第36回NSEGでのトークネタ

1. 第{0,3,9}層の制約と戦う
ネットワーク構築の話
Daichi OBINATA
Feb 16, 2013.
第36回NSEG勉強会

2. 大日向大地 aka. earth2001y
1997-2001 長野高専電子制御工学科
居所：茨城県那珂郡東海村
専門：CAE および HPC
通名：ビジュアル系高専生
活動：高専カンファレンス,
NSEG, etc...
Who am I ？

3. 第{0,3,9}層の制約と戦う
ネットワーク構築の話
Daichi OBINATA
Feb 16, 2013.
第36回NSEG勉強会

4. OSI参照モデル
第1層（物理層）
第2層（データリンク層）
第3層（ネットワーク層）
第4層（トランスポート層）
第5層（セッション層）
第6層（プレゼンテーション層）
第7層（アプリケーション層）

5. HTTP
SSH
IMAP
SMTP
etc...
OSI参照モデル
第1層（物理層）
第2層（データリンク層）
第3層（ネットワーク層）
第4層（トランスポート層）
第5層（セッション層）
第6層（プレゼンテーション層）
第7層（アプリケーション層）
Ethernet
IP
Wifi
TCP UDP
SSL
ARP
PPP

6. OSI参照モデル
第1層（物理層）
第2層（データリンク層）
第3層（ネットワーク層）
第4層（トランスポート層）
第5層（セッション層）
第6層（プレゼンテーション層）
第7層（アプリケーション層）

7. OSI参照モデル
第1層（物理層）
第2層（データリンク層）
第3層（ネットワーク層）
第4層（トランスポート層）
第5層（セッション層）
第6層（プレゼンテーション層）
第7層（アプリケーション層）
第0層（土建層）

8. OSI参照モデル
第1層（物理層）
第2層（データリンク層）
第3層（ネットワーク層）
第4層（トランスポート層）
第5層（セッション層）
第6層（プレゼンテーション層）
第7層（アプリケーション層）
第0層（土建層）
第8層（財務層）

9. OSI参照モデル
第1層（物理層）
第2層（データリンク層）
第3層（ネットワーク層）
第4層（トランスポート層）
第5層（セッション層）
第6層（プレゼンテーション層）
第7層（アプリケーション層）
第0層（土建層）
第8層（財務層）
第9層（政治・経営層）

10. OSI参照モデル
第1層（物理層）
第2層（データリンク層）
第3層（ネットワーク層）
第4層（トランスポート層）
第5層（セッション層）
第6層（プレゼンテーション層）
第7層（アプリケーション層）
第0層（土建層）
第8層（財務層）
第9層（政治・経営層）
第10層（宗教層）

11. 第{0,3,9}層
第1層（物理層）
第2層（データリンク層）
第3層（ネットワーク層）
第4層（トランスポート層）
第5層（セッション層）
第6層（プレゼンテーション層）
第7層（アプリケーション層）
第0層（土建層）
第8層（財務層）
第9層（政治・経営層）
第10層（宗教層）

13. 1stキーマン：謎の黒い箱

14. 1stキーマン：謎の黒い箱
ネットワーク利用のサインアップ
独自コンテンツの利用端末
テレビをディスプレイとして使用
WANとLANのポートが1つづつ

15. 想定する使い方（たぶん）
この箱でアカウントをサインアップ
最初にBASIC認証を行う

16. 調べてみると・・・
WANとLANの2ポートあるけど、ネットワーク的に
はただのHUB(ただし100BASE)
WANにフラットでぶら下がる（怖い）
BASIC認証でIPアドレスとアカウントを紐付ける
トークンの類が配られるわけではない

17. なので、こうしました
一度サインアップしたらお払い箱
NATを設置、ローカル端末で認証
WAN側アドレスが認証されてずっと使える

18. 192.168.131.0/24
.1
・・・
L3(IPレイヤー)の構造はこんな感じ
でしばらく(1年半くらい)運用

19. たまたま手に入った

20. 主な使い方

21. AirVideo

23. 外からも繋ぎたいじゃん？

25. !?

26. Σ (ﾟДﾟ;）

27. tracerouteとってみた

28. tracerouteとってみた
2つ目のルータのIPアドレスが
クラスAのプライベートアドレス

29. ＿人人人人人人人人人＿
＞ まさかの2重NAT ＜
￣Y^Y^Y^Y^Y^Y^Y^Y￣

30. 192.168.131.0/24.1
・・・
L3(IPレイヤー)はこうなってた
10.18.66.0/24.1
家ん中&自分の管理下

31. 192.168.131.0/24.1
・・・
L3(IPレイヤー)はこうなってた
10.18.66.0/24.1
家ん中&自分の管理下
同じネットワーク内
なので無問題

32. 192.168.131.0/24.1
・・・
L3(IPレイヤー)はこうなってた
10.18.66.0/24.1
家ん中&自分の管理下
同じネットワーク内
なので無問題

33. 192.168.131.0/24.1
・・・
L3(IPレイヤー)はこうなってた
10.18.66.0/24.1
家ん中&自分の管理下
UPnPやポート転送で
ルーティング可能
同じネットワーク内
なので無問題

34. 192.168.131.0/24.1
・・・
L3(IPレイヤー)はこうなってた
10.18.66.0/24.1
家ん中&自分の管理下
UPnPやポート転送で
ルーティング可能
ルーティング設定できない
同じネットワーク内
なので無問題

35. . .: : : : : : : : :: :::: :: :: : :::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
. . : : : :: : : :: : ::: :: : :::: :: ::: ::: :::::::::::::::::::::::::::::::::::::: ２重NATってどういうことだよ。
. . .... ..: : :: :: ::: :::::: :::::::::::: : ::::::::::::::::::::::::::::::::::::::::::::: これじゃ、UPnPどころか
Λ＿Λ . . . .: : : ::: : :: ::::::::: ::::::::::::::::::::::::::::: Port Forwarding もできない
/:彡ミ゛ヽ;）ー､ . . .: : : :::::: ::::::::::::::::::::::::::::::::: じゃないか。
/ :::/:: ヽ、ヽ、 ::i . .:: :.: ::: . ::::::::::::::::::::::::::::::::::::::: こんなのインターネッツじゃない。
/ :::/;;: ヽ ヽ ::ｌ . :. :. .:: : :: :: :::::::: : ::::::::::::::::::
￣￣￣（_,ノ ￣￣￣ヽ､_ノ￣￣￣￣

36. VPNを構築しました

37. VPNを構築しました
PPTP

38. VPNを構築しました
PPTP

39. VPNを構築しました
PPTP
PPPでつながるのと同等

40. http://d.hatena.ne.jp/earth2001y/20120223/p1

41. 192.168.131.0/24.1
・・・
L3(IPレイヤー)はこうなりました
10.18.66.0/24.1
同じネットワーク内
なので無問題
192.168.132.0/24
家ん中
.2

42. 192.168.131.0/24.1
・・・
L3(IPレイヤー)はこうなりました
10.18.66.0/24.1
同じネットワーク内
なので無問題
192.168.132.0/24
家ん中同じネットワーク(VPN)内
なので無問題
.2

43. こういうことができるようになると
人間は欲が出てくるってもんです

44. 192.168.131.0/24.1
・・・
外から家のマシンにつながったけど
192.168.132.0/24
家ん中
.2
.1

45. 192.168.131.0/24.1
・・・
外から家のマシンにつながったけど
192.168.132.0/24
家ん中
.2
.1

46. 192.168.131.0/24.1
・・・
外から家のマシンにつながったけど
192.168.132.0/24
家ん中
.2
.1
ルータになってない

47. 家ネットワークとVPNの間をルーティングしたくなる
この子をルータにしてあげればいいのか？
・常時VPNとつながってる必要があり、
死活監視・再接続が必要
→これは難しくない(実際やってみた)
・ワークステーションとして運用を考え
たもので、なるべくサーバにはしたく
ない
・電力食うし(MacProなめんな)

48. そして一番の問題児

49. 電源投入直後

50. ＿人人人人人人人人人＿
＞ ３時間後に切 ＜
￣Y^Y^Y^Y^Y^Y^Y^Y￣

51. . .: : : : : : : : :: :::: :: :: : :::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
. . : : : :: : : :: : ::: :: : :::: :: ::: ::: :::::::::::::::::::::::::::::::::::::: 空調が3時間で強制的に切れるっ
. . .... ..: : :: :: ::: :::::: :::::::::::: : ::::::::::::::::::::::::::::::::::::::::::::: てどういうことだよ。
Λ＿Λ . . . .: : : ::: : :: ::::::::: ::::::::::::::::::::::::::::: 電力消費が大きい機器の連続
/:彡ミ゛ヽ;）ー､ . . .: : : :::::: ::::::::::::::::::::::::::::::::: 稼動なんて無理じゃないか。
/ :::/:: ヽ、ヽ、 ::i . .:: :.: ::: . ::::::::::::::::::::::::::::::::::::::: サーバ運用なんてやって、夏場
/ :::/;;: ヽ ヽ ::ｌ . :. :. .:: : :: :: :::::::: : :::::::::::::::::: になったら、それこそ・・・
￣￣￣（_,ノ ￣￣￣ヽ､_ノ￣￣￣￣

52. ＿人人人人人人人人人＿
＞ 突然の死 ＜
￣Y^Y^Y^Y^Y^Y^Y^Y￣

53. 192.168.131.0/24
・・・
L3でこういう構成を考えた
.1
家ん中
192.168.132.0/2410.18.66.0/24
NAT
.1
.1
.２
NAT

54. 192.168.131.0/24
・・・
L3でこういう構成を考えた
.1
家ん中
192.168.132.0/2410.18.66.0/24
NAT
10.18.66.0/24にはNAT
VPNには普通のルータ
.1
.1
.２
NAT

55. 192.168.131.0/24
・・・
L3でこういう構成を考えた
.1
家ん中
192.168.132.0/2410.18.66.0/24
NAT
10.18.66.0/24にはNAT
VPNには普通のルータ
.1
.1
.２
NAT

56. 192.168.131.0/24
・・・
L3でこういう構成を考えた
.1
家ん中
192.168.132.0/2410.18.66.0/24
NAT
10.18.66.0/24にはNAT
VPNには普通のルータ
.1
.1
.２
NAT

57. 192.168.131.0/24
・・・
L3でこういう構成を考えた
.1
家ん中
192.168.132.0/2410.18.66.0/24
NAT
10.18.66.0/24にはNAT
VPNには普通のルータ
.1
.1
.２
NAT
ポート転送設定

58. さて、機器選定のお時間です
ちょっと、ガチすぎませんかね...

59. PPTPクライアント機能
(調べた限りホームルータでは唯一搭載)

60. 外からも繋ぎたいじゃん？
この機能も外に出したい

61. どこかのVPSサービス使うとして、
ストレージはどうするぞね？
トランスコードはどうするぞね？

62. どこかのVPSサービス使うとして、
ストレージはどうするぞね？
トランスコードはどうするぞね？

63. TBオーダーのストレージを使える
手軽なVPSサービスなんてない！

64. |
＼ __ ／
＿ （ｍ） ＿ﾋﾟｺｰﾝ
|ミ| 家のNASを使おう！
／ ｀´ ＼
('A`)
ノヽノヽ
くく

65. 192.168.131.0/24
・・・
どういうことだってばよ？
.1
家ん中
192.168.132.0/2410.18.66.0/24
.1
.1
.２
*.earth2001y.jp
(ビデオサーバ)

66. 192.168.131.0/24
・・・
どういうことだってばよ？
.1
家ん中
192.168.132.0/2410.18.66.0/24
.1
.1
.２
*.earth2001y.jp
(ビデオサーバ)
NASのファイルシステムを
ビデオサーバのファイルシス
テムにマウント

67. 家
VPNサーバ(日本のどこか)
ビデオサーバ(日本のどこか)

68. 家
VPNサーバ(日本のどこか)
ビデオサーバ(日本のどこか)

69. 家
VPNサーバ(日本のどこか)
ビデオサーバ(日本のどこか)
リクエスト

70. 家
VPNサーバ(日本のどこか)
ビデオサーバ(日本のどこか)
リクエスト
ファイルアクセス

71. 家
VPNサーバ(日本のどこか)
ビデオサーバ(日本のどこか)
リクエスト
ビデオストリーム
ファイルアクセス

72. どこかのVPSサービス使うとして、
ストレージはどうするぞね？
トランスコードはどうするぞね？

73. 家
リクエスト
ビデオストリーム
ファイルアクセス

74. 家
リクエスト
ビデオストリーム
ファイルアクセス
ここの帯域そんなに太くないよ...

75. iPadにチューンしたパラメータで
あらかじめエンコードしておく
ビデオファイルを突っ込んでおく
例) FullHD 8000kbps

76. iPadにチューンしたパラメータで
あらかじめエンコードしておく
ビデオファイルを突っ込んでおく
例) FullHD 8000kbps
568x320 400kbps
44.1kHz 128kbps
でエンコード
(cronで実行)

77. iPadにチューンしたパラメータで
あらかじめエンコードしておく
ビデオファイルを突っ込んでおく
例) FullHD 8000kbps
568x320 400kbps
44.1kHz 128kbps
でエンコード
(cronで実行)
エンコード済の
ファイルをストア

78. iPadにチューンしたパラメータで
あらかじめエンコードしておく
ビデオファイルを突っ込んでおく
例) FullHD 8000kbps
568x320 400kbps
44.1kHz 128kbps
でエンコード
(cronで実行)
エンコード済の
ファイルをストア
エンコード済の
ファイルを送出

79. とりあえず、構築の話はここまで
続きあるんだけど時間なさそうなんで...

80. 192.168.131.0/24
.1
・・・
これが

81. 192.168.131.0/24
・・・
こうなりました
.1
家ん中
192.168.132.0/2410.18.66.0/24
.1
.1
.２
*.earth2001y.jp
(ビデオサーバ)

82. 追々やってみたいこと
・上流回線の死活監視・自動切り替え
→ いまは手動で WiMAX or Xi に
・実家のネットワークをVPNにつなげる
・分散バックアップ環境構築
・RIPを使ったルーティングテーブル作成
・2.4GHzと5GHzの併用
・もっとまともなルータを導入
・仮想ルータ(Vyattaなど)の導入

83. ありそうなツッコミ
・IPv6使えばいいんじゃない？
→ ほら、上流回線がアレだから
・ストレージ大きいVPSサービスあるよ
→ ほんとですか！？教えてください！！
・PogoPlugっていうのがあってね
→ 他人のサーバ経由させたくないの
・自分で回線引けばいいじゃない
→ まったくもってそのとおり、でもね...

84. VPNもっておくといいよ
・今回の話の基幹でもある
・公衆接続サービス使うときの防衛策
・大規模勉強会などでのNAT負荷低減
・商用VPNサービスを聞かないのはなん
でだろう？ISPより規制がきつい？

85. まとめ
・第{0,3,9}層の制約と戦うネットワーク構築
の話をしました。
・VPNが使えると、越えられるネットワーク
制約が増えて世界が広がります。
→ 単一ネットワークの地理的広がりも
・アウトソースできるものはしておいたほう
が、電力にやさしい。
・条件に合うものがなときは、まあ工夫を。
・たまにはお金で解決も。

86. おわり