際際滷

仝さくらのクラウド々における
Vyattaの試喘並箭

さくらインタ�`ネット�幄�
冩梢侭寄消隠俐匯
ohkubo@sakura.ad.jp

さくらのクラウドとは�
IaaSの児云議なリソ�`スを戻工

ネットワ�`ク

サ�`バ

ストレ�`ジ

ロ�`ドバランサ NEW

ウェブサイト http://cloud.sakura.ad.jp/

さくらのクラウド恷除のアップデ�`ト
? 仟�ユ�`ザ勅鹿壅�_(2012/11/1゛)
? SSDストレ�`ジ戻工�_兵(2012/11/1゛)
? ネットワ�`クﾚ｡囃プラン(2012/11/7゛)
�C 100Mbpsに紗え、500Mbps、1Gbpsに��
? API弖紗(2013/1/23゛)
? コンパネリニュ�`アル(2013/2/4゛)
? パケットフィルタ�C嬬戻工�_兵(2013/2/4゛)
? ロ�`ドバランサ�C嬬戻工�_兵(2013/03/12゛)

Vyatta Coreを��別畊�
させていただいてます。

Vyatta Core 6.5R1 32bit (6rd��)

お�}その１

Amazon VPC議な�h廠を恬りたい�

閣霞温岳岳温ならできます。

3つのネットワ�`クタイプ
慌嗤セグメントル�`タ�スイッチ
��喘セグメント�
インタ�`ネット

/28 or /27
/32 /32

プライベ�`トL2スイッチ

プライベ�`トアドレス+鰻粥意桟廠
ル�`タ�スイッチ
133.242.78.160/27

eth0: 133.242.78.164 133.242.78.165 1:1NAT

eth2 eth1

10.103.XX.0/24 10.103.1.0/24

10.103.1.2

可創
? ル�`タ�スイッチ
�C IPアドレスが1つでもよければ慌嗤指�でもOK
? Vyattaを�咾��VM ～ 1
? スイッチ�ロ�`カル�硲�
? ロ�`カル�箸穆O崔するサ�`バ～ N

児云�O協
set interfaces ethernet eth0 address 133.242.78.164/27
set interfaces ethernet eth0 address 133.242.78.165/32 1:1NAT喘
set interfaces ethernet eth1 address 10.103.1.1/24
set protocols static route 0.0.0.0/0 next-hop 133.242.78.161

set nat destination rule 10 destination address 133.242.78.165
set nat destination rule 10 inbound-interface eth0
set nat destination rule 10 translation address 10.103.1.2 1:1NAT
set nat source rule 10 outbound-interface eth0
set nat source rule 10 source address 10.103.1.2
set nat source rule 10 translation address 133.242.78.165

set nat source rule 999 outbound-interface eth0 Forward
set nat source rule 999 translation address masquerade NAT

set system conntrack expect-table-size 2048
セッション
set system conntrack hash-size 16384
方を��紗
set system conntrack table-size 1048576

DHCPでプライベ�`トアドレス塘下
edit service dhcp-server shared-network-name michonet-private
set subnet 10.103.1.0/24 default-router 10.103.1.1
set subnet 10.103.1.0/24 dns-server 133.242.0.3
set subnet 10.103.1.0/24 dns-server 133.242.0.4
set subnet 10.103.1.0/24 start 10.103.1.100 stop 10.103.1.199

�啜�IPアドレスの�O協

set subnet 10.103.1.0/24 static-mapping host1 ip-address 10.103.1.2
set subnet 10.103.1.0/24 static-mapping host1 mac-address 9C:A3:BA:25:19:C7

耕協IPアドレスの�O協

お�}その２

IPv6アドレスも�O協したい�

火廷ながらネイティブ��鬉任④�
いませんが、6rdを聞えます。

6姻糸とは� IPv6に��鬉靴討い覆�
サ�`ビスでも徭�咼肇鵐優�
によるIPv6の�E宥が辛嬬
? さくらの6rd�トライアル�
? http://research.sakura.ad.jp/6rd-trial/

6姻糸��鬳娉皺抗抒找垢鰉辰い森抗廟�
IPv6インタ�`ネット

61.211.224.125
6rd Border Relay
2001:e41:3dd3:e07d::1


eth0 133.242.78.164
eth1 2001:e41:85f2:4ea4::/64

6rd�O協箭
set interfaces tunnel tun0 6rd-prefix 2001:e41::/32
set 85f2:4ea4::1/32
interfaces tunnel tun0 address 2001:e41:85f2:4ea4
85f2:4ea4
set interfaces tunnel tun0 encapsulation sit トンネル
set interfaces tunnel tun0 local-ip 133.242.78.164 の�O協
set interfaces tunnel tun0 mtu 1280
set protocols static route6 ::/0 next-hop 2001:e41:3dd3:e07d::1

edit interfaces ethernet eth1
set address 2001:e41:85f2:4ea4
85f2:4ea4::1/64
85f2:4ea4
set ipv6 router-advert managed-flag true
managed- LAN��
set ipv6 router-advert other-config-flag true IFの�O協
set ipv6 router-advert prefix 2001:e41:85f2:4ea4::/64

edit service dhcpv6-server shared-network-name michonet-private ?
subnet 2001:e41:85f2:4ea4::/64
set address-range start 2001:e41:85f2:4ea4:ffff:0:0:0 ? DHCPに
stop 2001:e41:85f2:4ea4:ffff:ffff:ffff:ffff よるアド
set name-server 2403:3a00::1 レス塘下
set name-server 2403:3a00::2

お�}その３

リモ�`トアクセスVPNしたい�

VyattaはPPTP、L2TP/IPsec、
OpenVPNに��鬉靴討い泙垢��
晦2意永/鴛永壊艶界がオススメです。

リモ�`トアクセス閣永鰻更撹箭


L2TP喘
eth0 133.242.78.164
10.103.1.200゛209
eth1

10.103.1.0/24

L2TP/IPsec�O協箭
set vpn ipsec ipsec-interfaces interface eth0
set vpn ipsec nat-networks allowed-network 0.0.0.0/0
set vpn ipsec nat-traversal enable

edit vpn l2tp remote-access
set authentication local-users username micho password aaabbb
set authentication mode local
set client-ip-pool start 10.103.1.200
set client-ip-pool stop 10.103.1.209
set dns-servers server-1 133.242.0.3
set dns-servers server-2 133.242.0.4
set ipsec-settings authentication mode pre-shared-secret
set ipsec-settings authentication pre-shared-secret cccddd
set mtu 1280
set outside-address 133.242.78.164
set outside-nexthop 133.242.78.161
４つのパラメ�`タ

庄永鞄看稼艶、庄永温糸からも俊�A辛嬬

お�}その４

プライベ�`トクラウドとつなぎたい�

IPsecもありますが、
site-to-siteモ�`ドOpenVPN
がオススメです。

インタ�`クラウド��撹箭
サイトA�廉仟凡、プライベ�`トクラウド�

10.103.4.0/24

eth1
eth0 59.106.69.117 vtun1 10.103.3.1/24


vtun1 10.103.3.2/24
eth0 133.242.78.164
eth1

10.103.1.0/24

サイトB�墳癡、パブリッククラウド�

サイトA�O協箭
�Iの伏撹
$ generate openvpn key /config/auth/secret
$ sudo scp /config/auth/secret vyatta@133.242.78.164:/config/auth/

OpenVPNの�O協
set interfaces openvpn vtun1 local-address 10.103.3.1 ?
subnet-mask 255.255.255.0
set interfaces openvpn vtun1 mode site-to-site
set interfaces openvpn vtun1 remote-address 10.103.3.2
set interfaces openvpn vtun1 remote-host 133.242.78.164
set interfaces openvpn vtun1 shared-secret-key-file /config/auth/secret

�U揃の�O協
set protocols static interface-route 10.103.1.0/24 ?
next-hop-interface vtun1

サイトB�O協箭
OpenVPNの�O協
set interfaces openvpn vtun1 local-address 10.103.3.2 ?
subnet-mask 255.255.255.0
set interfaces openvpn vtun1 mode site-to-site
set interfaces openvpn vtun1 remote-address 10.103.3.1
set interfaces openvpn vtun1 remote-host 59.106.69.117
set interfaces openvpn vtun1 shared-secret-key-file /config/auth/secret

�U揃の�O協
set protocols static interface-route 10.103.4.0/24 ?
next-hop-interface vtun1

おまけ��U揃�O協をOSPFでやる
OSPFの�O協
set point-to-
interfaces openvpn vtun1 ip ospf network point-to-point
set protocols ospf area 0 network 10.103.3.0/24
set protocols ospf area 0 network 10.103.4.0/24
set protocols ospf passive-interface eth1

☆��も揖��に

vyatta@vc65-6rd-2# run show ip ospf route
============ OSPF network routing table ============
N 10.103.1.0/24 [20] area: 0.0.0.0
via 10.103.3.2, vtun1
N 10.103.3.2/32 [10] area: 0.0.0.0
directly attached to vtun1
N 10.103.4.0/24 [10] area: 0.0.0.0
directly attached to eth1

まとめ
? Vyattaを聞って參和の�h廠を恬る�O協を�B初
しました。
�C Virtual Private Cloud
�C IPv6
�C リモ�`トアクセス
�C インタ�`クラウド

際際滷

仝さくらのクラウド々における閣霞温岳岳温の試喘並箭

More Related Content

仝さくらのクラウド々における閣霞温岳岳温の試喘並箭