この記事はDNS Advent Calendar 2015 - Qiitaの25日目の記事です。
自宅のDNSキャッシュサーバをローカル化しようとして
1台目:unbound
2台目:pdns-recursor
でたててみました。
unboundについては当ブログで何回か触れているので省略。
CentOS6.7にpdns-recursorをインストールした際の手順です。
■インストール
# rpm -ivh http://ftp.jaist.ac.jp/pub/Linux/Fedora/epel/6/x86_64/epel-release-6-8.noarch.rpm
# yum -y install pdns-recursor
■設定
# cp /etc/pdns-recursor/recursor.conf /etc/pdns-recursor/recursor.conf.orig
# vi /etc/pdns-recursor/recursor.conf
---
#local-address=127.0.0.1 ←これだと他のスタブリゾルバからの問い合わせに応答しない
local-address=0.0.0.0 ←これを追記することで他のスタブリゾルバからの問い合わせに応答するようになる
allow-from=127.0.0.0/8, 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12 ←これを追記して問い合わせを許可するIPレンジを指定
---
/etc/init.d/pdns-recursor start
chkconfig pdns-recursor on
これだけしか設定してないのにdnsperfするとunboundの6倍くらい性能出るんですけど。。
ぼくのunboundチューニングがイマイチなんだろうか…。
2015年12月27日
2015年12月22日
[さくらのクラウド]VPCルータとFortigateによるサイト間VPN
この記事はさくらインターネット Advent Calendar 2015 - Qiitaの22日目の記事です。
さくらのクラウドのVPCルータを使ってサイト間VPNを張ってみました。
サイト間VPNの設定についてはこちらに書いてありますが
このページの「動作確認済みアプライアンス」に含まれていない
Fortigateとサイト間VPNをしてみたいと思います。
ネットワーク構成の概略図です。
■VPCルータ側の設定
設定するVPCルータを選択します。
[サイト間VPN]をクリックします。
[追加]をクリックします。
[対向IPアドレス]:FortigateのグローバルIPを入力
[対向ID]:FortigateのグローバルIPを入力
[Pre Shared Key]:任意の文字列を入力(Fortigate側にも同じ文字列を設定すること)
[対向Prefix]:FortigateのLAN側IPセグメントを入力(ここでは192.168.0.0/24)
[ローカルPrefix]:VPCルータ配下のIPセグメントを入力(ここでは10.0.0.0/24)
ちなみにPrefixはIPレンジを入力したあとEnterを押すと
IPレンジがポップアップで出てくるのでこれをクリックします。
クリックしないと値として登録されません。
ただのテキストボックスじゃないので要注意。。
設定できたら[反映]をクリックします。
■Fortigate側の設定
Web-UIにログインし、VPN→IPsec→自動鍵(IKE)を選択。
[フェイズ1を作成]をクリックします。
[名前]:任意の文字列を入力
[リモートゲートウェイ]:今回は固定IPなので「スタティックIPアドレス」を選択
[IPアドレス]:VPCルータのグローバルIPアドレスを入力
[ローカルインタフェース]:FortigateのWAN側インタフェースを指定。今回はWAN1を選択。
[モード]:両方とも固定IPなのでメインを選択
[認証方法]:「事前共有鍵」を選択。英語で言うと「Pre Shared Key」。
[事前共有鍵]:VPCルータ設定のときに入力した「Pre Shared Key」と同じ文字列を入力
ここまでできたら[OK]をクリックします。
フェイズ1ができたので次はフェイズ2を作成します。
[フェイズ2を作成]をクリックします。
[暗号化][認証]:3DESを削除してAES128・SHA1のみにします。
[DHグループ]:2か5のどちらかとされていますが5にします。
[送信元アドレス]:FortigateのLAN側IPセグメントを指定(ここでは192.168.0.0/24)
[宛先アドレス]:VPCルータ配下のIPセグメントを指定(ここでは10.0.0.0/24)
ここまでできたら[OK]をクリックします。
以上でサイト間VPNの設定は完了です。
また、VPCルータでは先日「クローズド接続」ができるようになりましたので
その解説をしておきます。
今までは、サイト間のLANアドレス同士の通信はVPNトンネルを通り
さくらのクラウドからインターネットへの通信は
VPCルータでIPマスカレードされて出て行くという感じでした。
クローズド接続対応によって、下記のように
さくらのクラウドからインターネットへの通信も
VPNトンネルを通って、リモートサイトのネットワーク機器で
IPマスカレードされて出て行くということができるようになりました。
VPCルータにもファイアウォール機能がついていますが
詳細なログをとりたいとか、UTM的な機能を使いたいとか
いうときに有効な機能です。
設定はVPCルータのサイト間VPNで[対向Prefix]を0.0.0.0/0にします。
こうすると全ての通信がVPNトンネルを経由するようになります。
さくらのクラウドのVPCルータを使ってサイト間VPNを張ってみました。
サイト間VPNの設定についてはこちらに書いてありますが
このページの「動作確認済みアプライアンス」に含まれていない
Fortigateとサイト間VPNをしてみたいと思います。
ネットワーク構成の概略図です。
■VPCルータ側の設定
設定するVPCルータを選択します。
[サイト間VPN]をクリックします。
[追加]をクリックします。
[対向IPアドレス]:FortigateのグローバルIPを入力
[対向ID]:FortigateのグローバルIPを入力
[Pre Shared Key]:任意の文字列を入力(Fortigate側にも同じ文字列を設定すること)
[対向Prefix]:FortigateのLAN側IPセグメントを入力(ここでは192.168.0.0/24)
[ローカルPrefix]:VPCルータ配下のIPセグメントを入力(ここでは10.0.0.0/24)
ちなみにPrefixはIPレンジを入力したあとEnterを押すと
IPレンジがポップアップで出てくるのでこれをクリックします。
クリックしないと値として登録されません。
ただのテキストボックスじゃないので要注意。。
設定できたら[反映]をクリックします。
■Fortigate側の設定
Web-UIにログインし、VPN→IPsec→自動鍵(IKE)を選択。
[フェイズ1を作成]をクリックします。
[名前]:任意の文字列を入力
[リモートゲートウェイ]:今回は固定IPなので「スタティックIPアドレス」を選択
[IPアドレス]:VPCルータのグローバルIPアドレスを入力
[ローカルインタフェース]:FortigateのWAN側インタフェースを指定。今回はWAN1を選択。
[モード]:両方とも固定IPなのでメインを選択
[認証方法]:「事前共有鍵」を選択。英語で言うと「Pre Shared Key」。
[事前共有鍵]:VPCルータ設定のときに入力した「Pre Shared Key」と同じ文字列を入力
ここまでできたら[OK]をクリックします。
フェイズ1ができたので次はフェイズ2を作成します。
[フェイズ2を作成]をクリックします。
[暗号化][認証]:3DESを削除してAES128・SHA1のみにします。
[DHグループ]:2か5のどちらかとされていますが5にします。
[送信元アドレス]:FortigateのLAN側IPセグメントを指定(ここでは192.168.0.0/24)
[宛先アドレス]:VPCルータ配下のIPセグメントを指定(ここでは10.0.0.0/24)
ここまでできたら[OK]をクリックします。
以上でサイト間VPNの設定は完了です。
また、VPCルータでは先日「クローズド接続」ができるようになりましたので
その解説をしておきます。
今までは、サイト間のLANアドレス同士の通信はVPNトンネルを通り
さくらのクラウドからインターネットへの通信は
VPCルータでIPマスカレードされて出て行くという感じでした。
クローズド接続対応によって、下記のように
さくらのクラウドからインターネットへの通信も
VPNトンネルを通って、リモートサイトのネットワーク機器で
IPマスカレードされて出て行くということができるようになりました。
VPCルータにもファイアウォール機能がついていますが
詳細なログをとりたいとか、UTM的な機能を使いたいとか
いうときに有効な機能です。
設定はVPCルータのサイト間VPNで[対向Prefix]を0.0.0.0/0にします。
こうすると全ての通信がVPNトンネルを経由するようになります。
2015年12月21日
IDCFクラウドのDNS機能を使ってみる
この記事はDNS Advent Calendar 2015 - Qiitaの21日目の記事です。
各社パブリッククラウドのDNSサービスを使ってみるシリーズ第4弾
今回はIDCFクラウドです。
まずはログイン。
最初の画面に「DNS」とあるのでクリック。
DNSゾーンを作ります。
で、他社のサービスは、このあとレジストラでネームサーバを変更するだけだったんですが
IDCFクラウドのDNSにはドメイン認証というものがあるので、もう一手間かかります。
ネームサーバをIDCFクラウドに向ける前に
レジストラのおまけDNSを使ってTXTレコードを名前解決できるようにします。
引けるように設定したら、IDCFクラウドの画面に戻ってドメイン認証します。
認証OK!
そしたらレジストラのページに戻ってネームサーバをIDCFクラウドに向けます。
これでやっとIDCFクラウドのDNS機能が使えるようになったので
適当にAレコード追加してテストしてみましょう。
追加されました。では実際にブラウザで開いてみましょう。
ちゃんと名前解決できました。
認証…認証ねぇ。まぁないよりあったほうがセキュリティは高まるんですが
ちょっとめんどくさい仕組みなので改善を要求するー(バーン)ってところですか。
ちなみに価格ですが、1ゾーンあたり50円/月。しかも24時間経過してから課金されるので
今回みたいに作ってすぐ消すと課金されません。
各社パブリッククラウドのDNSサービスを使ってみるシリーズ第4弾
今回はIDCFクラウドです。
まずはログイン。
最初の画面に「DNS」とあるのでクリック。
DNSゾーンを作ります。
で、他社のサービスは、このあとレジストラでネームサーバを変更するだけだったんですが
IDCFクラウドのDNSにはドメイン認証というものがあるので、もう一手間かかります。
ネームサーバをIDCFクラウドに向ける前に
レジストラのおまけDNSを使ってTXTレコードを名前解決できるようにします。
引けるように設定したら、IDCFクラウドの画面に戻ってドメイン認証します。
認証OK!
そしたらレジストラのページに戻ってネームサーバをIDCFクラウドに向けます。
これでやっとIDCFクラウドのDNS機能が使えるようになったので
適当にAレコード追加してテストしてみましょう。
追加されました。では実際にブラウザで開いてみましょう。
ちゃんと名前解決できました。
認証…認証ねぇ。まぁないよりあったほうがセキュリティは高まるんですが
ちょっとめんどくさい仕組みなので改善を要求するー(バーン)ってところですか。
ちなみに価格ですが、1ゾーンあたり50円/月。しかも24時間経過してから課金されるので
今回みたいに作ってすぐ消すと課金されません。
