で検討中です。




 またおもちゃが入り次第また更新していきます。]]>