2015年12月27日

pdns-recursor on CentOS6.7

この記事はDNS Advent Calendar 2015 - Qiitaの25日目の記事です。

自宅のDNSキャッシュサーバをローカル化しようとして
1台目:unbound
2台目:pdns-recursor
でたててみました。

unboundについては当ブログで何回か触れているので省略。
CentOS6.7にpdns-recursorをインストールした際の手順です。

■インストール
# rpm -ivh http://ftp.jaist.ac.jp/pub/Linux/Fedora/epel/6/x86_64/epel-release-6-8.noarch.rpm
# yum -y install pdns-recursor

■設定
# cp /etc/pdns-recursor/recursor.conf /etc/pdns-recursor/recursor.conf.orig
# vi /etc/pdns-recursor/recursor.conf
---
#local-address=127.0.0.1 ←これだと他のスタブリゾルバからの問い合わせに応答しない
local-address=0.0.0.0 ←これを追記することで他のスタブリゾルバからの問い合わせに応答するようになる
allow-from=127.0.0.0/8, 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12 ←これを追記して問い合わせを許可するIPレンジを指定
---
/etc/init.d/pdns-recursor start
chkconfig pdns-recursor on

これだけしか設定してないのにdnsperfするとunboundの6倍くらい性能出るんですけど。。
ぼくのunboundチューニングがイマイチなんだろうか…。

posted by maroon at 16:51| Comment(0) | IT_設定関連メモ | このブログの読者になる | 更新情報をチェックする

2015年12月22日

[さくらのクラウド]VPCルータとFortigateによるサイト間VPN

この記事はさくらインターネット Advent Calendar 2015 - Qiitaの22日目の記事です。

さくらのクラウドのVPCルータを使ってサイト間VPNを張ってみました。
サイト間VPNの設定についてはこちらに書いてありますが
このページの「動作確認済みアプライアンス」に含まれていない
Fortigateとサイト間VPNをしてみたいと思います。

ネットワーク構成の概略図です。
20151217.png


■VPCルータ側の設定

設定するVPCルータを選択します。
WS000002.JPG

[サイト間VPN]をクリックします。
WS000003.JPG

[追加]をクリックします。
WS000004.JPG

[対向IPアドレス]:FortigateのグローバルIPを入力
[対向ID]:FortigateのグローバルIPを入力
[Pre Shared Key]:任意の文字列を入力(Fortigate側にも同じ文字列を設定すること)
[対向Prefix]:FortigateのLAN側IPセグメントを入力(ここでは192.168.0.0/24)
[ローカルPrefix]:VPCルータ配下のIPセグメントを入力(ここでは10.0.0.0/24)
処理済〜WS000005.jpg

ちなみにPrefixはIPレンジを入力したあとEnterを押すと
IPレンジがポップアップで出てくるのでこれをクリックします。
クリックしないと値として登録されません。
ただのテキストボックスじゃないので要注意。。

設定できたら[反映]をクリックします。
処理済〜WS000006.jpg

■Fortigate側の設定
Web-UIにログインし、VPN→IPsec→自動鍵(IKE)を選択。
[フェイズ1を作成]をクリックします。
WS000009.JPG

[名前]:任意の文字列を入力
[リモートゲートウェイ]:今回は固定IPなので「スタティックIPアドレス」を選択
[IPアドレス]:VPCルータのグローバルIPアドレスを入力
[ローカルインタフェース]:FortigateのWAN側インタフェースを指定。今回はWAN1を選択。
[モード]:両方とも固定IPなのでメインを選択
[認証方法]:「事前共有鍵」を選択。英語で言うと「Pre Shared Key」。
[事前共有鍵]:VPCルータ設定のときに入力した「Pre Shared Key」と同じ文字列を入力
処理済〜WS000012.jpg

ここまでできたら[OK]をクリックします。

フェイズ1ができたので次はフェイズ2を作成します。
[フェイズ2を作成]をクリックします。
WS000013.JPG

[暗号化][認証]:3DESを削除してAES128・SHA1のみにします。
[DHグループ]:2か5のどちらかとされていますが5にします。
[送信元アドレス]:FortigateのLAN側IPセグメントを指定(ここでは192.168.0.0/24)
[宛先アドレス]:VPCルータ配下のIPセグメントを指定(ここでは10.0.0.0/24)
WS001405.JPG

ここまでできたら[OK]をクリックします。

以上でサイト間VPNの設定は完了です。

また、VPCルータでは先日「クローズド接続」ができるようになりましたので
その解説をしておきます。

今までは、サイト間のLANアドレス同士の通信はVPNトンネルを通り
さくらのクラウドからインターネットへの通信は
VPCルータでIPマスカレードされて出て行くという感じでした。
20151217-2.png

クローズド接続対応によって、下記のように
さくらのクラウドからインターネットへの通信も
VPNトンネルを通って、リモートサイトのネットワーク機器で
IPマスカレードされて出て行くということができるようになりました。
20151217-3.PNG

VPCルータにもファイアウォール機能がついていますが
詳細なログをとりたいとか、UTM的な機能を使いたいとか
いうときに有効な機能です。

設定はVPCルータのサイト間VPNで[対向Prefix]を0.0.0.0/0にします。
こうすると全ての通信がVPNトンネルを経由するようになります。
処理済〜WS000007.jpg
posted by maroon at 22:15| Comment(0) | IT_設定関連メモ | このブログの読者になる | 更新情報をチェックする

2015年12月21日

IDCFクラウドのDNS機能を使ってみる

この記事はDNS Advent Calendar 2015 - Qiitaの21日目の記事です。

各社パブリッククラウドのDNSサービスを使ってみるシリーズ第4弾
今回はIDCFクラウドです。

まずはログイン。
WS001390.JPG

最初の画面に「DNS」とあるのでクリック。
WS001391.JPG
WS001392.JPG

DNSゾーンを作ります。
WS001393.JPG

で、他社のサービスは、このあとレジストラでネームサーバを変更するだけだったんですが
IDCFクラウドのDNSにはドメイン認証というものがあるので、もう一手間かかります。
WS001394.JPG

ネームサーバをIDCFクラウドに向ける前に
レジストラのおまけDNSを使ってTXTレコードを名前解決できるようにします。
WS001397.JPG

引けるように設定したら、IDCFクラウドの画面に戻ってドメイン認証します。
WS001394.JPG
WS001395.JPG

認証OK!
WS001396.JPG

そしたらレジストラのページに戻ってネームサーバをIDCFクラウドに向けます。
WS001398.JPG

これでやっとIDCFクラウドのDNS機能が使えるようになったので
適当にAレコード追加してテストしてみましょう。
WS001400.JPG
WS001401.JPG

追加されました。では実際にブラウザで開いてみましょう。
WS001404.JPG

ちゃんと名前解決できました。
WS001402.JPG
WS001403.JPG

認証…認証ねぇ。まぁないよりあったほうがセキュリティは高まるんですが
ちょっとめんどくさい仕組みなので改善を要求するー(バーン)ってところですか。

ちなみに価格ですが、1ゾーンあたり50円/月。しかも24時間経過してから課金されるので
今回みたいに作ってすぐ消すと課金されません。
posted by maroon at 23:48| Comment(0) | IT_設定関連メモ | このブログの読者になる | 更新情報をチェックする
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。