さくらクラウドとRTX810でVPNを使ってLAN同士を接続する

さくらクラウド RTX810

仕事で必要なので、社内でつなげようと動作を検証していましたが、 やっと動作したので、やり方を報告します。

基本的には サイト間VPN設定 | さくらのクラウド ドキュメント に載っているとおりです。

注意としては、RTX810ではIPsec IDはローカルIPアドレスになります。 記事で言うと、*3で注意書きがあります。

また、PPPoEでプロバイダとつないでいたりすると、グローバルIPアドレスに IP Masqueradeの設定が入っているので、LAN側にNATでIP Secのパケットを 引きこまなければなりません。うちはネットワーク型のPPPoEですので、 記事のとおりの設定+以下の設定を入れました。

nat descriptor masquerade static 1000 13 10.0.0.1 udp 500
nat descriptor masquerade static 1000 14 10.0.0.1 esp
nat descriptor masquerade static 1000 15 10.0.0.1 udp 4500

これはRTX810のグローバルIPアドレスのNAT設定への追記になります。 うちのPPPoEでネットワーク型接続をしているルーターと さくらクラウドVPCとの接続設定のサンプルを載せておきます。 参考までにどうぞ。

ip route default gateway pp 1
ip route 172.16.0.0/16 gateway tunnel 1
vlan port mapping lan1.1 vlan1
vlan port mapping lan1.2 vlan2
vlan port mapping lan1.3 vlan3
vlan port mapping lan1.4 vlan4
lan type lan1 port-based-option=divide-network
ip vlan1 address 10.0.0.1/24
ip vlan1 secure filter in 200099
ip vlan1 secure filter out 200099
ip vlan2 address 198.51.100.124/27
ip vlan2 nat descriptor 1000
ip vlan2 secure filter in 200099
ip vlan2 secure filter out 200099
provider type isdn-network
provider vlan1 name LAN:
provider lan2 name PPPoE/0/3/5/0/0:Provider
pp select 1
 pp name PRV/1/3/5/0/0:Provider
 pp keepalive interval 30 retry-interval=30 count=12
 pppoe use lan2
 pppoe auto disconnect off
 pp auth accept pap chap
 pp auth myname username password
 ppp lcp mru on 1454
 ppp ipcp msext on
 ppp ccp type none
 ip pp secure filter in 200099
 ip pp secure filter out 200099
 ip pp nat descriptor 1000
 pp enable 1
provider set 1 Provider
 provider dns server pp 1 1
 provider select 1
tunnel select 1
 ipsec tunnel 101
  ipsec sa policy 101 1 esp aes-cbc sha-hmac
  ipsec ike always-on 1 on
  ipsec ike encryption 1 aes-cbc
  ipsec ike group 1 modp1024
  ipsec ike hash 1 sha
  ipsec ike keepalive log 1 off
  ipsec ike keepalive use 1 on dpd 15 2
  ipsec ike local address 1 10.0.0.1
  ipsec ike local id 1 10.0.0.1
  ipsec ike pfs 1 on
  ipsec ike pre-shared-key 1 text test12345
  ipsec ike remote address 1 203.0.113.180
  ipsec ike remote id 1 203.0.113.180
  ipsec auto refresh 1 on
 ip tunnel mtu 1280
 ip tunnel tcp mss limit auto
 tunnel enable 1
ip filter 200099 pass * * * * *
nat descriptor type 1000 masquerade
nat descriptor address outer 1000 198.51.100.124
nat descriptor address inner 1000 10.0.0.1-10.0.0.254
nat descriptor masquerade static 1000 13 10.0.0.1 udp 500
nat descriptor masquerade static 1000 14 10.0.0.1 esp
nat descriptor masquerade static 1000 15 10.0.0.1 udp 4500
ipsec auto refresh on
syslog notice on
syslog debug on

手元の設定をかなり削って、IPアドレスやら設定をかなり変更したので、 もしもどこか間違っていたらごめんなさい。

でも、さくらクラウドVPCとRTX810のネットワーク型PPPoEの内側のLANは接続できました。

最強のSSHキーペアーの作成

Linux

ssh-keygenで作成すると、デフォルトではRSAの2048ビットです。 ssh-keygen -t dsaでDSAの1024ビットが作られます。

これよりもずっと強いキーがあって、

ssh-keygen -b 521 -t ecdsa

で作られます。

これは楕円DSAってやつで強いらしいです。 521bit ECDSA鍵は15360bit RSA鍵に相当するとのこと。

itamaeいい感じ

itamae Ruby

github.com

Chefが面倒でpuppetを使っていた私ですが、 itamaeというのを作ってくれたクックパッド関係の方がいたので使ってみた。

ちょっと使ってみた感じでは、楽ちん。 rootに.ssh/authorized_keysを入れておくだけで、 あとは何もインストールしなくても リモート作業ができてしまう。

文法もRubyを使える。puppetはよくわからんRubyじゃない言語だ。

ただ、まだまだシンプルしか機能がないので、 ちょろっとは困ることがある。 Userリソースにホームディレクトリ作成機能がなくて困った。

PR送っておいたけど、テスト環境がうまく作れなくて、 テストは放置でPR送ってしまった。

github.com

「大きなビジネスを描くには、まず安定収入が必要」と言われて思った

会社

ある社長が、「会社をつぶして学んだこと」を話してくれた。 | Books&Apps

を読んでみた。なかなかおもしろいですね。 とりあえず1箇所だけ参照してみると、

"まだある。3つ目は、「大きなビジネスを描くには、まず安定収入が必要」ってことかな。"

おそらくだけど、大きなビジネスを描くには安定したカネの供給が必要だということを言いたいんだと思います。大きなビジネスというのは自社製品・自社サービスでないといけません。 受託開発というのはかなり属人的な仕事になりますし、仕事のスケールが不可能です。 そして、自社製品・サービスを安定的に売れるようにするには時間がかかります。 その状態までどうやって会社のカネをつないでいくのかというのが 上の安定収入が必要ということだと思います。

カネを供給していくには無限に方法はあるのですが、私が会社を13年経営してきた中ではほとんど次の2種類です。

  1. パトロンにカネを出してもらってひたすら走る(ベンチャーキャピタル、親会社など)
  2. 受託開発をしながら収益をあげて、自社製品・サービスにリソースをつぎ込む

1は瞬発力があります。というか、ひたすらやらないと次のステージに行きません。 ダメならパトロンがカネやリソースをつぎ込んでくれなかったら解散です。 俗にいう子会社とかベンチャーはこれだと思います。

2はゆっくりです。受託開発をしながらの余剰リソースをつぎ込む形なので、当然です。しかも、かなり割のいい受託開発というか優秀なスタッフでないといけません。いっぱいいっぱいの業務だと経費と給料を支払ったら終わってしまいます。デスマーチやっているんじゃ時間をとられて無理です。会社の20日の営業日のうち、12日ぐらいを受託開発して、8日を開発にまわすような感じじゃないとだめだと思います。前に進みません。

えっと、私は会社を受託開発からはじめました。3年目に受託開発からの脱却を考えて、4年目に自社サービスに着手しはじめました。

現在どうかというと、自社サービスを含むストック収入が売上の大体半分ぐらいです。受託開発は相変わらずやっています。ただ、発注元は同じ所なので、断ることもしません。安定した受託開発みたいな側面もあります。新規の顧客からの依頼はほとんど断っています。

まだ大きなビジネスには達してはいないのですが、まだまだ粘ります。 福島で働きたい若いエンジニアがいたら声をかけてください。

  • 経営は安定重視です。地方なので、地元に転職先はないと考えています。
  • 給料は地元の他社よりはあると思います。公務員よりは少ないです。ただし、爆発的な利益がでたらみんなに賞与で支払います。
  • 今までで辞めていったスタッフは5人しかいません。まだ社会保険の社員番号が11とかです。ほとんど辞める人はいません。
  • 解雇した社員はいません。(パートはいます。)

もっと詳しく知りたければ、お問い合わせください。@xibbar まで。

ワルシャワ蜂起のドキュメンタリーを見た

第二次世界大戦中、ナチスに占領されたポーランドワルシャワで、ナチスドイツに対して 一斉に蜂起したワルシャワ蜂起のドキュメンタリーをみました。

ナチスドイツをワルシャワから追い出すために一斉蜂起したのですが、 援軍だったはずのスターリンソ連ワルシャワ国民軍をナチスに殲滅させるために わざと援軍を送らず、殲滅してからワルシャワを占領しました。 その後抑留されました。

ソ連というのは日本でも満州北方領土から日本人を抑留して、シベリアで強制労働しましたね。スターリンはそういう指導者でした。

さて、トラフチカさんという元女性兵士がドキュメンタリーの中心でした。 未だに上司に命ぜられた最後の任務、部隊14名を埋葬するために活動していました。 「人間というのは、生きた証を残すことが最も重要なことなの。」と言っていました。 最近思います。私も生きた証を残さなければならないと。

さて、戦争というのは深いですね。 日本にはかつて国を守るために命がけで戦った軍人を 悪魔のように扱う人がいて困ります。 うちの祖父母も戦争を経験しているのですが、 がんばって聞かないと教えてくれないのはそういうことでしょうか。 そろそろいろいろ聞いておかないと戦争の記憶を 辿れなくなってしまいそうなので、急がないとと思ってたら、 1月に祖父はあっさり亡くなってしまいました。 とても悔やみます。祖母にも聞いておかないと。

時計を買い替えた

日記

f:id:xibbar:20150323202040j:plain

私は高校3年生の時にばーちゃんに買ってもらったダイバーズウォッチを20年愛用していたのですが、ついに壊れました。 ふと見ると秒針がとれてしまい、曲がってしまっていました。

時計屋に持ち込んだ所、リューズが固着してしまっていて、直すように努力したけど、 カレンダーが使えなくなってしまいました。20年も使ったので仕方ない。 そこで何の時計にするか迷ったのですが、私はセイコー好きで、 それ以外着ける気がしませんでした。

周りの経営者を見ると、ロレックスとかつけているのですが、全然着ける気がしません。 そうしたところ、私の友人がそれだったらグランドセイコーでしょ!と強く言います。 高級時計とか全然興味がない私でしたが、これだったらいいやと思い ついに高級時計を買ってしまったのでした。

今はとても気に入っています。 長く使うので元はとれるでしょう。