自宅サーバーでVPNサービスをオープン…WANからも繋がることを確認してこれでネット環境移行後も鯖環境はすべて引き継がれた

先日自宅ネット環境をNTT光に変えてモデムの設定をちょっといじってWebサーバーの公開に成功しているという話を書いた。

自宅サーバーのWebサイトのURLはこちら
MacOSXの新着アプリテスト記録とトラブルシューティング

それで先日時間切れになっていたVPNサービスの開通も設定してみた。

この記事を参考に自宅VPN鯖やってみたいという方にはまず以下の手順の準備が必要になるが、これをやれば自宅に自前のVPNサーバーを立てられてWANが繋がるところならどこからでも自宅のネットワークに繋ぐことができるようになる。
以下を参照のこと
無料DDNSサービスを使って自宅WEBサーバを実現してみた

VPN Activator

もしやるんならセキュリティの安全面からL2TPのみの公開が推奨。
詳細はリンク先を。

例によってモデムにアドホック接続をしたSurface
もう最近では「なんでMacで設定できるようにしないんだ」とか文句言わない
MacでもできるかもしれないけどNTTのことだからどうせWindowsのExplorerに
最適化されているに違いないからこんなところで余計な手間をかけない
…という割り切りになっている

「http://ntt.setup:8888/t/」で接続するとこういう業者向け設定リスト画面に入る
IPv4設定に入る

ここで静的NAPT設定に入るとNAT変換リストが表示されるので
ここで公開したいポートとルートをルータの設定に合わせる
リストの数字をクリックするとルールを編集できる

NAT編集画面
前回はここにWebサイト公開の設定を入れたが今回は積み残したVPN設定を入れた
自宅のVPNサーバーはセキュリティを考えてL2TPのみの公開にしている
上からTCP/UDPのプロトコル選択、外向けポート番号、
宛先のIPとそこのポート番号を入力していく

なおVPNサーバーを立てるにはWebサーバーも同じことだがIPアドレスを
固定するDHCP予約とポートマッピングの設定をルーターにも入れないといけない
AirMacを使っているならAirMacユーティリティを、他社のルーターを使っているなら
そのマニュアル指定の方法でDHCP予約とポートマッピングの設定をする

iPhoneから自宅のVPNサーバーに接続するには設定のVPNから
接続が完了すると上の接続環境表示に「VPN」の文字が現れる

iPhoneからiTerminalを使ってSSH接続をする

繋がるとSSH環境ではTerminalで使用可能なコマンドがほとんど使える
これは「あなたのお名前なんてーの？」と聞いたところ「MacBook ProのDarwinよ」と答えたところ

Mocha VNC LiteでMacの画面共有に接続するために設定を揃える

そしてつなぎたい端末をタップ…

Macの画面共有にVNC接続した状態
Mocha VNCならタップ、スワイプでマウス・トラックパッドの
操作ができるしキーボード入力もできるので
出先でMacをiPhoneやiPadなどで操れる

ネットワークトラブルシューティングの初級編・ループをWireSharkで見つけられるか

先日SNSで
「ネットワーク診断をして欲しいならパケットキャプチャーぐらいすっと出せ」
という趣旨の書き込みを見て、逆にパケットキャプチャーだけでトラブルの種類や発生箇所まで特定できるんだったらすごいなと感心していた。

仕事柄ネットワーク診断みたいなこともやるが、大概は系統図と首っ引きであっちこっち切り分けながらトラブルの原因や発生箇所の特定をやっているのでそういう、ログを見ただけでピタッと解決できるようなスマートなトラブルシューティングには憧れる。

ここでもWireSharkの使い方は簡単に解説しているが、あくまで解説したのはパケットをキャプチャして表示する手順だけで、そのキャプチャから何をどう読んだらいいのかは解説していない。

そういうことも勉強してみたくなった。

実際にトラブルを起こしてみて、表示がどう変わるのか試してみた。

ネットワークトラブルあるある…モバイルPCなどを随時LANに
挿せるようにイーサケーブルの口を出しておくことがある

そういう事情を知らない人が「なんだ線が抜けてるじゃないか」とかいって
ご親切にルータやハブの空いた口にこのケーブルを挿してくれるとここにめでたくループができる

それぞれの機器間でARPやICMPなどのやりとりが行われている
通常#3からブロードキャストは#1、２、４にしか飛ばないがループがあると
ネットワーク内に#3というホストも見えているので自分で自分に死活監視や名前解決のパケットを飛ばす
受け取った#3はネットワークの向こうに見えている自分に向かって応答パケットを飛ばし
そのパケットにまた応答することでパケットはグルグル循環する
このネットワークループはARPなどのブロードキャストパケットをネットワークの中に
グルグル循環させてどんどん雪だるま式にパケットは増大して数時間後にネットワークは落ちる
これがブロードキャストストームというネットワークトラブル

I/Oのヒストリーグラフを表示するとループを刺した
80secあたりで急激にパケット量が増大しているのがわかる
しかも間欠的にだんだん増大して許容量を超えるのは数時間から数日後というタチの悪さ
「何もしていないのに勝手にネットが壊れた」という素人さんがよくいう現象が完成する

ループができた途端にWebの表示は劇重になった
重くなるがしばらくは表示できるのがかえってこのトラブルのタチの悪いところだ
刺した瞬間にネットワークが落ちてくれれば原因を作った張本人も
「自分が悪いかも」と思ってくれるのだが…

同じネットワーク上でHuluの動画配信を受診していたモバイルは瞬間に落ちた
やはりサイズが大きい通信はそんなに時間が経たずに落ちる

これを物理的に系統確認をしないでパケットキャプチャーだけで診断できるのか試してみた
ARPパケットが激増して雪だるま式に増えるのかという予想に対して
ARPコマンドも打っていないのに30行もARPのログが残ったので
確かに多いことは多いのだが激増というほどでもない

それよりもmDNS、ICMPv6という項目が爆発的に激増した
mDNSはMulticast Domain Name System、ICMPはInternet Control Message Protocol
前者は接続ルールの解決、後者は機器間死活監視のプロトコルだ
どうもネットワークのトラブルはそんな単純な理屈通りではないのかもしれない
今日は数分の実験だったが実戦では数時間から数日後にパニックになるので
そこまで引っ張ったらまた違う結果になるのかもしれない

やってみたけど、WireSharkのパケットキャプチャだけでトラブルの種類や発生箇所の特定はなかなか容易ではないかもしれない。

今回検出のmDNSもICMPv6もDistinationを見ると外向きの通信なので、内側が本格的にトラブルまで数時間はやはり放置しとかないといけないということなのかも。

いつか時間があるときにまた実験してみよう。

というかオ・ライリーのネットワーク診断みたいな本があるんだから読んでから試せよ…ということなのかもしれない。
なんせこちとら現場叩き上げなんで。

やってみてから本は読むことにする。

ところでこのての
「線が抜けてるぢゃないか」
というおせっかいオジサンのせいでネットワーク全体が死ぬというトラブルの予防法は
「素人が触れるところにルータやハブを置かない」
ということに尽きる。

このトラブルは実話です。

実際こういうトラブルを経験しているネットワーク管理者は多いかもしれない。

自宅サーバーのDDNSサービスでずっと利用していたieserverが落ちているので自宅鯖不通状態が続いている…‥

自宅のWebサーバーで公開している当サイトのミラーの http://nmuta.dip.jp/と魚拓サイトがDDNSが落ちているためにずっと閲覧できない状態になっている。

同じ理由で自宅環境のVPNサービスも接続不可になっている。

先日ネットワークトラブルの実験のためにルータを再起動して、WANアドレスが変更されたのでDNSも更新しようとDDNSサービスのieserver.netさんに接続したらサービスサイトも接続できなくなっていた。

こういう状態がかれこれ一週間続いているので、とうとうサービス終了なのかと思ってググったら、なかの人のTwitterアカウントから障害の報告があがっていた。

ieserver.netさんにtracerouteしたら途中までは追跡するのでDNS自体は半死半生という状態のようだ
実際dip.jpドメインのサイトの幾つかは今でも表示できている

もう一週間も接続不可が続いているのでどういう事情だろうと思ったら
管理人さんのTwitterアカウントから障害報告が上がっていた
サービスが終了したというわけではないらしい

ieserver.netさんのDNSサービスは３月にもわりと長期間の接続不安定になる障害が起こっていた。

今回はIP更新のUIのサービスサイトも落ちているのでメインのサーバーがやられているということらしい。

この管理人さんの事情をよくよく聞けば、ビジネスというよりもほぼ趣味で無料サービスを運営し、DDNSサービスを２０年近く個人で続けているということ。

その間、会社で職場が変わったり会社が破綻して無職になったりフリーランスになったりしてその間も私財を投じてこのサービスを続けているそうだ。

２年ほど前にロシアやリトアニアからのbot大量取得アカウントなどの不正利用攻撃が大量に発生し、そのために接続が不安定になっていたとのこと。

そういやその頃接続が不安定だった時期があった。

このまま復旧しないなら他のDDNSサービスに乗り換えようかと思っていたが、この方の過去の経歴や経緯を見ていたらなんだか他人事とは思えないようなことが書いてあったので、今現在も接続できない状態だがこのまま様子を見ることにした。

１０年ほど前に何気なく使い始めたサービスだがいろいろ運営には苦労をされているようで、これも他人事とは思えない。

個人がボランタリーな動機でこういうサービスを２０年近くにわたって継続するというのは尋常でない根気と情熱だと思う。

頑張ってもらいたい。

長期使用不能になっていた自宅サーバーのDDNSサービスをieserverからDDNSNowに変更して接続が復活した…

当サイトのミラーサイトとして後悔しているWebサイトの表示が先月から接続できなくなっていた。

原因は自宅サーバーの公開に使用していたDDNSサービスのieserverさんのIP変更UIサーバーが長期にわたって落ちていたため。

５月の月初ぐらいから障害が起きていたようだが、たまたまそのタイミングで私の方でルータの再起動を伴う検証をやったもんだから、グローバルIPアドレスが変わってしまいDDNSとの紐付けを変更するUIサーバーが接続不能になっていたので、自宅サーバーがずっと公開できない状態になっていた。

DDNSサービスに関してはこちらを参照。
無料DDNSサービスを使って自宅WEBサーバを実現してみた

メインで使用しているMacserverさんがとても調子がいいのでWebサイトのバックアップはほぼ必要ないのだが、VPNサービスも公開して外出中でも自宅のファイルサーバなどを操作できるようにしていたのが、この１ヶ月使用できなかったのがなんとも不便だった。

ieserverさんには10年来お世話になっており、DDNSサービスの運用にはさぞやご苦労があっただろうからできれば変更したくなかったが、VPNが使えないのが不便なのでやはり乗り換えすることにした。
乗り換え先はこちら。
DDNS Now - 無料ダイナミックDNSサービス

DDNS Nowのトップ・登録ページ
登録は無料でユーザ名（＝サブドメイン）とパスワードを設定するだけというあっけない簡単さ
使用するパスワードには特に制約はないがあまりにも推測しやすいパスワードは避けること
驚いたのはサブドメインが前と同じnmutaが使用できたこと
こんな少ない文字数が使えるのは運用にさぞや苦労があるに違いない
この件は後で詳細を書く

DiCE client

ドメインとサブドメインの取得は簡単にできるが、自宅のグローバルIPアドレスとこのドメインの紐付けをしないといけない。

固定のIPアドレスを契約している人ならそのアドレスを契約ドメインに設定するだけだが、たいていの個人宅ではモデムやルータが再起動するたびにIPアドレスが変わるプロバイダーを使用しているに違いない。

ieserverさんの場合はそのIPアドレス変更のUIサーバーを公開していたが、DDNS Nowの場合はDiCE Clientの使用を推奨している。
クライアントはこちらでダウンロードできる。
DiCE DynamicDNS Client

あとDiCE Client入れたなりではDDNS Nowに対応していないので以下のページの手順に従って追加のプラグインのインストールが必要。
更新方法の解説 - DDNS Now

DiCEのページからクライアントのインストーラーmsiをダウンロードしてきてインストールする
公開されているのはWindows版とLinux版だけでMac版はない
なんでMac版を出さないんだとかマカのような不平は言わず素直にWindowsにインストール

インストールが完了するとDiCEのインターフェイスが立ち上がってくる

アップデータもあるようなのでこれも追加でインストール

「イベント」メニューから「追加」をを開くと設定したいDDNSサービスの設定入力画面が開く

ところがこのままDDNS Nowのパラメーターを入れたら
「プラグインファイルが不正」という警告が出て設定が正しく反映されない

こちらのサイトから「DDNS Now用のプラグインと自動インストールバッチ」
をダウンロードしてきて.zipを展開する

この「DDNSNow」フォルダの中のpligin_installという
batファイルを右クリックで「管理者として実行」する
通常の起動ではProgram Files(86）にプラグインインストールは
できないのでかならずzipの外に出して実行すること

最近のWindowsの安全対策でバッチファイルからハンドオーバーされた
インストールコマンドはコマンドプロンプトでブロックされる仕様に
なっているのでどれかのキーを叩いて続行を許可する

これで正常に設定が入力できるようになった

UIのイベントリストにDDNSサービス登録が追加された様子

しかしプロパティを開くと「レスポンスを確認できませんでした」というエラーログ

そこで一度モデムを再起動してグローバルIPを変更させて
右クリック「今すぐ実行」で手動動作させてみた

プロパティは「正常にIPアドレスを更新」に変化

1分ほどで自宅のWebサーバーが表示できるようになった
おそらく先方のDDNSサーバーのTTLが30秒か1分ぐらいなんだと思う
まだGoogle Adsenseにドメインの承認を受けていないので広告は表示できていない

併設の放射脳の魚拓サイトもドメインが変わったのでプロフィール欄のURLを変更

iPhoneからのVPNも接続が可能になった

外部からiPhoneのiTerminalを使用してMacBook ProにSSLで接続した様子
シェルコマンドも正常に動いている

さらにiPhoneからVNC Liteを使ってMacBook Proのデスクトップ画面を表示
出先からiPhoneなどでMacの操作もできる

DiCEの目玉機能はIPアドレスが変わるたびに自動的にDDNSの更新が
できる機能だがこちらはなぜか上手く動かなかった
ひょっとしたらIPが変わったら28日ごとに更新されるということなのかな
まあ停電対策はあまり重視していないのでこれはこのままで使おうと思っている

ということで自宅サーバーが復活しWebサーバーも公開できるようになった。

当サイトのミラーはドメインが変わる。
MacOSXの新着アプリテスト記録とトラブルシューティング（自宅ミラーサイト）

放射脳魚拓集サイトの新しいURLはこちら
珠玉の放射脳魚拓集

今はもうFTPサーバーとかは使っていないが、本人的にはやはりVPNサーバーが使用できるようになったのが一番嬉しい。

ところでDDNS Nowで、nmuta.f5.siという非常にシンプルなドメインを取れたことに驚いている。

まえのDDNSサービスもそうだったけど海外からのスパマーやハッカーの踏み台サービスとして大量に悪用アカウントを取得されて、シンプルなサブドメイン名はほぼ
「他のユーザーによって使用されています」
という表示で登録できないところが多い。

VPNサーバーのURLならともかくWebサイトのURLであまり
http://Ax5hfT5_nmua348267tPpx.f5.si
みたいなドメインは使いたくないので、どういう運用をされているのか興味を持った。

登録ユーザーの振る舞いとか監視しているのかな？
メールアドレスの登録もないので怪しい振る舞いをしているユーザの元には警告も行かないはずだし、いきなりぶち切られるのかな？

こういう無料のWebサービスって運用面で難しさがあるので、興味深いところだ。