Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

SEILでつくる、"最強"ご家庭用ルータ

6,147 views

Published on

[2018/03/14に開催した「IIJ Technical NIGHT Vol.4」の講演資料です]
SEILはオフィスだけでなくご家庭でもとっても便利に使えるんです!IIJスタッフの中にも実際に自宅のルータとしてSEILを使っている人が何人もいます。今回はそんなスタッフがconfigした"最強"のご家庭ルータをご紹介。DS-Lite・PPPoEマルチセッションetc…。
「自宅ラック勢」もそうじゃない人も必見です。
講演者:兼子 敦史(セキュリティ本部 セキュリティオペレーションセンター)

Published in: Internet
  • Be the first to comment

SEILでつくる、"最強"ご家庭用ルータ

  1. 1. Copyright Internet Initiative Japan Inc. “最強”のご家庭ルータ SEIL Family を使ってもっと快適に 株式会社インターネットイニシアティブ セキュリティオペレーションセンター 兼⼦ 敦史
  2. 2. Copyright Internet Initiative Japan Inc. 1 ⾃⼰紹介 • ⽒名 兼⼦ 敦史 • 所属 IIJセキュリティオペレーションセンター • 経歴 2003年 IIJに新卒として⼊社 ⼊社当初 IIJのセキュリティサービスの運⽤に従事 (IIJ VPNスタンダード、初代Omnibus、IIJ IDSサービス等) ・当時から SEILの印象は組込型BSDの多機能ルータのイメージ その後、インテグレーション部隊に異動し、顧客向けインテグレー ション、サービス体制の管理部⾨、サービスを横断的に導⼊/顧客 対応を実施する部署を転々として2016年4⽉よりセキュリティオペ レーションセンターにて業務に従事 若かりし頃の写真
  3. 3. Copyright Internet Initiative Japan Inc. 仕事と SEIL Family ・実は SOC でも SEIL Family を多く利⽤しています。 BPV4 と SA-W2 顧客先に設置してログを転送するための機器として ・管理コンソール(SACM)と機器(BPV4, SA-W2)の両⽅をサービスで利⽤ SEIL / X86 設備側でログを転送するための機器として 仕事としても便利に利⽤できる SEIL Family をご家庭でも⾊々使えますので、是⾮チャレ ンジしてみてください。
  4. 4. Copyright Internet Initiative Japan Inc. SEIL Family との出会い ・SEILを知ったきっかけ ⼊社前に SEILという⾃社ブランドのルータがあることを知る ・SEIL 愛 に⽬覚めたきっかけ 同期が社販制度を作った時に当時発売を開始したばかりの SEIL Turboを買ったのがきっかけ。 ・ 社 会 ⼈ に な っ て 間 も な か っ た の で 、 社 割 が 適 ⽤ さ れ た に も 関 わ ら ず ⾼ 額 商 品 を 買 っ て し ま い 数 カ ⽉ 間 貧 乏 ⽣ 活 を し た 思 い 出 が あ り ま す 。 ま た 、 ル ー タ な の に CompactFlash が さ せ る 点 や 、 ⾒ た ⽬ も カッコよく重厚感があります。 当時 SEIL Turbo を買ったときに SEIL開発の⼈に SEIL 2FE Plus を 4台買ったほうが安くていろいろできると買った後に⾔われて衝撃的 だったことを今でも覚えています。(Turbo を買うってことじゃないんだ。。。。と、でも後から考えてみるとルータで遊ぶのであれば、 それも⼀案だったかなと今でも覚えています。) ・SEILを触り始めたきっかけ 会社に⼊って VPNサービスの上位回線終端ルータとしてSEILを使い始めた。 当時は触り始めなので、細かな設定⽅法等がわからない状況だったが、ルータとしての設定はコマンド を数⾏設定するだけで⼤量の PPPoEルータが作れてとても便利だった。
  5. 5. Copyright Internet Initiative Japan Inc. 兼⼦ʼs SEIL Family ・所有している SEIL Family(持ってるだけも含む) SEIL SEIL DSU SEIL /neu 128 SEIL /neu T1 SEIL /neu 2FE SEIL /neu 2FE Plus SEIL / Turbo SEIL / X1 SEIL / x86 ・お気に⼊りの⼀品 SEIL Turbo ・社販で買った新品は、電源ユニット内のコンデンサ破裂で10年⽬にお亡くなりに なってしまいましたが、後で中古で買った2世が今でも現役活動中です。 IIJ DSUセット⼀式 OEMモデルも出してました 検証⽤に並べやすかった 2FE Plus
  6. 6. Copyright Internet Initiative Japan Inc. 5 我が家の Network と SEIL Family ⾃宅 別場所 SEIL TurboSEIL X1 SEIL X1 The Internet 我が家での SEIL利⽤機能 1. DS-Lite(今回の紹介) 2. DS-LiteとPPPoEの併⽤(今回の紹介) 3. 拠点間VPN 4. リモートアクセスVPN(SSTP) 5. 動的ルーティング(OSPF) 6. ポリシールーティング/Static⾃動切換 7. Wake on Lan 8. SEILの持つ便利な運⽤機能(今回の紹介) tcpdump・measureの便利ツール HTTPサーバ、telnet/ssh Client・Server 等 フレッツ 光ネクスト アパート 共⽤回線 サーバPC無線LAN ルータ ノートPC 家電 IIJmio インターネッ トマルチ フィード 他ISP
  7. 7. Copyright Internet Initiative Japan Inc. 6 DS-Lite ⾃宅 SEIL X1 The Internet ■DS-Lite とは DS-Lite(Dual-Stack Lite)は、RFC6333で規定された通信規格で、本機能を利⽤することにより、IPv6のみ の通信環境においてIPv4 over IPv6技術を利⽤し、IPv4での通信も可能となります。詳細に関しては、下記を 参考ください。 参考:https://www.iijmio.jp/guide/outline/ipv6/ipv6_access/dslite/ http://techlog.iij.ad.jp/archives/1254 ■DS-Lite の⻑所 現在通信が遅い環境(ISPやフレッツの網終端装置の混雑等でPPPoE接続で安定したスループットが 出ない場合)でも DS-Liteを利⽤することで改善できる可能性があります。 ■DS-Lite の短所 グローバルアドレスへの変換を⾏う環境がキャリア側にあるため、⼀般的な外部から⾃宅にアクセ ス(ポートフォワード等)を⾏うことができません。また、NAT時に割り当てられるポート数が、 PPPoE環境より少ないため、⼤量にポートを利⽤するアプリケーション等は動作しない場合があっ たりします。 ■SEIL を使った Config ■利⽤結果 試した際、今回はそれなりに早くなった(ように⾒えました。) とはいえ、短所も克服したい (例:外部から内部のサーバを操作したい)!!! ※設定を作る際の参考サイト https://www.seil.jp/blog/ds-lite.html フレッツ 光ネクスト PC無線LAN ルータ ノートPC 家電 IIJmio インターネッ トマルチ フィード 他ISP option ipv6 avoid-path-mtu-discovery off interface lan0 add 192.168.100.1/24 interface lan1 add router-advertisement interface tunnel0 tunnel dslite gw.transix.jp interface tunnel0 unnumbered interface tunnel0 mtu 1500 route add default tunnel0 route6 add default router-advertisement interface lan1 filter add OUTGOING interface tunnel0 direction out action pass state enable logging off filter add INCOMING interface tunnel0 direction in action block logging on filter6 add DSLite interface lan1 direction in/out action pass protocol 4 state disable logging off dhcp enable dhcp mode server dhcp interface lan0 enable dhcp interface lan0 expire 24 dhcp interface lan0 pool 192.168.100.11 127 dhcp interface lan0 dns add 192.168.100.1 dhcp6 client enable dhcp6 client interface lan1 dns forwarder enable dns forwarder add dhcp6 resolver enable resolver address add dhcp6 ⾃宅利⽤DS-Lite⽤Config(抜粋) ●DS-Lite使⽤前 ●DS-Lite使⽤後 測定時利⽤したサイト:http://www.musen-lan.com/speed/speed-img.html
  8. 8. Copyright Internet Initiative Japan Inc. 7 DS-Lite と PPPoEの併⽤ ⾃宅 SEIL X1 The Internet じゃあ PPPoEと併⽤すればいいんじゃない!? ■DS-Lite と PPPoEの併⽤の⻑所 IPv4経由で外部からのアクセスを⾏う際には、PPPoEを利⽤して通信を⾏って、 ⼀般的な通信はDS-Liteを経由させることでお得感を出してみる。 ■SEIL を使った Config 先ほどの Config に追加してみる…(TVのアドレスが 192.168.100.241の場合) ■利⽤結果 通常の通信は、DS-Lite経由TVのみ PPPoE環境でアクセスできました。 ※Config は、DS-Lite 側にDefaultGateway を向けていますが、特定の 端末のみ DS-Liteへ向けるようにして、通常時は PPPoE(IPv4)で Web⾒るだけ等の外向き通信がメインにすることが可能です。 要は、必要な回線設定を⾏った上でルーティング設定で複数の回線接続(PPPoE、 DS-Lite、複数のISP等)を制御できるようになります。 フレッツ 光ネクスト PC無線LAN ルータ ノートPC 家電 IIJmio インターネッ トマルチ フィード 他ISP filter add TV interface lan0 direction in action forward pppoe0 src 192.168.100.241 enable nat snapt add protocol tcp listen 10080 lan1 forward 192.168.100.241 80 enable ※PPPoEの設定は別で設定ください。 例:route add default pppoe0 filter add DS-Lite-NW interface lan0 direction in action forward tunnel0 src 192.168.100.32/27 enable
  9. 9. Copyright Internet Initiative Japan Inc. 8 SEILの便利な機能群 tcpdump(パケットダンプ機能) ■どんな時に便利? SEILを経由してパケットが SEILを経由しているかを確認する上で重要なコマンド (SYN 等の3way-handshakeや通信途中のパケットダンプやasci やHEXを確認できる等) ■SEILで利⽤した場合のコマンドと結果 tcpdump interface lan0 count 100 print-mode both expression “host XXX.XXX.XXX.XXX” ※ expression を使うことで、tcpdump の細かな指定が可能。試しにやってみるとこんな感じ。 # tcpdump interface lan0 count 100 print-mode both expression "host 192.168.10.7" 21:09:15.747571 IP XXX.XXX.XXX.XXX.443 > 192.168.10.7.38114: Flags [.], ack 2706487727, win 210, options [nop,nop,TS val 3199383872 ecr 1340998779], length 0 0x0000: 4528 0034 d1f5 4000 2106 9218 3648 f496 E(.4..@.!...6H.. 0x0010: c0a8 0a07 01bb 94e2 0a6f 90ed a151 b9af .........o...Q.. 0x0020: 8010 00d2 2705 0000 0101 080a beb2 b940 ....'..........@ 0x0030: 4fee 047b O..{ ※アプライアンス製品で tcpdump ができる本体はあまりないかなと思います。
  10. 10. Copyright Internet Initiative Japan Inc. 9 SEILの便利な機能群 measure(iperfを使った通信計測機能) ■どんな時に便利? 通信が遅い場合等どれぐらい通信が出ているかを遠隔環境でルータ間等で実施可能 ※Linux の iperf が利⽤できます。 ■SEILで利⽤した場合のコマンドと結果 - iperfクライアントとサーバ間で確認 (1台⽬)measure iperf server start (2代⽬)measure iperf client X.X.X.X transfer-rate 100 - ⼀般的なサーバよりファイルを取得する場合 measure download http://www.iij.ad.jp ※巨⼤なファイルは取得できない場合があります (ISOイメージとかは難しい場合あり)
  11. 11. Copyright Internet Initiative Japan Inc. 10 SEILの便利な機能群 telnet/ssh機能(リモートアクセス機能) ■どんな時に便利? telnet/ssh 共にサーバ、クライアントの両⽅ の機能があるので、踏み台サーバとしての利 ⽤や telnet を使ったポート単位での通信確認 等ができます。 ■SEILで利⽤した場合のコマンドと結果 #telnet 192.168.10.2 80 Trying 192.168.10.2 (port 80)... Connected to 192.168.10.2. Escape character is '^]'. #ssh 192.168.10.2 ※ linux コマンドと同じ感覚で利⽤可能 サーバ機能も telnetd enable/sshd enable で起動 できコマンドラインで設定が可能 ※外部で使う場合は、telnetd/sshd access等を使ってフィルタを忘れないで。 HTTPサーバ機能(Webサーバ機能) ■どんな時に便利? テストでWebサーバを利⽤する際Apacheの設定が ⼿間だなと思った場合は、SEILを置くことで簡単 に準備可能 ■ SEIL で 利 ⽤ し た 場 合 の コ マ ン ド と 結 果 #httpd enable コマンド⼀つで SEILが HTTPサーバに早変わり X86を使うことで⼤量のWebサーバを作成可能 ※外部で使う場合は、httpd accessを使ってフィルタを忘れないで。
  12. 12. Copyright Internet Initiative Japan Inc.

×