Alibaba Cloud [ナレッジドキュメント]
SoftEther VPN(冗長構成)構築手順 Version 1.0 (2017/11/2)目次
1. はじめに 2. SoftEther VPNとは 3. 構成図 4. 導入手順 4-1. 作業の流れ 4-2. インストールモジュールの準備 4-3. VPCの準備 4-4. ECS購入 4-5. SoftEther VPN Server構築(作業対象:vpn001、vpn002、vpn003、vpn004) 4-6. VPN Server Manager構築(作業対象:任意のクライアント端末) 4-7. VPN環境構築 4-8. ルーティング設定(vpn001、vpn002) 4-9. 北京リージョンWeb Server構築(作業対象:vpn006) 5. 障害時の復旧 5-1.障害時の構成 5-2. 障害時の復旧作業 6. 動作確認 6-1.非VPN Sever間でのプライベートIPを使った疎通確認(対象:vpn005、vpn006) 6-2. 拠点間でVPN接続でのWebサーバーのヘッダ情報の取得(対象:vpn005、vpn006) 6-3. 実効スループット測定(対象:vpn001、vpn002) 6-4. 障害時のVPNサービスの引き継ぎ ご利用上の注意事項 改版履歴Alibaba Cloud [ナレッジドキュメント]
SoftEther VPN(冗長構成)構築手順 Version 1.0 (2017/11/2)1. はじめに
オープンソース・ソフトウェアのSoftEther VPNを使用してネットワークの異なる2つの拠点間 をVPN接続する方法について説明します。このドキュメントでは東京リージョンの非VPNサー バーから北京リージョンのWebサーバーへ接続できることを最終目標としています。SoftEther VPN Serverで構築したVPNサーバーへ接続するために、VPN接続する非VPNサーバー側でソフト ウェアをインストールする必要がありません。 また、各リージョンでVPNサーバーを稼働系/待機系で冗長化し、稼働系サーバーに障害が発生 しても待機系サーバーにVPNサービスが引き継がれることを確認しています。この場合、 ACT/STANDBY構成になります。2. SoftEther VPNとは
SoftEther VPN は、個人向け・家庭向けネットワーク、中小規模のビジネス用のネットワー ク、および大企業やインターネットサービスプロバイダなどが必要とする広帯域および高い負荷 が発生する高度なネットワークなどの、すべての範囲をカバーすることができる、安定性が高く 拡張性および柔軟性に富んだ、次世代の VPN ソフトウェアです。Alibaba Cloud [ナレッジドキュメント]
SoftEther VPN(冗長構成)構築手順 Version 1.0 (2017/11/2)3. 構成図
<構成概要> 1) ネットワーク環境 東京リージョン、北京リージョンで別ネットワーク(別VPC)を構成。 2) VPN Server(リージョン毎) 各リージョンに、SoftEther VPN Serverを導入したECSを2台(稼働系/待機系)配置。 ・仮想HUB プライベートネットワーク接続、リージョン間を接続する仮想HUBを配置。 ・仮想ネットワーク、物理ネットワーク接続 SoftEtherでの仮想ネットワークと、各リージョンのプライベートネットワークを、 tapを経由して「ローカルブリッジ接続」。 ・VPN Server間(リージョン間)接続 仮想HUB間で、カスケード接続を作成。 ・定期的に稼働系/待機系のECS間でコンフィグレーションファイル (vpn_server.config)を 複製 ・稼働系ECSにEIP(グローバルIP)をバインド 3) WEBアクセスクライアント(非VPNサーバー1) VPN接続動作確認用クライアント。 4) WEBサーバー(非VPNサーバー2) VPN接続動作確認用WEBサーバー(apache)。 5) リージョン間ルーティング VRouter、VPN Serverへルーティング設定(IP転送設定含む)。Alibaba Cloud [ナレッジドキュメント]
SoftEther VPN(冗長構成)構築手順 Version 1.0 (2017/11/2)4. 導入手順
4-1. 作業の流れ
リージョン間VPN環境の流れを簡単に説明します。尚、各リージョンで同様のVPN Server環境 を構築するため、手順の説明については、東京リージョンでの説明を手順には記載し、北京リー ジョン時に指定するパラメーターを記載します。 ①インストールモジュールの準備今回、VPN ServerとVPN Serverを管理するVPN Server Managerを使用するため、SoftEther社 のサイトよりモジュールをダウンロードします。 ②VPCの準備 ③ECSの購入 ④VPN Serverインストール、初期設定 ⑤VPN Server Managerインストール、初期設定 ⑥VPN環境構築 仮想HUB、カスケード接続、ローカルブリッジを作成します。 ⑦ルーティング設定 VRouter、tapへのルーティング追加と、VPN Serverを導入したECSに対し、IP転送の設定をし ます(IP転送設定は、④の中で説明)。 ⑧WEBサーバーの準備 VPN環境構築後の動作確認として、VPN経由でWEBアクセスができるかを確認するため、WEB サーバーを構築します。 上記の流れに沿って、説明して行きます。
Alibaba Cloud [ナレッジドキュメント]
SoftEther VPN(冗長構成)構築手順 Version 1.0 (2017/11/2)4-2. インストールモジュールの準備
ソフトウェアを以下のサイトからダウンロードします。 http://www.softether-download.com/ja.aspx?product=softether 4-2-1. VPN Server 今回ダウンロードしたソフトウェアは以下になります。 ダウンロードするソフトウェアを選択:SoftEther VPN (Freeware) コンポーネントを選択:SoftEther VPN Server プラットフォームを選択:Linux CPU を選択:Intel x64 / AMD (64bit)
SoftEther VPN Server (Ver 4.22, Build 9634, beta) softether-vpnserver-v4.22-9634-beta-2016.11.27-linux-x64-64bit.tar.gz (5.98 MB) リリース日: 2016-11-27 <最新ビルド> 4-2-2. VPN Server Manager 今回ダウンロードしたソフトウェアは以下になります。 ダウンロードするソフトウェアを選択:SoftEther VPN (Freeware)
コンポーネントを選択:SoftEther VPN Server Manager for Mac OS X
プラットフォームを選択:Mac OS X
CPU を選択: Intel(x86 and x64)
SoftEther VPN Server Manager for Mac OS X (Ver 4.21, Build 9613, beta) softether-vpnserver_manager-v4.21-9613-beta-2016.04.24-macos-x86-32bit.pkg (271.26 MB) リリース日: 2016-04-24 <最新ビルド>
4-3. VPCの準備
下記内容でVPC環境を準備します。VPCの設定方法の詳細についてはこちらをご参照くださ い。 <東京リージョン> VPC名前:VPN-TOKYO CIDR:172.16.0.0/12 VSwitch名前:TOKYO CIDR:172.16.0.0/24 <北京リージョン> VPC名前:VPN-PEKIN CIDR:10.0.0.0/8 VSwitch名前:PEKIN CIDR:10.0.0.0/24Alibaba Cloud [ナレッジドキュメント]
SoftEther VPN(冗長構成)構築手順 Version 1.0 (2017/11/2)4-4. ECS購入
下記内容でECSサーバを購入します。ECSサーバの購入方法の詳細についてはこちらをご参照 ください。 <VPN Server> ・インスタンス名: vpn001、vpn003 リージョン:アジア東北1(東京) VPCの選択:VPC-TOKYO VSwitchの選択:TOKYO ・インスタンス名: vpn002、vpn004 リージョン:中国北部 2(北京) VPCの選択:VPC-PEKIN VSwitchの選択:PEKIN <非VPNサーバー> ・インスタンス名: vpn005 リージョン:アジア東北1(東京) VPCの選択:VPC-TOKYO VSwitchの選択:TOKYO ・インスタンス名: vpn006 リージョン:中国北部 2(北京) VPCの選択:VPC-PEKIN VSwitchの選択:PEKIN ※リソースは以下の通り、6台共に共通。 CPU:1-core メモリ:2GB OS:CentOS 7.3 64bit システムディスク:40GB Ultra クラウドディスクAlibaba Cloud [ナレッジドキュメント]
SoftEther VPN(冗長構成)構築手順 Version 1.0 (2017/11/2)4-5. SoftEther VPN Server構築(作業対象:vpn001、vpn002、vpn003、vpn004)
4-5-1. インストールモジュールの配置 「4-2-1. VPN Server」でダウンロードしたSoftEther VPN Serverソフトウェアを任意のディレ クトリに配置し展開します。 # cd /work # tar xvzf softether-vpnserver-v4.22-9634-beta-2016.11.27-linux-x64-64bit.tar.gz 「vpnserver」という新しいディレクトリが作業フォルダに作成され、インストールに必要な各種 ファイルが展開されます。 4-5-2. 実行ファイルの生成 実行可能なファイルを生成するためにvpnserverディレクトリに移動し、makeを実行し出力す る質問に応答します。 # cd vpnserver # make 以下、応答内容です。Do you want to read the License Agreement for this software ?
1. Yes 2. No
Please choose one of above number: 1を選択
Did you read and understand the License Agreement ?
(If you couldn't read above text, Please read 'ReadMeFirst_License.txt'
file with any text editor.)
1. Yes 2. No
Please choose one of above number: 1を選択
Alibaba Cloud [ナレッジドキュメント]
SoftEther VPN(冗長構成)構築手順 Version 1.0 (2017/11/2)
Did you agree the License Agreement ? 1. Agree
2. Do Not Agree
Please choose one of above number: 1を選択 vpnserver プログラムが生成されます。 4-5-3. VPN Server関連ファイルの移動 vpnserver プログラムの生成が完了したら、パッケージを解凍した際に作成された vpnserver ディレクトリを、/usr/local/ ディレクトリにそのまま移動します。 # cd .. # mv vpnserver /usr/local # ls -l /usr/local/vpnserver/ total 10496
-rwxrwxrwx 1 root root 2784 Nov 27 2016 Authors.txt drwx--- 2 root root 4096 Sep 11 12:26 chain_certs drwxrwxrwx 2 root root 4096 Sep 11 12:26 code
-rwxrwxrwx 1 root root 1296225 Nov 27 2016 hamcore.se2 -rw--- 1 root root 867 Sep 11 12:26 lang.config
drwxrwxrwx 2 root root 4096 Sep 11 12:26 lib -rwxrwxrwx 1 root root 2900 Nov 27 2016 Makefile
-rwxrwxrwx 1 root root 30801 Nov 27 2016 ReadMeFirst_Important_Notices_cn.txt -rwxrwxrwx 1 root root 36296 Nov 27 2016 ReadMeFirst_Important_Notices_en.txt -rwxrwxrwx 1 root root 50695 Nov 27 2016 ReadMeFirst_Important_Notices_ja.txt -rwxrwxrwx 1 root root 58932 Nov 27 2016 ReadMeFirst_License.txt
-rwxr-xr-x 1 root root 4616248 Sep 11 12:26 vpncmd -rwxr-xr-x 1 root root 4616352 Sep 11 12:26 vpnserver
Alibaba Cloud [ナレッジドキュメント]
SoftEther VPN(冗長構成)構築手順 Version 1.0 (2017/11/2) 4-5-4. パーミッション変更 /usr/local/vpnserver/配下のファイルに対して、適切にパーミッションを設定します。 # cd /usr/local/vpnserver/ # chmod 600 * # chmod 700 vpncmd # chmod 700 vpnserver # ls -l total 10496-rw--- 1 root root 2784 Nov 27 2016 Authors.txt drw--- 2 root root 4096 Sep 11 12:26 chain_certs drw--- 2 root root 4096 Sep 11 12:26 code
-rw--- 1 root root 1296225 Nov 27 2016 hamcore.se2 -rw--- 1 root root 867 Sep 11 12:26 lang.config drw--- 2 root root 4096 Sep 11 12:26 lib
-rw--- 1 root root 2900 Nov 27 2016 Makefile
-rw--- 1 root root 30801 Nov 27 2016 ReadMeFirst_Important_Notices_cn.txt -rw--- 1 root root 36296 Nov 27 2016 ReadMeFirst_Important_Notices_en.txt -rw--- 1 root root 50695 Nov 27 2016 ReadMeFirst_Important_Notices_ja.txt -rw--- 1 root root 58932 Nov 27 2016 ReadMeFirst_License.txt
-rwx--- 1 root root 4616248 Sep 11 12:26 vpncmd -rwx--- 1 root root 4616352 Sep 11 12:26 vpnserver 4-5-5. VPN Server動作確認
vpncmdのcheck コマンドで動作を確認します。 # ./vpncmd
1. Management of VPN Server or VPN Bridge 2. Management of VPN Client
3. Use of VPN Tools (certificate creation and Network Traffic Speed Test Tool) Select 1, 2 or 3:
3を選択
VPN Tools>check
All checks passed. It is most likely that SoftEther VPN Server / Bridge can operate normally on this system.
The command completed successfully.
Alibaba Cloud [ナレッジドキュメント]
SoftEther VPN(冗長構成)構築手順 Version 1.0 (2017/11/2) 4-5-6. スタートアップスクリプトの設定 スタートアップスクリプトを /etc/systemd/system/vpnserver.serviceという名前で作成します。 # vi /etc/systemd/system/vpnserver.service [Unit] Description=SoftEther VPN Server After=network.target [Service] Type=forkingExecStartPre=/sbin/ip link set dev eth0 promisc on ExecStart=/usr/local/vpnserver/vpnserver start ExecStop=/usr/local/vpnserver/vpnserver stop [Install] WantedBy = multi-user.target vpn001とvpn002でVPNサービスを起動します。この時点では、vpn003とvpn004ではVPNサービ スを起動しません。
# systemctl start vpnserver
Alibaba Cloud [ナレッジドキュメント]
SoftEther VPN(冗長構成)構築手順 Version 1.0 (2017/11/2) 4-5-7. IP転送設定 VPN Serverを導入したECSは、相手側リージョンのVPC向けの通信に対し、ルーターとしての 機能を持たせるため、IP転送機能を設定します。デフォルトでは、IP転送が無効になっているの で有効にします。 # echo 1 >/proc/sys/net/ipv4/ip_forward # vi /etc/sysctl.conf net.ipv4.ip_forward = 1 を追加4-6. VPN Server Manager構築(作業対象:任意のクライアント端末)
4-6-1. VPN Server ManagerインストールVPN Serverの設定や動作状況が確認できる、VPN Server Managerをインストールします。本 ドキュメントでは、iOSのクライアント端末に導入しています。
Alibaba Cloud [ナレッジドキュメント]
SoftEther VPN(冗長構成)構築手順 Version 1.0 (2017/11/2)4-7. VPN環境構築
この作業はVPN Server Managerから行います。 4-7-1. VPN Server接続設定(作業対象:vpn001、vpn002) VPNサーバー管理マネージャを起動して、各リージョンに配置したVPN Serverとの接続設定を 行います。 「New Setting」を選択します。Alibaba Cloud [ナレッジドキュメント]
SoftEther VPN(冗長構成)構築手順 Version 1.0 (2017/11/2)
「Setting Name」、「Host Name」を入力して、「OK」を選択します。
※Setting Name:東京⇒Tokyo-VPN-Server、北京⇒Pekin-VPN-Server(名称は任意) ※Host Name:VPN Serverを導入したECSのグローバルIPを指定。
Alibaba Cloud [ナレッジドキュメント]
SoftEther VPN(冗長構成)構築手順 Version 1.0 (2017/11/2)
4-7-2. 仮想HUBの作成(vpn001、vpn002)
VPN Serverを選択して、「Connect」を選択します。
Alibaba Cloud [ナレッジドキュメント]
SoftEther VPN(冗長構成)構築手順 Version 1.0 (2017/11/2)
パスワードを入力して、「OK」を選択します。
※初回接続時は、ポップアップが表示されるため、何も入力せずに「OK」を選択すると、管理者 パスワードの設定ができます。
Alibaba Cloud [ナレッジドキュメント]
SoftEther VPN(冗長構成)構築手順 Version 1.0 (2017/11/2)
Easy Setup画面が表示されるので、何も設定しないで、「Close」を選択します。
「Create a VIrtual Hub」を選択します。
Alibaba Cloud [ナレッジドキュメント]
SoftEther VPN(冗長構成)構築手順 Version 1.0 (2017/11/2)
「Virtual Hub Name」、「Password」を入力して、「OK」を選択します。
SoftEhter VPN Server Manager画面が表示されるので「OK」を選択します。
Alibaba Cloud [ナレッジドキュメント]
SoftEther VPN(冗長構成)構築手順 Version 1.0 (2017/11/2)
4-7-3. ローカルブリッジ(tapデバイス)の作成(vpn001、vpn002)
「Local Bridge Setting」を選択します。
「Virtual Hub」「Bridge with New Tap Device」を選択して、「New Tap Device Name」を入力 して、「Create Local Bridge」を選択します。
Alibaba Cloud [ナレッジドキュメント]
SoftEther VPN(冗長構成)構築手順 Version 1.0 (2017/11/2)
SoftEther VPN Server Manager画面が表示されるので「はい」を選択します。
Using Local Bridge Function on VM画面が表示されるので「OK」を選択します。
Alibaba Cloud [ナレッジドキュメント]
SoftEther VPN(冗長構成)構築手順 Version 1.0 (2017/11/2)
SoftEther VPN Server Manager画面が表示されるので「OK」を選択します。
Local Bridge Settings画面に戻るので「Status」がOperatingになっていることを確認して「Exit」 を選択します。
Alibaba Cloud [ナレッジドキュメント]
SoftEther VPN(冗長構成)構築手順 Version 1.0 (2017/11/2)
4-7-4. カスケード接続ユーザーの作成(vpn002)
今回は、東京リージョン(vpn001)から北京リージョン(vpn002)へカスケード接続を行うため、 北京側にカスケード接続を受付ける際に必要なユーザーを作成します。
「Manage Virtual Hub」を選択します。
「Manage Users」を選択します。
Alibaba Cloud [ナレッジドキュメント]
SoftEther VPN(冗長構成)構築手順 Version 1.0 (2017/11/2)
「New」を選択します。
「User Name」、「Password」を入力して「OK」を選択します。
Alibaba Cloud [ナレッジドキュメント]
SoftEther VPN(冗長構成)構築手順 Version 1.0 (2017/11/2)
SoftEhter VPN Server Manager画面が表示されるので「OK」を選択します。
Userが作成されたことを確認して「Exit」を選択します。
※ここで作成したユーザー情報は、東京側からカスケード接続する際に使用します。
Alibaba Cloud [ナレッジドキュメント]
SoftEther VPN(冗長構成)構築手順 Version 1.0 (2017/11/2)
SoftEther VPN Server Manager画面まで戻ります。
Alibaba Cloud [ナレッジドキュメント]
SoftEther VPN(冗長構成)構築手順 Version 1.0 (2017/11/2)
4-7-5. カスケード接続の作成(vpn001)
今回は、東京リージョン(vpn001)から北京リージョン(vpn002)へのカスケード接続を作成しま す。
「Manage Virtual Hub」を選択します。
「Manage Cascade Connections」を選択します。
Alibaba Cloud [ナレッジドキュメント]
SoftEther VPN(冗長構成)構築手順 Version 1.0 (2017/11/2)
「New」を選択します。
「Setting Name」、「Host Name」、「Virtual Hub Name」、「User Nmae」、「Password」を 入力して「OK」を選択します。
Alibaba Cloud [ナレッジドキュメント]
SoftEther VPN(冗長構成)構築手順 Version 1.0 (2017/11/2)
作成したCascade Connectionを選択し「Online」を選択します。
Statusが「Online(Established)」に変わったことを確認し、「Exit」を選択します。
Alibaba Cloud [ナレッジドキュメント]
SoftEther VPN(冗長構成)構築手順 Version 1.0 (2017/11/2)
SoftEther VPN Server Manager画面まで戻ります。
Alibaba Cloud [ナレッジドキュメント]
SoftEther VPN(冗長構成)構築手順 Version 1.0 (2017/11/2)4-8. ルーティング設定
この作業はECSにログインして行います。4-7-3で作成したtapに対してIPアドレスを付与し、 ルーティングの設定を行います。また、VRouterへのルーティングも追加します。 4-8-1. tapへのIPアドレス設定(vpn001、vpn002) tapデバイスにIPアドレスを設定します。# ip a add 192.168.40.1/24 dev tap_vpn0 ※ 北京:192.168.40.2/24
設定内容を確認します。 # ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN qlen 1 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 00:16:3e:00:17:ef brd ff:ff:ff:ff:ff:ff
inet 172.16.0.154/24 brd 172.16.0.255 scope global eth0 valid_lft forever preferred_lft forever
4: tap_vpn0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
link/ether 00:ac:ca:f1:8a:99 brd ff:ff:ff:ff:ff:ff inet 192.168.40.1/24 scope global tap_vpn0 valid_lft forever preferred_lft forever ※ 北京:192.168.40.2/24
Alibaba Cloud [ナレッジドキュメント]
SoftEther VPN(冗長構成)構築手順 Version 1.0 (2017/11/2)
4-8-2. ルーティング追加(vpn001、vpn002)
相手側リージョンへのルーティングを追加します。 # ip r add 10.0.0.0/24 via 192.168.40.2 dev tap_vpn0 ※ 北京:172.16.0.0/24 via 192.168.40.1
設定内容を確認します。 # ip r
default via 172.16.0.253 dev eth0
10.0.0.0/24 via 192.168.40.2 dev tap_vpn0 169.254.0.0/16 dev eth0 scope link metric 1002
172.16.0.0/24 dev eth0 proto kernel scope link src 172.16.0.154
192.168.40.0/24 dev tap_vpn0 proto kernel scope link src 192.168.40.2 ※北京:172.16.0.0/24 via 192.168.40.1 dev tap_vpn0
4-8-3. OS再起動時の設定(vpn001、vpn002、vpn003、vpn004) OSを再起動後もtapデバイスのIPアドレスとルーティングテーブルが反映されるように /etc/systemd/system/vpnserver.serviceファイルを変更します。 # vi /etc/systemd/system/vpnserver.service [Unit] Description=SoftEther VPN Server After=network.target [Service] Type=forking
ExecStartPre=/sbin/ip link set dev eth0 promisc on ExecStart=/usr/local/vpnserver/vpnserver start
ExecStartPost=/usr/local/vpnserver/add_tap.sh ← この1行を追加 ExecStop=/usr/local/vpnserver/vpnserver stop
[Install]
WantedBy = multi-user.target
Alibaba Cloud [ナレッジドキュメント]
SoftEther VPN(冗長構成)構築手順 Version 1.0 (2017/11/2) /usr/local/vpnserver/add_tap.shスクリプトを作成します。 # cd /usr/local/vpnserver/ # vi add_tap.sh #!/bin/sh sleep 3/sbin/ip a add 192.168.40.1/24 dev tap_vpn0
/sbin/ip r add 10.0.0.0/24 via 192.168.40.2 dev tap_vpn0 ※北京側:
/sbin/ip a add 192.168.40.2/24 dev tap_vpn0
/sbin/ip r add 172.16.0.0/24 via 192.168.40.1 dev tap_vpn0 パーミッションを変更します。 # chmod 700 add_tap.sh 4-8-4. VRouter設定(東京、北京) 非VPN Serverから相手側リージョンにアクセスさせるため、VRouterにルーティングを追加し ます。 該当のVRouterをコンソールで表示します。
Alibaba Cloud [ナレッジドキュメント]
SoftEther VPN(冗長構成)構築手順 Version 1.0 (2017/11/2)
ルートエントリーを追加します。
・ターゲットのCIDR:相手側リージョンのCIDR ・Next Hopタイプ:ECSインスタンス
・Next Hop:自リージョンのVPNサーバー(vpn001 or vpn002) 「OK」を選択します。
「OK」を選択します。
Alibaba Cloud [ナレッジドキュメント]
SoftEther VPN(冗長構成)構築手順 Version 1.0 (2017/11/2)
ルートエントリーにルーティングが追加された事を確認します。
Alibaba Cloud [ナレッジドキュメント]
SoftEther VPN(冗長構成)構築手順 Version 1.0 (2017/11/2)4-9. 北京リージョンWeb Server構築(作業対象:vpn006)
この作業はECSにログインして行います。 4-9-1. Apacheインストール Apacheをインストールします。 # yum -y install httpd正常にインストールされたか、バージョン確認をします。 # httpd -v
Server version: Apache/2.4.6 (CentOS) Server built: Oct 11 2017 17:16:47
動作確認のため、index.htmlを作成します。 # vi /var/www/html/index.html <html> <head> <title>HelloProxy</title> </head> <body> Hello!proxy! </body> </html> Apacheを起動します。 # systemctl start httpd OS起動時に自動で起動するように設定をします。 # systemctl enable httpd
Alibaba Cloud [ナレッジドキュメント]
SoftEther VPN(冗長構成)構築手順 Version 1.0 (2017/11/2)5. 障害時の復旧
5-1. 障害時の構成
障害時の構成は、以下の通りです。 1) 通常時Alibaba Cloud [ナレッジドキュメント]
SoftEther VPN(冗長構成)構築手順 Version 1.0 (2017/11/2)
2) 東京リージョン稼働系障害時
3) 北京リージョン稼働系障害時
Alibaba Cloud [ナレッジドキュメント]
SoftEther VPN(冗長構成)構築手順 Version 1.0 (2017/11/2)
5-2. 障害時の復旧作業
障害時の復旧作業は、以下の通りです。
なお、VRouterの設定とEIPのバインド/バインド解除は、Alibaba Cloud CLIで行います。詳細に ついてはこちらをご参照ください。 5-2-1. コンフィグレーションファイル (vpn_server.config)の複製 定期的に稼働系/待機系のECS間でコンフィグレーションファイル (vpn_server.config)を複製し ます 5-2-2. VRouterの設定 障害が発生したECSをVRouterの設定から削除します。
# aliyuncli ecs DeleteRouteEntry --RouteTableId ルートテーブルID --DestinationCidrBlock ター ゲットのCIDR --NextHopId ECSインスタンスID
待機系ECSをVRouterの設定に追加します。
# aliyuncli ecs CreateRouteEntry --RouteTableId ルートテーブルID --DestinationCidrBlock ター ゲットのCIDR --NextHopId ECSインスタンスID
5-2-3. EIPのバインド/バインド解除
障害が発生したECSからEIPのバインド解除します。
# aliyuncli ecs UnassociateEipAddress --AllocationId EIPインスタンスID --InstanceId ECSイン スタンスID
待機系ECSにEIPをバインドします。
# aliyuncli ecs AssociateEipAddress --AllocationId EIPインスタンスID --InstanceId ECSインス タンスID
5-2-4. SoftEther VPN プロセスの起動
待機系ECSでSoftEther VPN プロセスを起動します。 # systemctl start vpnserver
Alibaba Cloud [ナレッジドキュメント]
SoftEther VPN(冗長構成)構築手順 Version 1.0 (2017/11/2)6. 動作確認
6-1. 非VPN Sever間でのプライベートIPを使った疎通確認(対象:vpn005、vpn006)
6-1-1. 北京リージョン(vpn006)⇒東京リージョン(vpn005)ping疎通確認 北京リージョンの非VPN Serverから東京リージョンの非VPN Serverへpingコマンドでプライ ベートIPを指定して、疎通を確認をします。 # ping -c 5 172.16.0.156PING 172.16.0.156 (172.16.0.156) 56(84) bytes of data. 64 bytes from 172.16.0.156: icmp_seq=1 ttl=62 time=59.9 ms 64 bytes from 172.16.0.156: icmp_seq=2 ttl=62 time=60.0 ms 64 bytes from 172.16.0.156: icmp_seq=3 ttl=62 time=61.3 ms 64 bytes from 172.16.0.156: icmp_seq=4 ttl=62 time=60.2 ms 64 bytes from 172.16.0.156: icmp_seq=5 ttl=62 time=60.0 ms --- 172.16.0.156 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4004ms rtt min/avg/max/mdev = 59.979/60.324/61.391/0.560 ms 6-1-2. 北京リージョン(vpn006)⇒東京リージョン(vpn005)traceroute確認 北京リージョンの非VPN Serverから東京リージョンの非VPN Serverへtracerouteコマンドでプ ライベートIPを指定して、通信経路を確認をします。 # traceroute 172.16.0.156
traceroute to 172.16.0.156 (172.16.0.156), 30 hops max, 60 byte packets 1 10.0.0.251 (10.0.0.251) 0.155 ms 0.169 ms 0.155 ms 2 192.168.40.2 (192.168.40.2) 60.023 ms 60.020 ms 60.015 ms 3 172.16.0.156 (172.16.0.156) 60.174 ms 60.168 ms 60.160 ms
Alibaba Cloud [ナレッジドキュメント]
SoftEther VPN(冗長構成)構築手順 Version 1.0 (2017/11/2) 6-1-3. 東京リージョン(vpn005)⇒北京リージョン(vpn006)ping疎通確認 東京リージョンの非VPN Serverから北京リージョンの非VPN Serverへpingコマンドでプライ ベートIPを指定して、疎通を確認をします。 # ping -c 5 10.0.0.252PING 10.0.0.252 (10.0.0.252) 56(84) bytes of data.
64 bytes from 10.0.0.252: icmp_seq=1 ttl=62 time=124 ms 64 bytes from 10.0.0.252: icmp_seq=2 ttl=62 time=61.1 ms 64 bytes from 10.0.0.252: icmp_seq=3 ttl=62 time=60.4 ms 64 bytes from 10.0.0.252: icmp_seq=4 ttl=62 time=59.6 ms 64 bytes from 10.0.0.252: icmp_seq=5 ttl=62 time=59.6 ms --- 10.0.0.252 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4006ms rtt min/avg/max/mdev = 59.622/73.118/124.767/25.832 ms 6-1-4. 東京リージョン(vpn005)⇒北京リージョン(vpn006)traceroute確認 東京リージョンの非VPN Serverから北京リージョンの非VPN Serverへtracerouteコマンドでプ ライベートIPを指定して、通信経路を確認をします。 # traceroute 10.0.0.252
traceroute to 10.0.0.252 (10.0.0.252), 30 hops max, 60 byte packets 1 172.16.0.155 (172.16.0.155) 0.198 ms 0.195 ms 0.187 ms 2 192.168.40.1 (192.168.40.1) 61.269 ms 61.263 ms 61.255 ms 3 10.0.0.252 (10.0.0.252) 61.286 ms 61.281 ms 61.277 ms
6-2. 拠点間でVPN接続でのWebサーバーのヘッダ情報の取得(対象:vpn005、vpn006)
東京リージョンの非VPN Serverから北京リージョンのWeb Serverへcurlコマンドでヘッダ情報 が取得できること確認をします。 # curl -I 10.0.0.252 HTTP/1.1 200 OKDate: Fri, 27 Oct 2017 06:49:54 GMT Server: Apache/2.4.6 (CentOS)
Last-Modified: Tue, 24 Oct 2017 04:03:29 GMT ETag: "58-55c43058c8a3a"
Accept-Ranges: bytes Content-Length: 88
Content-Type: text/html; charset=UTF-8
Alibaba Cloud [ナレッジドキュメント]
SoftEther VPN(冗長構成)構築手順 Version 1.0 (2017/11/2)6-3. 実効スループット測定(対象:vpn001、vpn002)
SoftEther VPN コマンドライン管理ユーティリティ (vpncmd)を使って、北京−東京リージョン間のVPN Serverの通信速度を測定します。詳細については、こちらをご参照ください。 北京リージョンのSoftEther VPN ServerでTrafficServerコマンドを実行します。 # cd /usr/local/vpnserver # ./vpncmd1. Management of VPN Server or VPN Bridge 2. Management of VPN Client
3. Use of VPN Tools (certificate creation and Network Traffic Speed Test Tool) Select 1, 2 or 3:
3を選択
VPN Tools>TrafficServer
TrafficServer command - Run Network Traffic Speed Test Tool in Server Mode Starting the server program...
The server program has been started. Now the IPv4 TCP port 9821 is set to Listen status and listening for connection from the client.
The IPv6 TCP Port 9821 is listening to accept clients. ---
The Network Traffic Speed Test Tool in Server Mode started. Press the Enter key to stop the server program.
---
Alibaba Cloud [ナレッジドキュメント]
SoftEther VPN(冗長構成)構築手順 Version 1.0 (2017/11/2)
東京リージョンのSoftEther VPN ServerでTrafficClientコマンドを実行します。 # cd /usr/local/vpnserver
# ./vpncmd
1. Management of VPN Server or VPN Bridge 2. Management of VPN Client
3. Use of VPN Tools (certificate creation and Network Traffic Speed Test Tool) Select 1, 2 or 3:
3を選択
VVPN Tools>TrafficClient
TrafficClient command - Run Network Traffic Speed Test Tool in Client Mode Measurement Server Name and Port Number (9821 if omitted): 10.0.0.250 ↑
北京リージョンのSoftEther VPN ServerのプライベートIPを入力 数分後、東京リージョンのSoftEther VPN ServerでTrafficClientコマンドの結果が出力されます。
Network Traffic Speed Test Tool
Item Name | Normal View|Simplified View ---+---+--- Time Span for Measurement | 00:00:15.020| Data Correction for Ethernet Frames | Yes|
Communication Data Volume in Download Direction |105,990,627 Bytes| 105.99 MBytes Communication Data Volume in Upload Direction |151,496,788 Bytes| 151.50 MBytes Total Communication Data Volume |257,487,415 Bytes| 257.49 MBytes Relay Device Input Output Total Throughput Computation| No|
Average Throughput in Download Direction | 56,453,063 bps| 56.45 Mbps Average Throughput in Upload Direction | 80,690,699 bps| 80.69 Mbps Total Average Throughput | 137,143,762 bps| 137.14 Mbps The command completed successfully.
VPN Tools>
北京リージョンと東京リージョンのSoftEther VPN Serverでvpncmdを終了します。
