IIJmio の IPoE + DS-Lite 接続を設定した経験談です。

1. FreeBSD でおうちのルーター
vnet jail + IPoE + DS-Lite で幸せになろう
2017年6月30日
於 FreeBSD workshop
小野 寛生

2. 参考にした文書
●
以下の文書を参考にしています。
– 旧バージョン
● 「FreeBSDでおうちのルーター」 (2014/5/17, CBUG)
– vnet jail の利用
● Cheerful days
「FreeBSD 10.1-RELEASE + ezjail + VIMAGE」
– PPPoE (mpd5) …… まきHiki (消滅?)
– IPv6, IPoE
●
がとらぼ 「FreeBSDルーターでIPoE」
– DS-Lite
● IIJてくろぐ 「DS-Lite(RFC6333)をMacOS Xで利用する」
●
がとらぼ 「FreeBSDルーターでDS-Lite」
– ipfw …… RTFM

4. はじめに
●
ブロードバンド無線LANルーターとかあるのになん
で FreeBSD でちまちま設定すんの?
趣味です

5. やりたいこと
●
FreeBSD の PC 一台で
– 外とつなぐルーター
– ファイアウォール (+NAT)
– 内部向けのサーバー
– DMZでなんかサービス
とかやりたい。
●
外から接続するのが host 環境ってのはやだな。

6. 制約
●
非力なPCなので、ハイパーバイザはちょっと…
– Atom N270 (i386)
– メモリ 2GiB
●
一般人なので、Cisco とかSEILとかはちょっと…
– 自宅にラックとかもちょっと…

7. vnet jail
●
jail + ネットワークスタック分離
– (Solaris zone を目指した?)
●
kernel config に
options VIMAGE
が必要
– 12-current ではもう少しで GENERIC 入り
– pf は guest でパニックすることがまだあるよう
● 12-current ではだいぶなおっているよう

8. VIMAGE (vnet) による分離の例
●
通常の jail
– 同じ interface が見える
● ifconfig -a
● jexec jname ifconfig -a
●
vnet jail
– interface は vnet (host と jail ごと) に所属する
– 例
● ifconfig epair0 create → host に epair0a, epair0b
● ifconfig epair0b vnet jname
– ifconfig -a → epair0a だけ出てくる
– jexec jname ifconfig -a → epair0b だけ出てくる

9. 構成 (物理?)
EeeBox
Intel(R) Atom(TM) CPU N270
RAM 2GiB
HDD 80GB くらい

10. 構成 (ネットワーク?) before
mpd
+
ipfw
ISP
Flets Sq.
bridge0
re0
ng0
ng1
hub
epair0a
ue0
epair0b
epair2b
inner
gate
家用の無線
APもこっち
re0
forwarding 有効

11. 何をしていたか (before)
●
host
– FreeBSD 10-stable
●
gate
– mpd5 で ISP と Flets sq. に PPPoE 接続
– ipfw + nat でゲートウェイ&ファイアウォール
– unbound で cache DNS server
– sshd (の予定)
●
inner
– yadifad で 勝手 authoritative DNS server
● 勝手 = private IP に振っている
– isc-dhcpd bridge はこれのための面も

12. 構成 (ネットワーク?) after
ISP
bridge0
re0hub
epair0a
ue0
epair0b
inner
gate
家用の無線
APもこっち
re0
ipv4 forwarding 有効
Ipv6 forwarding 無効
ipfw
gif0
dc
epair4bepair1b
※注意: re0 ではなく bridge0 にアドレスを振らないと
通信しない。

13. 何をしているか (after)
●
host
– FreeBSD 11-stable
●
gate
– IPoE で IPv6接続
– DS-Lite で IPv4接続
– ipfw で ファイアウォール
– Unbound で cache DNS server
●
dc
– Samba4 で AD DC
●
inner
– isc-dhcpd

14. VIMAGE (vnet) による分離
●
jexec gate sockstat -46
USER COMMAND PID FD PROTO LOCAL ADDRESS FOREIGN ADDRESS
unbound unbound 84054 3 udp4 192.168.8.1:53 *:*
unbound unbound 84054 4 tcp4 192.168.8.1:53 *:*
unbound unbound 84054 5 udp6 2409:10:----:53 *:*
unbound unbound 84054 6 tcp6 2409:10:----:53 *:*
root inetd 3047 6 tcp4 *:21 *:*
root inetd 3047 7 tcp6 *:21 *:*
root mpd5 2996 16 tcp4 192.168.8.1:5005 *:*
root mpd5 2996 19 tcp4 *:5006 *:*
root syslogd 2966 6 udp4 192.168.8.1:514 *:*
●
あとは、外向けに sshd, http (redirect) を開ける予定

16. 準備
●
VIMAGE kernel
●
Kernel modules
●
devfs.rules
●
vnet jail
●
ファイアウォール (ipfw)

17. 準備: kernel
●
VIMAGE
– Kernel configuration に
options VIMAGE
を追加して kernel 再構築が必要
– 12.0R からは GENERIC に入る
●
/boot/loader.conf
– Jail の中で使いたいモジュールは予めloadしておく
ipfw_load=YES
ipfw_nat_load=YES

18. 準備:kernel:参考
●
mpd5 を動かしたい場合は
ng_socket_load=YES
ng_tee_load=YES
ng_ether_load=YES
ng_pppoe_load=YES
ng_mppc_load=YES
ng_iface_load=YES
ng_ppp_load=YES
ng_tcpmss_load=YES
ng_ipfw_load=YES
ng_ipacctl_load=YES #optional

19. 準備: devfs.rules
●
もとからある devfsrules_jail ルールをもとに、log
をみえるようにする。
[devfsrules_unhide_log=10]
add path log unhide
[devfsrules_jail_bpf=11]
add include $devfsrules_jail
add include $devfsrules_unhide_log
add path ‘bpf*’ unhide #bpf はmpd5のため
[devfsrules_jail_log=12]
add include $devfsrules_jail
add include $devfsrules_unhide_log

20. 準備: jail
●
ez-jail で jail を用意し、jail.conf で制御する。
– ez-jail: 複数のjailを管理するのが楽。qjail とかでも
– jail.conf: 公式な jail の制御方法
●
rc.conf で bridge0, epair0 を作っておく。
– 昔は vnet が有効で destroy するとメモリーリークした。
– 今は、jail.conf で create, destroy しても大丈夫。
cloned_interfaces=”bridge0 epair0”
ifconfig_epair0a=”mtu 9216”
ifconfig_epair0b=”mtu 9216”
ifconfig_bridge0=”addm re0”

21. jail.conf (1)
allow mount;
allow sysvipc;
vnet; # VIMAGEを有効にする
host.hostname = “${jname}.example.net”;
path = “/usr/jails/${jname};”
devfs_ruleset = 12;

22. jail.conf (2)
exec.clean;
exec.consolelog
= “/var/log/jail_${jname}_console.log;
exec.system_user = “root”;
exec.jail_user = “root”;
mount.fstab = “/etc/fstab.${jname};
mount.devfs;
mount.fdescfs;
mount.procfs;

23. jail.conf (3)
$ifconfig = “/sbin/ifconfig”;
exec.prestart +=
“${ifconfig} epair${ifn}a up > …”;
exec.prestart +=
“${ifconfig} bridge0 addm epair${ifn}a > ...”;
exec.poststart +=
“${ifconfig} epair${ifn}b vnet ${jname} > ...”;
exec.poststart += “jexec ${jname}
${ifconfig} epair${ifn}b ${ip4addr}/24 > ...”;
exec.poststart +=
“jexec ${jname} /bin/sh /etc/rc”;

24. jail.conf (4)
exec.stop += “/bin/sh /etc/rc.shutdown”;
exec.poststop +=
“${ifconfig} bridge0 deletem epair${ifn}a”;
exec.poststop +=
“${ifconfig} epair${ifn}a down”;

25. jail.conf (5)
gate {
depend = “inner”, “dc”;
devfs_ruleset = 11;
allow_rawsocket; #mpd5
securelevel = 2;
vnet.interface = “ue0 gif0”;
$ifn = 0;
$ip4addr = 192.168.0.1;
}

26. 構成 (ネットワーク?) after
ISP
bridge0
re0hub
epair0a
ue0
epair0b
inner
gate
家用の無線
APもこっち
re0
ipv4 forwarding 有効
Ipv6 forwarding 無効
ipfw
gif0
dc
epair4bepair1b

27. IPoE と DS-Lite (rc.conf)
●
vnet jail (gate) の rc.conf
cloned_interfaces=”gif0”
# ipv6
ifconfig_ue0=”up”
ifconfig_ue0_ipv6=”inet6 accept_rtadv”
ipv6_cpe_wanif=”ue0”
ipv6_gateway_enable=”YES”
# DS-Lite
ifconfig_gif0_ipv6=
”inet6 tunnel $WAN $AFTR”
defaultrouter=”-iface gif0”
gateway_enable=”YES”

28. 実際はうまく動かなかった
●
vnet jail (gate) の rc.conf (修正)
cloned_interfaces=”gif0”
# ipv6
ifconfig_ue0=”up”
ifconfig_ue0_ipv6=”inet6 $WAN accept_rtadv”
ipv6_defaultrouter=”fe80::xxxx:xxxx:xxxx%ue0”
ipv6_gateway_enable=”NO”
# DS-Lite
ifconfig_gif0_ipv6=
”inet6 tunnel $WAN $AFTR”
defaultrouter=”-iface gif0”
gateway_enable=”YES”

29. ファイアウォール (ipfw)
●
いろいろ省略
– プライベートアドレス (v4)、リンクローカルアドレス(v6)
の排除とか
– icmp, ipv6-icmp は何を通すかとか
●
マニュアルを参考に、ip 部分をどう組み立てるかと
いう考え方を次ページに簡単にまとめた。

30. ipfw のルールを組み立てる
●
# anti IP spoofing (antispoof or verrevpath option)
add deny ip from any to any not antispoof in
●
# 出入口の NIC には IPv6 しか来ないはず
add deny ipv4 from any to any via ue0
●
# 動的ルールのチェックとルールに無いパケットの拒否
add check-state
add deny tcp from any to any established
●
# 動的ルール生成
add pass udp from any to any domain keep-state
add pass tcp from any to any https setup keep-state
●
# IPv6 は最後に素通し (DS-Lite)
add pass ipv6 from any to any

31. NPTv6
●
せっかくだから、IPv6 でも通信したい。
●
ファイアウォールは入れたい。
●
11-stable には (ということは11.1Rから) NPTv6 サ
ポートが入った。
→ 試してみたが、うまくゆかない
●
net.inet6.ip6.forwarding=1 すると、IPv4 (DS-
Lite) の通信が死ぬ。IPv6 は通信できる。

32. その他
●
DS-Lite の下だと mosh が使えないみたい
●
そういうわけで、NPTv6 を介して IPv6 でも通信し
たいのですが…

33. まとめ
●
vnet jail を使うことで、ハイパーバイザを使わない
でも
だけの構成で ファイアウォール + サーバーいくつ
かという環境をそれなりにネットワーク分離しつつ
構築できます。
●
面倒くさい割には、「無線LANルーター買ってくれ
ばいいんじゃね」という感じですが、趣味ですので。