【IDCFクラウド】VyOS間でIPIPトンネルの中にIPsecVPNを構成してみた その２

前回の続きです。

Config抜粋　
＜radian　VyOS＞
set interfaces ethernet eth0 address 'dhcp'
set interfaces ethernet eth0 duplex 'auto'
set interfaces ethernet eth0 smp_affinity 'auto'
set interfaces ethernet eth0 speed 'auto'
set interfaces tunnel tun0 address '172.16.0.1/30'
set interfaces tunnel tun0 encapsulation 'ipip'
set interfaces tunnel tun0 local-ip '10.13.0.100'
set interfaces tunnel tun0 multicast 'disable'
set interfaces tunnel tun0 remote-ip 'B.B.B.B'
set vpn ipsec esp-group ESP-G compression 'disable'
set vpn ipsec esp-group ESP-G lifetime '3600'
set vpn ipsec esp-group ESP-G mode 'tunnel'
set vpn ipsec esp-group ESP-G pfs 'dh-group2'
set vpn ipsec esp-group ESP-G proposal 1 encryption 'aes128'
set vpn ipsec esp-group ESP-G proposal 1 hash 'sha1'
set vpn ipsec ike-group IKE-G ikev2-reauth 'no'
set vpn ipsec ike-group IKE-G key-exchange 'ikev1'
set vpn ipsec ike-group IKE-G lifetime '28800'
set vpn ipsec ike-group IKE-G proposal 1 dh-group '2'
set vpn ipsec ike-group IKE-G proposal 1 encryption 'aes128'
set vpn ipsec ike-group IKE-G proposal 1 hash 'sha1'
set vpn ipsec ipsec-interfaces interface 'eth0'
set vpn ipsec nat-traversal 'enable'
set vpn ipsec site-to-site peer 172.16.0.2 authentication mode 'pre-shared-secret'
set vpn ipsec site-to-site peer 172.16.0.2 authentication pre-shared-secret 'TestVPN1234567890'
set vpn ipsec site-to-site peer 172.16.0.2 connection-type 'initiate'
set vpn ipsec site-to-site peer 172.16.0.2 default-esp-group 'ESP-G'
set vpn ipsec site-to-site peer 172.16.0.2 ike-group 'IKE-G'
set vpn ipsec site-to-site peer 172.16.0.2 ikev2-reauth 'inherit'
set vpn ipsec site-to-site peer 172.16.0.2 local-address '172.16.0.1'
set vpn ipsec site-to-site peer 172.16.0.2 tunnel 1 allow-nat-networks 'disable'
set vpn ipsec site-to-site peer 172.16.0.2 tunnel 1 allow-public-networks 'disable'
set vpn ipsec site-to-site peer 172.16.0.2 tunnel 1 local prefix '10.13.0.0/21'
set vpn ipsec site-to-site peer 172.16.0.2 tunnel 1 remote prefix '10.11.0.0/21'

################################################

＜newton　VyOS＞

set interfaces ethernet eth0 address 'dhcp'

set interfaces ethernet eth0 duplex 'auto'

set interfaces ethernet eth0 smp_affinity 'auto'

set interfaces ethernet eth0 speed 'auto'

set interfaces tunnel tun0 address '172.16.0.2/30'

set interfaces tunnel tun0 encapsulation 'ipip'

set interfaces tunnel tun0 local-ip '10.11.0.100'

set interfaces tunnel tun0 multicast 'disable'

set interfaces tunnel tun0 remote-ip 'A.A.A.A'

set vpn ipsec esp-group ESP-G compression 'disable'

set vpn ipsec esp-group ESP-G lifetime '3600'

set vpn ipsec esp-group ESP-G mode 'tunnel'

set vpn ipsec esp-group ESP-G pfs 'dh-group2'

set vpn ipsec esp-group ESP-G proposal 1 encryption 'aes128'

set vpn ipsec esp-group ESP-G proposal 1 hash 'sha1'

set vpn ipsec ike-group IKE-G ikev2-reauth 'no'

set vpn ipsec ike-group IKE-G key-exchange 'ikev1'

set vpn ipsec ike-group IKE-G lifetime '28800'

set vpn ipsec ike-group IKE-G proposal 1 dh-group '2'

set vpn ipsec ike-group IKE-G proposal 1 encryption 'aes128'

set vpn ipsec ike-group IKE-G proposal 1 hash 'sha1'

set vpn ipsec ipsec-interfaces interface 'eth0'

set vpn ipsec nat-traversal 'enable'

set vpn ipsec site-to-site peer 172.16.0.1 authentication mode 'pre-shared-secret'

set vpn ipsec site-to-site peer 172.16.0.1 authentication pre-shared-secret 'TestVPN1234567890'

set vpn ipsec site-to-site peer 172.16.0.1 connection-type 'initiate'

set vpn ipsec site-to-site peer 172.16.0.1 default-esp-group 'ESP-G'

set vpn ipsec site-to-site peer 172.16.0.1 ike-group 'IKE-G'

set vpn ipsec site-to-site peer 172.16.0.1 ikev2-reauth 'inherit'

set vpn ipsec site-to-site peer 172.16.0.1 local-address '172.16.0.2'

set vpn ipsec site-to-site peer 172.16.0.1 tunnel 1 allow-nat-networks 'disable'

set vpn ipsec site-to-site peer 172.16.0.1 tunnel 1 allow-public-networks 'disable'

set vpn ipsec site-to-site peer 172.16.0.1 tunnel 1 local prefix '10.11.0.0/21'

set vpn ipsec site-to-site peer 172.16.0.1 tunnel 1 remote prefix '10.13.0.0/21'

##############################################

IPsec VPN確認

＜radian　VyOS＞

vyos@vyos:~$ show vpn ike sa

Peer ID / IP                            Local ID / IP

------------                            -------------

172.16.0.2                              172.16.0.1

    State  Encrypt  Hash    D-H Grp  NAT-T  A-Time  L-Time

    -----  -------  ----    -------  -----  ------  ------

    up     aes128   sha1    2        no     1311    28800

vyos@vyos:~$ show vpn ipsec sa

Peer ID / IP                            Local ID / IP

------------                            -------------

172.16.0.2                              172.16.0.1

    Tunnel  State  Bytes Out/In   Encrypt  Hash    NAT-T  A-Time  L-Time  Proto

    ------  -----  -------------  -------  ----    -----  ------  ------  -----

    1       up     12.3K/8.0K     aes128   sha1    no     1315    3600    all

vyos@vyos:~$

＜newton　VyOS＞
vyos@vyos:~$ show vpn ike sa
Peer ID / IP                            Local ID / IP
------------                            -------------
172.16.0.1                              172.16.0.2

    State  Encrypt  Hash    D-H Grp  NAT-T  A-Time  L-Time
    -----  -------  ----    -------  -----  ------  ------
    up     aes128   sha1    2        no     1785    28800


vyos@vyos:~$ show vpn ipsec sa
Peer ID / IP                            Local ID / IP
------------                            -------------
172.16.0.1                              172.16.0.2

    Tunnel  State  Bytes Out/In   Encrypt  Hash    NAT-T  A-Time  L-Time  Proto
    ------  -----  -------------  -------  ----    -----  ------  ------  -----
    1       up     8.0K/8.0K      aes128   sha1    no     1549    3600    all
vyos@vyos:~$

##############################################

Ping確認

＜radian　VyOS＞

vyos@vyos:~$ ping 10.11.0.100 interface 10.13.0.100 count 4

PING 10.11.0.100 (10.11.0.100) from 10.13.0.100 : 56(84) bytes of data.
64 bytes from 10.11.0.100: icmp_req=1 ttl=64 time=0.915 ms
64 bytes from 10.11.0.100: icmp_req=2 ttl=64 time=1.13 ms
64 bytes from 10.11.0.100: icmp_req=3 ttl=64 time=0.962 ms
64 bytes from 10.11.0.100: icmp_req=4 ttl=64 time=0.911 ms

--- 10.11.0.100 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3003ms
rtt min/avg/max/mdev = 0.911/0.980/1.133/0.093 ms
vyos@vyos:~$
vyos@vyos:~$ show ip route
Codes: K - kernel route, C - connected, S - static, R - RIP, O - OSPF,
       I - ISIS, B - BGP, > - selected route, * - FIB route

S>* 0.0.0.0/0 [210/0] via 10.13.0.1, eth0
K>* 10.11.0.0/21 is directly connected, tun0
C>* 10.13.0.0/21 is directly connected, eth0
C>* 127.0.0.0/8 is directly connected, lo
C>* 172.16.0.0/30 is directly connected, tun0
vyos@vyos:~$

＜newton　VyOS＞

vyos@vyos:~$ ping 10.13.0.100 interface 10.11.0.100 count 4

PING 10.13.0.100 (10.13.0.100) from 10.11.0.100 : 56(84) bytes of data.

64 bytes from 10.13.0.100: icmp_req=1 ttl=64 time=0.996 ms

64 bytes from 10.13.0.100: icmp_req=2 ttl=64 time=0.863 ms

64 bytes from 10.13.0.100: icmp_req=3 ttl=64 time=1.03 ms

64 bytes from 10.13.0.100: icmp_req=4 ttl=64 time=0.931 ms

--- 10.13.0.100 ping statistics ---

4 packets transmitted, 4 received, 0% packet loss, time 3001ms

rtt min/avg/max/mdev = 0.863/0.956/1.035/0.068 ms

vyos@vyos:~$

vyos@vyos:~$ ip route

default via 10.11.0.1 dev eth0  proto zebra

10.11.0.0/21 dev eth0  proto kernel  scope link  src 10.11.0.100

10.13.0.0/21 dev tun0  scope link  src 10.11.0.100

127.0.0.0/8 dev lo  proto kernel  scope link  src 127.0.0.1

172.16.0.0/30 dev tun0  proto kernel  scope link  src 172.16.0.2

vyos@vyos:~$

【さくらのクラウド】CloudBerryExplorerを使ってオブジェクトストレージを操作してみた

今回は、CloudBerry Explorerを使ってオブジェクトストレージを操作してみます。

CloudBerry Explorer
http://www.cloudberrylab.com/free-amazon-s3-explorer-cloudfront-IAM.aspx

CloudBerry Explorerを起動します。

































ファイルより”Add New Account”　をクリックします。


























”S3 Compatible”をクリックします。


































さくらのクラウドのオブジェクトストレージへ接続する為に
必要な情報を設定します。入力項目は下記となります。

Display name ：　任意
Service point ：　バケット作成時に表示されたURLからバケット名を削除
Accss key　   ：　バケット作成時に表示されたアクセスキーID
Secret key　  ：　バケット作成時に表示されたシークレットアクセスキー

入力後、接続テストをクリックします。





正しく設定されていると”Connection success”と表示されます。
Closeをクリックし、ポップアップを閉じます。
接続用アカウントの設定画面よりOKをクリックします。


































設定が完了しました。


































PC上のファイルをさくらのクラウドのオブジェクトストレージに保存してみましょう。
右側にさくらのクラウドを表示します。さくらのクラウドのポータルより作成した
バケットが表示されました。


































右側に表示されたさくらのクラウドのバケットをクリック、バケット内へ移動します。
左側に送信元のファイルを表示、選択し、”移動”をクリックします。





































ポップアップが表示されます。”Yes”をクリックします。




































PC上のファイルをさくらのクラウドのオブジェクトストレージに登録できました。




































さくらのクラウド上からも登録したファイルを確認できました。




それでは。

【さくらのクラウド】オブジェクトストレージを使ってみた

さくらのクラウドのオブジェクトストレージを使ってみました。

そもそも、オブジェクトストレージとは何でしょうか？

下記リンクの資料でオブジェクトストレージのことを

わかりやすく説明されていました。ご興味あればご確認ください。

【さくらのクラウド】オブジェクトストレージ導入ガイド

http://www.slideshare.net/sakura_pr/sakuracloud-object-storage

実際に操作してみました。

まず、ホーム画面より　”オブジェクトストレージ”　をクリックします。

”バケットの作成”をクリックします。

任意のバケット名を入力し、作成をクリックします。

確認のポップアップが表示されます。作成をクリックします。

バケットが作成されました。

利用する為に必要となるアクセスキーやURLも確認できます。

次回は、CloudBerry Explorerを利用してオブジェクトストレージへファイルをアップロードしてみます。

それでは。

【さくらのクラウド】さくらのクラウド入門編をやってみる

さて、クラウドで何をやろうか、、、、と思い、
さくらのクラウドを調べてみたら、こんなブログも書かれているんですね。


さくらのクラウド入門


わかりやすく説明されています。
まずは、これを参考にやってみようかなと思います。

【第1回】
仮想サーバと仮想ディスク
 – 「さくらのクラウド入門」(1)
http://knowledge.sakura.ad.jp/knowledge/5970/

【第2回】
アーカイブと自動バックアップ
 – 「さくらのクラウド入門」(2)
http://knowledge.sakura.ad.jp/knowledge/6104/

【第3回】
サーバのスケールアップ・スケールダウン・スケールアウト・スケールイン
 – 「さくらのクラウド入門」(3)
http://knowledge.sakura.ad.jp/knowledge/6217/

【第4回】
ロードバランサの仕組み
 – 「さくらのクラウド入門」(4)
http://knowledge.sakura.ad.jp/knowledge/6274/

【第5回】
ロードバランサ実践編＆サーバクラスタ構築のコツ
 – 「さくらのクラウド入門」(5)
http://knowledge.sakura.ad.jp/knowledge/6349/

【第6回】Linuxパフォーマンスモニタを活用したボトルネックの把握
 – 「さくらのクラウド入門」(6)
http://knowledge.sakura.ad.jp/knowledge/6350/

【さくらのクラウド】資料に使えるアイコンを手に入れた

冬到来。寒いですね。

寒いと外へ出かけるのが億劫になるので、さくらのクラウドのクーポンが
残っている間にいろいろ試してブログを書こうと思います。

何をしようか考えていたのですが、いろいろと説明する時には
図を描いて説明する方がいいなと思い、アイコン探してみたらありました。

その名も

さくらのアイコン

アイコンが用意されていると資料作りがとても楽です。
さっそくダウンロードしてみました。

アイコンは、下記リンクより入手できます。
また、利用範囲等についても記載されています。


　システム構成図やプレゼンテーション資料などで自由に使える
　「さくらのアイコンセット」を公開いたしました。　
　http://knowledge.sakura.ad.jp/other/4724/


利用者としては、アイコンがあると説明しやすくなりますし、

説明する相手へのイメージ付けもしやすくなるので、

こういうツールの提供はとてもありがたいな、と思います。

他社のクラウドでもアイコンを提供していることがあるので
今度、アイコンを提供しているクラウドをまとめてみようかと思います。

では、これからアイコンを使ってブログ用の構成図を作成したいと思います。

今回はこの辺で。

【さくらのクラウド】コンソールからサーバへ接続してみた

前回作成したサーバへWebポータルからコンソールで接続してみます。

Webポータルよりサーバ名　”testVM01”　を右クリックします。
表示されたメニューから”コンソール”をクリックします。

コンソールが表示されました。
作成時に設定したパスワードでログインします。

ログインできました。サーバにWebサーバをインストールしてみます。

Webサーバのインストールが終わりました。
外部から通信できるようにファイアウォールを設定します。

作業端末のブラウザから作成したサーバに割り当てられたグローバルアドレスへアクセスします。
テストページが表示されました。

前回からの簡単な操作でサーバを作成し、Webサーバのインストールまでできました。

Webポータルからクラウドのコンソール機能を利用してサーバへアクセスできるのは
とても便利ですね。作成したサーバがインターネットに直接接続しない場合や
作業用の端末が所属するネットワークにおいてSSHが利用できない場合でも
クラウドのポータルへアクセスできれば、クラウド上のサーバの操作や確認ができます。

Webコンソールは、クラウドサービスによってコンソール機能を利用できるクラウド、
コンソールを利用できないクラウドがあります。利用できるクラウドでもクラウドによって
操作感が異なることが多いと思います。まずは触ってみる、が一番良いかと思います。

今回はこの辺で。

【さくらのクラウド】仮想サーバを作ってみた

前回は、さくらのクラウドについて調べてみました。

今回から実際にさくらのクラウドを操作してみます。

さくらのクラウドにサーバを作成してみましょう。
まずは、ログインします。

ログインすると下記画面が表示されます。
さくらのクラウド（IaaS）をクリックします。

今回は石狩第２ゾーンにサーバを作成します。
左側のメニューよりサーバを選択します。

さくらのクラウドで用意しているディスクイメージからサーバを作成できそうです。
今回はCentOS7.2を作成してましょう。
Unix/LinuxタブよりCentOS　7.2　64bitを選択。

リソースが足りなければ後からサイズ変更することとします。

サーバプランは最安値のものを選択します。

ディスクプランも最小・最安値の20GBのSSDを選択します。

ネットワークは、作成したサーバから直接インターネットへ接続させます。

なので、接続先のネットワークよりインターネットを選択します。

パスワードを設定します。
必要に応じて、SSHの公開鍵を設定します。
事前に登録してあるSSHの設定を利用することもできます。

任意のホスト名を設定、作成数は１台とします。
作成をクリックします。

確認のポップアップが表示されるので、作成をクリックします。

作成が開始されました。

作成が完了しました。閉じるをクリックします。

Webポータルにもサーバが表示されました。
仮想マシン名　”testVM01”　をクリックしてみましょう。

作成した仮想マシンの詳細が表示されました。
NICやディスク、ISO、コンソールなどもここから設定、利用できそうです。

次回は、Webポータルよりコンソールを利用してサーバを操作してみます。

【さくらのクラウド】 さくらのクラウドを調べてみた

さくらのクラウドについて、調べてみました。

・さくらインターネットが提供するパブリッククラウド
　
・クラウド基盤
　KVM

・利用可能なロケーション
　東京リージョン、石狩リージョン

・リージョン毎のサービス提供差分
　あり

・最大CPU、メモリサイズ
　CPU20コア、メモリ224GB

・最大ディスクサイズ
　４TB/ディスク
　
・利用上限
　下記に記載あり
　　提供ゾーンおよび各種サービスの利用上限について
　　http://cloud.sakura.ad.jp/terms/

・仮想サーバの操作
　・NIC、ディスク追加
　 仮想サーバの停止が必要

・最低利用金額
　石狩リージョン　：　1コア-1GB　1,522円/月額、76円/日額、7円/時間
　東京リージョン　：　1コア-1GB　1,728円/月額、86円/日額、8円/時間

・電源オフ時の課金
　発生する

・ネットワーク

　・グローバルアドレス
　　仮想サーバ作成時に１つのグローバルアドレスが割り当てられる

　・ ルータ＋スイッチ
　　有償
　　グローバルアドレスを複数利用する場合に利用
　　作成時に有償の追加IPアドレス （/28～/24から選択）も同時に選択

　 ・スイッチ
　　有償
　　ローカルアドレスのみのインターネットに接続されないサーバーを設置する時や
　　リージョン間接続時にブリッジ（有償）と共に利用

   ・ロードバランサ、GSLB
     あり（有償）

　　　ロードバランサ・GSLB
　　　http://cloud.sakura.ad.jp/specification/load-balancing/#load-balancing-content01

　 ・VPN機能
　　VPCルータを利用すると下記が利用できる（有償）

　　　・リモートアクセス機能(PPTP/L2TP/IPsec)
　　　・サイト間VPN

　　　VPCルータ
　　　http://cloud.sakura.ad.jp/specification/security/#security-content01

・SLA
　99.95%　（月間のサーバー稼働率）

　　＜障害の状態＞
　　1．利用者のSLA適用サーバーの電源が入らない状態
　　2．利用者のSLA適用サーバーに全くアクセスできない状態
　　3．利用者のSLA適用サーバーに接続されているディスクに全くアクセスできない状態」

　さくらのクラウド品質保証（SLA）
　http://cloud.sakura.ad.jp/sla/

・２段階認証
　あり、無料
　http://cloud-news.sakura.ad.jp/control_panel_login/2-factor-auth/

・SSL証明書
　さくらのSSLより申し込み
　http://cloud.sakura.ad.jp/specification/security/#security-content02

・クーポン
　あり
　　※さくらのクラウド主催のイベントなどで配布されることあり

＜ドキュメントなど＞

・さくらのご利用ガイド
　http://cloud.sakura.ad.jp/support/

・よくある質問(技術的な事項)
　http://cloud-news.sakura.ad.jp/faq_top/faq/

・さくらのクラウドインフラ紹介
　http://www.slideshare.net/sakuranocloud/ss-15779076

・さくらインターネットでは「さくらのVPS」、「専用サーバ」も提供中
　「専用サーバ」、「さくらのVPS」と「さくらのクラウド」の違いは？」
　http://cloud.sakura.ad.jp/faq/

次回より実際に操作してみたいと思います。

【さくらのクラウド】さくらのクラウド5周年ありがとうキャンペーン

さくらのクラウドが５周年を迎えたそうです。
そのキャンペーンでなんと、

50,000円分のクーポンプレゼント！


現在さくらのクラウドクーポンをご利用されていない方が対象とのこと。
50,000円もあればいろいろ試すことができますね。


さくらのクラウド5周年ありがとうキャンペーン
http://cloud.sakura.ad.jp/campaign/

【IDCFクラウド】 BitnamiのownCloudからIDCFクラウドのオブジェクトストレージを利用する

今回は、前回デプロイしたBitnamiのownCloudから
IDCFクラウドのオブジェクトストレージを利用できるように設定してみます。

まず、外部ストレージ連携の機能を有効化します。
左上のメニューよりアプリをクリックします。



































無効なアプリをクリックし、External　storage support を表示させ、
有効にするをクリックするとすぐに有効化されます。





































右側のメニューより管理をクリックします。


















左側のメニューより外部ストレージをクリックします。




































ストレージを追加をクリックします。

































IDCFクラウドのオブジェクトストレージは、Amazon S3 API互換の
REST APIが利用できるのでAmazon S3を選択します。


























下記に必要事項を入力します。
フォルダ名　　　　 ：　ownCloud上で表示する任意のフォルダ名を入力します。
バケット名　　　　 ： 　IDCFクラウドのオブジェクトストレージのバケット名を入力します。
ホスト名　　　　　　：　IDCFクラウドのオブジェクトストレージのエンドポイント名を入力します。
アクセスキー　　　：　IDCFクラウドのオブジェクトストレージのAPI Keyを入力します。
シークレットキー　：　IDCFクラウドのオブジェクトストレージのSecret Keyを入力します。
利用権限　　　　　：　ownCloudのユーザの利用権限を設定します。





入力例です。上段がownCloudの入力画面、
下段がIDCFクラウド　オブジェクトストレージのAPIキーの情報画面です。
①～③がそれぞれの対応箇所となります。
IDCFクラウドとの連携が完了すると、フォルダ名の左側に緑色のランプが点灯します。







































ownCloudからIDCFクラウドのオブジェクトストレージを利用できるようになりました。



































今回はこの辺で。それでは。

【IDCFクラウド】 BitnamiのownCloudをデプロイ

今回は前回登録したBitnamiのownCloudのテンプレートを
IDCFクラウドへデプロイしてみます。

まずは、テンプレートから仮想マシンを作成。
テンプレート名をクリックして、、、






仮想マシン作成をクリック。






仮想マシン作成画面へをクリック。






デプロイするゾーンと仮想マシンタイプを選択。
今回、ゾーンはradian、仮想マシンタイプはS1を選択。






SSHキーを選択後、一番下までスクロール。
仮想マシン名を入力後、確認画面へをクリック。

































確認画面。確認しつつ一番下までスクロール。
作成をクリック。






デプロイされました。






IDCFクラウドでは、IDCFクラウドの仮想ルータとクライアントPCとの間で
L2TP/IPSEC　VPNを無料で利用できます。今回は、私の作業PC(Windows10)から
IDCFクラウドへVPNで接続し、先ほどデプロイしたownCloudのWebコンソールへ
アクセスします。



















ブラウザから仮想マシンのアドレスへアクセスすると、
ownCloudへのログイン画面が表示されます。
初期のログインID、パスワードでログインします。

ID/PWの詳細は、下記ページに記載されています。
https://bitnami.com/stack/owncloud/virtual-machine




































ログインできました。



































次回は、ownCloudからIDCFクラウドのオブジェクトストレージを
利用できるように設定します。

それでは。