Category: Linux

QEMU v2.7.91 (v2.8.0-rc1)にネットのバグ

ある日突然,仮想マシンがへそを曲げました.ホストのdnsmasqからゲストはIPアドレスを取得できず,IPv4LL (Local Link address)を自分勝手に設定するものですから,ホストとも当然外界ともつながりません.

ゲストのネットワーク設定を固定IPアドレスにすると,IPアドレスは設定されますが,ホストとつながらない状況は変わりません.つまり,ネットワークの機能そのものに問題があります.

KVM関係のパッケージのupdateをしましたが,事態は改善しません.

結論的には,表記にあるように,QEMUをv2.7.91 (v2.8.0-rc1)にするとNGと判明しました.gitのbranchを当然ながらのmasterにしておくと,はまります^^;

もちろん,今まで動いていたのに何にもしないのにある日突然動かなくなったわけではなく,いろいろアップデートの作業をしていて,気がついたら仮想マシンのネットが機能しなくなっていたと言うことです^^;

そこで,QEMUをStableの2.6(v2.6.2)にして使用しようかと思いましたが,qemuだけstable-2.6にしても,あまりに古くてvirt-mangerと整合性が悪いようで,仮想マシンが動いてくれません^^;;

そこで,不安定版^^; だけどソースがリリースされている2.7.0にしてみました.動きました.ネットもつながります.

2.8.0が正式リリースになるまでは,2.7.0を使うことにします.

[追記] 2.7.92 (2.8.0-rc2)も改善なし(2016年11月30日(水))

表題のままです.2.7.92がリリースされましたが,ネットに関する不具合は直っていません.

たぶん,qemu起動時のオプションの仕様が違うのだと思います.

Let’s Encrypt導入状況

さて,Let’s EncryptによるSSLの運用は,まずまずです.一番手こずったというか,今も完全には機能していないのがLDAPです.

  • IPv4では,SSL接続がうまくいく(以下,特に注釈なければSSL接続です)
    • 家庭内LANからも外部からも接続できる
  • IPv6では,同じマシン::1からの接続は,SSL接続でうまくいく
    • iPhoneからは,家庭内LANのIPv6でも,外部からのIPv4からも接続できる
      • ただし,検索には20秒くらいかかる
    • iPadからは,同じ設定でも家庭内LANのIPv6でつながらない
    • PCからは,Thunderbirdのアドレス帳によりIPv4で接続した時のみ接続できる.
    • Macの”連絡先”は,家庭内LAN内のIPv6, 外部からのIPv4,いずれもつながらない
      • ただし,この”連絡先”も,SSLを外すとちゃんと機能する
      • 同じMacからldapbrowserを使うと,IPv4ではつながるがIPv6ではつながらない(SSL on)

という,状況です.アプリケーションの相性と,tcp-wrapperの特性とかあるようで,ちっとも解りません.もうちょっと条件を整理しないといけないですね.

関連記事

 

 

ただし,いずれの接続も第三者に対してはiptablesで制限かけてます.
Slackware64.

Let’s Encryptの証明書取得に成功

サブドメイン名が上限数に達しても,毎日前のデータがクリアされるからということで,暇があれば,certbotコマンドを使って,証明書の取得に挑んだところ,3日目ぐらいにして,なんとか当サイトののドメイン名 je1sgh.mydns.jp についてはLet’s Encryptの証明書が得られました.

この表のドメイン名は,どういうわけか,CAcertと相性が悪く,何度試してもCAcertの証明書は得られませんでした.

そこで,SSL接続のためにもう一つのドメイン名をキープしているのですが,こちらは,いくつかのWeb browserや,ウィルスソフトが,危険サイト扱いします^^; まさに,裏ドメイン名と呼ぶにふさわしいです.

逆に,そういう訳でこの裏ドメイン名には人が近寄りにくいので,自分専用のクラウドとして活用してきました.こちらはCAcertですんなり証明書を発行してくれるのです.

しかし,この裏ドメインのおおもとには,数万ものサブドメインがあるとのことで,毎日Let’s Encryptの証明書取得に挑んでも,いつ証明書がとれるか,見当もつきません.

表ドメイン名に一本化する時期が来たのかなと思います.もう少し考えて結論出します^^;

関連記事

 

ドメインを買うしかなさそう

Let’s Encryptですが,最初に試したサイトはあっさり成功しましたが,当サーバーについては,何度やってもエラーが出ます.

There were too many requests of a given type :: Error creating new cert :: Too many certificates already issued for: mydns.jp

となります.検索するとあちこちヒットしますが,ここに書いてある制限に引っかかっています.

年がら年中試していたら,確率的に,いつか作れる日が来るかも知れませんが,なんともはやですね.

一番確実なのは,自分のドメインを持つことです.さて,どうしようかな.

関連記事

 

 

Let’s Encrypt導入予定

先にLet’s Encryptを導入したサイト,特に大きな問題はないようです.AVASTは,Let’s Encryptを認めてくれないようで,警告が出ますが^^;

当サイトでは,これまで,CAcertによるSSLサーバーを動かしてきましたが,おおっぴらにしていなくて,自分専用cloud的サービスに使って来ました.

来週あたりにLet’s Encryptに切り替えて,しばらく様子を見て,最終的にはこのWordPressもSSLにしちまおうかと思います.自分向けのリンクを全部書き直さなければならないのは,ちょっと難儀ではありますが.

関連記事