投稿

2月, 2019の投稿を表示しています

実家ネットワークの再構築

イメージ
目標 WAN 直結の DMZ(192.168.0.0/24)と、純プライベートな内部 LAN 領域(192.168.1.0/24)の二段構成とし、DMZ へのゲートウェイとなるルーター(OpenWrt 機)にネットワークセパレーターとしての役割を担せ、そこで集中的にセキュリティ管理する。現状従来の構成は、管理上の平易さから、LAN は全て 192.168.0.0/24 のみで、WAN へのゲートウェイとなるルーターを介して WAN に直結するフラットな一段構成である。今後 WWW サーバーを運用するなど外部向けの公開を念頭に入れると流石にセキュリティ上の懸念もあるため、WWW サーバーを置く DMZ とセキュリティを特に意識しないで済む内部 LAN 領域とに分け、この二種の領域の境界にネットワークセパレーターとしての OpenWrt 機を DMZ へのゲートウェイルーターとして置くという構成にしたいと考えるようになった。こうしておけば、たとえ WWW サーバーが侵入されたとしても、これを踏み台としてネットワーク的に分離された内部 LAN 領域に侵入されるわけではないので、内部 LAN 領域の安全性は維持できる(DMZ から 内部 LAN へのルーティングは行なわず、内部 LAN から DMZ への IP マスカレードによる一方的なアクセスのみ可能とする)。デメリット唯一のデメリットとしては、素人向けの話として丸暗記的に嫌われる「二重ルーター状態」になることで、UPnP に頼ることができなくなる点である。内部 LAN とそのゲートウェイルーターの間では UPnP を活用してもいいのだが、その設定内容に対応したポートマッピングを手動で WAN へのゲートウェイルーターにも設定する必要がある。とはいえこれは当然、得ようとしているセキュリティ上のメリットと表裏一体となる作業なのであるから、デメリットと呼ぶべきものではないことなのかもしれない。暫定措置理想としてはこのゲートウェイルーターに、Wi-Fi ブリッジ、OpenVPN サーバー、DHCP サーバーの役割も担わせた OpenWrt 機を当てたい所だが、現状、この位置にあるのはブリッジ運用中の NEC の Aterm WG1200HP で OpenWrt 化は無理。一方の手持ちの OpenWrt 機は WZR-HP-AG…

OpenWrt on WZR-HP-AG300H: VPN サーバー

イメージ
VPN は tun モードでセットアップした(が、それとは別に tap モードでもセットアップし、両立させた)。基本的には OpenWrt 公式のガイド(👉 OpenVPN Basic)に従ったが、必ずしも公式ガイドその通りに uci コマンドを使ってセットアップせずとも、コンフィグファイルを直接編集したり、一部の操作は LuCI でも代用できると思う。PKI の準備PKI をセットアップ(= Easy-RSA をインストール)し、必要な証明書等を生成する。これはガイドの通りにそのまま。 👉 OpenVPN Basic: PKIVPN 用の仮想の物理インターフェースの作成と、論理インターフェースの作成仮想の物理インターフェース tun0 を紐付けた論理インターフェース vpn_router を作成する。プロトコルは none(LuCI 上では Unmanaged と表示される)👉 OpenVPN Basic: Network また、これは独自にやり方を見出したが、tap モードでセットアップすることもでき、物理インターフェース tap0 を作った場合は、論理インターフェースを新設せず、論理インターフェース lan の物理インターフェースの一つとして tap0 を追加するだけで良い(上のスクリーンショット。論理的に lan の一部として存在するので、tun モードの場合のように、Firewall の設定をする必要はない)。OpenVPN ServicesOpenVPN サービスをセットアップ(= openvpn-openssl をインストール)し、設定する。ガイドでは uci コマンドを使っているが、luci-app-openvpn をインストールすれば、LuCI の GUI でも代用できないことはないと思う。ガイドの uci コマンドでは環境変数を使って自動化している部分があり、何らかの理由で不具合がある場合には、あとで適宜設定を修正する必要があるかもしれない。また、VPN 用のネットワークアドレスも、自分で使いたいものに修正する。👉 OpenVPN Basic: VPN-Service ポート番号が重複しないようにすれば、同時に、tun と tap のサーバー(上のスクリーンショットの router_server と bridge_server がそれぞれ該…

OpenWrt on WZR-HP-AG300H: ブリッジ化

イメージ
WZR-HP-AG300H では初期状態ではルーターとしてセットアップされている。つまり、図においての物理インターフェース eth1 が論理インターフェースの wan に紐付けられている状態である。 Network > Interfaces 設定なので、論理インターフェース的に wan と lan の二段構成になっている状態を解消して、単なるブリッジ状態にするには、LuCI 上で Network > Interfaces 設定で wan のエントリーを削除した上で、lan の Physical 設定で物理インターフェースの eth1 を lan に紐付け、さらに IPv4 のアドレス、ネットマスク、ゲートウェイ等の設定を UP ポート側の LAN に合わせたものにすればいい。基本的にこれだけで ok のはずである。作業上の注意としては、先に wan のエントリーを削除して lan の設定をする前の段階で、一旦変更を反映させてしまうと、UP ポートが単に使えない状態になってしまい、UP ポートに LAN ケーブルを接続して設定作業をしていたならば、LuCI 自体にアクセスできない状態になり、焦ってしまうかもしれない点である。Wi-Fi か、LAN ポートに LAN ケーブルを接続すれば問題ないはずである。Network > Switch 設定初期状態では VLAN がセットアップされており、LAN ポート 1 〜 4 は、VLAN のノード 1 である eth0.1 に属している。VLAN を使わないのであれば、VLAN 関係の設定を削除して、単純に eth0 で扱っても良さそうだが、もしかしたら、一度試して支障が生じたことがあるかもしれない。現状ではデフォルトのまま放置している。/etc/config/network以上のような形で、/etc/config/network の内容は、wan のエントリーが削除され、lan のエントリー部分が以下のようになった: config interface 'lan' option type 'bridge' option proto 'static' option netmask '255.255.255.0' o…

二階堂重人氏のデイトレード本

二階堂重人『最新版 株デイトレードで毎日を給料日にする!』(すばる舎、2018-11-27)株自体の入門書でもないのに、ロウソク足や信用取引についての説明にページ数を割くなど、どうでもいい情報があるので、「デイトレードのテクニックそのもの」についての情報は薄い。ポイントとしては 2 点程度か。デイトレ銘柄のキャッチの仕方チャートによる売買タイミング以上の 2 つの次元で構成されるという点は特に目新しいものではない。銘柄の選別はランキングを使う等の漠然とした話で、ありふれた手法だと思う。唯一、この本の中で詳細かつ具体的に著されているのは、ボリンジャーバンドと変動平均を組み合わせた売買タイミングの方法だけだと思う。著者のボリンジャーバンドと変動平均を組み合わせた売買タイミングの方法+2σ を上抜けする急上昇+1σ を割る反落5 分足の 12 本変動平均(1 時間分)を割らずに反発+1σ を抜けて 12 本変動平均がサポートとなる押し目を形成したことを確認以上で速やかに in する。この手法の主旨としては、急上昇の動きをキャッチしようとするところ(トレンドフォロー)にあるが、+2σ を上抜けしたからといって、トレンドフォローが正解の場合と、反対に反落する逆張りが正解の場合があり、これだけではバクチとなる。そのため、一旦反落して押し目を作り、再度、本格的な上昇が開始する前に乗ってしまおうという作戦だろう。押し目狙いなので、まず一旦は反落して一休みする流れは必要であるが、押し目となって再度本格的な上昇が始まるか、そのまま反落して元の黙阿弥になってしまうかを、1 時間分の変動平均がサポートとして機能しているかどうかを基準にしているわけである。空売りの場合はそのまま上下対称のやり方となる。ちなみに、利益確定については、特に定まった手法はないようだ。

WZR-HP-AG300H with OpenWrt

2 台目となる Buffalo の Wi-Fi ルーター親機 WZR-HP-AG300H をメルカリで入手した。ちなみに 1 台目は友人が不要になったものをたまたまもらっただけで、特に WZR-HP-AG300H であることを狙ったわけではない。もらってしまってから、DD-WRT というカスタムファームウェアに書き換えられること、それによって、OpenVPN が使えるということを知り、Buffalo 公式の OEM ファームウェアで使える(セキュリティ性能が脆弱な)PPTP ではなく OpenVPN を是非使いたかったので、それだけが目的で DD-WRT にしてみたという経緯であった。なので特に元の OEM ファームウェアに戻すことなど考えずに、その時はただ DD-WRT(v24-sp2 (12/22/14) std - SVN revision 25697)化した。2014 年頃で DD-WRT の方は(少なくとも WZR-HP-AG300H 用については)安定版のリリースが停滞してしまっている(専らベータ版のみ)。せめて KRACK 対策された安定版が欲しいところ。一方、OpenWrt の方は今でも WZR-HP-AG300H 用の最新版が用意されている。さらに、OpenWrt は色々と追加パッケージを自分で好きなように入れることができ、中には、Asterisk や Python やデータベースのパッケージもあるという。これは OpenWrt に俄然、興味を惹かれた。またよくよく調べてみると、昔の時点だけでなく 2019 年の今に至るまで、OpenWrt 用の Buffalo 製ハードとしては WZR-HP-AG300H はメチャクチャ最適な機種らしいということがわかってきた。型番の AG というのは、Wi-Fi の周波数が 5GHz 帯の IEEE 802.11a と 2.4GHz 帯の IEEE 802.11g の両対応という意味のようで、これ以前の機種や廉価版機種では G のみの型番のものが多く(それらはハードオフなどでも見捨てられてジャンクとして転がっている)、Wi-Fi 性能の点で一線を画している。さらに型番の 300 は IEEE 802.11n の通信速度 300Mbps のことだろう。とはいえ、後に 3x3 MIMO(450Mbps)や 4x4…