GCPとSoftEther VPNで固定IPゲートウェイ環境を作る

会社のISP回線は固定IPじゃないのだが、GCPを使って固定IPゲートウェイを作ったのでメモ

まず最初に某オープンVPN使ったが速度が遅い、というか通信途切れる。
MTUとMSS調整してもどうも接続が途切れるので2日で諦めたw

次いで、昔外から家の中のPCにつなぐ時に使ってたSoftetherがさらに進化してるというのでトライ。

1. GCEでVM立てる

まずはGCEでUbuntuインスタンスを立てる。
マシンタイプはn1-standard-1にした。個人用途ならg1-smallでもいいが、会社で数名が使うのでスタンダードで。

ネットワーク設定で、IP forwarding(IP転送)の設定をONにした。
てか、これいらないのかな?某オープンVPNの時は必須だったのでそれを倣っただけ。
VM作ったあとだとIP forwarding設定を変更出来ないのよね。

Network Tagに「vpn」という文字列をセットする。
あとでVPC Firewall Rules設定で、vpnタグに対しての通信を許可するため。

そしてExtenal IPをStaticにして固定IPにしておく事。

IP転送設定とネットワークタグを追加

2. VPC Firewall Rules設定で穴をあける

新しいFirewallルールをdefault-allow-vpnという名前で作る。
ネットワークタグ「vpn」に対してIngress通信を許可で、許可ポートは下記のもの

tcp:5555
udp:500,1701,4500

tcp:5555がSoftether用で、udpポートはMacのL2TP/IPSec用のポート。マカー社員用の措置。

VPC Firewall設定

3. Softether VPN Serverのインストール

Ubuntuへのインストールは公式の方法だとinitdを使う起動方法しか書いてないので、このサイトを参考にしてsystemdで起動するようにした。
自分だけのVPNサーバを作る!Ubuntu 18.04 に SoftEther VPN Serverをインストール

ビルドに必要なライブラリを先にインストールしておく必要があるので、

$ sudo apt-get install build-essential

で先にインストールしておく。

ファイヤーウォールはGCPのVPC Firewall設定でやるので、ufwは使わない。

インストール後、vpncmdというコマンドラインのCUI管理機能でセットアップするんだが、これが分かりづらかったの代替案。
Virtualbox内のWindowsゲストOSにSoftetherVPN Server ManagerというGUI管理ツールをインストールして設定。
これは楽だw

ゲストWindows上でSoftetherのGUIツールを実行すると楽

※話が脱線するが、VirtualboxをUbuntuにインストールする手順はこちらに書いてます。で、Windowsもってない場合はここから60日間だけ使える検証用WindowsのOVAファイルをダウンロードして、Virtualboxにインポートすれば60日間使えます。

やることは仮想ハブとユーザーを作成し、SecureNAT機能をONにするのと、あとはDHCPサーバー機能もONにした。

そして、ローカルブリッジ機能は絶対にONにしてはイケない。
やりたことはNATなのでローカルブリッジは不要。
しかし、最初よくわからずローカルブリッジをONにした結果、CPU利用率が100%になって全く通信出来ない状況になった。
というわけで、SecureNAT機能を使う時は、ローカルブリッジは必ず無効にする。

External IPを固定にしてるので、ダイナミックDNS機能は無効化する。
GUIから無効化しようとしると、設定ファイルを編集してオフにしろという。
というわけで設定ファイル編集画面から一旦設定ファイルをエクスポートして、それを編集してDDNSをオフ→そして再びインポートすればDDNS無効化できる。

DDNS設定を無効化

ユーザーを追加して、次はSoftetherクライアントのインストール

4. Softether VPN Clientのインストール

サーバーはUbuntu、そしてクライアントもUbuntu(Xubuntu)である。

Linuxクライアントのインストール方法はServer版と全く同じです。
なので、上記でやった手順の「server」を「client」に読み替えて、クライアントをインストールします。

で、コマンドライン設定がメンドサイので、これまたVirtualboxのゲストWindowsにSoftetherVPN Client ManagerをインストールしてGUIで仮想NICの作成と接続設定を作成。
これまた楽w

そして厄介なのがSoftether接続後に自分でルーティング設定を変える必要がある。
そしたらsoftetherクライアント起動後にルーティング設定を追加するためのスクリプトを書いた人がいたので、それを参考にした。

SoftEther VPN ClientをUbuntu 14.04LTSで使うときにちょっとはまったこと – KITA Eng.

ルーティング変更後、下記ページを開いてIPアドレスがGCEのExternal IPアドレスになってれば、Softetherをゲートウェイにしたアクセス完了という事。

IPアドレス確認 | KWONLINE.ORG

これで、DHCPで度々IPアドレスが変わる会社でも常に固定IPでネットにアクセスできる固定IPゲートウェイの出来上がり。

Ubuntu起動時に「システムプログラムの問題が見つかりました」

Ubuntu (Xubuntu) で起動時に「システムプログラムの問題が見つかりました」というメッセージが表示されるようになったのでメモ。

crashログを消して、apportを無効にすれOK

$ sudo rm -rf /var/crash/*

/etc/default/apport を編集してenabled=0にする

enabled=0

apportを再起動

$ sudo systemctl restart apport

参考サイト
How do I enable or disable Apport? – Ask Ubuntu

gsutilで大きいファイルをパラレルアップロードする

GCSバケットに、gsutilで大きなファイルをアップロードするのでメモ

150M以上のファイルをパラレルにする場合

$ gsutil -o GSUtil:parallel_composite_upload_threshold=150M cp [ファイル名] gs://[GCSバケット]

~/.botoファイルに追記しておいてもOK

parallel_composite_upload_threshold = 150M

公式ドキュメントに書いてある。
cp – Copy files and objects  |  Cloud Storage  |  Google Cloud

Ubuntu上のVirtualboxでKali LinuxをゲストOSにする

Kali Linuxを使ってテストをしたかったのでメモ。

Virtualboxのセットアップ

まずはUbuntu (うちはXubuntu) 18.04 bionic にVirtualboxをインストール。

Linux_Downloads – Oracle VM VirtualBox

/etc/apt/sources.list に下記を追加

deb https://download.virtualbox.org/virtualbox/debian bionic contrib

それからVirtualboxのPGP鍵を追加

$ wget -q https://www.virtualbox.org/download/oracle_vbox_2016.asc -O- | sudo apt-key add -

aptでVirtualboxをインストール。
Extension Packも一緒にインストール。

$ sudo apt update
$ sudo apt install virtualbox
$ sudo apt install virtualbox-ext-pack

 

Kali Linux(ゲストOS)を入れる

Virtualbox用のイメージをダウンロードする。
Kali Linux Custom Image Downloads – Offensive Security

「Kali Linux VirtualBox Images」タブの中の、「Kali Linux Vbox 64 Bit Ova」をダウンロード。
torrentイメージがあるので、これで爆速DLした。

Virtualboxを起動したら、[ファイル] > [仮装アプライアンスのインポート]を選んで、さっきの.ovaファイルを選択してインポートするだけでKaliが使える。

起動したら、ログインIDはroot、パスワードはtoorで入れる。

Xubuntuのxfceログイン画面の背景を変更する

何かのショートカットキーを押してしまったのか、ログイン画面の背景が変わってしまったので変更方法をメモ

1. lightdm-gtk-greeterをインストール

$ sudo apt install lightdm-gtk-greeter

2. [設定] > [LightDM GTK+ Greeterの設定] を起動

背景の「画像」を選んで、[ユーザーが壁紙を設定している場合は使用する]のチェックを外して[保存]。
これでログイン画面の背景が元にもどった。

LigtDM GTK+ Greeter

参考サイト
How To Change Login Screen View On Xubuntu Desktop – Fosslicious

WordPressの管理画面にBASIC認証を追加

WordPressを引越したので、改めてBASIC認証を追加。

まずはWordpressディレクトリに移動して、.htaccessファイルに下記を追記。

<Files wp-login.php>
AuthType Basic
AuthUserFile /var/www/html/.htpasswd
AuthName "Restricted"
Require valid-user
</Files>

次いで、.htpasswdファイルを生成。最後のfoobarはユーザー名。

$ sudo htpasswd -c .htpasswd foobar

そしてapacheを再起動

$ sudo systemctl restart apache2

以降、ログインする時にBASIC認証が必要。

BASIC認証を追加

ロリポップからGCPに乗り換えた

今までロリポップでWordpress使ってたが、せっかくGCP使ってるのでGCE+CloudSQLで構築したWordpressに移行した。

まずはGCEでUbuntuを立てる。
マシンタイプは f1-microで様子見。

CloudSQLはMySQLで立てて、これまたマシンタイプはf1-micro。
で、ネットワークはExternal IP使わないで、プライベートIP接続のみにして、GCE Ubuntuからだけアクセス出来るようにした。

あとは通常通りUbuntuでWordpress構築。
参考にしたのはこのサイト。
How To Install WordPress with LAMP on Ubuntu 18.04 | DigitalOcean

Let’sEncryptのcertbotの設定をする時に、DNSのAレコードを一時的にGCEのインスタンスに向けておかないとエラーになるので夜中にこっそりDNS設定を変えてササっとやる。。
certbotの設定が終わったらまたAレコードを戻す。

つぎに、Wordpressの引越し。
引越しはプラグイン使わないで実施。
ロリポップからFTPSで全ファイルをダウンロード。
それからWordpressのツール > エクスポートで全コンテンツをエクスポート。

GCP側のWordpressでツール > インポートするが、エラーがでてインポートできないメディアあり。
仕方ないので、ロリポップからダウンロードしておいたwp-content/uploads/配下のファイルを全部手動アップロードして画像の404を回避。

ここでブログの各記事が404になってしまう問題発生。
パーマリンク設定を反映するための.htaccessが効いてない。
で、原因は上記のリンク先のサイトに書いてある「Enabling .htaccess Overrides」の設定をすっとばしてたのが原因。。ドキュメント読め。

<Directory /var/www/html/>
    AllowOverride All
</Directory>

最後にムームーDNSの設定で、kwonline.orgのMXレコードだけ残してあとのAレコードをUbuntuのExternal IPアドレスに変更して無事移設完了。

Ubuntu: タイムゾーンをJSTにする

GCPでUbuntu鯖立ち上げるとタイムゾーンがデフォルトでUTCなのでJSTに変える。

$ sudo timedatectl set-timezone Asia/Tokyo

Ubuntu: RDPクライアントをインストールする

会社のGCP Windows鯖に家のLinuxからRDP接続するのでメモ
remminaを入れる。

$ sudo apt install remmina

 

しかし、remminaの中でRDP接続したWindows鯖デスクトップ上で、Alt+Tabでウィンドウ切り替えようと思ったらLinux側のウインドウが切り替わってしまう。

対策は、Ctrlボタンも同時に押す。

つまり、Ctrl+Alt+Tabで、remminaウィンドウ内でのAlt+Tabになる。

GCE Ubuntuでvsftpdサーバーを構築

SFTPがあるのに今さらレガシーFTP。
たまにGCPでFTP鯖立ててと言われる事があるのでメモ

vsftpdを入れる

まずはGCEのUbuntu鯖にvsftpdをインストール

$ sudo apt install vsftpd

次に、/etc/vsftpd.confをsudo vimで編集して、↓のようにする。

listen=YES
listen_ipv6=NO
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
use_localtime=YES
xferlog_enable=YES
xferlog_std_format=YES
connect_from_port_20=NO
ascii_upload_enable=YES
ascii_download_enable=YES
ssl_enable=NO
utf8_filesystem=YES
pam_service_name=vsftpd
tcp_wrappers=NO
pasv_enable=YES
pasv_promiscuous=YES
pasv_address=***.***.***.*** #このVMの External IP address を書く
pasv_min_port=60101
pasv_max_port=60110
force_dot_files=YES
listen_port=60021

これで、TCP:60021番ポートで待ち受けて、TCP:60101-60110番ポートでパッシブモード通信するという最低限のFTP鯖になる。

vsftpdを再起動して、OS起動時にvsftpdも起動するようにする。

$ sudo systemctl restart vsftpd
$ sudo systemctl enable vsftpd

ftp用のユーザーを作る

useraddでユーザー追加して、passwd設定する

$ sudo useradd -m -d /home/hoge -s /bin/bash hoge
$ sudo passwd hoge

VPC Firewallの設定を変える

tcp:60021,60101-60110 のIngressを許可する。
Target tagで「ftp」を指定。
で、vsftpdをインストールしたVMのnetwork tagにも「ftp」を追加。

あとはFileZillaなりncftpなり好きなFTPクライアントを使って、パッシブモードでtcp:60021番ポートにFTP接続すればOK。