Ubuntu 12.04/16.04デスクトップでdnsmasqの動作確認と、IPv6と、インターネットサイトのDNSSEC検証

-

1.Ubuntu16.04デスクトップでRFC3041の一時IPv6アドレス
 ネットワークマネージャでデフォルト無効ですが、有効(一時アドレス優先)にすると一時IPv6アドレスが実際のアクセスに使われる。

 この操作でIPv6設定のsysctlの設定値が変わる。詳しくはこことかここ。
http://dr.slump.jp/IPv6/rfc3041/
https://news.mynavi.jp/article/ipv6-6/

有効(一時アドレス優先)のときuse_tempaddrには2が設定される。次のコマンドで確認できる。
hoge$ sysctl -a| grep use_tempaddr 


net.ipv6.conf.[インタフェース名].use_tempaddr = 数字
  <= 0  無効
 ==1        有効 ただし通常アドレス優先
 >1           有効 匿名アドレス優先


割り当てられた匿名アドレスが使われる時間は次のパラメータにより設定されていて、標準では1日。翌日新しいアドレスに変わる。
sysctl -a |grep temp_valid_lft    604800=7日
sysctl -a |temp_prefered_lft      86400=1日



2.dnsmasqがNetworkManager経由で動いているから/etc/resolv.confを手修正してはいけないのと、実際に使っているDNSサーバを調べる手順。
dnsmasqが使われるようになったUbuntu12.04の変更点が技術評論社のWEB解説にある。
Ubuntu Weekly Topics 2012年3月2日号 「DNSレゾルバの変更・・・」
http://gihyo.jp/admin/clip/01/ubuntu-topics/201203/02

/etc/resolv.confは常に127.0.0.1で編集しない。実際にPCのdnsmasqが使うDNSサーバは次のコマンドでわかる。

Ubuntu12.04では
cat /run/nm-dns-dnsmasq.conf
server=163.x.x.x.x
server=163.y.y.y.y 
server=z:z:z::z

Ubuntu16.04では該当ファイルが見つからないので、ネットワークマネージャのCLIコマンドで確認すると良いと思う。
hoge$  nmcli dev show


3.うちのデスクトップ機ではdnsmasqを停止するか?
dnsmasqの意義はレスポンスの無いDNSサーバを使わず耐障害性を確保できる。ことにあるらしい。やっぱ停止しよう。

先の技術評論社の記事に、
>名前解決の失敗時,これまでのresolv.confに直接nameserver指定を行う方式に比べ,他のDNSサーバーへの問い合わせまでの待ち時間が短くなります。

さらに「NetworkManager+dnsmasqで名前解決の耐障害性を向上 」というBLOG
http://blog.father.gedow.net/2016/02/12/networkmanager-dnsmasq/
によると

>(従来の/etc/resolvでは)上の nameserver から順に利用され、使えない場合は毎回
 options timeout:M 秒 attempts:N 回
を経て次の nameserver を試行する、という流れになります。この例のように nameserver が1つしかない場合はワンパンで即死する可能性がありますし、複数あっても名前解決のたびに処理が数秒停止するというのは、結構な致命傷になりえます。

dnsmasqを使って耐障害性を確保するには複数のDNSサーバを記述しておくことが必要で、DNS=8.8.8.8の一個だけ指定しているのでは意味ないので、複数指定すべきですね。それもプロバイダーとGoogleDNSといったように、提供元を分けるのが良さそう。


dnsmasqのもうひとつのメリットのDNSキャッシュは、実効プロセスを見るとUbuntu 16.04 desktopでもcache-size=0と無効になってることを確認。

hoge$ ps ax| grep dnsmasq
 1468 ?        S      0:00 /usr/sbin/dnsmasq --no-resolv --keep-in-foreground --no-hosts --bind-interfaces --pid-file=/var/run/NetworkManager/dnsmasq.pid --listen-address=127.0.1.1 --cache-size=0 ・・・・

うちの作業開発用デスクトップ機で、ネットワークプロファイルを切り替えて検証しているとき、dnsmasqは/etc/resolv.confのDNSがわかりにくくなるというデメリットだけかも。


dnsmasqを無効にして/etc/resolv.conf を使う昔ながらの方法に戻す手順はこれ。
/etc/NetworkManager/NetworkManager.conf を編集して
dns=dnsmasq の行を無効にします。


4.dnsmasqのキャッシュが無効になっているのを、憩いの場方式でキャッシュを有効にしてみるテスト。 
(以下のテストはUbuntuデスクトップ標準のdnsmasqを有効のまま行っています。)
憩いの場 dnsmasqのDNSキャッシュを有効にしたい(Ubuntu 12.04)
http://linux.ikoinoba.net/index.php?UID=1337088204


1. /etc/NetworkManager/NetworkManager.conf の dns=dnsmasq を消す。
*もともと入っているdnsmasqはサブセットなのでフルパッケージのdnsmasqを入れる
2. sudo apt-get install dnsmasq*憩いの場では無効にしていたが、dnssecも有効にする。

3. /etc/dnsmasq.d/hoge に
listen-address=127.0.0.1
cache-size=500
proxy-dnssec

4. sudo service network-manager restart
5. sudo service dnsmasq restart
6. /etc/resolv.conf の上部に「nameserver 127.0.0.1」があるか確認する。作業は以上。
dig hogehoge
で2回目が0msと表示されればキャッシュが効いてる。

dig +dnssec hogehoge
では2回目以降も毎回DNSSEC検証をするので時間は変わらなかった。


この標準dnsmasqパッケージの導入後は、実際にPCのdnsmasqが使うDNSサーバを調べるファイルの位置が変わる。
cat /run/dnsmasq/resolv.conf




インターネットサイトのDNSSEC検証テストしてみる
digコマンドでflagsに「ad」と表示されればDNSSEC検証に対応している。このように。;; flags: qr rd ra ad; QUERY: 1, ANSWER: 0, AUTHORITY: 4, ADDITIONAL: 1

どの場合もDNSSECに対応していた。
dig +dnssec iij.ad.jp @x.x.x.x(PPPoEで自動取得したIPV4のDNSサーバ
dig +dnssec iij.ad.jp @2001:a7ff:5f01::a(ネクスト網内のIPv6のDNSサーバdig +dnssec iij.ad.jp @127.0.0.1dnsmasq経由



dnsmasqで速度テストもしてみる。
DNSSEC検証を付けるとキャッシュは効かない。

 dig www.yahoo.co.jp @127.0.0.1
テスト1回目 12ms
テスト2回目 0ms よく効いている。

 dig +dnssec www.jprs.jp @127.0.0.1
テスト1回目 13ms
テスト2回目 12ms 変わりない。


5.FirefoxのプラグインDNSSECでサイトを検証してみる
システムで使用しているDNSサーバがDNSSECに対応していない場合でもプラグインによるDNSSEC検証は個別に行われているので、苦労してDNSSEC対応DNSサーバを作ったり探さなくても大丈夫。
いくつか見てみたが、iijは対応しているが、Yahoo.co.jpやYahoo.com、googleもDNSSEC非対応だった。





コメント

コメントを投稿

このブログの人気の投稿

OfficeのISOダウンロード直リンク

-
Outlookの動作検証用に、各バージョンのOfficeのISOインストーラが必要になりました。以下のMicrosoftサイトのリンクからISOファイルをダウンロードできます。 どれも試用版ではなくリテール製品版です。認証しないでインストールする場合は、5日間試用できるようでした。助かりました。   検証の結果ですが2016以降のバージョンだと、Outlookはどのバージョンのものをインストールしても、もちろんインストール直後のアップデート前の挙動は当然違うのですが、 しばらく放置してアップデートがかかると結局全部同じバージョンの最新版になることがわかりました。Office365のOutlookも同じです。いやほんとびっくりです。そういうものなんですね。 途中までリンクは同じで、最後をProPlus2024Retail.img とか ProPlus2021Retail.img とかすれば落ちてきます。将来バージョンが上がっても同じでいけそうです。 Office 2024 ProPlus https://officecdn.microsoft.com/db/492350f6-3a01-4f97-b9c0-c7c6ddf67d60/media/ja-jp/ProPlus2024Retail.img https://officecdn.microsoft.com/db/492350f6-3a01-4f97-b9c0-c7c6ddf67d60/media/en-us/ProPlus2024Retail.img Office 2021 ProPlus https://officecdn.microsoft.com/db/492350f6-3a01-4f97-b9c0-c7c6ddf67d60/media/ja-jp/ProPlus2021Retail.img https://officecdn.microsoft.com/db/492350f6-3a01-4f97-b9c0-c7c6ddf67d60/media/en-us/ProPlus2021Retail.img Office 2019 ProPlus https://officecdn.microsoft.com/pr/492350f6-3a01-4f97-b9c0-c7c6ddf...
続きを読む

FortiGateシリーズ 40F/50E/60E/60F/80F/90E/100E/100F/200FのCPU

-
イメージ
FortiGate使いやすくていいですね。でも機種選定するときメーカー公表のファイアウォールスループットだけでは、性能差がわかりにくいんですよね。サイジング難しい。 カタログ値だと50Eと60Eで同じだし。CPUとメモリはどうなってるの?と確認しようと思っても書いてない。。。。 というわけで実機にあたって調べてみたのがこれ。 機種 カタログ FWスループット ASIC CPU コア数 メモリ 40F 5Gbps SOC4 ARMv8 4コア 1918MB 50E 3Gbps なし ARMv7 2コア 2024MB 60E 3Gbps SOC3 ARMv7 4コア 1866MB 60F 10Gbps SOC4 ARMv8 8コア 1919MB 80F 10Gbps SOC4 ARMv8 8コア 3718MB 90E 4.0Gbps なし Atom C2338@1.74GHz 2コア 2010MB 100E 7.4Gbps SOC3 ARMv7 4コア 3039MB 100F 20Gbps SOC4 ARMv8 8コア 3616MB カタログ数値だけだと50Eも60Eも90Eも変わらなそうでしたがCPUが50Eは2コアなのが60Eは4コアに加えてASICも積んでるし! 90EのCPUはAtomの2コアでSOCなしってことはCPUパワーだけでゴリゴリするマッチョな機種。100Eは60Eと構成同じ。。。と興味深いです。世代が変わると60Fはいきなり8コア。100Eのスペック越えてきたけどホントかな。ルータやFWってカタログ値では劣る上位機種の方がやっぱりCPU性能が良くてトラブル発生時や高負荷に耐えられるとかままあるのでカタログ数値だけ鵜呑みにするのは危険だよね。高スループットは専用チップで負荷がオフロードされる時というのを忘れないようにします。 200FもXeonだ!!!D-1627 90Eまではランチボックス形状でファンレス。100Eからはラックマウントでファン付きです。100Eは結構ファン音しますからサーバ室に設置必須です。一方新しい100Fのファンはさすが静音化していて起動が完了するとファン音はほぼ聞こえなくなっています。これなら事務室にも置けますよ。90Eはあっとい...
続きを読む

ネクストのIPv6網内折り返し通信で高速VPN

-
(2021/04/08 ネクストをとりまく状況も変わっていますので書き直しました)  ネクストでは半固定で割り当てられるIPv6アドレスの網内折り返し通信が可能です。西日本では「v6オプション」の申込みが必要だったのが2021年5月11日の新規開通分からはデフォルト有効になり申込みの必要も無くなります。東日本では以前からデフォルト有効。 IPv6アドレス半固定 というのが若干問題 ですが最近のRTXシリーズではFQDNで張れば大丈夫です。 別途ダイナミックDNSを登録してFQDNでVPN、、、という記事もありますが、NTT西日本のサイトをよく読むと「v6ネーム」はIPv6アドレスが変わっても追従すると書いています。うちでも、ひかり電話を契約したり解約したり、IPv6プロバイダーを契約したり解約したり別のプロバイダーからもらい直したりを繰り返しそのたびにIPv6アドレスが変わりましたが、ちゃんと追従してくれていました。安心して「v6ネーム」を使って大丈夫。 以下はいまさらデフォルトゲートウェイがPPPoE設定ですが、汎用性があるということでそのまま残しておきます。いまうちで実際に運用サポートしているユーザ企業は、IPoEプロバイダーと固定IPv4の契約をしてIPv6とIPv4のVPNを2重化する構成で自動切り替え設定もしていますがまたそれは別途。良ければ声をかけてください。 Luaスクリプトの動くヤマハでないとIPoE系プロバイダで固定IP使えないし、古いRTXはこの際一掃して現行モデルを使います。今買うならRTX830/RTX1210。RTX1200もいい機種でしたがEMFS(メモリファイルシステム)使えないからlua入れるのが面倒だしそろそろメインからは引退。 RTXの設定 対向拠点の設定は192.168.1を192.168.0に入れ替えるだけで同じ。ひかり電話なし契約IPv6はRAです。ひかり電話があってもホームゲートウェイのLANポートに接続するのでこの例で大丈夫です。テストではホームゲートウェイの型番が400シリーズ以降なら速度低下はないようです。ひかり電話オフィスは別途。 <IPv4LAN関係> ip route default gateway pp 1 ip lan1 address 192.168.1.1/24 ip rout...
続きを読む