2013年11月24日日曜日

RTX810にVLANを設定する

自宅LANを使って色々な実験をしようとすると、どうしてもローカルIPアドレスを参考書籍に合わせたくなったり、DHCPサーバーやDNSサーバーなどすでに動作している「本番環境」に影響を与えてしまうサーバーを動作させるのに不便なため、自宅ルーターのYAMAHA RTX810にVLANを設定し、検証用ネットワークを新たに設けてみました。

手始めにYAMAHAの公式サイトにて、VLAN関係のリファレンスを読んでみますが、「LAN分割」と「ポート分割」って何だよ!別々の機能なの・・?という具合に訳が分からなくなってしまいましたので、(単に私のネットワークスキルが低いだけかもしれませんが)ひとまず両者の機能について整理してみます。


・LAN分割機能: ポートごとに接続されるネットワークを分ける機能。
各ポートのサブネットが独立し、それぞれ別のネットワークとして機能させることができる。

例)
1番ポート 192.168.1.1/24のネットワーク
2番ポート 192.168.1.1/24のネットワーク
3番ポート 192.168.2.1/24のネットワーク
4番ポート 192.168.2.1/24のネットワーク
※パケットフィルタリングの設定をすれば、ネットワーク同士の通信も制御可能。

【コマンド記述】
port-based-optionの指定は =divide-network

・ポート分離機能: ポートごとに接続される端末の通信を分ける機能。
ポートごとをグループ分けし、相互通信が可能な端末とそうでない端末を分離させることができる。

例)
1番ポート 192.168.50.1の端末
2番ポート 192.168.50.2の端末
3番ポート 192.168.50.3の端末
4番ポート 192.168.50.4の端末
※1,2,3番ポートの端末同士の通信はOKだが、4番ポートの端末から他の端末には通信不可。

【コマンド記述】
port-based-optionの指定は =split-into-[分割したいポートを列挙]


用途から言えばLAN分割機能は純粋なVLANなので、フロアごとに部署がある企業などでネットワークを分離することを想定し、ポート分離機能は小企業や家庭などで所謂ネットワーク利用を「制限された端末」を作るのに使ってくださいということなんでしょうか・・。今回は「VLANを設定する」ことが目的なので、LAN分割機能を使った設定を試みます。

注意点として、VLANの設定はコマンドを打つ必要があり、ネットワークの設定を変更するためコンソール接続で行うのが無難です。(Telnetで手順を間違えると、ネットワークが繋がらなくなります。)

【設定例】
lan type lan1 port-based-option=divide-network
※ LAN1デバイスにVLANを使う設定
vlan port mapping lan1.1 vlan1
vlan port mapping lan1.2 vlan1
vlan port mapping lan1.3 vlan1
vlan port mapping lan1.4 vlan2
※ LAN1:1番-3番ポートはvlan1に、LAN1:4番ポートはvlan2にグループ分け
ip vlan1 address 192.168.100.1/27
ip vlan2 address 192.168.150.1/27
※ vlan1,vlan2のIPアドレスを設定する
provider vlan1 name 100subnet
provider vlan2 name 150subnet
※ vlan1,vlan2にニックネームを付ける
【OSのネットワーク設定 :MacOSX 10.9】
osx_vlanether

ちなみに今回の設定では、分割したネットワークにDHCPスコープを設定したり、フィルタリングの設定は行っていません。別途設定が必要な場合は「Open The Next」さんのブログ記事が参考になりそうです。

【LAN分割機能】
http://www.rtpro.yamaha.co.jp/RT/docs/lan-divide/
【RTX810: LAN1 に VLAN を設定したメモ】
http://www.manabii.info/2013/05/rtx810-vlan-setting.html

2013年11月17日日曜日

ReadyNAS 104をWINSサーバーにする・他

先日購入したReadyNAS 104を少々カスタマイズしてみました。

ReadyNAS 104はベースとなるOSにDebian GNU Linuxを採用し、ファイルサーバー(SMB)の機能はOSSである「Samba」によって構成されています。そんなわけで、せっかく24時間稼動するNASをもう少しLinuxサーバーらしく使ってみる方法はないものかと前々から考えていたのですが、手始めに「Samba」の機能拡張に挑戦してみることに。

とりあえず実現したい設定はこんな感じです。

1. SSHでメンテナンスが行えるようにする。
2. デフォルトでは共有フォルダのドットファイルが表示されるように
なっていて少々邪魔くさいので、非表示にする。
3. マスタブラウザ / ドメインマスタブラウザにする。
4. どうせなら、WINSサーバーにもなってもらう。
5. remote announce / remote browse syncのパラメーターをonにして、
VPNを張っている実家からWindowsの「マイネットワーク」等でReadyNASや
自宅のPCがブラウジングできるようにする。


1.のSSH接続の設定は簡単で、WEB管理画面からSSHサービスの機能をオンにするだけ。以前のReadyNASはSSH接続のためのアドオンを公式サイトからダウンロードし、インストールする必要がありましたが、こちらのサイトによればReadyNAS 102 , 104はWEB管理画面から機能のオンオフが可能になっているようです。

readynas_web

ただ、ReadyNASのSSH接続は何故か一般ユーザーではなくrootユーザーしかログインできない設定になっていたりします。(普通は逆なんだけどな・・。)

rootのパスワードですが、初期状態だとWEB管理画面で使用するadminのパスワードと同じものになるので、adminのパスワードをターミナルに入力してログインを試みます。

readynas_ssh

無事にログイン成功。

引き続き2.から5.までの設定のため/etc/samba/smb.confを確認してみると、やはりマスタブラウザやWINSの設定はされていないため、[global]セクションに下記を追加します。ところで、ReadyNASのsmb.confは/etc/frontview/samba/以下の個別ファイルをインルードし、クライアント別や、共有別に設定ファイルを読み込むようになっていたのがとても気になりました。

・・Sambaってそんなこともできるんですね。
os level = 128
preferred master = Yes
local master = Yes
domain master = Yes
wins support = Yes
remote announce = 192.168.100.31/WORKGROUP 192.168.200.31/WORKGROUP
remote browse sync = 192.168.100.31 192.168.200.31
hide dot files = yes

上から4行目まではマスタブラウザ / ドメインマスタブラウザ関係の設定、5行目はWINSサーバーの有効化、6-7行目は別セグメントになっている自宅と実家のネットワークアドレスにブラウジング関係の情報を通知する設定、8行目はドットファイルを表示しない設定になります。設定が終わったら念のため再起動をかけてから動作テストをします。ちなみに192.168.100.31 / 192.168.200.31は特定のサーバーのIPではなく、ブロードキャストアドレスです。(サブネット分割をしているため)

wins.datの確認(このファイルが出来ていれば、WINSが正しく動作している)
root@uranus:~# cat /var/lib/samba/wins.dat 
VERSION 1 0
"WORKGROUP#1e" 1384951700 0.0.0.0 e4R
"EARTH#00" 1384713086 192.168.100.10 64R
"WORKGROUP#00" 1384951700 0.0.0.0 e4R
"SMB_NSCHECK#ff" 1384714153 0.0.0.0 e4R
"URANUS#20" 1384951700 192.168.100.15 66R
"WORKGROUP#1b" 1384951700 192.168.100.15 64R
"URANUS#00" 1384951700 192.168.100.15 66R
"EARTH#20" 1384713086 192.168.100.10 64R
"URANUS#03" 1384951700 192.168.100.15 66R
マスタブラウザになれているか確認(ReadyNASのIPアドレスが帰ってくればOK)
root@uranus:~# nmblookup -M WORKGROUP 
192.168.100.15 WORKGROUP<1d>

とりあえず今回はここまで。別セグメントからのブラウジングは実家に帰った時にでも確認するとして、Windowsネットワークとブラウジング関係の勉強は、この辺がとても参考になりましたので、リンクを置いておきます。

【Windowsネットワークのブラウジング問題の解明】
http://www.samba.gr.jp/doc/browsing/
【複数セグメントでのマスターブラウザ、ローカルマスターブラウザの配置】
http://www.voodoomarketing.net/2007/07/post-364/
【Windowsネットワーク】
http://www.geocities.jp/hanoura123/browse/windows.htm

2013年11月15日金曜日

ロリポップ!レンタルサーバーのキャンペーンがアレな件

レンタルサーバーの「ロリポップ!」のページを何気なく開いたら、なにやら創業12周年キャンペーンをやっているようですが、そのプレゼント企画が完全に悪ノリでした。

okama
「ロリポップ!じゅじゅじゅ12周年記念 カマちゃんキャンペーン」
http://lolipop.jp/okama/


「オカマ(お釜)と金玉(金のお玉)が当たる!」

・・って、どーなのよコレ。
しかも、Twitterでツイートすることでキャンペーン応募を募るようですが、

「ツイートだけで、だれとでもイケちゃう」

なんてキャッチフレーズまで書いてあるし。


少し前に、ホクトのきのこCMがあまりにもセクシーすぎてあっという間に放送禁止になった。なんていう話題がありましたが、当のロリポップは8月にWordPressのパーミッション設定をミスって、大規模なユーザーサイトの改ざん事故をやらかしているだけに、被害に遭ったユーザーがこれを見たらどう思うのやら・・。「炎上マーケティング」もほどほどにしておかないと、本当に炎上してしまい笑えない事態になることもあるらしいので、ちょっと心配です。

2013年11月3日日曜日

ReadyNAS 104を購入しました

先日、自宅アパートと実家を拠点間VPNで接続したことをきっかけに、双方のネットワークから利用できるストレージがそろそろ必要かな?と思っていたのですが、職場にて

「NETGEARのコンシューマ向けNAS製品が高機能で良いらしい」

という評判を耳にしたことがきっかけで、ReadyNAS 104を早速購入してみました。

20131025-1

USBハードディスク分解中。このSamsing製HDDは認識すらしてくれませんでした。
20131025-3

20131025-4

合計4台までのハードディスクを搭載できるようです。
20131025-5

Seagate製のこちらのHDDはコンパチビリティリストにもあるため、一発認識でした。
20131025-6

20131025-8


とりあえず、HDDはバッファロー製の外付けハードディスク2台(中身はそれぞれサムスンとSeagate製のディスクが入っていました。)を分解して使うことに決め、NAS本体のみを購入してみたわけですが、ここで一つ問題発生。NETGEARのNASはハードウェア動作条件が厳しく、コンパチビリティリストに載っていなかったサムスン製の1TBのハードディスクは認識すらしてくれません。

幸い、2TBのSeagate製ハードディスクはコンパチビリティリストにあり、こちらはまったく問題なく使えることが分かったため、同じモデルのディスクを急遽Amazonで購入。HDD2台で合計2TBのRAIDを構築し、SMBを利用したストレージの利用や、MacのTime Machineバックアップ先ディスクとして利用する設定も難なく済ませることができました。


それにしてもこのReadyNAS、とてもコンシューマ向けとは思えないほど充実した運用ができるようで、ユーザー/グループを細かく設定しアクセスコントロールを行うことはもちろん、搭載OSがDebian GNU Linuxをベースにしているため、iSCSIの仮想ディスクとして使うことや、UNIXで使われるNFS対応、FTPアクセス、挙句の果てはSSHからの操作にまで対応しているようです。

巷のブログでは、このNASの自由度の高さを生かしてカーネルの再構築をしてみたり、LAMP環境をインストールしてWordPressを動かしている人(ここまで来ると、NASというよりただの自宅サーバーな気もする。)もいるようで、やろうと思えば「かなり遊べる」一品のようで・・。

私は今のところNASの「ハック」にはあまり興味はないのですが、時間が出来たら、VMware Fusionで別途動かしているCentOSのSambaにActive Directoryでも構築して、ReadyNASの認証をAD経由でやってみるくらいのお遊びにはいずれチャレンジしてみようと思います。
Related Posts Plugin for WordPress, Blogger...