S.C. MAGI-SYSTEM 日記
Diary
2009年になって、実に3年ぶりに更新再開。

hns - 日記自動生成システム - Version 2.19.9

2005年03月19日() [n年日記]

[天気:曇り](家) 起床:13:00 就寝:29:00

#1 [*BSD] IPsec その壱

近い将来に引っ越し先と今の自宅の間でIPsec VPNを張ることを考えて、IPsecの 練習をしてみました。
サーバは FreeBSD の入った melchior.magisystem.netで、クライアントには MacOS X の入った PowerBook 12inch を使っています。
まずIPsecについて簡単に説明すると、Peer to Peer で経路を暗号化する Transportモード と Peer to Peer 間でトンネル *1 を作成し、その間を通る経路を暗号化する Tunnelモード があります。
今回は実験なので、簡単な Transport モードで試してみました。

うちの melchior.magisystem.netでは kernel で IPsec が有効になってなかった *2 ので
# IPSEC
options 	IPSEC			#IP security
options 	IPSEC_ESP		#IP security (crypto; define w/ IPSEC)
options 	IPSEC_DEBUG		#debug for IP security
を入れて kernel を作り直す。
続いて、自動鍵管理を行うデーモンの racoon を ports から入れます。
一方 MacOS X の方ですが、10.3以降であれば /usr/sbin/racoon とあるように OS に racoon が既に含まれていますので、インストールの必要はありません。
また、MacOS X 10.3以降は IPsec も kernel で有効になっています。

準備が整ったところで、設定ファイルを作成します。
便宜上、ここでは FreeBSD のIPアドレスを192.168.0.1、MacOS XのIPアドレスを192.168.0.2とします。
先に racoon の設定からですが
  • FreeBSD
    /usr/local/etc/racoon/racoon.conf.dist を racoon.conf とコピーし、少し書き加えます。
    remote 192.168.0.2
    {
    	exchange_mode main;
    	doi ipsec_doi;
    	situation identity_only;
    	my_identifier address "192.168.0.1";
    	peers_identifier address "192.168.0.2";
    
    	proposal {
    		encryption_algorithm 3des;
    		hash_algorithm sha1;
    		authentication_method pre_shared_key;
    		dh_group 2;
    	}
    }
    
    sainfo anonymous
    {
    	pfs_froup 2;
    	lifetime time 1 hour;
    
    	encryption_algorithm aes, 3des;
    	authentication_algorithm hmac_sha1;
    	compression_algorithm deflate;
    }
    
    もしかしたら、後半の sainfo の部分は既にあるかもしれない。
  • MacOS X
    /etc/racoon/racoon.conf はいじらないで、 /etc/racoon/remote/ipsec_test.conf を作ります。
    remote 192.168.0.1
    {
    	exchange_mode main;
    	doi ipsec_doi;
    	situation identity_only;
    	my_identifier address "192.168.0.2";
    	peers_identifier address "192.168.0.1";
    
    	proposal {
    		encryption_algorithm 3des;
    		hash_algorithm sha1;
    		authentication_method pre_shared_key;
    		dh_group 2;
    	}
    }
    
    sainfo anonymous
    {
    	pfs_froup 2;
    	lifetime time 1 hour;
    
    	encryption_algorithm aes, 3des;
    	authentication_algorithm hmac_sha1;
    	compression_algorithm deflate;
    }
    
    内容は FreeBSD とほぼ同じで、IPアドレスを逆にしただけ。

次に Pre-shared Key を設定します。
  • FreeBSD
    /usr/local/etc/racoon/psk.txt
    192.168.0.2 my_secret_key
    
  • MacOS X
    /etc/racoon/psk.txt
    192.168.0.1 my_secret_key
    
鍵は同じものにする必要があります。また、パーミッションを 0600 にするのを忘れないように。
ここまでで racoon の設定は終わりです。
FreeBSD 側 と MacOS X 側で racoon を起動しても大丈夫です。

最後に IPsec のセキュリティーポリシーを設定しますが、これには setkey というコマンドを用います。
  • FreeBSD
    /etc/ipsec.conf を作成し
    spdflush;
    spdadd 192.168.0.1 192.168.0.2 any -P out ipsec esp/transport//require;
    spdadd 192.168.0.2 192.168.0.1 any -P in  ipsec esp/transport//require;
    
    というファイルを書きます。
  • MacOS X
    こちらも同様に /etc/ipsec.conf に
    spdflush;
    spdadd 192.168.0.2 192.168.0.1 any -P out ipsec esp/transport//require;
    spdadd 192.168.0.1 192.168.0.2 any -P in  ipsec esp/transport//require;
    
    を書きます。


両方の端末で
# setkey -f /etc/ipsec.conf
を実行します。
この状態で
# setkey -P -D
を実行すると、先程 /etc/ipsec.conf で書いたセキュリティポリシーが表示されるはずです。
続いて racoon を起動します *3
さて、早速 ping を相手に向けて打ってみましょう。
すると、両方の間で鍵の交換が行われ、
# setkey -D
で鍵の情報が表示されるはずです。
tcpdump をすれば、暗号化されたデータが通っていることが分かると思います。

ところで、この設定をミスるとネットワーク経由でホストに入れなくなってしまいます。(笑)
私は IPv6 経由でログインした状態で両方の端末の設定を行い、IPsec は IPv4 のみに適用させるようにしました。
テストする場合は注意して下さいね。

参考: [IPsec on FreeBSD] , [Mac OS XでIPsec]
*1: gif トンネルみたいなもの。
*2: GENERIC kernel では有効になっていません。
*3: racoon は鍵の交換に UDP 500 を使うので、開けておくことを忘れないように。

2004年03月19日(金) [n年日記]

[天気:曇りときどき晴れ](家) 起床:11:30 就寝:25:00

#1 [MacOSX] Camino Nightly Build

またもや気紛れな Camino Nightly Build です。
tinderbox のステータスが
Tree FROZEN for 1.7 final - checkin requires drivers approval.
と変わり、1.7 の正式リリースへの準備に入ったようです。
では先日の Mozilla 1.7beta はどうなったのか…というと、無事に リリース されました。
そこで、Mozilla 1.7beta ベース (trunk) で Camino を build 。 [Camino_trunk-20040319.dmg.gz]
Camino 部分に関しては先日の 1.7 trunk 版と同じです。

今回の 1.7beta ベースはかなり使い易くなっていると思います。
一応 Mozilla 1.7beta の エラッタ によると
  • Plugins
    古い Macromedia Flash Player を使っていると落ちる可能性があるとのこと。 こちら からアップデートすることをお勧めします。
  • IPv6 issue
    MacOS X の Mozilla では IPv6 DNS lookup の問題 *1 からデフォルトでは IPv6 を 無効 にしているそうです。 ユーザの user.js に
    user_pref("network.dns.disableIPv6", false);
    
    を加えれば有効化できるとのことです。
    ちなみに私の作っている Camino では 有効 にしてあります。
という訳で、今回の trunk 版は結構お勧めだったりします。
ちなみに今まで SDKs を使っていた関係できちんと prebinding できていなかったことが発覚。
一応 MacOSX10.2.8 SDKs で prebinding し直してあります。
なので Panther をお使いの方は
Machintosh% cd Camino.app/Contents/MacOS
Machintosh% update_prebinding -files \
	../Frameworks/SharedMenusCocoa.framework/Versions/Current/SharedMenusCocoa
Machintosh% sh redo-prebinding.sh
を実行すると起動とかが速くなる "かも" しれません。
まあ、うちの Camino は Static build なので prebinding の効果はそんなにないと思いますが。
*1: Jaguar での問題であって、Panther では問題ないとのことです。

2003年03月19日(水) [n年日記]

[天気:晴れ](大学) 起床:9:00 就寝:26:20

#1 [Home] あめりかのかいいぬ

昨日の件ですが、別に戦争が大好きな国同士で勝手に殺し合う分には私は構いません。
博愛主義者ではないし、戦争自体は反対しても起きるときは起きるんだし。
ただ、許せないのは日本が支持を表明したことです。
平和立国、戦争放棄を誓った第二次世界大戦の教訓はどこへやら。
戦後50年たってはれて日本はアメリカの飼い犬になり下がったと。
わんわん

…でも、いつか飼い犬に手を噛まれるぞ。アメリカ。

#2 [Univ] 模試の結果

3週間ぶりに大学に顔を出してきました。
もともとは先輩のパソコンのWindowsが起動しなくなったらしいので、 そのパソコンのHDDを研究室の適当なマシンにつなぎ直して中身だけ取り出すのが目的 *1 だったんですが、ひょんなことから 3/1,2 の模試の結果を受け取ることになりました。
というか、もっと早く受け取れよという感じですが。

え?結果?
*1: でもこのパソコンのHDD、なんと5inchドライブでした。 内蔵5inchのHDD。QuantumのBigfootです。実物見たの初めてかも。

#3 [Muzik] ぁゃゃ

松浦亜弥 "ね〜え?":

ね〜え?
先週発売になった ぁゃゃ の新譜です。
実は藤本美貴の Miki(まるすうじ1) の発売を調べていたときに初めて気付いたくらい、全然チェックしてなかったナンバーでした。
でも先週のうたばんでたまたま観てしまい、買うことを決意。
ええ、買いましたとも。
シングルCDだけでなく、シングルカットの DVDの方まで も。(爆)
しかもシングルCDはご丁寧にも 初回盤 *2 です。
どうせ DVD を買うんだったら、シングルCDの方はレンタルで済ませればよかったかも。

ノリは "桃色片想い" に近い。
曲のノリだけでなく、プロモーションビデオの構成とか内容も ももきゃた を意識していると思われます。
ももきゃた のプロモは、松浦亜弥の全PVでは一番の出来だと思うのですが、さすがにそれを越える内容まではいかなかったみたいですね。
でも、おそらく二番にランクインしてもいいくらいのすばらしい出来です。
観ていると癖になりそう *3 な感じ。
さあ、はりきって PV をエンコードしましょう〜♪

*2: 初回盤の方が通常盤よりも200円ほど高い。シングルは1枚が1000円であることを考えると200円は結構大きいです。
*3: 何のだ。何の。

#4 [MacOSX] Camino のおいしい作り方

make一発とはいきませんが cvs checkout の過程で camino のソースもまとめて取得する手軽な方法を発見。
Mozilla を build するためのラッパー Makefile である client.mk ですが、見てみると
# Options:
#   MOZ_OBJDIR           - Destination object directory
#   MOZ_CO_DATE          - Date tag to use for checkout (default: none)
#   MOZ_CO_MODULE        - Module to checkout (default: SeaMonkeyAll)
#   MOZ_CVS_FLAGS        - Flags to pass cvs (default: -q -z3)
#   MOZ_CO_FLAGS         - Flags to pass after 'cvs co' (default: -P)
#   MOZ_MAKE_FLAGS       - Flags to pass to $(MAKE)
#   MOZ_CO_BRANCH        - Branch tag (Deprecated. Use MOZ_CO_TAG below.)
(snip)
####################################
# CVS defines for SeaMonkey
#
ifeq ($(MOZ_CO_MODULE),)
  MOZ_CO_MODULE := SeaMonkeyAll
  endif
  CVSCO_SEAMONKEY := $(CVSCO) $(CVS_CO_DATE_FLAGS) $(MOZ_CO_MODULE)
という部分があります。
"SeaMonkeyAll" というのはMozillaのメインのmoduleですが、"Camino" というmodule名で取得することで SeaMonkeyAll + mozilla/camino を得ることができます。
つまり、ターミナルから
% make MOZ_CO_MODULE=Camino -w -f client.mk
とすればいい。
ちょっとは手間がはぶけるかも。


最近の日記
2019年06月24日
10年振り
2009年12月31日
定期アップデート
2009年04月03日
定期アップデート
2009年03月22日
定期アップデート
2009年01月26日
pomera
2009年01月23日
今日のBOT
2009年01月22日
BOT
2009年01月20日
Seagate HDD
PowerPCの備忘録
RSS feed
abuse
2009年01月19日
Windows 7 beta
2009年01月16日
perl-after-upgrade
2009年01月14日
アクセスカウンタ
2009年01月13日
ひとまず完了
2009年01月12日
7.1-RELEASE(適用)
2009年01月10日
hns 2.19.9
2009年01月09日
recursion no
以上、3 日分です。
先月 2019年09月 来月
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30
Namazu for hns による簡易全文検索
詳しくは 詳細指定/ヘルプを参照して下さい
検索式:

タイトル一覧
カテゴリ分類
Powered by hns-2.19.9, HyperNikkiSystem Project