VPN 環境の OpenVPN 化

Mac をいじり出して、iCloud を軸にした標準アプリの設計思想が非常に気に入ってしまった。一般のユーザー視点なら無料 5GB で十分である。

ところが、Mac をメイン機とするならば、僕の場合、エンジニア(プログラマー)的側面も、一般ユーザーとしての立場に加えて必要になってくる。外にも持ち歩く MacBook に、開発中のデータが入っているのは非常にリスクが高いから、データの保管場所が MacBook の実機に依存するのは避けたい。だが、アプリを開発するためのプロジェクトファイルを iCloud ドライブにぶち込んでしまうと、どうやってもすぐに無料で利用できる 5GB の限界に達してしまう。かといって課金までして iCloud を増量したいとも思わない。

となると、せっかく実家で運用している QNAP 製の NAS があるので、それを使って iCloud のような運用ができないかと考えた。これまではデータを随時バックアップするという用途に NAS を使っていたのだが、クラウド的に、データ本体を常に NAS 側に置いておいて、それを端末側で参照するという形である。

ところが、写真などのマルテメディアデータはそのような専用のアプリが存在するのだが、ファイル一般となると iCloud ドライブのような使い方のできるオープンなアプリが存在しない。iCloud ドライブは macOS 専用だし、Google Drive にしても専用アプリをインストールする必要があり、それも Windows と macOS のみで Linux では使えない。

また、昔からある SMB の場合、LAN での利用を前提としていて、クラウドよりも一昔前のスタイルのまま停滞している感がある。

WebDAV

選択肢が限られていたので、まず最初に QNAP NAS で使える WebDAV を使ってみることにした。これは、macOS でも Linux でも標準で使えて、ネットワークドライブとして iCloud ドライブや Google Drive のようにアクセスが可能である。

ところが、WebDAV にはバグがあり、それは WebDAV が依存している apache のバグに由来するようだが、フォルダに index.html のファイルが存在すると、そのフォルダが空っぽ状態でファイルのリストが見えなくなってしまうという問題が発生した。

また、反応速度のせいか、例えば Eclipse で work_space として WebDAV 経由のフォルダを指定すると、エラーが出て、使えないことが判明した。

以上から、WebDAV によるクラウドドライブの実現は諦めた。

VPN + SMB

こうなったらオーソドックスに SMB を使ってみるしかないと思い、そのために VPN を構築することにした。元々、実家のルーターの設定などをリモートでメンテナンスするために、PPTP を使った VPN サーバーは立てていた。古い Buffalo のルーターを DD-WRT 化したものを使っている。しかし、最近 PPTP がどうも不安定化しすぐに接続が切れる。それに PPTP は技術的に世間で非推奨であり、OpenVPN を使うべきなのはほとんど常識である。設定の手間があったので OpenVPN を避けてきたが、クラウドドライブ実現のためにはちゃんと OpenVPN 化するべきだと思って、今回チャレンジすることにした。

OpenVPN

基本的に作業は Ubuntu (16.04LTS) 上で行った。一般に Linux 用の OpenVPN についてネット上で見つけられる情報は、サーバー用とクライアント用がセットになった解説だが、僕の場合は、サーバー側は DD-WRT で運用するので、Linux についてはクライアントとしての使い方になる。とはいえ、認証局(CA)として各証明書ファイルを作成するのは同じ Ubuntu マシン上で行うので、openvpn パッケージをインストールしなければならないのはサーバーとして運用する場合と同じである。基本的に How To Set Up an OpenVPN Server on Ubuntu 16.04 という英語の解説の通りに従い上手く行った。

作業として必要なことは

  1. 認証局(CA)として各証明書ファイル(秘密鍵含む)を作成すること
  2. クライアント用の設定ファイルを作成すること

の 2 つである。サーバーは DD-WRT の機能を使うので、主に DD-WRT の GUI で各証明書ファイルの内容をセットすればいい。解説に従って作成したいくつかの証明書と秘密鍵の内容をコピー&ペーストした。また、ネットでは TUN を使う例が多かったが、TAP にした。DD-WRT では AES-512-CBC も選べるようになっていたが、Ubuntu 側が対応していないようだったので、AES-256-CBC で我慢することにした。

クライアント側としては、先程クライアントマシン上で作成したクライアント用各証明書ファイルを使った設定ファイルを作成をするスクリプトを解説ページが用意してくれているので、それを使って作成した。ただし、DD-WRT 側の設定に合わせて、dev tap や cipher、auth などは手動でカスタマイズする必要はあるだろう。

ポートマッピングを忘れずに

初めての作業だったので、解説ページに沿ってやったものの、最初は接続が失敗した。実は、OpenVPN サーバー(DD-WRT)側ネットワークのポートマッピングで、UDP 1194 を通す設定を行っていなかっただけであった。運良く、検索一発目でポートマッピングが原因で失敗するのが一番多いと書かれている OpenVPN の FAQ を見つけることができ、すんなり解決できた。

GNOME のネットワーク設定(Network Manager)

不安定化していた PPTP と比べて、OpenVPN で接続が確立されると非常に安定している。だが、ターミナルでコマンドを使って OpenVPN を動かしている形なので、PPTP の場合のように、GNOME の画面右上のネットワーク設定を使った GUI で使えるようにできないかと思って調べたら、流石は Linux、流石は GNOME。ありました。apt install network-manager-openvpn-gnome するだけ。これで新規のネットワーク接続設定を追加すると VPN ではファイルからのインポートを選べるので、上の作業で作成した .ovpn ファイルを選択すれば、あとは各種設定は自動でセットされる。流石!

Ubuntu 環境で安定に接続が確立できることは確認できた。これで Mac でも OpenVPN をセットアップし、さらに SMB でクラウド化した状態で、Eclipse などが使えるかどうかというチャレンジは、また次の機会に。

補足 1

VPN 経由で LAN にアクセスするには以上で十分だが、さらに LAN の内側からインターネットに出たい場合、DD-WRT 側で追加の設定が必要だった。Additional Config 欄に

push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 192.168.0.1"
push "dhcp-option DNS 8.8.8.8"

という形で、クライアント側のネットワーク設定のデフォルトゲートウェイを(VPN 接続時に)上書きして必ず VPN 経由でインターネット側に出るようにし、さらに DNS サーバーのアドレスも指定しておく。

補足 2

OpenVPN のメッセージを見ていると、MTU の数値がサーバー⇔クライアント間で矛盾しているという警告が出ているので、色々と MTU 関係を調整した。

まず、実家は au ひかりであり、自分は WiMAX2+ なので、いずれも MTU は 1500 という理想的な環境である(ちなみに NTT の Flet's では PPPoE に加えて他にも余計なヘッダが入るため MTU は 1454 となる)。しかし、WiMAX ルーターの設定で MTU が設定できるようになっているが、なぜかデフォルトでは 1500 よりも低くしてあったので、ちゃんと 1500 にしておく必要があった。さらに、OpenVPN を運用するサーバー(DD-DRT)側もデフォルトで Tunnel MTU setting が 1400 にしてあったので、ちゃんと 1500 にする必要があった。Tunnel UDP Fragment は空欄(デフォルト)、Tunnel UDP MSS-Fix は無効(デフォルト)のままでよい。

以上で、OpenVPN をオンにしてもオフにしてもいずれも、ping コマンドで 1472 バイトのパケットがギリギリ通ることを確認した。

(ちなみに、Linux だけでなく Mac でも ping によるテストを行ったが、Linux と Mac では ping コマンドの仕様が違っていた。Linux では -M do オプションだったものが、Mac では -D オプションになっていた。)

コメント

コメントを投稿

このブログの人気の投稿

清水俊史『上座部仏教における聖典論の研究』

清水俊史さんという仏教学者(佛教大学出身)が、東大教授(花園大学卒→東大編入 or 再入学?)の馬場紀寿氏と論争の末、アカハラ被害に遭い、さらには出版妨害に遭った(参考: 日本テーラワーダ仏教教会 事務局長 佐藤哲朗さんの YouTube 動画 )という、問題作であるこの本を読んだ。 佐藤さんが紹介している Amazon の書評リンク にもある通り、この清水さんの本は、馬場氏の(今の東大教授としての地位へとつながる博士論文を母体とした)デビュー作『上座部仏教の思想形成――ブッダからブッダゴーサへ』の内容を完全否定するものである。 主に、清水さんの本の 3 部構成のうちの第 1 部がそれ(馬場説の完全否定劇)に該当する。 総括 第 1 部では、ブッダゴーサやダンマパーラに帰せられる著作群を主な材料として、小部の成立を軸とした三蔵の形成過程を考察した。以上をまとめれば、仏滅後からブッダゴーサを経てダンマパーラに至るまでに、三蔵は次のような段階を経て成立したと推定される。 仏滅後に残された様々な教えは、仏弟子たちによって、その内容に応じて律蔵と『長部』『中部』『相応部』『増支部』という経蔵四部とに収められ、僧団内にいる長部誦者や持律師と呼ばれる専門家たちがこれを伝承していった。この律蔵・四部から漏れた様々な種類の経典(主に偈頌経典)は、他の四部に比してより在家的・通俗的な蔵外文献として伝承され、『ジャータカ』と『ダンマパダ』の例外を除いて専門の誦者や伝持者は僧団内に存在しなかった。 これら四部の外側に累積していった蔵外文献(主に偈頌経典)は、 後に経蔵の第五部「小部」として三蔵内に組み込まれるが、経蔵が五部に再編成された後も小部の構成は固定的ではなく流動的であった。そのため、小部のうちには、成立が早いとされる『スッタニパータ』『ダンマパダ』といった韻文経典のみならず、成立が遅いと考えられ る『義釈』『無礙解道』といった教理書も収められている。このような編纂事情ゆえに、上座部における小部の伝持形態は、「小部」というーまとまりのセットで伝持するという意識が希薄であり、各々の文献単位で別個に伝持されていった。 また、小部の成立だけでなく、阿毘達磨蔵七書と律蔵附随の成立も遅いことが考えられるが、これら小部・阿毘達磨蔵・律蔵附随の成立の具体的な先後関係は不明であ
続きを読む

シークエンスパパともの先見の明

イメージ
先日、シンクロニシティ的に、故・シークエンスパパともが 2 年前に行った未解決事件に対する霊視が、ギャル霊媒師飯塚唯氏が最近行った霊視と、互いに補完し合うような内容であるということを ブログに 認 したた めた ばかりである。 ところで、さらにもう一つの、パパともの霊能力に関する(僕にとって)シンクロニシティ的なタイミングで到来した情報が発生した。 シークエンスはやとものチャンネルの動画などを観るようになったのがきっかけで、YouTube のお勧めに、オカルト系のチャンネルが多数表示されるようになってきたのだが、その一つに「都市ボーイズ」という都市伝説を中心としたオカルト系チャンネルがあった。こういうものを観だしたらキリがないので、基本はスルーしていたのだが、その都市ボーイズ(放送作家の岸本誠と早瀬康広のコンビ)がチャンネルにはやともがゲストで出演して生霊鑑定を行っていたのを観たので、そこから芋蔓式に都市ボーイズのチャンネルの動画も何本か観たりするようになった。 都市ボーイズはやせの黒魔術 当初は、はやせ(早瀬康広)に「黒い呪いのようなものがまとわりついている」という、はやともの生霊鑑定の結果を深掘りすべく、関連する動画を追った。はやせは、呪物コレクターであり、その上、最近(約 10 ヶ月前に公開された動画)、「呪いを飼い馴らして、黒魔術的な力を自分のものにする」という修行というか通過儀礼を行っていたというのである。 儀式を無事に終えて台湾系の呪術師に合格が認められたはやせは、「数年以内に自動的に能力が開花し、自分で自覚するだろう」と言われたという。 都市ボーイズはやせを怒らせた霊能者 そのようなはやせを擁する都市ボーイズだが、先日、「【テレビの闇】インチキ霊能力者にテレビ出演邪魔されました!【インチキ霊能者】」という刺激的なタイトルの動画が、たまたま僕が暇だった時、公開されたばかりのタイミングで見つけてしまったので、早速その動画を観た。 約 1 年前、とある霊能者の霊的な〝脅迫〟によって、はやせはテレビ出演を直前で降板させられてしまったそうである。 僕は、テレビは観なくなって久しい人間で、それこそ霊能者というとシークエンスはやともの言う「心霊第 3 世代」の宜保愛子で止まっていて、江原啓之ですら雑誌の見出しで名前を知っ
続きを読む

シークエンスパパとも 本物の霊能力

イメージ
シークエンスはやともを知ったきっかけ TV を見ない僕がシークエンスはやとも(YouTuber。吉本興業所属)の存在を知ったのは、今年の春(3 月か 4 月)の頃だったと思うが、YouTube でふと宜保愛子の動画を探していて、彼が宜保愛子を称賛するものを見つけて以来だったと思う。 それ以来いくつかの彼の動画をちょくちょく観るようになって、彼の霊能力が父親(シークエンスパパとも)譲りであり、パパともも息子のはやともに勧められて(癌闘病の傍ら)YouTuber として活躍していたのだが、残念ながら今年 1 月末に逝去していた、ということなどを知るようになった。 シークエンスパパともを知ったきっかけ はやとも流れでパパともの動画を観るきっかけになったのは、画面脇のお勧めに出ていた親子対談の動画を見たのが切っ掛けだった。 そこでのパパともの宮本武蔵に関するコメント(「晩年の宮本武蔵は一生懸命仏像を彫ったりしていたが、(若い頃)子供の道場主を殺したりしていたことによる怨霊は除霊できなかった」)に少しシビれた。息子のはやともが、まだ若いせいもあって、ちょっと話がマクロな(思想論や社会論的な)方向に行くと、厨二病的な傾向があるのには食傷気味な感じがあった。一方で、パパともの宗教・倫理観的な考えの方がその点、人間的な深さを感じるものがあったので、それがパパともに興味を引かれたきっかけだった。 パパともの霊能力に衝撃を受けた理由 そこで、初めて、パパとものチャンネルの動画もいくつか観たりしたのだが、「未解決事件を霊視する」という中々に攻めた企画を初期にやっていて興味深かったのだが、中に、上野の不忍池での事件(僕自身はこの 2006 年の事件については知らなかった)を扱ったものがあった: 「あっ!」と思ったのが、奇しくも前日(2023-06-28)、全く別のチャンネルの別の動画で、霊媒師が同じ事件を霊視するという企画のものを観ていたのだった: 千原せいじの YouTube チャンネルで、彼がコラボをしている飯島唯という通称・ギャル霊媒師の方が霊視をしている。 パパともの動画は 2021-05-12 と 2021-05-15 に公開されたものであるのに対し、ギャル霊媒師の動画は 2023-06-28 公開であり、僕はたまたま公開
続きを読む