Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Copyright 2017 FUJITSU CLOUD TECHNOLOGIES LIMITED
富士通クラウドテクノロジーズ株式会社
蓮沼 愼太郎
2017年07月21日
VyOS Users Meeting Japan #4
VyOSの開...
1Copyright 2017 FUJITSU CLOUD TECHNOLOGIES LIMITED
自己紹介
名前:蓮沼 愼太郎(Shintaro Hasunuma)
所属:富士通クラウドテクノロジーズ株式会社
(ニフティクラウドを作っている...
2Copyright 2017 FUJITSU CLOUD TECHNOLOGIES LIMITED
 最近のVyOSの開発状況の話
 VyOSの運用の話
今日話す事
3Copyright 2017 FUJITSU CLOUD TECHNOLOGIES LIMITED
最近のVyOSの
開発状況の話
4Copyright 2017 FUJITSU CLOUD TECHNOLOGIES LIMITED
http://slides.higebu.com/?vyos-201701.md#5
前回のVyOS Users Meeting Japan ...
5Copyright 2017 FUJITSU CLOUD TECHNOLOGIES LIMITED
開発状況
 VyOS 1.2.0
 isoイメージはbeta版として公開されている
– http://dev.packages.vyos....
6Copyright 2017 FUJITSU CLOUD TECHNOLOGIES LIMITED
on Debian Jessie
apt-get install opam pkg-config libpcre3 libpcre3-dev ...
7Copyright 2017 FUJITSU CLOUD TECHNOLOGIES LIMITED
 /usr/local/bin/vyconfdが出来る。
 これがconfig session管理、xmlをパースする役割
 my_cl...
8Copyright 2017 FUJITSU CLOUD TECHNOLOGIES LIMITED
http://blog.vyos.net/vyos-2-dot-0-development-digest-number-2
VyConf ar...
9Copyright 2017 FUJITSU CLOUD TECHNOLOGIES LIMITED
https://wiki.vyos.net/wiki/Vyconf_roadmap
開発状況
10Copyright 2017 FUJITSU CLOUD TECHNOLOGIES LIMITED
 vbashから開放される事、クライアントが
protobufで投げれば設定出来るので設定アプリ
ケーションの幅が広がりそう。
 my_...
11Copyright 2017 FUJITSU CLOUD TECHNOLOGIES LIMITED
VyOSの運用の話
12Copyright 2017 FUJITSU CLOUD TECHNOLOGIES LIMITED
 VPNつながらない
 VPN切れた
 仕様知りたい
/var/log/messages見れば基本的に原因が分るが、
多種多様な機種と...
13Copyright 2017 FUJITSU CLOUD TECHNOLOGIES LIMITED
root@vyos:/etc# diff -u ipsec.conf.backup ipsec.conf
--- ipsec.conf.ba...
14Copyright 2017 FUJITSU CLOUD TECHNOLOGIES LIMITED
# initiator cookieの取得
root@vyos:/home/vyos# grep ICOOKIE /var/log/plut...
15Copyright 2017 FUJITSU CLOUD TECHNOLOGIES LIMITED
wiresharkのdecrypt tableに設定
16Copyright 2017 FUJITSU CLOUD TECHNOLOGIES LIMITED
wiresharkのdecrypt tableに設定
17Copyright 2017 FUJITSU CLOUD TECHNOLOGIES LIMITED
before
18Copyright 2017 FUJITSU CLOUD TECHNOLOGIES LIMITED
after
19Copyright 2017 FUJITSU CLOUD TECHNOLOGIES LIMITED
 開発
 VyOS 1.2.0はパッケージ更新で精一杯
 VyOS 2.0は各コンポーネント開発中
 ByOS
※この発言は個人の見...
Copyright 2017 FUJITSU CLOUD TECHNOLOGIES LIMITED
Upcoming SlideShare
Loading in …5
×

VyOSの開発とか運用の話

1,674 views

Published on

VyOS Users Meeting Japan #4

Published in: Internet
  • Be the first to comment

VyOSの開発とか運用の話

  1. 1. Copyright 2017 FUJITSU CLOUD TECHNOLOGIES LIMITED 富士通クラウドテクノロジーズ株式会社 蓮沼 愼太郎 2017年07月21日 VyOS Users Meeting Japan #4 VyOSの開発とか運用の話
  2. 2. 1Copyright 2017 FUJITSU CLOUD TECHNOLOGIES LIMITED 自己紹介 名前:蓮沼 愼太郎(Shintaro Hasunuma) 所属:富士通クラウドテクノロジーズ株式会社 (ニフティクラウドを作っている会社) 仕事 • インフラエンジニア • ニフティクラウド上でVyOSを使ったVPNゲートウェイや ルーターのサービスを開発/運用してます • この前Interop 2017で話しました https://reg.f2ff.jp/public/session/view/4858 個人的なOSS活動 • FreeBSDのjailをlive migrationするパッチ(2015)
  3. 3. 2Copyright 2017 FUJITSU CLOUD TECHNOLOGIES LIMITED  最近のVyOSの開発状況の話  VyOSの運用の話 今日話す事
  4. 4. 3Copyright 2017 FUJITSU CLOUD TECHNOLOGIES LIMITED 最近のVyOSの 開発状況の話
  5. 5. 4Copyright 2017 FUJITSU CLOUD TECHNOLOGIES LIMITED http://slides.higebu.com/?vyos-201701.md#5 前回のVyOS Users Meeting Japan #3
  6. 6. 5Copyright 2017 FUJITSU CLOUD TECHNOLOGIES LIMITED 開発状況  VyOS 1.2.0  isoイメージはbeta版として公開されている – http://dev.packages.vyos.net/iso/current/  パッケージ更新だけで精一杯でconfig生成スクリ プトがperlからpythonに移行するのは厳しそう  VyOS 2.0  そもそもisoがない  各コンポーネント開発中
  7. 7. 6Copyright 2017 FUJITSU CLOUD TECHNOLOGIES LIMITED on Debian Jessie apt-get install opam pkg-config libpcre3 libpcre3-dev git git clone https://github.com/vyos/vyconf opam switch 4.03.0 opam install oasis opam install fileutils lwt ocplib-endian ounit pcre ppx_deriving_yojson sha toml xml- light batteries ocaml-protoc ./build-setup.sh ./configure --enable-tests make make install vyconf buildしてみた
  8. 8. 7Copyright 2017 FUJITSU CLOUD TECHNOLOGIES LIMITED  /usr/local/bin/vyconfdが出来る。  これがconfig session管理、xmlをパースする役割  my_cli_binの代替  /etc/vyconf.conf  socket指定などする。まだHTTP Bridge未実装。  https://github.com/vyos/vyconf/blob/master/test/data/vyconf d_config/vyconfd.conf.complete  現状make testでocamlのテスト流すぐらいし か出来なさそう  FreeBSDでもbuild出来た。 vyconf buildしてみた
  9. 9. 8Copyright 2017 FUJITSU CLOUD TECHNOLOGIES LIMITED http://blog.vyos.net/vyos-2-dot-0-development-digest-number-2 VyConf architecture
  10. 10. 9Copyright 2017 FUJITSU CLOUD TECHNOLOGIES LIMITED https://wiki.vyos.net/wiki/Vyconf_roadmap 開発状況
  11. 11. 10Copyright 2017 FUJITSU CLOUD TECHNOLOGIES LIMITED  vbashから開放される事、クライアントが protobufで投げれば設定出来るので設定アプリ ケーションの幅が広がりそう。  my_cli_binからvyconfdに変わる事で、VyOSの 操作系のプラットフォームの移植性が高まり そう。  ByOS(BSD kernel base VyOS)作りたい  config生成スクリプトがpythonに移植され始めたら本気出す ※この発言は個人の見解であり、所属する組織の公式 見解ではありません vyocnfさわった感想
  12. 12. 11Copyright 2017 FUJITSU CLOUD TECHNOLOGIES LIMITED VyOSの運用の話
  13. 13. 12Copyright 2017 FUJITSU CLOUD TECHNOLOGIES LIMITED  VPNつながらない  VPN切れた  仕様知りたい /var/log/messages見れば基本的に原因が分るが、 多種多様な機種との相互接続を行う場合、詳細 な調査が必要 →パケット解析 ソース解析 良くある問い合わせ
  14. 14. 13Copyright 2017 FUJITSU CLOUD TECHNOLOGIES LIMITED root@vyos:/etc# diff -u ipsec.conf.backup ipsec.conf --- ipsec.conf.backup 2017-07-20 21:28:11.729940113 +0900 +++ ipsec.conf 2017-07-20 21:28:03.489763167 +0900 @@ -5,6 +5,8 @@ config setup charonstart=yes interfaces="%none" + plutostderrlog = /var/log/pluto.log + plutodebug = "all" conn clear auto=ignore root@vyos:/etc# tcpdump –n –I eth0 –w ike.pcap port 500 & root@vyos:/etc# service ipsec restart IKEv1のdecrypt方法
  15. 15. 14Copyright 2017 FUJITSU CLOUD TECHNOLOGIES LIMITED # initiator cookieの取得 root@vyos:/home/vyos# grep ICOOKIE /var/log/pluto.log | ICOOKIE: 17 d8 9a 15 4f a6 bf 64 # encrypt keyの取得 root@vyos:~# grep "enc key" /var/log/pluto.log | enc key: 36 fd 39 1d d7 31 8f 4e 01 f0 47 9f 91 c9 20 cb | enc key: 9b 98 f5 37 8b cb 65 ef 42 d7 66 a5 5a 06 97 6a | enc key: f1 13 21 74 8e ee 87 bc c0 9a 80 10 42 ce 06 0c IKEのdecrypt方法
  16. 16. 15Copyright 2017 FUJITSU CLOUD TECHNOLOGIES LIMITED wiresharkのdecrypt tableに設定
  17. 17. 16Copyright 2017 FUJITSU CLOUD TECHNOLOGIES LIMITED wiresharkのdecrypt tableに設定
  18. 18. 17Copyright 2017 FUJITSU CLOUD TECHNOLOGIES LIMITED before
  19. 19. 18Copyright 2017 FUJITSU CLOUD TECHNOLOGIES LIMITED after
  20. 20. 19Copyright 2017 FUJITSU CLOUD TECHNOLOGIES LIMITED  開発  VyOS 1.2.0はパッケージ更新で精一杯  VyOS 2.0は各コンポーネント開発中  ByOS ※この発言は個人の見解であり、所属する組織の公式見解ではありません  運用  基本ログを見れば解決する  IKEv1のパケット解析も/etc/ipsec.confに2行追記 すれば可能です 次回VyOS自動テスト環境の話します!! まとめ
  21. 21. Copyright 2017 FUJITSU CLOUD TECHNOLOGIES LIMITED

×