You are in US.
It is 08:31 JST now.
ds-lite デビアンパッケージは バージョンアップがあります。
下記、パッケージ情報を確認してください。
省電力ファンレス PC Ubuntu 22.04, Debian12 で高速 DS-Liteルーター
ただし、ルーターへの外部からの侵入経路はNGN(NTT IPv6網)以外からは 全くないので対策も容易である。 ppp接続の場合は接続先サーバーでアクセスされたIPv4 IPを検出したら、 このIPを攻撃可能になる。IPv6の場合はpppと同じく攻撃可能だ。 したがってIPv6だけ対策すれば良い。
中華国家系メーカ内蔵の個人情報盗難機能(米国司法省文章(英文のみ)などを参照)を含まれていないのも有り難い。
Ubuntuにいたっては、 やたらユーザーから課金をやりたがっている状況は困ったものである。
コンサルやバグリポート以外の相談は有料でかまわないと思うが・・・
しかし!!
何が 8 additional security updates can be applied with ESM Apps.だ!?
明らかにオープンソースマインドに反すると感じる。ディストリビューターが セキュリティーアップデートを有料扱いするのはおかしいでは?
個人的にはsnapも不安定要素を追加していると思う。 Firefoxのアドオン動作がイマイチなのは明らか。対策はこちら。
netplan などは基本的に ip コマンド機能のラッパ(Wrapper)であるので 基本機能を使用して IPoE (RFC6333) 接続を行うものであり これまでは目立った問題がなかったが最近は問題が多々出ている。
機器性能など
計測サイト は https://fast.com/ja/ や speedtest.netで
計測を行ったりするのが良いのでしょうが希望的瞬間最大速度に振り回されていることがないよう
にして下さい。
実際に夕刻からのアクセスが集中する時間ではspeedtest.netの計測で
インターリンク
のPPPoE 固定IPの方が100Mbps 以上早いことはザラにあります。
プロバイダ等の説明を鵜呑みにしている方は理解できないでしょうが、トンネリングの
リモートポイントがプロトコル上、多数 配置できないのでここがボトルネックになるのは、
明らかです。
dns dhcp-server
これらのインストールに関しては各自の好みでインストールしてください。 以前の記事でも記述されています。
DS-Lite deb パッケージ
これがこの記事の目玉になるもので Ubuntu, Debian に関わらず共通に使用できる
.deb ファイルをインストールすすだけで済むものです。
Debian 12 , Ubuntu 22.04 で ほぼ完璧に動作します。これはインタープリター言語、
Pythonやphp,shell script などでなくスクラッチからC言語で書直したものです。
インストール手順は以下の通り。バージョンアップは随時おこないます。
$ wget https://www.mxnl.com/deb/dslite2_1.4.1-5_amd64.deb $ # 初回は $ sudo apt install ./dslite2_1.4.1-3_amd64.deb $ # もし旧版 ds-lite_ ではじまるバージョンをインストール済みであれば $ sudo apt remove ds-lite $ # 以下は必ず実行 $ sudo apt install ./dslite2_1.4.1-3_amd64.deb
上記を実行後、 /etc/default/dslite を編集する。以前のバージョンと内容は 変わりません。
# tunnel device name TUNNEL_NAME=ip6tnl1 # WAN network interface WAN_INTERFACE=enp1s0 # Gateway address # You can get this address by running the following command. # NTT West REMOTE_ADDR=2404:8e01::feed:100 # NTT EAST #REMOTE_ADDR=2404:8e00::feed:100 # set auto setup sysctl.conf ipv4 ipv6 forwarding value. SET_SYSCTL=1 # unset default route. Default value=0 # if set 1, do not set default route tunnel device. # NDEFROUTE=1
編集項目の以下に手順で編集してください。
- ONUに接続されているイーサーネットデバイス、enp1s0 eno1 などを指定する。
WAN_INTERFACE=enp1s0 - NTT東日本、西日本に応じて、コメント記号(# )を取り除く。下記の場合はNTT東日本となる。
# NTT West
# REMOTE_ADDR=2404:8e01::feed:100
# NTT EAST
REMOTE_ADDR=2404:8e00::feed:100 - SET_SYSCTL=1 の場合、/etc/sysctl.conf の設定なしに動作可能。
ただし ufw 使用時は
/etc/default/ufw の DEFAULT_FORWARD_POLICY="DROP" を DEFAULT_FORWARD_POLICY="ACCEPT" に変更する。
また、 /etc/ufw/sysctl.conf の設定も不要です。
SET_SYSCTL=0 にすれば、上記の自動設定は無効となり、理解した上で設定する。 - default route に設定したくない場合のみ、コメント記号を削除して NDEFROUTE=0に変更する。
/etc/ndslite-add 編集
LANポートを以下のIPにする場合は設定不要です。ufw を使用する場合は nat tabele 設定は ufw の仕様に従って利用するのでスタティックルートの設定だけを行います。
- IPv4 アドレスを 192.168.xx.xx (xx は任意) に設定されている場合(イーサーネットポートの数、 ビット長は問いません。)
- IPv6 アドレスを fd00:xx:xx (xx は任意) に設定されている場合(イーサーネットポートの数、 ビット長は問いません。)
また、スタティックルートの設定はコメントの例に沿って設定することが可能です。
ufw の設定
ufw 設定と言っても中身はiptables の設定で、Masquarade でLANとWANとの接続を行ったり、サービスを開放します。システムとしてしっかり設定をしてUbuntuのカーネル等のバージョンアップにもしっかりとした設定をして下さい。過去の遺物を使った設定や意味がわからずにやらないようにすることが寛容です。
forwarding 設定
/etc/ufw/sysctl.conf のエディト。9行目からコメントマーク#を消す。
Uncomment this to allow this host to route packets between interfaces
#net/ipv4/ip_forward=1
#net/ipv6/conf/default/forwarding=1
#net/ipv6/conf/all/forwarding=1 ↓ # Uncomment this to allow this host to route packets between interfaces
net/ipv4/ip_forward=1
net/ipv6/conf/default/forwarding=1
net/ipv6/conf/all/forwarding=1
/etc/default/ufw のエディト。19行目を編集。
# Set the default forward policy to ACCEPT, DROP or REJECT. Please note that
# if you change this you will most likely want to adjust your rules
DEFAULT_FORWARD_POLICY="Drop"
↓
DEFAULT_FORWARD_POLICY="ACCEPT"
/etc/ufw/before.rules のエディト。はじめにMasquaradeを記述
# # rules.before # # Rules that should be run before the ufw command line added rules. Custom # rules should be added to one of these chains: # ufw-before-input # ufw-before-output # ufw-before-forward # # Masquarade ここから *nat :POSTROUTING ACCEPT [0:0] :PREROUTING ACCEPT [0:0] -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE COMMIT # don't delete the 'COMMIT' line or these rules won't be processed # ここまで追加 # Don't delete these required lines, otherwise there will be errors *filter :ufw-before-input - [0:0] :ufw-before-output - [0:0] :ufw-before-forward - [0:0] :ufw-not-local - [0:0]
続いて /etc/ufw/before6.rules のエディト。/etc/ufw/before.rules と同様にMasquaradeを記述
# # rules.before # # Rules that should be run before the ufw command line added rules. Custom # rules should be added to one of these chains: # ufw-before-input # ufw-before-output # ufw-before-forward # # Masquarade ここから *nat :POSTROUTING ACCEPT [0:0] :PREROUTING ACCEPT [0:0] -A POSTROUTING -s fd00:cafe::/64 -j MASQUERADE COMMIT # don't delete the 'COMMIT' line or these rules won't be processed # ここまで追加 # Don't delete these required lines, otherwise there will be errors *filter :ufw6-before-input - [0:0] :ufw6-before-output - [0:0] :ufw6-before-forward - [0:0] :ufw6-not-local - [0:0]
以下のコマンドを実行してLAN側からのアクセスをすべて許可(外部からは不可)
ufw allow from 192.168.1.0/24 ufw allow from fd00:cafe::1 ufw allow from 2409:250::/64
Debianにnetplan
Debian では unstable だが netplanをインストールこともできる。手順は以下の通り。
step 1. netplan.io をインストール
$ su - # apt install netplan.io
step 2. /etc/netplan/数字-xxxx-config.yaml を作成
数字は任意で通常2桁 00 11 22など xxxx任意 serverなど。
留意することは tunnels: を使用してDS-Liteの設定を行わないこと!!
network:
ethernets:
enp1s0:
accept-ra: true
dhcp4: false
dhcp6: false
addresses: [192.168.3.1]
|
|
step 3. /etc/network/interfaceを編集
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
source /etc/network/interfaces.d/*
# The loopback network interface
auto lo
iface lo inet loopback
# ここ以降を削除
|
|
以下のコマンドを実行しエラーがあれば修正
$ su - # chmod 600 /etc/netplan/00-xxxxr-xxxx.yaml # systemctl enable --now systemd-networkd netplan apply
再起動してIPを確認