雑記 ― 2022年05月06日 13:48
○新鯖
PowerEdgeR720とR620を入手して新鯖に移行。
R620よりR720のほうが多少静かなのでこっちで運用を始めたけど、これはこれでファンのビビリ音が気になる
R710-FanControlとかでググるとproxmox用のファン制御スクリプトを書いていただいている人がいたのでありがたく利用させてもらう
スクリプト内で最小が5%になっているので情け容赦なく1%まで下げる
ファン回転数1%でようやく我慢できる範囲。60x60x38mmで、12000rpmとかのファンだからなぁ・・・。1%でも1200rpmとかで回ってます
○IDRAC7
DELL版のiLOみたいなやつ。画面をこっちに持ってきたり、仮想メディアをマウントしたりできる。便利。ただしライセンスがEnterpriseである必要がある。
バージョンを最新まで上げると、HTML5で画面を出せるようになる。もうjava版はちゃんと動かないので、上げるの必須。
○HDD
2.5inchのディスクが入手した際についていたわけですが、正直ナメてた面はありました。15kとはいえ煩すぎ。
仕方ないのでSATAのSSDを別途購入して差し替えました。とりあえず認識はして動いて入るようです(再起動するたびにアラーム出てるけど)
○吸音材
サーバーの周りに吸音材を敷き詰めて音を小さくするなどしました。
○VM移行
旧鯖でVMを落としてsnapshotを取って、それを新鯖にSCPで転送してrestoreすればOK。ライブマイグレーションはいらないのでクラスタにはしなかった
PowerEdgeR720とR620を入手して新鯖に移行。
R620よりR720のほうが多少静かなのでこっちで運用を始めたけど、これはこれでファンのビビリ音が気になる
R710-FanControlとかでググるとproxmox用のファン制御スクリプトを書いていただいている人がいたのでありがたく利用させてもらう
スクリプト内で最小が5%になっているので情け容赦なく1%まで下げる
ファン回転数1%でようやく我慢できる範囲。60x60x38mmで、12000rpmとかのファンだからなぁ・・・。1%でも1200rpmとかで回ってます
○IDRAC7
DELL版のiLOみたいなやつ。画面をこっちに持ってきたり、仮想メディアをマウントしたりできる。便利。ただしライセンスがEnterpriseである必要がある。
バージョンを最新まで上げると、HTML5で画面を出せるようになる。もうjava版はちゃんと動かないので、上げるの必須。
○HDD
2.5inchのディスクが入手した際についていたわけですが、正直ナメてた面はありました。15kとはいえ煩すぎ。
仕方ないのでSATAのSSDを別途購入して差し替えました。とりあえず認識はして動いて入るようです(再起動するたびにアラーム出てるけど)
○吸音材
サーバーの周りに吸音材を敷き詰めて音を小さくするなどしました。
○VM移行
旧鯖でVMを落としてsnapshotを取って、それを新鯖にSCPで転送してrestoreすればOK。ライブマイグレーションはいらないのでクラスタにはしなかった
雑記2 ― 2022年05月06日 21:50
○UTMとか
Routerboardのip-ip tunnelが300Mbpsあたりで頭打ちっぽいので新鯖に移行してリソースに余裕を作ってそこにUTMっぽい何かを乗せる(他に実験できるだけのリソースの余裕を持っておく)、というのが本来の目的だったので、いろいろ試しました
特に記載がない場合はNICはvirtio。
○Sophos XG Firewall
フル機能だけど4コア6GBメモリまで。
クロック制御をしていないのか、消費電力が高くなる
DS-Liteは問題なく張れるが何故か性能が出ない(~30Mbps)
PPPoEなら速度は出るので、ip-ipトンネル周りになにかあるのかもしれない。e1000にするべきだったかも。
SophosはDHCP-PD二は対応しないので、ローカル側は適当にipv6をユニークアドレスで組んでNATv6することになると思われ。
とりあえず消費電力が高くなる=発熱が増えて色々困る、ということでSophosはパス
○OPNsense
pfsenseでも良かったけど、とりあえずこちらを。
WANでDHCPv6でアドレスをもらうところは問題なくOK(自分の分だけ)だが、ここからが難題。
DS-Lite用のip-ipトンネルはgifインターフェースで作る。
親インターフェースをipv6アドレスを持ったこっち側のI/Fとして、リモートアドレスにAFTRのアドレス(FQDN不可)、トンネルローカルがこっちのトンネルの内側のアドレス(192.0.0.2などの適当なアドレスで良い)、トンネルリモートが相手側のトンネルの内側(192.0.0.1など)
トンネルを作ったらインターフェースの割当でgifを適当なI/Fに割り当てる。このときに「Dynamic gateway policy」にチェックを入れる
チェックを入れると、ゲートウェイにこのアドレスが出てくるようになるので、ipv6側は無効化する。ipv4側は上流ゲートウェイとFar Gateway(こっちはつけなくてもいいかも)にチェックを入れ、複数ある場合は優先度を小さくしてあげると、そこがデフォルトルートになる
適切にターゲットアドレスを指定すれば、ゲートウェイ監視も正しく動作した。
LAN側のIpv4は普通にDHCPを設定すれば動作する(当たり前)。DHCPv6は、静的IPv6アドレスを振ればDHCPv6サーバーを有効にすることができる。インターフェース追跡にした場合でもできるはずなんだけど・・・。
DHCP-PDでアドレスがもらえた場合はindex-IDを指定することでI/Fのipv6アドレスを指定できる・・・んだけどPDでアドレスがもらえない
WAN側は普通にIDHCPv6でアドレス取得で構成モードを基本にすればアドレスの取得とゲートウェイの設定まではできる
が、ここから同頑張ってもPrefix Delegationができない(もらえない)。
普通に適当に静的にipv6を振ってNATで外向きNATを定義すれば通信ができることは確認した。
ZenArmorは思いの外パフォーマンスインパクトはある感じ。フリー版だとボットネットのC&C向けの通信がブロックできない。これは困った。
○Untangle
なにはともあれ、16.x、`15.xはインストーラーが完走できなかった。
結局12.12あたりを入れて、そこから13→14→15→16とバージョンアップを繰り返して最新版を稼働させることはできた。死ぬほど時間かかったけど。
なんというかもうインストールするだけど疲れ切ってしまった感。言語で日本語設定したのに英語のままとか、ちょいちょい細かいところが気になる。(途中までは日本語だった気がするんだけど)
Routerboardのip-ip tunnelが300Mbpsあたりで頭打ちっぽいので新鯖に移行してリソースに余裕を作ってそこにUTMっぽい何かを乗せる(他に実験できるだけのリソースの余裕を持っておく)、というのが本来の目的だったので、いろいろ試しました
特に記載がない場合はNICはvirtio。
○Sophos XG Firewall
フル機能だけど4コア6GBメモリまで。
クロック制御をしていないのか、消費電力が高くなる
DS-Liteは問題なく張れるが何故か性能が出ない(~30Mbps)
PPPoEなら速度は出るので、ip-ipトンネル周りになにかあるのかもしれない。e1000にするべきだったかも。
SophosはDHCP-PD二は対応しないので、ローカル側は適当にipv6をユニークアドレスで組んでNATv6することになると思われ。
とりあえず消費電力が高くなる=発熱が増えて色々困る、ということでSophosはパス
○OPNsense
pfsenseでも良かったけど、とりあえずこちらを。
WANでDHCPv6でアドレスをもらうところは問題なくOK(自分の分だけ)だが、ここからが難題。
DS-Lite用のip-ipトンネルはgifインターフェースで作る。
親インターフェースをipv6アドレスを持ったこっち側のI/Fとして、リモートアドレスにAFTRのアドレス(FQDN不可)、トンネルローカルがこっちのトンネルの内側のアドレス(192.0.0.2などの適当なアドレスで良い)、トンネルリモートが相手側のトンネルの内側(192.0.0.1など)
トンネルを作ったらインターフェースの割当でgifを適当なI/Fに割り当てる。このときに「Dynamic gateway policy」にチェックを入れる
チェックを入れると、ゲートウェイにこのアドレスが出てくるようになるので、ipv6側は無効化する。ipv4側は上流ゲートウェイとFar Gateway(こっちはつけなくてもいいかも)にチェックを入れ、複数ある場合は優先度を小さくしてあげると、そこがデフォルトルートになる
適切にターゲットアドレスを指定すれば、ゲートウェイ監視も正しく動作した。
LAN側のIpv4は普通にDHCPを設定すれば動作する(当たり前)。DHCPv6は、静的IPv6アドレスを振ればDHCPv6サーバーを有効にすることができる。インターフェース追跡にした場合でもできるはずなんだけど・・・。
DHCP-PDでアドレスがもらえた場合はindex-IDを指定することでI/Fのipv6アドレスを指定できる・・・んだけどPDでアドレスがもらえない
WAN側は普通にIDHCPv6でアドレス取得で構成モードを基本にすればアドレスの取得とゲートウェイの設定まではできる
が、ここから同頑張ってもPrefix Delegationができない(もらえない)。
普通に適当に静的にipv6を振ってNATで外向きNATを定義すれば通信ができることは確認した。
ZenArmorは思いの外パフォーマンスインパクトはある感じ。フリー版だとボットネットのC&C向けの通信がブロックできない。これは困った。
○Untangle
なにはともあれ、16.x、`15.xはインストーラーが完走できなかった。
結局12.12あたりを入れて、そこから13→14→15→16とバージョンアップを繰り返して最新版を稼働させることはできた。死ぬほど時間かかったけど。
なんというかもうインストールするだけど疲れ切ってしまった感。言語で日本語設定したのに英語のままとか、ちょいちょい細かいところが気になる。(途中までは日本語だった気がするんだけど)
ひかり電話のDHCP-PDとOPNsense ― 2022年05月08日 11:53
○ ひかり電話ルーターからDHCP-PDでアドレス委譲が受けられない件
ようやく解決。
Routerboardでやっているのと同じことをする必要があった。
OPNsense側で、DHCPv6にした上でprefix-onlyにチェックを入れる
FWルールで、DHCP-PDを受けるI/Fで546/UDPと547/UDPの受信を許可。(ここが抜けていた)
正しくくひかり電話側から委譲できていても、サービ具→DHCPv6→リース、のところの委譲されたプレフィックス、のところには表示されない(正直コレはいただけない)
LAN側はWANのI/Fを追跡にして、適当なindexをつける。
LAN側は/64になり、ひかり電話側から/60で委譲されるので結果として0~Fのindexが指定できる。
RouterboardのFWのルール見たらちゃんと546-547/udpを通す設定が書いてあった。過去の自分に負けた。
○余談 Windows11の挙動が変な件
ipv6-dhcpでdnsを配り、かつipv4-dhcpでdnsを配るとipv6のdnsを受けてくれない。(空白になる)
ipv4-dhcpでdnsを配るのを辞めるとdhcp-v6のdnsが見えるようになるのを確認。これはそういうものなのか・・・?
○余談2 ファンのピンアサイン
ファン側:赤黒青黄 → ケース側:黄黒青緑 ※12v-GND-PWM-RPM
ようやく解決。
Routerboardでやっているのと同じことをする必要があった。
OPNsense側で、DHCPv6にした上でprefix-onlyにチェックを入れる
FWルールで、DHCP-PDを受けるI/Fで546/UDPと547/UDPの受信を許可。(ここが抜けていた)
正しくくひかり電話側から委譲できていても、サービ具→DHCPv6→リース、のところの委譲されたプレフィックス、のところには表示されない(正直コレはいただけない)
LAN側はWANのI/Fを追跡にして、適当なindexをつける。
LAN側は/64になり、ひかり電話側から/60で委譲されるので結果として0~Fのindexが指定できる。
RouterboardのFWのルール見たらちゃんと546-547/udpを通す設定が書いてあった。過去の自分に負けた。
○余談 Windows11の挙動が変な件
ipv6-dhcpでdnsを配り、かつipv4-dhcpでdnsを配るとipv6のdnsを受けてくれない。(空白になる)
ipv4-dhcpでdnsを配るのを辞めるとdhcp-v6のdnsが見えるようになるのを確認。これはそういうものなのか・・・?
○余談2 ファンのピンアサイン
ファン側:赤黒青黄 → ケース側:黄黒青緑 ※12v-GND-PWM-RPM
最近のコメント