作業開始Dec　17,2003

Dec　17,2003 verベータ1

softetherを使って実用LANを設計構築

仮想HUBにSSHを踏んで接続できるがその方法がpasswoｒd認証しかサポートしていない。鍵認証もサポートしてほしいです。
teratermでポートフォワードを設定後、仮想HUBに転送すれば接続はOKかな。→できませんでした？
本質はIPパケットのカプセル化なのでIPsecのような感じです。
が、MSファイル共有NETBIOSを会社のPCと自宅PCで接続できるのはすごいです。(自宅に仮想HUBを建てればよい)
社内LAN感覚で自宅から社内にアクセスできるのがかなり・・・。きちんと暗号化はされてるのですが、できすぎて怖いです。
ソフトとは関係ないですが、Server機の場合RRASでフィルタの設定が増えるのがめんどくさいです。

10secごとに318バイトのパケットを送りあいます。keepalive?でしょうか

みなさんsyslogってどうされていますか？
syslogサーバにログってるけど、今はだれも見てない・・・・。というような状態じゃないでしょうか。
logは結構重要です。サーバがピンチのときはちゃんとエラーをたれれ流してくれますので、いきなりブツンと逝く前にきちんと事前対応が可能になります。
誰がログインしたかも流すことができますので、不正利用を特定するのにも役立ちます。

各サーバのログイン情報や、その他ログをsyslogは平文で流すためセキュリティ的に問題があります。
↓
本店-支店間でのsyslogの転送には暗号化は必須です。
VPNを構築するのが一番よいですが、別機材を導入するとコストがかかります。
↓
既存の機器を使いまわして最適なシステムを作ることを考え以下のものを思いつきました。

各WEBサーバマシン(Linux)のsyslog転送先をsyslogサーバの仮想LANIPアドレス（10.0.0.20）と設定する。
＆Linuxマシンのルーティングテーブルに10.0.0.0/255.255.255.0　nexthop　192.168.2.100
を追加する。
支店ルータ用Windows2000Serverマシンのルーティング(RRAS)をONにし、
syslogパケットを192.168.2.0/24ネットワークから10.0.0.0/24ネットワークにルーティングできるように設定する。
RRASの入力、出力フィルタを設定する。

そうすれば支店での難解なsyslogフォワードの設定が不要になり、
本店syslogサーバで仮想LANのIPアドレスで514ポートをリスンするだけの簡単な設定で分かりやすい表示を得ることができる。
（KiwiSecuretunnel*1を利用した転送だと、FromのIPアドレスが127.0.0.1*3になり見にくいですが、SoftEtherを利用した上記システムではFromIPアドレスが127.0.0.1にならないためです。)
本店-支店間はsoftEtherで暗号化されるため問題ありません。
インターネットから仮想HUBへの通信はFWで制限して下さい。

●各サーバの物理的用件

支店Webサーバ
インターフェイスを2つ持つ

支店ルータ用サーバ
Windows2000Serverがインストールされている。
インターフェイスを2つ持つ

本店仮想HUBサーバ
Windows2000以上がインストールされている

本店syslogサーバ
windows2000Serverがインストールされている

●各サーバの設定内容

◆本店FW
仮想HUBのportへのパケットを許可する。
仮想LAN間の通信を許可する。
実際の設定は指定port間のTCP通信

◆支店FW
仮想LAN間の通信を許可する。
実際の設定は指定port間のTCP通信

◆本店syslogサーバ
・使用ソフト
1.MSSQL2000
2.winsyslog*2(ODBCにてsyslogをSQLサーバにDBとして入れ込む)
ASPにてSQLサーバからログを持ってこれるのでWEBによるsyslogの確認ができます。


◆routeの設定

支店Webサーバ郡へのルートを設定します。
　syslogはudpなのでこのエントリはなくても動作しますが、ciscoなどでsyslogでTCPを利用する場合は必須になります。
　route ADD 192.168.2.0 MASK 255.255.255.0 10.0.0.100 IF 0x2
　＜interface　0x2はsoftetherの仮想インターフェイス
　route printで確認してください
　10.0.0.100は支店ルータ用Winの仮想LANIPアドレス＞

再起動すると消えてしまうので再起動後も有効にしたい場合は以下の方法で設定してください。

　　1. route -P add ......
　　2. 「ルーティングとリモートアクセス」操作画面より、「IPルーティング」から。
　　3. netsh routing ip コンテキストから
　　　(2.3. は RRAS が稼動してないと有効になりません。)

◆支店ルータ用Windowsサーバ
　　RRASをONにする。
　　192.168.2.0/24⇔10.0.0.0/24間の通信を許可するフィルタを設定する。

◆各Linuxサーバへのルーティングエントリの追加
　　route add -net 10.0.0.0 netmask 255.255.255.0 dev ethxxx gw 192.168.2.100
　　＜xxxは適切な値を入れること＞
　　こちらも再起動すると消えますのでシェルスクリプト等に書いて/etc/rc3.dなどにリンクを張って下さい。
　　/etc/rc.d/rc.localに追加するのもよいかもしれません。

　　netstat -r -n
　　で確認する

　iptblesで192.168.2.0/24⇔10.0.0.0/24へのパケットを許可するエントリを追加する

　syslog.confにてsyslogの転送先を＠10.0.0.20とする。

これで本店syslogサーバの設定だけでsyslogの管理が簡素化できます。

不要な重要度の低いログは定期的にSQLのジョブでdeleteしておけばさらに見やすくなるでしょう。

●その他

仮想HUBは支店に立てるか本店に立てるかは参加するサーバがどちらが多いかによって決まると思います。状況により決めてください。

注:
*1KiwiSecuretunnelは有限会社ネットワークシステムズさんの製品です
*2Adisconの日本の再販店(port139の伊原さんのHPへ)
*3以前は支店Windowsサーバと本店syslogサーバとの間をKiwiSecureTunnelを利用していました。syslogサーバをSecureTunnelの終点としWinsyslogを用いてデータベースに入れ込むとフォワードされたFromIPアドレスの欄が127.0.0.1となり、コメント欄の中のagentIPの欄で見分けるという方法しかとれませんでした。

linuxにはloggerというコマンドがあります。
説明はmanで見てください。
｜でパイプして流してください。