Network構成悩み中

Network構成をどう見直すか悩み中。
現在は、以下のIntranetとDMZの2つのVLANを運用していて、サーバーはOpenvSwitch+TagVLANにしているけど、いくつか問題あり。

問題その1:Debainのパッケージ更新でちょくちょくOpenvSwitchがちゃんと構成されなくなる

リモートからでは手も足も出なくなるので、ローカルのインターフェースは持っておきたい

問題その2:サーバー側は全部同じNICを通るので、ネットワークが切れたらDRBD+PacemakerでSplitBrainが発生する

なので物理的に別のバックアップ用LANは持っておきたいけど、10GBのSwitchを増やすお金も要件もないので、1GBにしておきたい

現状はこんな感じ。

で、色々考えた結果これで良いんじゃね?と思った。macvtapなのでホスト⇔ゲスト間は通信できないけど、非常用にホスト同士が通信できて、ゲスト同士のDRBDのバックアップネットワークになるので冗長性も確保できそう。IPv6のLinkLocalで通信できれば良いからIPアドレス割り当ても不要だしこれで良いんじゃね?

eo光でIPv6(その2)

eoサポートに、64bit以外のPrefixが使えるかどうかと、固定IPなのかどうかをダメ元で問い合わせていたのに回答があった。

予想通り、64bit固定で変更不可&設備側都合で変更される可能性あり(いわゆる半固定IP)とのこと。

月数千円程度の家庭用プランでDMZなどの複数セグメントを用意して、しかも超絶巨大規模なサーバーを公開するという我が家の使い方を想定なんかしているわけないので、仕方が無い。

ぶっちゃけNATではなく全部がグローバルIPなのでDMZと内部LANを分離するメリットがあんまりないし、CloudFlare経由になっているので外部からのアクセスも格段に防ぎやすくなったので、DMZ辞めちゃってもいいかなぁとも思ってる。

eo光でipv6(RouterOS)

今年の8月からeo光のIPv6サービスがトンネル方式からデュアルスタック方式に変わっていて、DHCPv6経由でPPPoEインターフェースからIPv6のアドレスが割り振られるようになっていた。

/ipv6 dhcp-client
add add-default-route=yes interface=(PPPoEInterface名) pool-name=(適用なプール名) prefix-hint=::/64 request=prefix

これで、IPv6のPrefixが降ってくるので、LAN側にIPアドレスを割り当ててRAを有効化したらとりあえずIPアドレスは各PCに降ってくるようになる。

/ipv6 address
add from-pool=(さっきのプール名) interface=(LAN側ブリッジ名) advertise=yes eui-64=yes

で、DNSをRA経由で割り振るにはNDを使う。

/ipv6 nd
set [ find default=yes ] advertise-dns=yes

Firewallルールがこの時点ではまだ一切されておらず、IPv6だと外部からアクセスし放題になるので、このまま使うのは非常にまずいので、PPPoEからのIPv6接続はとりあえず、全拒否しておく

/ipv6 firewall filter
add action=drop chain=forward connection-state=invalid,new in-interface=all-ppp log=yes log-prefix="invalid ipv6"

DNSがISPのやつでも良いけど、今回はQuad9を採用。

それはそうと、降ってくるPrefixが64bitなので、複数ネットワークがある我が家では非常に使い辛い。RA Proxyを別途用意するか、単一ネットワークに再設計するか、本来のIPv6では推奨されていない96bit以上に更にサブネットを分割するか。ぶっちゃけDMZは外部からのアクセスはほぼ全部CloudFlare経由なので単一サブネットにしちゃっても実害はないかもしれない。せっかくVLANTrunkを設計したのにもったいないというのはあるけど。

11/5にDDoS食らいました

11/5の16:00頃に、リモート接続がやけに不安定になったなと思って、ルーターをリブートしたら、全く繋がらなくなる。

帰宅後に調べてみたらPPPoEのI/Fが全くパケットやりとりをしなくなっていたので、繋ぎ直し。

しばらく動いていたと思ったらPPPoEのRxが急に600Mbpsぐらいまで跳ね上がり、FireWallのコネクション数も30000とかになってまた回線不安定に。

あれ?これDDoS?と思って、回線リセットしてIPアドレス変えてもDDNSの更新が反映される頃にまた同じ挙動。

そうこうしている間にONUのI/FがLinkUpしなくなったのでISPに電話。VoIP用のポートは生きていたので切り替えたところやっぱりダメ。VoIP側もLinkUpしなくなる。

11/6 19:00頃にISPから電話があり、異常なトラフィックを検知したから回線切ったとのこと、屋内配線とか色々聞かれて回復。

11/6 21:00頃にやっぱりDDoSがあったので、DDNSの更新を切って対策検討開始。CloudFlare無料プラン加入&ドメイン切り替え作業開始。

11/6 22:30頃にどどんとふが回復したので、復旧連絡。

その後、CloudFlare経由だとうまく動かない機能(直リンクよけのリファラーチェック、オンセンのキャラクターシート取得、ねこ卓のWebSocketなど)の対処をしつつ、他ドメインを順次CloudFlareに切り替え、CloudFlareが使えそうにないものはさくらのVPSにHAProxyを建ててSSLパススルーで自宅鯖を徹底的に隠蔽。

色々勉強にもなったけど、めっちゃ疲れた。DDoSダメ絶対。

mineo解約してIIJmioにMNP

3年ほど前に、IIJmioの回線が遅くて不満だったので、mineoに乗り換えていたのですがここ数ヶ月お昼の時間帯がとにかく遅かった。
「まあ格安MVNOだししゃーない」と思っていたのですが、つい最近通信の最適化という名の改ざんおよびSSLとVPN狙い撃ちの帯域制限かけていることを知り、モバイルルーターは即時解約して、音声通話は月の切り替わりタイミングでMNP手続き実施。
で、昨日からIIJmioになったのですが、以前の遅さが完全に解消されていてめっちゃ快適。もちろんデータ改ざんもVPNやSSLの帯域制限もない。

高木浩光氏も優良誤認表示の「通信の最適化」(間引きデータ通信)は著作権侵害&通信の秘密侵害、公正表示義務をのエントリーで記載してある通り、約款で書いていようが事前通知していようが通信事業者がインターネット接続サービスと銘打ってやって良い事じゃない。

あと、何が良くないってこういう優良誤認表示でコスト削減に成功して市場やライトユーザーから受け入れられちゃうと、まともな改ざんを行っていない通信業者が駆逐されてしまうので、こういうのは行政がしっかり規制なり指導して欲しいところです。