SlideShare uma empresa Scribd logo

SEILでつくる、"最強"ご家庭用ルータ

IIJ
IIJ

[2018/03/14に開催した「IIJ Technical NIGHT Vol.4」の講演資料です] SEILはオフィスだけでなくご家庭でもとっても便利に使えるんです!IIJスタッフの中にも実際に自宅のルータとしてSEILを使っている人が何人もいます。今回はそんなスタッフがconfigした"最強"のご家庭ルータをご紹介。DS-Lite・PPPoEマルチセッションetc…。 「自宅ラック勢」もそうじゃない人も必見です。 講演者:兼子 敦史(セキュリティ本部 セキュリティオペレーションセンター)

Internet
1 de 12
Baixar para ler offline
Copyright Internet Initiative Japan Inc. “最強”のご家庭ルータ SEIL Family を使ってもっと快適に 株式会社インターネットイニシアティブ セキュリティオペレーションセンター 兼⼦ 敦史
Copyright Internet Initiative Japan Inc. 1 ⾃⼰紹介 • ⽒名 兼⼦ 敦史 • 所属 IIJセキュリティオペレーションセンター • 経歴 2003年 IIJに新卒として⼊社 ⼊社当初 IIJのセキュリティサービスの運⽤に従事 (IIJ VPNスタンダード、初代Omnibus、IIJ IDSサービス等) ・当時から SEILの印象は組込型BSDの多機能ルータのイメージ その後、インテグレーション部隊に異動し、顧客向けインテグレー ション、サービス体制の管理部⾨、サービスを横断的に導⼊/顧客 対応を実施する部署を転々として2016年4⽉よりセキュリティオペ レーションセンターにて業務に従事 若かりし頃の写真
Copyright Internet Initiative Japan Inc. 仕事と SEIL Family ・実は SOC でも SEIL Family を多く利⽤しています。 BPV4 と SA-W2 顧客先に設置してログを転送するための機器として ・管理コンソール(SACM)と機器(BPV4, SA-W2)の両⽅をサービスで利⽤ SEIL / X86 設備側でログを転送するための機器として 仕事としても便利に利⽤できる SEIL Family をご家庭でも⾊々使えますので、是⾮チャレ ンジしてみてください。
Copyright Internet Initiative Japan Inc. SEIL Family との出会い ・SEILを知ったきっかけ ⼊社前に SEILという⾃社ブランドのルータがあることを知る ・SEIL 愛 に⽬覚めたきっかけ 同期が社販制度を作った時に当時発売を開始したばかりの SEIL Turboを買ったのがきっかけ。 ・ 社 会 ⼈ に な っ て 間 も な か っ た の で 、 社 割 が 適 ⽤ さ れ た に も 関 わ ら ず ⾼ 額 商 品 を 買 っ て し ま い 数 カ ⽉ 間 貧 乏 ⽣ 活 を し た 思 い 出 が あ り ま す 。 ま た 、 ル ー タ な の に CompactFlash が さ せ る 点 や 、 ⾒ た ⽬ も カッコよく重厚感があります。 当時 SEIL Turbo を買ったときに SEIL開発の⼈に SEIL 2FE Plus を 4台買ったほうが安くていろいろできると買った後に⾔われて衝撃的 だったことを今でも覚えています。(Turbo を買うってことじゃないんだ。。。。と、でも後から考えてみるとルータで遊ぶのであれば、 それも⼀案だったかなと今でも覚えています。) ・SEILを触り始めたきっかけ 会社に⼊って VPNサービスの上位回線終端ルータとしてSEILを使い始めた。 当時は触り始めなので、細かな設定⽅法等がわからない状況だったが、ルータとしての設定はコマンド を数⾏設定するだけで⼤量の PPPoEルータが作れてとても便利だった。
Copyright Internet Initiative Japan Inc. 兼⼦ʼs SEIL Family ・所有している SEIL Family(持ってるだけも含む) SEIL SEIL DSU SEIL /neu 128 SEIL /neu T1 SEIL /neu 2FE SEIL /neu 2FE Plus SEIL / Turbo SEIL / X1 SEIL / x86 ・お気に⼊りの⼀品 SEIL Turbo ・社販で買った新品は、電源ユニット内のコンデンサ破裂で10年⽬にお亡くなりに なってしまいましたが、後で中古で買った2世が今でも現役活動中です。 IIJ DSUセット⼀式 OEMモデルも出してました 検証⽤に並べやすかった 2FE Plus
Copyright Internet Initiative Japan Inc. 5 我が家の Network と SEIL Family ⾃宅 別場所 SEIL TurboSEIL X1 SEIL X1 The Internet 我が家での SEIL利⽤機能 1. DS-Lite(今回の紹介) 2. DS-LiteとPPPoEの併⽤(今回の紹介) 3. 拠点間VPN 4. リモートアクセスVPN(SSTP) 5. 動的ルーティング(OSPF) 6. ポリシールーティング/Static⾃動切換 7. Wake on Lan 8. SEILの持つ便利な運⽤機能(今回の紹介) tcpdump・measureの便利ツール HTTPサーバ、telnet/ssh Client・Server 等 フレッツ 光ネクスト アパート 共⽤回線 サーバPC無線LAN ルータ ノートPC 家電 IIJmio インターネッ トマルチ フィード 他ISP
Copyright Internet Initiative Japan Inc. 6 DS-Lite ⾃宅 SEIL X1 The Internet ■DS-Lite とは DS-Lite(Dual-Stack Lite)は、RFC6333で規定された通信規格で、本機能を利⽤することにより、IPv6のみ の通信環境においてIPv4 over IPv6技術を利⽤し、IPv4での通信も可能となります。詳細に関しては、下記を 参考ください。 参考:https://www.iijmio.jp/guide/outline/ipv6/ipv6_access/dslite/ http://techlog.iij.ad.jp/archives/1254 ■DS-Lite の⻑所 現在通信が遅い環境(ISPやフレッツの網終端装置の混雑等でPPPoE接続で安定したスループットが 出ない場合)でも DS-Liteを利⽤することで改善できる可能性があります。 ■DS-Lite の短所 グローバルアドレスへの変換を⾏う環境がキャリア側にあるため、⼀般的な外部から⾃宅にアクセ ス(ポートフォワード等)を⾏うことができません。また、NAT時に割り当てられるポート数が、 PPPoE環境より少ないため、⼤量にポートを利⽤するアプリケーション等は動作しない場合があっ たりします。 ■SEIL を使った Config ■利⽤結果 試した際、今回はそれなりに早くなった(ように⾒えました。) とはいえ、短所も克服したい (例:外部から内部のサーバを操作したい)!!! ※設定を作る際の参考サイト https://www.seil.jp/blog/ds-lite.html フレッツ 光ネクスト PC無線LAN ルータ ノートPC 家電 IIJmio インターネッ トマルチ フィード 他ISP option ipv6 avoid-path-mtu-discovery off interface lan0 add 192.168.100.1/24 interface lan1 add router-advertisement interface tunnel0 tunnel dslite gw.transix.jp interface tunnel0 unnumbered interface tunnel0 mtu 1500 route add default tunnel0 route6 add default router-advertisement interface lan1 filter add OUTGOING interface tunnel0 direction out action pass state enable logging off filter add INCOMING interface tunnel0 direction in action block logging on filter6 add DSLite interface lan1 direction in/out action pass protocol 4 state disable logging off dhcp enable dhcp mode server dhcp interface lan0 enable dhcp interface lan0 expire 24 dhcp interface lan0 pool 192.168.100.11 127 dhcp interface lan0 dns add 192.168.100.1 dhcp6 client enable dhcp6 client interface lan1 dns forwarder enable dns forwarder add dhcp6 resolver enable resolver address add dhcp6 ⾃宅利⽤DS-Lite⽤Config(抜粋) ●DS-Lite使⽤前 ●DS-Lite使⽤後 測定時利⽤したサイト:http://www.musen-lan.com/speed/speed-img.html
Copyright Internet Initiative Japan Inc. 7 DS-Lite と PPPoEの併⽤ ⾃宅 SEIL X1 The Internet じゃあ PPPoEと併⽤すればいいんじゃない!? ■DS-Lite と PPPoEの併⽤の⻑所 IPv4経由で外部からのアクセスを⾏う際には、PPPoEを利⽤して通信を⾏って、 ⼀般的な通信はDS-Liteを経由させることでお得感を出してみる。 ■SEIL を使った Config 先ほどの Config に追加してみる…(TVのアドレスが 192.168.100.241の場合) ■利⽤結果 通常の通信は、DS-Lite経由TVのみ PPPoE環境でアクセスできました。 ※Config は、DS-Lite 側にDefaultGateway を向けていますが、特定の 端末のみ DS-Liteへ向けるようにして、通常時は PPPoE(IPv4)で Web⾒るだけ等の外向き通信がメインにすることが可能です。 要は、必要な回線設定を⾏った上でルーティング設定で複数の回線接続(PPPoE、 DS-Lite、複数のISP等)を制御できるようになります。 フレッツ 光ネクスト PC無線LAN ルータ ノートPC 家電 IIJmio インターネッ トマルチ フィード 他ISP filter add TV interface lan0 direction in action forward pppoe0 src 192.168.100.241 enable nat snapt add protocol tcp listen 10080 lan1 forward 192.168.100.241 80 enable ※PPPoEの設定は別で設定ください。 例:route add default pppoe0 filter add DS-Lite-NW interface lan0 direction in action forward tunnel0 src 192.168.100.32/27 enable
Copyright Internet Initiative Japan Inc. 8 SEILの便利な機能群 tcpdump(パケットダンプ機能) ■どんな時に便利? SEILを経由してパケットが SEILを経由しているかを確認する上で重要なコマンド (SYN 等の3way-handshakeや通信途中のパケットダンプやasci やHEXを確認できる等) ■SEILで利⽤した場合のコマンドと結果 tcpdump interface lan0 count 100 print-mode both expression “host XXX.XXX.XXX.XXX” ※ expression を使うことで、tcpdump の細かな指定が可能。試しにやってみるとこんな感じ。 # tcpdump interface lan0 count 100 print-mode both expression "host 192.168.10.7" 21:09:15.747571 IP XXX.XXX.XXX.XXX.443 > 192.168.10.7.38114: Flags [.], ack 2706487727, win 210, options [nop,nop,TS val 3199383872 ecr 1340998779], length 0 0x0000: 4528 0034 d1f5 4000 2106 9218 3648 f496 E(.4..@.!...6H.. 0x0010: c0a8 0a07 01bb 94e2 0a6f 90ed a151 b9af .........o...Q.. 0x0020: 8010 00d2 2705 0000 0101 080a beb2 b940 ....'..........@ 0x0030: 4fee 047b O..{ ※アプライアンス製品で tcpdump ができる本体はあまりないかなと思います。
Copyright Internet Initiative Japan Inc. 9 SEILの便利な機能群 measure(iperfを使った通信計測機能) ■どんな時に便利? 通信が遅い場合等どれぐらい通信が出ているかを遠隔環境でルータ間等で実施可能 ※Linux の iperf が利⽤できます。 ■SEILで利⽤した場合のコマンドと結果 - iperfクライアントとサーバ間で確認 (1台⽬)measure iperf server start (2代⽬)measure iperf client X.X.X.X transfer-rate 100 - ⼀般的なサーバよりファイルを取得する場合 measure download http://www.iij.ad.jp ※巨⼤なファイルは取得できない場合があります (ISOイメージとかは難しい場合あり)
Copyright Internet Initiative Japan Inc. 10 SEILの便利な機能群 telnet/ssh機能(リモートアクセス機能) ■どんな時に便利? telnet/ssh 共にサーバ、クライアントの両⽅ の機能があるので、踏み台サーバとしての利 ⽤や telnet を使ったポート単位での通信確認 等ができます。 ■SEILで利⽤した場合のコマンドと結果 #telnet 192.168.10.2 80 Trying 192.168.10.2 (port 80)... Connected to 192.168.10.2. Escape character is '^]'. #ssh 192.168.10.2 ※ linux コマンドと同じ感覚で利⽤可能 サーバ機能も telnetd enable/sshd enable で起動 できコマンドラインで設定が可能 ※外部で使う場合は、telnetd/sshd access等を使ってフィルタを忘れないで。 HTTPサーバ機能(Webサーバ機能) ■どんな時に便利? テストでWebサーバを利⽤する際Apacheの設定が ⼿間だなと思った場合は、SEILを置くことで簡単 に準備可能 ■ SEIL で 利 ⽤ し た 場 合 の コ マ ン ド と 結 果 #httpd enable コマンド⼀つで SEILが HTTPサーバに早変わり X86を使うことで⼤量のWebサーバを作成可能 ※外部で使う場合は、httpd accessを使ってフィルタを忘れないで。
Copyright Internet Initiative Japan Inc.

Recomendados

プロダクトオーナーと開発者が別会社・別組織でも前のめりなチームを生み出す取り組み事例
プロダクトオーナーと開発者が別会社・別組織でも前のめりなチームを生み出す取り組み事例プロダクトオーナーと開発者が別会社・別組織でも前のめりなチームを生み出す取り組み事例
プロダクトオーナーと開発者が別会社・別組織でも前のめりなチームを生み出す取り組み事例
IIJ
 
IIJ_デジタルワークプレース事業紹介資料
IIJ_デジタルワークプレース事業紹介資料IIJ_デジタルワークプレース事業紹介資料
IIJ_デジタルワークプレース事業紹介資料
IIJ
 
監視 Overview
監視 Overview監視 Overview
監視 Overview
IIJ
 
HTTPを理解する
HTTPを理解するHTTPを理解する
HTTPを理解する
IIJ
 
DevOps Overview
DevOps OverviewDevOps Overview
DevOps Overview
IIJ
 
ただいま三河。あれから1年、チームNOCKncokが開発しないスクラムで成果を出した経験から得た学び
ただいま三河。あれから1年、チームNOCKncokが開発しないスクラムで成果を出した経験から得た学びただいま三河。あれから1年、チームNOCKncokが開発しないスクラムで成果を出した経験から得た学び
ただいま三河。あれから1年、チームNOCKncokが開発しないスクラムで成果を出した経験から得た学び
IIJ
 
上っ面スクラムチームにならないために気を付けたいこと
上っ面スクラムチームにならないために気を付けたいこと上っ面スクラムチームにならないために気を付けたいこと
上っ面スクラムチームにならないために気を付けたいこと
IIJ
 
Super Easy Memory Forensics
Super Easy Memory ForensicsSuper Easy Memory Forensics
Super Easy Memory Forensics
IIJ
 

Recomendados

プロダクトオーナーと開発者が別会社・別組織でも前のめりなチームを生み出す取り組み事例
プロダクトオーナーと開発者が別会社・別組織でも前のめりなチームを生み出す取り組み事例プロダクトオーナーと開発者が別会社・別組織でも前のめりなチームを生み出す取り組み事例
プロダクトオーナーと開発者が別会社・別組織でも前のめりなチームを生み出す取り組み事例
IIJ
 
IIJ_デジタルワークプレース事業紹介資料
IIJ_デジタルワークプレース事業紹介資料IIJ_デジタルワークプレース事業紹介資料
IIJ_デジタルワークプレース事業紹介資料
IIJ
 
監視 Overview
監視 Overview監視 Overview
監視 Overview
IIJ
 
HTTPを理解する
HTTPを理解するHTTPを理解する
HTTPを理解する
IIJ
 
DevOps Overview
DevOps OverviewDevOps Overview
DevOps Overview
IIJ
 
ただいま三河。あれから1年、チームNOCKncokが開発しないスクラムで成果を出した経験から得た学び
ただいま三河。あれから1年、チームNOCKncokが開発しないスクラムで成果を出した経験から得た学びただいま三河。あれから1年、チームNOCKncokが開発しないスクラムで成果を出した経験から得た学び
ただいま三河。あれから1年、チームNOCKncokが開発しないスクラムで成果を出した経験から得た学び
IIJ
 
上っ面スクラムチームにならないために気を付けたいこと
上っ面スクラムチームにならないために気を付けたいこと上っ面スクラムチームにならないために気を付けたいこと
上っ面スクラムチームにならないために気を付けたいこと
IIJ
 
Super Easy Memory Forensics
Super Easy Memory ForensicsSuper Easy Memory Forensics
Super Easy Memory Forensics
IIJ
 
チームみを大切にした 私たちの“受託アジャイル・スクラム”体験談
チームみを大切にした 私たちの“受託アジャイル・スクラム”体験談チームみを大切にした 私たちの“受託アジャイル・スクラム”体験談
チームみを大切にした 私たちの“受託アジャイル・スクラム”体験談
IIJ
 
【解説】IKE(IIJ Kubernetes Engine):= Vanilla Kubernetes + 何?
【解説】IKE(IIJ Kubernetes Engine):= Vanilla Kubernetes + 何?【解説】IKE(IIJ Kubernetes Engine):= Vanilla Kubernetes + 何?
【解説】IKE(IIJ Kubernetes Engine):= Vanilla Kubernetes + 何?
IIJ
 
コロナ禍での白井データセンターキャンパスの運用施策
コロナ禍での白井データセンターキャンパスの運用施策コロナ禍での白井データセンターキャンパスの運用施策
コロナ禍での白井データセンターキャンパスの運用施策
IIJ
 
コロナ禍の開発勉強会~社内教育ツールの開発と実装
コロナ禍の開発勉強会~社内教育ツールの開発と実装コロナ禍の開発勉強会~社内教育ツールの開発と実装
コロナ禍の開発勉強会~社内教育ツールの開発と実装
IIJ
 
セキュリティ動向2020
セキュリティ動向2020セキュリティ動向2020
セキュリティ動向2020
IIJ
 
バックボーン運用から見るインターネットの実情
バックボーン運用から見るインターネットの実情バックボーン運用から見るインターネットの実情
バックボーン運用から見るインターネットの実情
IIJ
 
データセンターのエネルギーコントロールの仕組み
データセンターのエネルギーコントロールの仕組みデータセンターのエネルギーコントロールの仕組み
データセンターのエネルギーコントロールの仕組み
IIJ
 
世界のインターネット事情
世界のインターネット事情世界のインターネット事情
世界のインターネット事情
IIJ
 
フロントからバックエンドまで - WebAssemblyで広がる可能性
フロントからバックエンドまで - WebAssemblyで広がる可能性フロントからバックエンドまで - WebAssemblyで広がる可能性
フロントからバックエンドまで - WebAssemblyで広がる可能性
IIJ
 
あ! やせいのEmotetがあらわれた! ~ IIJ C-SOCサービスの分析ルールについて~
あ! やせいのEmotetがあらわれた! ~ IIJ C-SOCサービスの分析ルールについて~あ! やせいのEmotetがあらわれた! ~ IIJ C-SOCサービスの分析ルールについて~
あ! やせいのEmotetがあらわれた! ~ IIJ C-SOCサービスの分析ルールについて~
IIJ
 
インシデント調査システムが内製すぎる件~CHAGEのご紹介~
インシデント調査システムが内製すぎる件~CHAGEのご紹介~インシデント調査システムが内製すぎる件~CHAGEのご紹介~
インシデント調査システムが内製すぎる件~CHAGEのご紹介~
IIJ
 
IIJ Technical DAY 2019 ~ IIJのサーバインフラはここまでやっています
IIJ Technical DAY 2019 ~ IIJのサーバインフラはここまでやっていますIIJ Technical DAY 2019 ~ IIJのサーバインフラはここまでやっています
IIJ Technical DAY 2019 ~ IIJのサーバインフラはここまでやっています
IIJ
 
IIJ Technical DAY 2019 ~ セキュリティ動向2019
IIJ Technical DAY 2019 ~ セキュリティ動向2019IIJ Technical DAY 2019 ~ セキュリティ動向2019
IIJ Technical DAY 2019 ~ セキュリティ動向2019
IIJ
 
IIJ Technical DAY 2019 ~ Untangling the world-wide mesh of undersea cables:世界...
IIJ Technical DAY 2019 ~ Untangling the world-wide mesh of undersea cables:世界...IIJ Technical DAY 2019 ~ Untangling the world-wide mesh of undersea cables:世界...
IIJ Technical DAY 2019 ~ Untangling the world-wide mesh of undersea cables:世界...
IIJ
 
IIJ Technical DAY 2019 ~ 安全なデジタル通貨流通を支えるアーキテクチャとエンジニアリング
IIJ Technical DAY 2019 ~ 安全なデジタル通貨流通を支えるアーキテクチャとエンジニアリングIIJ Technical DAY 2019 ~ 安全なデジタル通貨流通を支えるアーキテクチャとエンジニアリング
IIJ Technical DAY 2019 ~ 安全なデジタル通貨流通を支えるアーキテクチャとエンジニアリング
IIJ
 
白井データセンターキャンパスの挑戦
白井データセンターキャンパスの挑戦白井データセンターキャンパスの挑戦
白井データセンターキャンパスの挑戦
IIJ
 
5G時代のMVNO
5G時代のMVNO5G時代のMVNO
5G時代のMVNO
IIJ
 
Barry開発へのこだわり
Barry開発へのこだわりBarry開発へのこだわり
Barry開発へのこだわり
IIJ
 
現場の声から生まれた障害対応ツール「Barry」
現場の声から生まれた障害対応ツール「Barry」現場の声から生まれた障害対応ツール「Barry」
現場の声から生まれた障害対応ツール「Barry」
IIJ
 
運用現場で常に隣り合わせの障害対応、IIJの出した答え
運用現場で常に隣り合わせの障害対応、IIJの出した答え運用現場で常に隣り合わせの障害対応、IIJの出した答え
運用現場で常に隣り合わせの障害対応、IIJの出した答え
IIJ
 

Mais conteúdo relacionado

Mais de IIJ

コロナ禍の開発勉強会~社内教育ツールの開発と実装
コロナ禍の開発勉強会~社内教育ツールの開発と実装コロナ禍の開発勉強会~社内教育ツールの開発と実装
コロナ禍の開発勉強会~社内教育ツールの開発と実装
IIJ
 
フロントからバックエンドまで - WebAssemblyで広がる可能性
フロントからバックエンドまで - WebAssemblyで広がる可能性フロントからバックエンドまで - WebAssemblyで広がる可能性
フロントからバックエンドまで - WebAssemblyで広がる可能性
IIJ
 
あ! やせいのEmotetがあらわれた! ~ IIJ C-SOCサービスの分析ルールについて~
あ! やせいのEmotetがあらわれた! ~ IIJ C-SOCサービスの分析ルールについて~あ! やせいのEmotetがあらわれた! ~ IIJ C-SOCサービスの分析ルールについて~
あ! やせいのEmotetがあらわれた! ~ IIJ C-SOCサービスの分析ルールについて~
IIJ
 
インシデント調査システムが内製すぎる件~CHAGEのご紹介~
インシデント調査システムが内製すぎる件~CHAGEのご紹介~インシデント調査システムが内製すぎる件~CHAGEのご紹介~
インシデント調査システムが内製すぎる件~CHAGEのご紹介~
IIJ
 
IIJ Technical DAY 2019 ~ IIJのサーバインフラはここまでやっています
IIJ Technical DAY 2019 ~ IIJのサーバインフラはここまでやっていますIIJ Technical DAY 2019 ~ IIJのサーバインフラはここまでやっています
IIJ Technical DAY 2019 ~ IIJのサーバインフラはここまでやっています
IIJ
 
IIJ Technical DAY 2019 ~ Untangling the world-wide mesh of undersea cables:世界...
IIJ Technical DAY 2019 ~ Untangling the world-wide mesh of undersea cables:世界...IIJ Technical DAY 2019 ~ Untangling the world-wide mesh of undersea cables:世界...
IIJ Technical DAY 2019 ~ Untangling the world-wide mesh of undersea cables:世界...
IIJ
 
IIJ Technical DAY 2019 ~ 安全なデジタル通貨流通を支えるアーキテクチャとエンジニアリング
IIJ Technical DAY 2019 ~ 安全なデジタル通貨流通を支えるアーキテクチャとエンジニアリングIIJ Technical DAY 2019 ~ 安全なデジタル通貨流通を支えるアーキテクチャとエンジニアリング
IIJ Technical DAY 2019 ~ 安全なデジタル通貨流通を支えるアーキテクチャとエンジニアリング
IIJ
 
白井データセンターキャンパスの挑戦
白井データセンターキャンパスの挑戦白井データセンターキャンパスの挑戦
白井データセンターキャンパスの挑戦
IIJ
 
5G時代のMVNO
5G時代のMVNO5G時代のMVNO
5G時代のMVNO
IIJ
 
現場の声から生まれた障害対応ツール「Barry」
現場の声から生まれた障害対応ツール「Barry」現場の声から生まれた障害対応ツール「Barry」
現場の声から生まれた障害対応ツール「Barry」
IIJ
 
運用現場で常に隣り合わせの障害対応、IIJの出した答え
運用現場で常に隣り合わせの障害対応、IIJの出した答え運用現場で常に隣り合わせの障害対応、IIJの出した答え
運用現場で常に隣り合わせの障害対応、IIJの出した答え
IIJ
 

Mais de IIJ (20)

チームみを大切にした 私たちの“受託アジャイル・スクラム”体験談
チームみを大切にした 私たちの“受託アジャイル・スクラム”体験談チームみを大切にした 私たちの“受託アジャイル・スクラム”体験談
チームみを大切にした 私たちの“受託アジャイル・スクラム”体験談
 
【解説】IKE(IIJ Kubernetes Engine):= Vanilla Kubernetes + 何?
【解説】IKE(IIJ Kubernetes Engine):= Vanilla Kubernetes + 何?【解説】IKE(IIJ Kubernetes Engine):= Vanilla Kubernetes + 何?
【解説】IKE(IIJ Kubernetes Engine):= Vanilla Kubernetes + 何?
 
コロナ禍での白井データセンターキャンパスの運用施策
コロナ禍での白井データセンターキャンパスの運用施策コロナ禍での白井データセンターキャンパスの運用施策
コロナ禍での白井データセンターキャンパスの運用施策
 
コロナ禍の開発勉強会~社内教育ツールの開発と実装
コロナ禍の開発勉強会~社内教育ツールの開発と実装コロナ禍の開発勉強会~社内教育ツールの開発と実装
コロナ禍の開発勉強会~社内教育ツールの開発と実装
 
セキュリティ動向2020
セキュリティ動向2020セキュリティ動向2020
セキュリティ動向2020
 
バックボーン運用から見るインターネットの実情
バックボーン運用から見るインターネットの実情バックボーン運用から見るインターネットの実情
バックボーン運用から見るインターネットの実情
 
データセンターのエネルギーコントロールの仕組み
データセンターのエネルギーコントロールの仕組みデータセンターのエネルギーコントロールの仕組み
データセンターのエネルギーコントロールの仕組み
 
世界のインターネット事情
世界のインターネット事情世界のインターネット事情
世界のインターネット事情
 
フロントからバックエンドまで - WebAssemblyで広がる可能性
フロントからバックエンドまで - WebAssemblyで広がる可能性フロントからバックエンドまで - WebAssemblyで広がる可能性
フロントからバックエンドまで - WebAssemblyで広がる可能性
 
あ! やせいのEmotetがあらわれた! ~ IIJ C-SOCサービスの分析ルールについて~
あ! やせいのEmotetがあらわれた! ~ IIJ C-SOCサービスの分析ルールについて~あ! やせいのEmotetがあらわれた! ~ IIJ C-SOCサービスの分析ルールについて~
あ! やせいのEmotetがあらわれた! ~ IIJ C-SOCサービスの分析ルールについて~
 
インシデント調査システムが内製すぎる件~CHAGEのご紹介~
インシデント調査システムが内製すぎる件~CHAGEのご紹介~インシデント調査システムが内製すぎる件~CHAGEのご紹介~
インシデント調査システムが内製すぎる件~CHAGEのご紹介~
 
IIJ Technical DAY 2019 ~ IIJのサーバインフラはここまでやっています
IIJ Technical DAY 2019 ~ IIJのサーバインフラはここまでやっていますIIJ Technical DAY 2019 ~ IIJのサーバインフラはここまでやっています
IIJ Technical DAY 2019 ~ IIJのサーバインフラはここまでやっています
 
IIJ Technical DAY 2019 ~ セキュリティ動向2019
IIJ Technical DAY 2019 ~ セキュリティ動向2019IIJ Technical DAY 2019 ~ セキュリティ動向2019
IIJ Technical DAY 2019 ~ セキュリティ動向2019
 
IIJ Technical DAY 2019 ~ Untangling the world-wide mesh of undersea cables:世界...
IIJ Technical DAY 2019 ~ Untangling the world-wide mesh of undersea cables:世界...IIJ Technical DAY 2019 ~ Untangling the world-wide mesh of undersea cables:世界...
IIJ Technical DAY 2019 ~ Untangling the world-wide mesh of undersea cables:世界...
 
IIJ Technical DAY 2019 ~ 安全なデジタル通貨流通を支えるアーキテクチャとエンジニアリング
IIJ Technical DAY 2019 ~ 安全なデジタル通貨流通を支えるアーキテクチャとエンジニアリングIIJ Technical DAY 2019 ~ 安全なデジタル通貨流通を支えるアーキテクチャとエンジニアリング
IIJ Technical DAY 2019 ~ 安全なデジタル通貨流通を支えるアーキテクチャとエンジニアリング
 
白井データセンターキャンパスの挑戦
白井データセンターキャンパスの挑戦白井データセンターキャンパスの挑戦
白井データセンターキャンパスの挑戦
 
5G時代のMVNO
5G時代のMVNO5G時代のMVNO
5G時代のMVNO
 
Barry開発へのこだわり
Barry開発へのこだわりBarry開発へのこだわり
Barry開発へのこだわり
 
現場の声から生まれた障害対応ツール「Barry」
現場の声から生まれた障害対応ツール「Barry」現場の声から生まれた障害対応ツール「Barry」
現場の声から生まれた障害対応ツール「Barry」
 
運用現場で常に隣り合わせの障害対応、IIJの出した答え
運用現場で常に隣り合わせの障害対応、IIJの出した答え運用現場で常に隣り合わせの障害対応、IIJの出した答え
運用現場で常に隣り合わせの障害対応、IIJの出した答え
 

SEILでつくる、"最強"ご家庭用ルータ

  • 1. Copyright Internet Initiative Japan Inc. “最強”のご家庭ルータ SEIL Family を使ってもっと快適に 株式会社インターネットイニシアティブ セキュリティオペレーションセンター 兼⼦ 敦史
  • 2. Copyright Internet Initiative Japan Inc. 1 ⾃⼰紹介 • ⽒名 兼⼦ 敦史 • 所属 IIJセキュリティオペレーションセンター • 経歴 2003年 IIJに新卒として⼊社 ⼊社当初 IIJのセキュリティサービスの運⽤に従事 (IIJ VPNスタンダード、初代Omnibus、IIJ IDSサービス等) ・当時から SEILの印象は組込型BSDの多機能ルータのイメージ その後、インテグレーション部隊に異動し、顧客向けインテグレー ション、サービス体制の管理部⾨、サービスを横断的に導⼊/顧客 対応を実施する部署を転々として2016年4⽉よりセキュリティオペ レーションセンターにて業務に従事 若かりし頃の写真
  • 3. Copyright Internet Initiative Japan Inc. 仕事と SEIL Family ・実は SOC でも SEIL Family を多く利⽤しています。 BPV4 と SA-W2 顧客先に設置してログを転送するための機器として ・管理コンソール(SACM)と機器(BPV4, SA-W2)の両⽅をサービスで利⽤ SEIL / X86 設備側でログを転送するための機器として 仕事としても便利に利⽤できる SEIL Family をご家庭でも⾊々使えますので、是⾮チャレ ンジしてみてください。
  • 4. Copyright Internet Initiative Japan Inc. SEIL Family との出会い ・SEILを知ったきっかけ ⼊社前に SEILという⾃社ブランドのルータがあることを知る ・SEIL 愛 に⽬覚めたきっかけ 同期が社販制度を作った時に当時発売を開始したばかりの SEIL Turboを買ったのがきっかけ。 ・ 社 会 ⼈ に な っ て 間 も な か っ た の で 、 社 割 が 適 ⽤ さ れ た に も 関 わ ら ず ⾼ 額 商 品 を 買 っ て し ま い 数 カ ⽉ 間 貧 乏 ⽣ 活 を し た 思 い 出 が あ り ま す 。 ま た 、 ル ー タ な の に CompactFlash が さ せ る 点 や 、 ⾒ た ⽬ も カッコよく重厚感があります。 当時 SEIL Turbo を買ったときに SEIL開発の⼈に SEIL 2FE Plus を 4台買ったほうが安くていろいろできると買った後に⾔われて衝撃的 だったことを今でも覚えています。(Turbo を買うってことじゃないんだ。。。。と、でも後から考えてみるとルータで遊ぶのであれば、 それも⼀案だったかなと今でも覚えています。) ・SEILを触り始めたきっかけ 会社に⼊って VPNサービスの上位回線終端ルータとしてSEILを使い始めた。 当時は触り始めなので、細かな設定⽅法等がわからない状況だったが、ルータとしての設定はコマンド を数⾏設定するだけで⼤量の PPPoEルータが作れてとても便利だった。
  • 5. Copyright Internet Initiative Japan Inc. 兼⼦ʼs SEIL Family ・所有している SEIL Family(持ってるだけも含む) SEIL SEIL DSU SEIL /neu 128 SEIL /neu T1 SEIL /neu 2FE SEIL /neu 2FE Plus SEIL / Turbo SEIL / X1 SEIL / x86 ・お気に⼊りの⼀品 SEIL Turbo ・社販で買った新品は、電源ユニット内のコンデンサ破裂で10年⽬にお亡くなりに なってしまいましたが、後で中古で買った2世が今でも現役活動中です。 IIJ DSUセット⼀式 OEMモデルも出してました 検証⽤に並べやすかった 2FE Plus
  • 6. Copyright Internet Initiative Japan Inc. 5 我が家の Network と SEIL Family ⾃宅 別場所 SEIL TurboSEIL X1 SEIL X1 The Internet 我が家での SEIL利⽤機能 1. DS-Lite(今回の紹介) 2. DS-LiteとPPPoEの併⽤(今回の紹介) 3. 拠点間VPN 4. リモートアクセスVPN(SSTP) 5. 動的ルーティング(OSPF) 6. ポリシールーティング/Static⾃動切換 7. Wake on Lan 8. SEILの持つ便利な運⽤機能(今回の紹介) tcpdump・measureの便利ツール HTTPサーバ、telnet/ssh Client・Server 等 フレッツ 光ネクスト アパート 共⽤回線 サーバPC無線LAN ルータ ノートPC 家電 IIJmio インターネッ トマルチ フィード 他ISP
  • 7. Copyright Internet Initiative Japan Inc. 6 DS-Lite ⾃宅 SEIL X1 The Internet ■DS-Lite とは DS-Lite(Dual-Stack Lite)は、RFC6333で規定された通信規格で、本機能を利⽤することにより、IPv6のみ の通信環境においてIPv4 over IPv6技術を利⽤し、IPv4での通信も可能となります。詳細に関しては、下記を 参考ください。 参考:https://www.iijmio.jp/guide/outline/ipv6/ipv6_access/dslite/ http://techlog.iij.ad.jp/archives/1254 ■DS-Lite の⻑所 現在通信が遅い環境(ISPやフレッツの網終端装置の混雑等でPPPoE接続で安定したスループットが 出ない場合)でも DS-Liteを利⽤することで改善できる可能性があります。 ■DS-Lite の短所 グローバルアドレスへの変換を⾏う環境がキャリア側にあるため、⼀般的な外部から⾃宅にアクセ ス(ポートフォワード等)を⾏うことができません。また、NAT時に割り当てられるポート数が、 PPPoE環境より少ないため、⼤量にポートを利⽤するアプリケーション等は動作しない場合があっ たりします。 ■SEIL を使った Config ■利⽤結果 試した際、今回はそれなりに早くなった(ように⾒えました。) とはいえ、短所も克服したい (例:外部から内部のサーバを操作したい)!!! ※設定を作る際の参考サイト https://www.seil.jp/blog/ds-lite.html フレッツ 光ネクスト PC無線LAN ルータ ノートPC 家電 IIJmio インターネッ トマルチ フィード 他ISP option ipv6 avoid-path-mtu-discovery off interface lan0 add 192.168.100.1/24 interface lan1 add router-advertisement interface tunnel0 tunnel dslite gw.transix.jp interface tunnel0 unnumbered interface tunnel0 mtu 1500 route add default tunnel0 route6 add default router-advertisement interface lan1 filter add OUTGOING interface tunnel0 direction out action pass state enable logging off filter add INCOMING interface tunnel0 direction in action block logging on filter6 add DSLite interface lan1 direction in/out action pass protocol 4 state disable logging off dhcp enable dhcp mode server dhcp interface lan0 enable dhcp interface lan0 expire 24 dhcp interface lan0 pool 192.168.100.11 127 dhcp interface lan0 dns add 192.168.100.1 dhcp6 client enable dhcp6 client interface lan1 dns forwarder enable dns forwarder add dhcp6 resolver enable resolver address add dhcp6 ⾃宅利⽤DS-Lite⽤Config(抜粋) ●DS-Lite使⽤前 ●DS-Lite使⽤後 測定時利⽤したサイト:http://www.musen-lan.com/speed/speed-img.html
  • 8. Copyright Internet Initiative Japan Inc. 7 DS-Lite と PPPoEの併⽤ ⾃宅 SEIL X1 The Internet じゃあ PPPoEと併⽤すればいいんじゃない!? ■DS-Lite と PPPoEの併⽤の⻑所 IPv4経由で外部からのアクセスを⾏う際には、PPPoEを利⽤して通信を⾏って、 ⼀般的な通信はDS-Liteを経由させることでお得感を出してみる。 ■SEIL を使った Config 先ほどの Config に追加してみる…(TVのアドレスが 192.168.100.241の場合) ■利⽤結果 通常の通信は、DS-Lite経由TVのみ PPPoE環境でアクセスできました。 ※Config は、DS-Lite 側にDefaultGateway を向けていますが、特定の 端末のみ DS-Liteへ向けるようにして、通常時は PPPoE(IPv4)で Web⾒るだけ等の外向き通信がメインにすることが可能です。 要は、必要な回線設定を⾏った上でルーティング設定で複数の回線接続(PPPoE、 DS-Lite、複数のISP等)を制御できるようになります。 フレッツ 光ネクスト PC無線LAN ルータ ノートPC 家電 IIJmio インターネッ トマルチ フィード 他ISP filter add TV interface lan0 direction in action forward pppoe0 src 192.168.100.241 enable nat snapt add protocol tcp listen 10080 lan1 forward 192.168.100.241 80 enable ※PPPoEの設定は別で設定ください。 例:route add default pppoe0 filter add DS-Lite-NW interface lan0 direction in action forward tunnel0 src 192.168.100.32/27 enable
  • 9. Copyright Internet Initiative Japan Inc. 8 SEILの便利な機能群 tcpdump(パケットダンプ機能) ■どんな時に便利? SEILを経由してパケットが SEILを経由しているかを確認する上で重要なコマンド (SYN 等の3way-handshakeや通信途中のパケットダンプやasci やHEXを確認できる等) ■SEILで利⽤した場合のコマンドと結果 tcpdump interface lan0 count 100 print-mode both expression “host XXX.XXX.XXX.XXX” ※ expression を使うことで、tcpdump の細かな指定が可能。試しにやってみるとこんな感じ。 # tcpdump interface lan0 count 100 print-mode both expression "host 192.168.10.7" 21:09:15.747571 IP XXX.XXX.XXX.XXX.443 > 192.168.10.7.38114: Flags [.], ack 2706487727, win 210, options [nop,nop,TS val 3199383872 ecr 1340998779], length 0 0x0000: 4528 0034 d1f5 4000 2106 9218 3648 f496 E(.4..@.!...6H.. 0x0010: c0a8 0a07 01bb 94e2 0a6f 90ed a151 b9af .........o...Q.. 0x0020: 8010 00d2 2705 0000 0101 080a beb2 b940 ....'..........@ 0x0030: 4fee 047b O..{ ※アプライアンス製品で tcpdump ができる本体はあまりないかなと思います。
  • 10. Copyright Internet Initiative Japan Inc. 9 SEILの便利な機能群 measure(iperfを使った通信計測機能) ■どんな時に便利? 通信が遅い場合等どれぐらい通信が出ているかを遠隔環境でルータ間等で実施可能 ※Linux の iperf が利⽤できます。 ■SEILで利⽤した場合のコマンドと結果 - iperfクライアントとサーバ間で確認 (1台⽬)measure iperf server start (2代⽬)measure iperf client X.X.X.X transfer-rate 100 - ⼀般的なサーバよりファイルを取得する場合 measure download http://www.iij.ad.jp ※巨⼤なファイルは取得できない場合があります (ISOイメージとかは難しい場合あり)
  • 11. Copyright Internet Initiative Japan Inc. 10 SEILの便利な機能群 telnet/ssh機能(リモートアクセス機能) ■どんな時に便利? telnet/ssh 共にサーバ、クライアントの両⽅ の機能があるので、踏み台サーバとしての利 ⽤や telnet を使ったポート単位での通信確認 等ができます。 ■SEILで利⽤した場合のコマンドと結果 #telnet 192.168.10.2 80 Trying 192.168.10.2 (port 80)... Connected to 192.168.10.2. Escape character is '^]'. #ssh 192.168.10.2 ※ linux コマンドと同じ感覚で利⽤可能 サーバ機能も telnetd enable/sshd enable で起動 できコマンドラインで設定が可能 ※外部で使う場合は、telnetd/sshd access等を使ってフィルタを忘れないで。 HTTPサーバ機能(Webサーバ機能) ■どんな時に便利? テストでWebサーバを利⽤する際Apacheの設定が ⼿間だなと思った場合は、SEILを置くことで簡単 に準備可能 ■ SEIL で 利 ⽤ し た 場 合 の コ マ ン ド と 結 果 #httpd enable コマンド⼀つで SEILが HTTPサーバに早変わり X86を使うことで⼤量のWebサーバを作成可能 ※外部で使う場合は、httpd accessを使ってフィルタを忘れないで。