TL;DR. "○○_openvpn_remote_access_l3.ovpn"を開いて、"auth SHA1"を"auth SHA256"に書き換えろ

 最近blogを書いてないので小ネタ。私の持ってるRaspberryPiはSoftEther Serverを入れてVPNサーバ化している。初期設定方法は以前書いた記事の下の方に、説明無しで書いてある。

SoftEther VPN プロジェクト - SoftEther VPN プロジェクト

science-as-a-candle-in-the-dark.hatenablog.com

が、スマホで使える専用クライアントソフトがないので、OpenVPNサーバを有効化して、OpenVPNクライアントソフトから繋いでる。OpenVPNサーバを有効にするには、まずSoftEtherサーバ管理マネージャを開き、下の矢印部分をクリックする。

そこで①にチェックを入れれば有効化される。一応、ポートはデフォルトから変更しておくと安心だろう（これは諸説あるが割愛）。OpenVPNの設定ファイルは自力で作るのが難しいので、②をクリックさせて自動で生成させることになる。

さて、そうすると"OpenVPN_Sample_Config～.zip"なるファイルが母艦PCにダウンロードされる。その中にある"○○_openvpn_remote_access_l3.ovpn"なるファイルが設定ファイルになる。

これをスマホにコピーして、適当なOpenVPNクライアントソフトをインストールし、この設定ファイルをインポートすれば良い。ここら辺も割愛する。問題なく設定が完了すれば繋がるはずだ。が、問題は、この設定ファイル、デフォルトでは暗号化アルゴリズムがAES-128-CBC、ハッシュ関数にSHA-1を使用する設定となる。ログを見てみるとはっきりするだろう。

暗号化アルゴリズムと暗号利用モードは基本的にデフォルトのAES-128-CBCで良いだろう。しかしいまどき危殆化したSHA-1を使う理由はない。さっくりと変更してしまうべきだ。（ちなみにSoftEtherサーバ管理マネージャの「暗号化と通信関係の設定」を弄ってもOpenVPNでの設定には影響しない）

先ほど自動生成した"○○_openvpn_remote_access_l3.ovpn"、中身はテキスト形式なので適当なテキストエディタで開く。ざっと眺めていけば繋ぐサーバのアドレスやポートが書いてあることがわかるだろう。ポイントはファイルの中盤付近にある暗号化・認証アルゴリズムの設定だ。下記の文章が見つかるはずである。

###############################################################################
# The encryption and authentication algorithm.
# 
# Default setting is good. Modify it as you prefer.
# When you specify an unsupported algorithm, the error will occur.
# 
# The supported algorithms are as follows:
#  cipher: [NULL-CIPHER] NULL AES-128-CBC AES-192-CBC AES-256-CBC BF-CBC
#          CAST-CBC CAST5-CBC DES-CBC DES-EDE-CBC DES-EDE3-CBC DESX-CBC
#          RC2-40-CBC RC2-64-CBC RC2-CBC CAMELLIA-128-CBC CAMELLIA-192-CBC CAMELLIA-256-CBC
#  auth:   SHA SHA1 SHA256 SHA384 SHA512 MD5 MD4 RMD160

cipher AES-128-CBC
auth SHA1


###############################################################################

この"auth SHA1"を"auth SHA256"に変更して保存する。もちろんSHA384や512でもいい。先ほどと同様にこの設定ファイルをインポートして接続、ログを確認すればSHA-256が使用されていることが分かるはずだ。 

思わず暗号化アルゴリズムも国産のCamelliaなどに変更したくなるが、大抵エラーが出るので自重しよう。むしろちゃんと設定できて、エラーが出なければ環境を教えて欲しい。以上である。

 ちなみになぜIPsec/L2TPを使わないのかというと、設定が複雑すぎるために「本当にセキュアな設定に出来ているのか」が自分ではわからないからである。俺には出来らぁ！！と言う方は頑張って欲しい。

「Unbound鯖を建てれば行ける」「ぶっちゃけDNSのところに1.1.1.1か8.8.8.8か9.9.9.9と書くだけで充分」ってツイートして、それで逮捕されたら大爆笑するな

— 林司@るーしゃんず (@Archangel_HT) 2018年4月13日

まぁ警察はその気になればどんな手段でも逮捕するし、マスコミはその尻馬にのってその時点で有罪扱いだからな。遠隔操作事件で、逮捕前に猫カフェに行ってるところまで隠し撮りして放送したのを私は忘れないぞ

— 林司@るーしゃんず (@Archangel_HT) 2018年4月13日

面倒臭いユーザなので早速で「政府から“自主的な対応”を要求されたら遮断すんのか？　電気通信事業法に触れないのか？」とか問い合わせフォームで投げてきた。

— 林司@るーしゃんず (@Archangel_HT) 2018年4月14日

BIGLOBEのサポートに問い合わせたところ、「現在対応を検討中」という返答だった。むきゅう

— 林司@るーしゃんず (@Archangel_HT) 2018年4月15日

So-netは「改めて連絡する」と即答を避けてきた。たぶん方針が決まってないんだろうな

— 林司@るーしゃんず (@Archangel_HT) 2018年4月16日

今のところ、私が問い合わせた範囲ではSo-netが「お問い合わせの件に関しましては、あらためてご案内させて いただきたく存じます」、BIGLOBEが「本件については、現在、検討しております」だったの
どこがどんな理屈を出してくるか楽しみ https://t.co/5o3lxJ58WT

— 林司@るーしゃんず (@Archangel_HT) 2018年4月22日

そういうわけでついにブロッキングが始まったので、DNSフルリゾルバの簡単なつくりかたの記事を再紹介。普通にIPv4で使う分にはこの設定で問題ないです。https://t.co/OkSJWRzICl

— 林司@るーしゃんず (@Archangel_HT) 2018年4月23日

て言うか、DNSフルリゾルバ機能に付けた家庭用ルータがそれをウリにして販売されるようになるんじゃないかな？　まさかそんなことを…と思うかも知れないけど、20年ぐらい前はCD-Rドライブメーカが「エロゲのプロテクトを破ってコピーできる」ことを付加価値として競ってたことがあるんだよ？

— 林司@るーしゃんず (@Archangel_HT) 2018年4月23日

So-netから返信が来た。一言で言えば様子見の模様。曰く「問い合わせいただいた件につきましては現在、ISP業界におけるブロッキングを取りまく現状を注視している状況につき、対外的なコメントは控えさせていただきます」だそうな。

— 林司@るーしゃんず (@Archangel_HT) 2018年4月25日

TL;DR. RaspberryPiにUnboundを入れてDNSフルリゾルバにしたけど、IPv6はNTT東日本フレッツ網のDNSサーバから変更する必要があるのでそこで詰まってる。解決策求む

→2018/04/09：とりあえず解決　RaspberryPiにUnboundを入れたので、IPv4/v6デュアルスタック環境でIPv6のDNSサーバにした件 - 悪霊にさいなまれる世界 -The Demon-Haunted World

science-as-a-candle-in-the-dark.hatenablog.com

 先日再セットアップしたRaspberryPi、Unboundを入れようと思いつつ放っておいたのですが、ご存じの通り邪悪な国家権力は違法漫画配布サイトへのアクセスを妨害するため、「緊急避難」として検閲をもくろんでいるというお話が出てきました。DNSポイゾニングによる児童ポルノのブロッキングが開始された当初から懸念されてたことが大体実行され始めた感じです。そういうわけでサクサクとRaspberryPiをフルリゾルバにしてしまいましょう。

なお、以下の設定はNTT東日本のフレッツ 光ネクストとBIGLOBEのBIGLOBE光パックNeo with フレッツ「ひかり」で、IPv6オプションを申し込み、IPv6(IPoE)とIPv4のデュアルスタック環境でのものです。

sudo apt install unbound dnsutils
sudo curl -o /etc/unbound/root.hints https://www.internic.net/domain/named.cache

という感じでサクサクとUnbound本体と関連ユーティリティをインストール、ルートヒントもDLしておきます。続いて設定。

sudo vim /etc/resolv.conf

で

nameserver 127.0.0.1
nameserver ::1 

とループバックに変更。続いて/etc/unbound/unbound.confの設定

server:
    interface: 0.0.0.0
    interface: ::0

    do-ip4: yes
    do-ip6: yes

    access-control: 127.0.0.1/8 allow
    access-control: ::1/128 allow
    access-control: 192.168.11.0/24 allow

    root-hints: "/etc/unbound/root.hints"

こんな感じ。エラーが出ないことを確認して再起動。digで動作を確認

unbound-checkconfig
sudo systemctl restart unbound.service
dig www.google.com

まぁここら辺は問題ないですよね。と言うわけでRaspberryPi側の設定は終わりにして母艦PCのDNSサーバの設定を変更

ーー2018/04/24追記：IPv4ならここまでで動きます。

それでは確認のためにWindows PowerShellでnslookupしてみます。まぁここまで来ればトラブルが起きるようなところはもうないですよね。

……

ググってみたところ、NTT東日本のDNSサーバでした。はいそうですね。ミスしたのは私です。さっき設定したのはあくまでIPv4のDNSサーバの設定であって、IPv6 IPoEデュアルスタック環境なんだからそっちも設定してやらないと行けないわけです。

さてここで問題が。IPv4ならRaspberryPiに割り振ったプライベートアドレス（この場合192.168.11.3）を指定してやればいいわけですが、IPv6だとどうしたらいいものか。

v6アドレスはフレッツ網から自動で振られてくるし、手元のルータはIPv6パケットを素通りさせているだけ。振られたv6アドレスを指定するのもおかしいよな…と言うわけで旧知の成瀬ゆい氏（@nalsh）に相談してみたところ

と言う助言をもらいました。調べてやってみます（多分そのうち続く