mojimoji 0.0.10 での ImportError: DLL load failed ( Windows 10 64bit + Anaconda 環境 )

開発 Python tips

Windows 10 64bit の Anaconda 環境で mojimoji を使おうとしたときに遭遇した問題と解決法。

概要

経緯

カタカナの全角半角変換したかったので、速いらしい mojimoji を使ってみようとしたら、 conda リポジトリには mojimoji はないということなので、 pip でインストール。 もちろん conda と pip を混ぜるな危険(condaとpip:混ぜるな危険 - onoz000’s blog )は承知の上で。

> pip install mojimoji
Collecting mojimoji
  Using cached mojimoji-0.0.10-cp37-cp37m-win_amd64.whl (35 kB)
Installing collected packages: mojimoji
Successfully installed mojimoji-0.0.10

そしておもむろに、

import mojimoji

すると、以下のようなエラーが。

Traceback (most recent call last):
  File "test.py", line 2, in <module>
    import mojimoji
ImportError: DLL load failed: 指定されたモジュールが見つかりません。

「以前は使ったときは出なかったのになぁ」と思いつつ、ModuleNotFoundError ではないので、モジュールファイルそのものが実行環境から見えていると判断。
ImportError: DLL load failed は pyd なモジュールの読み込み時に、 pyd が参照している必要なファイルがない場合や、依存している DLL が見えてないといった、何かしらのロード時エラーが発生したことを意味してる。

一応インストール済みパッケージを確認。 → 大丈夫。

> conda list
# packages in environment at C:\Users\yishi\Anaconda3\envs\make-train-text:
#
# Name                    Version                   Build  Channel
ca-certificates           2020.1.1                      0
certifi                   2020.4.5.1               py37_0
mojimoji                  0.0.10                   pypi_0    pypi


パッケージのインストール先である %USERPROFILE%\Anaconda3\envs\virtual_env\Lib\site-packages を確認すると、
mojimoji.cp37-win_amd64.pyd というファイルが入っている。
そのファイル名を変えると、インポート時のエラーが ModuleNotFoundError になるので、ptyhon からは見えてはいる。

ファイル破損の疑いもあるので、 https://pypi.org/project/mojimoji/0.0.10/#files から mojimoji-0.0.10-cp37-cp37m-win_amd64.whl をダウンロードして、拡張子を zip にして展開して出てきた同ファイルと比較したが正常。

となると mojimoji.cp37-win_amd64.pyd が参照している何かしらが問題を起こしている可能性が大きく、mojimoji には設定ファイルは無いので、参照している DLL が読めていないのか、参照している DLL 内でエラーになっているか。

と言うことで、 pyd が参照している DLL を Dependency Walkerで知らべる。
今は Dependencies というOSSになっている とのことなので、そちらを公式GitHubのリリースからダウンロードして展開。
perview.exe で拡張子を dll に変更した mojimoji.cp37-win_amd64.dll を読ませて、参照している DLL を確認。

f:id:naga_sawa:20200420091056p:plain


Imports タブに一覧されている DLL があるか %USERPROFILE%\Anaconda3\envs\virtual_env 内の DLL をざっと見ていく。
api-ms-win-core*.dll はある。 python37.dll もある。 VCRUNTIME140.dll もある。

そして最後の VCRUNTIME140_1.DLL がない。ドライブ全体から VCRUNTIME140_1.DLL を検索しても見つからない。

ファイル名前から察するに、 VC++ のランタイムだと思われるので、ファイル名でググる2019年の後半になってから追加された DLL らしい



となると最新の VC++ ランタイムを入れてやれば解決しそうなので、「Visual C++ 再頒布可能パッケージ」でググって以下のMS公式サイトより
https://support.microsoft.com/ja-jp/help/2977003/the-latest-supported-visual-c-downloads
Visual Studio 2015、2017 および 2019」の x64: vc_redist.x64.exe をダウンロードしてインストールする。

そして再び import mojimoji するとエラーは出なくなりました。めでたしめでたし。


VCRUNTIME140_1.DLL は2019年の後半に入ってからx64環境向けに追加されたファイルのようなので、VS2019 環境でコンパイルされているx64バイナリ入りのモジュールで類似の問題にあたるやもしれない。



以前動いていたのは、mojimoji 0.0.9 で、パッケージが tar.gz 配布で手元コンパイルされてたので問題にならなかったもよう。
0.0.10 でコンパイル済みバイナリが配布されるようになったので、出るようになったと。

続・VyOS と PPPoE と MSS clamp の設定と

VyOS tips

2024/4/7追記 : VyOS 1.4 環境での方法書きました → 続々・VyOS 1.4 と PPPoE と MSS clamp の設定と - ..たれろぐ..



続・VyOS と PPPoE と MSS clamp の設定と - ..たれろぐろぐ.. からの移動トピで、 2019/03/21 当時の内容です。

要点

  • 以前書いてたエントリのアップデート(別解とも)

d.hatena.ne.jp

  • 以前は MSS 制限の必要なインタフェースと直接関係のないインタフェースにも MSS 制限ポリシーの設定が必要で、いまいちスマートでなかった
  • vyatta-postconfig-bootup.script を使い、インタフェースから出て行くパケットに対して MSS 制限ルールを追加して、無関係なインタフェースへのポリシー設定を排除した
  • VyOS のカバー外で設定しているので、別機能や将来の仕様変更時に衝突する不安あり

やりかた

MSS 制限ポリシーが次のように PPPoE インタフェースと LAN インタフェースの両方に設定されていることを前提環境とします。

# set interfaces ethernet eth0 pppoe 0 policy route MSSCLAMP
# set interfaces ethernet eth1 policy route MSSCLAMP

MSSCLAMP は以下のようなものを想定(Flet's用)。

policy {
    route MSSCLAMP {
        rule 10 {
            protocol tcp
            set {
                tcp-mss 1414
            }
            tcp {
                flags SYN,!RST
            }
        }
    }
}


まず、vi などで /config/scripts に次のスクリプトを作成します。
PPPoE インタフェースから出て行くパケットに対して MSS 制限するルールを iptables に追加するスクリプトです(以下では add-ifout-policy.sh としておきます)。

#!/bin/sh
# add mangle POSTROUTING rules
iptables -t mangle -N PPPOE-OUT
iptables -t mangle -A VYATTA_FW_OUT_HOOK -o pppoe0 -j MSSCLAMP-OUT
iptables -t mangle -A MSSCLAMP-OUT -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1414
iptables -t mangle -A MSSCLAMP-OUT -m comment --comment "MSSCLAMP-OUT-10000 default-action accept" -j RETURN

実行属性付与することを忘れずに。

$ chmod +x /config/scripts/add-ifout-policy.sh


次に、 /config/scripts にある vyatta-postconfig-bootup.script というファイルの末尾に、先ほどのスクリプトを追記します。

$ vi  /config/scripts/vyatta-postconfig-bootup.script
#!/bin/sh
# This script is called from /etc/rc.local on boot after the Vyatta
# configuration is fully applied. Any modifications done to work around
# unfixed bugs and implement enhancements which are not complete in the Vyatta
# system can be placed here.

# add mangle POSTROUTING rules
/config/scripts/add-ifout-policy.sh

vyatta-postconfig-bootup.script は VyOS が設定を読み込み終えた後に呼ばれるスクリプトなので、種々の設定が行われた最後に add-ifout-policy.sh で設定される MSS 制限ルールが追加されることになります。

最後に、 LAN インタフェースに指定されている MSS 制限ポリシーを削除し、 commit します。

# delete interfaces ethernet eth1 policy route MSSCLAMP
# commit
# save

これで VyOS を再起動すると LAN インタフェース側で制限しなくても、PPPoE インタフェースに出入りするパケットに対して MSS 制限が効くようになります。

なんで?のお話

そもそもの問題は、PPPoE などの MTU が1500バイトに満たない経路を通る場合、MSS 制限をしてやらないと Webサイトによって見られたり見られなかったり妙に応答が遅くなったり、というものでした。
ご家庭用ルータでは、ここらへん自動的にやってくれてるのか大したトラブルにならないのですが、 VyOS はそこまで優しくありません。

VyOS の作法に則ると、次のような MSS 制限ポリシーを PPPoEインタフェースと LAN インタフェースの両方に指定することで、双方向で MSS 制限を働かせてやることになります。

なぜに PPPoE インタフェースと LAN インタフェースの双方に指定しないとダメなのか、というと VyOS でのポリシーベースルーティングは iptables の mangle テーブルの PREROUTING を使って実現しているので、インタフェースから出て行く(egress)パケットには影響を与えてません。

ポリシー設定後の iptables の具合を見てやるとよくわかるのですが、VyOS のポリシーベースルーティングの設定は、 VYATTA_FW_IN_HOOK チェインにて各インタフェースに対応するポリシー相当のチェインに飛ぶように設定されます。

vyos@vyos:~$ sudo iptables -t mangle -L -n -v
Chain PREROUTING (policy ACCEPT 6251K packets, 6256M bytes)
 pkts bytes target     prot opt in     out     source               destination 
6477K 6284M VYATTA_FW_IN_HOOK  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain INPUT (policy ACCEPT 846K packets, 53M bytes)
 pkts bytes target     prot opt in     out     source               destination 

Chain FORWARD (policy ACCEPT 5631K packets, 6232M bytes)
 pkts bytes target     prot opt in     out     source               destination 

Chain OUTPUT (policy ACCEPT 780K packets, 51M bytes)
 pkts bytes target     prot opt in     out     source               destination 

Chain POSTROUTING (policy ACCEPT 6410K packets, 6283M bytes)
 pkts bytes target     prot opt in     out     source               destination 
6410K 6283M VYATTA_FW_OUT_HOOK  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain VYATTA_FW_IN_HOOK (1 references)
 pkts bytes target     prot opt in     out     source               destination 
 2876  219K MSSCLAMP   all  --  eth1 *         0.0.0.0/0            0.0.0.0/0   
 187K   28M MSSCLAMP   all  --  pppoe0 *       0.0.0.0/0            0.0.0.0/0   

Chain MSSCLAMP (2 references)
 pkts bytes target     prot opt in     out     source               destination 
57092 2831K TCPMSS     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            /* MSSCLAMP-10 */ tcp flags:0x06/0x02 TCPMSS set 1414
 187K   28M RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* MSSCLAMP-10000 default-action accept */

Chain VYATTA_FW_OUT_HOOK (1 references)
 pkts bytes target     prot opt in     out     source               destination

VyOS に入ってきたパケットは mangle PREROUTING -> VYATTA_FW_IN_HOOK -> 各インタフェースのポリシールール と渡されていくことになります。
この動作は PREROUTING の名の通り、パケットが入ってきた場合のみに働くので、VyOS から出て行くパケットにはなにも対処できません。
ここらのポリシーベースルーティングの仕組みについては、さくらインターネットの松本氏がまとめられてるのでそちらを参照してください。
research.sakura.ad.jp
iptables でのパケットの流れがわからんという人は https://ja.wikipedia.org/wiki/Iptables#/media/File:Netfilter-packet-flow.svg の絵を参照で)


外部との接続が PPPoE 1本だけ、という場合はこの設定で不自由しないわけですが、昨今速くなると話題の MAP-E やら DSLite やらの v4 over v6 な接続や、LAN直結専用線、のようなものと併存してやろうとすると LAN 側インタフェースに一律に MSS 制限ポリシーを仕込むと MSS 制限しなくていい通信まで MSS 制限してしまい、微妙に効率が悪くなったり、その他のポリシーベースルーティングの設定がし辛くなるなどの問題が出てきます。

そこで注目するのは、同 mangle テーブルに登録されているものの、現時点(VyOS1.1.8)で使われていない VYATTA_FW_OUT_HOOK に、時前で VYATTA_FW_IN_HOOK と同じようなルールを仕込んでしまえという、このエントリで紹介する手になります。
(前エントリの最後に書いていた『裏技臭がひどくて…』というのをやってしまったと)

先に書いたスクリプトを実行すると、 iptables の状態は次のような形になります。
これで出て行くパケットは VYATTA_FW_OUT_HOOK で対応するインタフェースに応じて MSSCLAMP-OUT に飛び、結果として MSS が制限されることになります。

vyos@vyos:~$ sudo iptables -t mangle -L -n -v
Chain PREROUTING (policy ACCEPT 6251K packets, 6256M bytes)
 pkts bytes target     prot opt in     out     source               destination 
6477K 6284M VYATTA_FW_IN_HOOK  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain INPUT (policy ACCEPT 846K packets, 53M bytes)
 pkts bytes target     prot opt in     out     source               destination 

Chain FORWARD (policy ACCEPT 5631K packets, 6232M bytes)
 pkts bytes target     prot opt in     out     source               destination 

Chain OUTPUT (policy ACCEPT 780K packets, 51M bytes)
 pkts bytes target     prot opt in     out     source               destination 

Chain POSTROUTING (policy ACCEPT 6410K packets, 6283M bytes)
 pkts bytes target     prot opt in     out     source               destination 
6410K 6283M VYATTA_FW_OUT_HOOK  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain VYATTA_FW_IN_HOOK (1 references)
 pkts bytes target     prot opt in     out     source               destination 
 187K   28M MSSCLAMP   all  --  pppoe0 *       0.0.0.0/0            0.0.0.0/0   

Chain MSSCLAMP (1 references)
 pkts bytes target     prot opt in     out     source               destination 
57092 2831K TCPMSS     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            /* MSSCLAMP-10 */ tcp flags:0x06/0x02 TCPMSS set 1414
 187K   28M RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* MSSCLAMP-10000 default-action accept */

Chain MSSCLAMP-OUT (1 references)
 pkts bytes target     prot opt in     out     source               destination 
 2152  116K TCPMSS     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x06/0x02 TCPMSS set 1414
 101K   49M RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* MSSCLAMP-OUT-10000 default-action accept */

Chain VYATTA_FW_OUT_HOOK (1 references)
 pkts bytes target     prot opt in     out     source               destination 
 101K   49M MSSCLAMP-OUT  all  --  *      pppoe0  0.0.0.0/0            0.0.0.0/0

これにてあるインタフェースに出入りするパケット、双方向で MSS 制限できるようになるので、その他インタフェースからは MSS 制限ポリシーを削除しても大丈夫、となります。

LAN 側から curl -X GET http://b.hatena.ne.jp/ したときのパケットキャプチャが次の通り。

monitor interfaces ethernet eth1 traffic filter "net 52.85.6.0 mask 255.255.255.0"
Capturing traffic on eth1.5 ...
[A]  0.007107 192.168.0.17 -> 52.85.6.14   TCP 54629 > 80 [SYN] Seq=0 Win=8192 Len=0 MSS=1460 WS=2
[B]  0.013234   52.85.6.14 -> 192.168.0.17 TCP 80 > 54629 [SYN, ACK] Seq=0 Ack=1 Win=29200 Len=0 MSS=1414 WS=8
[C]  0.014533 192.168.0.17 -> 52.85.6.14   TCP 54629 > 80 [ACK] Seq=1 Ack=1 Win=66456 Len=0
  • 同 PPPoE 側
vyos@vyos:~$ monitor interfaces ethernet pppoe0 traffic filter "net 52.85.6.0 mask 255.255.255.0"
Capturing traffic on pppoe0 ...
[A]  0.000000 220.147.153.14 -> 52.85.6.234  TCP 54637 > 80 [SYN] Seq=0 Win=8192 Len=0 MSS=1460 WS=2
[B]  0.005243  52.85.6.234 -> 220.147.153.14 TCP 80 > 54637 [SYN, ACK] Seq=0 Ack=1 Win=29200 Len=0 MSS=1460 WS=8
[C]  0.006409 220.147.153.14 -> 52.85.6.234  TCP 54637 > 80 [ACK] Seq=1 Ack=1 Win=66456 Len=0

LAN 側から PPPoE 側に出ていくパケット [A] の MSS option は変更されていないのに対して、PPPoE 側から LAN 側に戻ってきたパケット [B] は、 PPPoE インタフェースに指定した policy route 設定により MSS option が 1460 -> 1414 に変更されています。

monitor interfaces ethernet eth1 traffic filter "net 52.85.6.0 mask 255.255.255.0"
vyos@vyos:~$ monitor interfaces ethernet eth1 traffic filter "net 52.85.6.0 mask 255.255.255.0"
Capturing traffic on eth1.5 ...
[A]  0.000000 192.168.0.17 -> 52.85.6.58   TCP 54666 > 80 [SYN] Seq=0 Win=8192 Len=0 MSS=1460 WS=2
[B]  0.005228   52.85.6.58 -> 192.168.0.17 TCP 80 > 54666 [SYN, ACK] Seq=0 Ack=1 Win=29200 Len=0 MSS=1414 WS=8
[C]  0.005950 192.168.0.17 -> 52.85.6.58   TCP 54666 > 80 [ACK] Seq=1 Ack=1 Win=66456 Len=0
  • 同 PPPoE 側
vyos@vyos:~$ monitor interfaces ethernet pppoe0 traffic filter "net 52.85.6.0 mask 255.255.255.0"
Capturing traffic on pppoe0 ...
[A]  0.000000 220.147.153.14 -> 52.85.6.58   TCP 54667 > 80 [SYN] Seq=0 Win=8192 Len=0 MSS=1414 WS=2
[B]  0.005181   52.85.6.58 -> 220.147.153.14 TCP 80 > 54667 [SYN, ACK] Seq=0 Ack=1 Win=29200 Len=0 MSS=1460 WS=8
[C]  0.005900 220.147.153.14 -> 52.85.6.58   TCP 54667 > 80 [ACK] Seq=1 Ack=1 Win=66456 Len=0

対してスクリプトを実行して VYATTA_FW_OUT_HOOK にルールを追加した後では、LAN 側から PPPoE 側に出ていくパケット [A] も、PPPoE 側から LAN 側に戻ってきたパケット [B] も、両方とも MSS option が 1460 -> 1414 に変更されています。
前者(PPPoE 側に出ていくパケットへの変更)が、スクリプトで追加したルールの効果になります(後者はPPPoE インタフェースに指定した policy route 設定の効果)。


難点というか要注意なのは、 VyOS のあずかり知らぬ部分で設定を入れているため、なにかしらの別の設定と衝突したり、将来に機能が追加された際に衝突する可能性がある。というところです。

ここらはインタフェースの制限事項なので interface の項目内で設定できるようになるのが一番なのでしょうが 1.2.0 でも対応してないようで……


それではよい VyOS ライフを。

参考

JWT 認証のメリットとセキュリティトレードオフの私感

開発

2020/5/9追記: 考えた結果、Authorization Bearer ヘッダを使った正規のJWTの場合、同一ドメイン下で読み込む全 JavaScript が信用できる場合でないとブラウザ上で安全にトークンを保持できないのでブラウザからのAPIアクセス時の認証用には使うべきではないというところに着陸しました。ブラウザからのアクセスでは http only cookieトークンを入れ、 CSRF 対策も忘れずにというこれまで通りの定石が手堅いように思います。 JWTを使うのはトークンの安全な保管ができる非ブラウザなネイティブクライアントからのAPIアクセス時に限った方がよさそうです。 APIサーバ側ではアクセス元に合わせて認証方法を使い分ける両対応が要求されるので手間は増えますが手抜きできる場所でもないので仕方なしと。


2018/9/25追記: https://gist.github.com/issm/63889b931b8c658f23634070b64f8b23 も参考になるかも。 あと、以下の議論は『セッション』の意味するところに認識違いがあるのかもしれない(認証継続の意味でのセッションと、ステート保持機構としてのセッションと)。


どうして JWT をセッションに使っちゃうわけ? - co3k.org (←のはてブ
とか
JWT認証、便利やん? - ブログ (←のはてブ
で話題になってるので、Webシステム素人の理解と私感をメモしてみる。
OpenID connect とかで使われてるって話だけど、そっちはノータッチで単純にAPIアクセス時の認証の仕組みとして使うことを前提としています。


JWT ベースの認証って、負荷分散などのために複数台のフロントサーバを使う場合や、複数のマイクロサービスを使ったサービスを実現するにあたって、認証(セッション)状態を都度セッションストアに確認したくない・できない場合に生きてくる仕組みなように思う。

一般に短寿命のアクセストークンと比較的長寿命なリフレッシュトークンのセット利用を前提としていて、次のような利用形態が前提(なはず)。

  • 普段の APIリクエスト時はアクセストークンのみで認証する。
  • アクセストークンの寿命が来た場合には、リフレッシュトークン使ってアクセストークンを更新する。
  • そのリフレッシュ時には都度ユーザDBなりにアクセスしてリフレッシュ可否を判定する。
  • APIリクエスト頻度 <<< アクセストークンのリフレッシュ頻度である。


従来の SessionID を使ったトークンベース・cookieベースの認証では、SessionID からユーザID などの認証情報を引かないといけないので、その対応関係(セッション情報)を一時保存するセッションストアが必要になる。

API リクエストが高頻度に発生する場合では、複数台のフロントサーバで分散させる構成にするのが一般的だけれども、セッション情報は全体で共有しないと破綻するので、 memcached や Redis のような共有セッションストアサーバを別途用意して、フロントサーバ全体で共有しなければならなかった。


それに対して JWT だと普段の APIリクエストに対しては、各フロントサーバで JWT から認証情報を取り出せるので、共有セッションストアサーバが不要になる。(そこで改竄検知可能なのが JWT のキモだと思う)

リフレッシュの頻度は APIリクエストに対して十分に低頻度で、バックエンドの普通の DB サーバで十分に対処できる。
このため、リフレッシュが要求された時点で DB を参照してアクセストークンをリフレッシュする/拒否することで認証状態をコントロールする。


トークンの漏洩に対しては、漏洩発覚後、アクセストークンの寿命が来るまでは不正アクセスを許容できるサービスが適用対象で、即時止めたいというサービスには向かない。
そういうサービスの場合は、セッションストアサーバを使って確実にセッション無効化できるように構築しましょう。
無理に JWT で実現しようとしても、blacklist をフロントサーバ間で共有させないといけないので結局共有セッションストアのような仕組みが必要になってしまうので。


共有セッションストアサーバが不要になるというのが、JWT 認証での一番のメリットで、あとはアクセストークンの寿命の設定次第で、許容するリスクとリフレッシュ負荷とのトレードオフを調整する。


この方面は素人なんで要点外したら申し訳ないけれど、調べた範囲だとこういう感じなのかなぁと。

自前サービスのAPI認証用途で使う場合であれば、ユーザの無効化操作と同時にフロントサーバ群にそのユーザ情報を管理APIなどで上手くばらまく仕組みができれば即時無効化もできるはず。
無効化情報はせいぜいアクセストークンの寿命時間分保持すれば十分なので、再起動を考えなければオンメモリでもいけそうな。


各種フレームワークで用意されてる・対応してるセキュアな実装が使えるなら、それに乗っかるのが一番無難な選択よね。

あ、マサカリはウレタンでお願いします。

ESXi のパスワードにアンダーバー ( _ ) を入れてはまったら

tips

ESXi 触ってみたんですよ。それで、アンダーバーを含んだパスワードを指定したんですね。
そしたらなんか DCUI にはそのパスワードでログインできるものの Web Client にログインできないという状態になりまして。

Login Name の部分を使って入力具合を確認すると、キーボード配列が日本語配列の状態でアンダーバーを入れると謎の空白キャラクタが入力されていることが判明。
(なお、キーボード配列が US Default ならしかるべきキーを叩くとちゃんとアンダーバーが入ります)
Web Client のログインフォームでは、日本語配列状態でも正しくアンダーバーが入るので、そこの齟齬で Web Client にログインできなくなっていたようです。

一旦アンダーバーのないパスワードに変更するために、

  1. DCUI で ALT+F1 を押し、 ESXi Shell に移る(事前に ESXi Shell 有効にしておくこと)
  2. passwd コマンドでアンダーバーのないパスワードに一時変更する

と変更した後に、

  1. そのパスワードで Web Client にログインし、Web Client からパスワードを変更する

ということで、アンダーバー入りのパスワードにできました。

今度は DCUI 側で不具合が出るので、DCUI の操作は、キーボード配列を US Default にしておくと
いいでしょう(慣れていない人は記号キーの対応表を用意)

IE11 で Java applet が動かない場合

tips

64bitの Windows 環境で最新の Java を入れていても 「表示中のページは Java を使用しています」と出て、インターネットオプションやらコントロールパネルの Java 設定を弄っても効果が無い場合、

32bit版のJREを入れると動くかもしれない。

http://did2memo.net/2017/01/21/internet-explorer-32bit-or-64bit/

はまったorz

VyOS と PPPoE と MSS clamp の設定と

VyOS tips

先に結論。
VyOS で MSS 制限設定入れる場合、そのトラフィックが出入りする全インタフェースに set policy route しないといけない。(VyOS 1.1.7時点)


※2019-03-21 PPPoEインタフェースのみでMSS制限する方法書きました → https://naga-sawa.hatenablog.com/entry/2019/03/21/152748
naga-sawa.hatenadiary.org


よくあるのが Flets の PPPoE の MTU 1454 byte 環境用に MSS 1414 byte と制限したい場合はこんなルールを作って、

policy {
    route PPPOE-IN {
        rule 10 {
            destination {
                address 0.0.0.0/0
            }
            protocol tcp
            set {
                tcp-mss 1414
            }
            tcp {
                flags SYN
            }
        }
    }
}

PPPoEインタフェースと LAN インタフェースの両方に指定するのが正解です。

set interfaces ethernet eth0 pppoe 0 policy route PPPOE-IN
set interfaces ethernet eth1 policy route PPPOE-IN

いまいちスマートさに欠けるので、別のスマートな設定方法あるか将来バージョンで

 set interface ethernet eth0 pppoe 0 mss-limit 1414

みたいなことができればいいなぁとか思いつつ。

以下のサイトは、自身が過去にも参考にさせてもらったりしてるのですが、どれも LAN 側のみに設定しているだけなので、上手くいかない場合があります。

海外だと同じ問題にぶつかって「双方向で指定しないと」って話があるようなんだけれども、国内じゃさっぱり見かけないので。

なんで?というお話

TCP において、MSS のネゴシエーションはコネクション確立時に行われ、SYNパケットに付けられる MSS オプションを使って双方の MSS を送りあった後、より小さい MSS をコネクションの MSS として採用するという形で実現されています。

PC1 が MSS1200、 PC2 が MSS1400 の場合、通常時は以下のように MSS 情報の交換が行われます。

1. PC1 --(SYN    : MSS1200)-> PC2
2. PC1 <-(SYN+ACK: MSS1400)-- PC2
3. PC1 --------(ACK)--------> PC2

1. の時点で、 PC2 は PC1 の MSS を知り、自身の MSS より小さいため MSS = 1200 を採用します。
2. の時点で、 PC1 は PC2 の MSS を知ることになりますが、自身の MSS のほうが小さいため、そちらを採用します。
以降このコネクションでは MSS = 1200 として無難に通信が進むことになります。

問題になるのは以下のように、途中のルータで MSS 制限を加える場合。
PC1, PC2 とも途中経路に制限があるとも知らず、 MSS1460 で通信をしようとしています。
ルータ - PC2 間が PPPoE を挟むので、ルータで MSS1414 に制限しようとします。
このとき、ルータが片方向でしか MSS を変えてくれない場合に問題が生じます。

1. PC1 --(SYN    : MSS1460)-> ルータ --(SYN    : MSS1414)-> PC2 
2. PC1 <-(SYN+ACK: MSS1460)-- ルータ <-(SYN+ACK: MSS1460)-- PC2 
3. PC1 --------(ACK)--------> ルータ --------(ACK)--------> PC2

1. ではルータが MSSを1414を変更して PC2 に伝えるので、 PC2 は MSS=1414 を採用します。
しかしながら、 2. において、ルータが戻りパケットの MSS オプションを変更しないので、そのパケットを見て PC1 は MSS=1460 で大丈夫だと判断してしまいます。
そうすると、パケットサイズによって PC1 -> PC2 のパケットが落ちたりして不安定な状態になってしまいます。

set interfaces policy で片方のインタフェースにしか指定しないと、まさにこの状態になってしまいます。

実際の所、どうなってるの?ということで、 PPPoE インタフェースと LAN インタフェースを通る 3way ハンドシェイクをモニタ(tcpdump)した結果を見てみましょう。
LAN内の PC から 59.106.194.36 (d.hatena.ne.jp) に接続してみたときの結果です。

まず、LAN側のみ PPPOE-IN を適用している場合。
LAN 側 IF (eth1) を通る 3way ハンドシェイク は次の通り。

$ monitor interfaces ethernet eth1 traffic filter "host 59.106.194.36"
  0.000000 192.168.0.17 -> 59.106.194.36 TCP 58563 > 80 [SYN] Seq=0 Win=8192 Len=0 MSS=1460 WS=2
  0.014629 59.106.194.36 -> 192.168.0.17 TCP 80 > 58563 [SYN, ACK] Seq=0 Ack=1 Win=29200 Len=0 MSS=1460 WS=9
  0.015777 192.168.0.17 -> 59.106.194.36 TCP 58563 > 80 [ACK] Seq=1 Ack=1 Win=65700 Len=0

次に PPPoE インタフェースをモニタした結果。

$ monitor interfaces pppoe pppoe0 traffic filter "host 59.106.194.36"
  0.000000 218.211.81.60 -> 59.106.194.36 TCP 58548 > 80 [SYN] Seq=0 Win=8192 Len=0 MSS=1414 WS=2
  0.014321 59.106.194.36 -> 218.211.81.60 TCP 80 > 58548 [SYN, ACK] Seq=0 Ack=1 Win=29200 Len=0 MSS=1460 WS=9
  0.015360 218.211.81.60 -> 59.106.194.36 TCP 58548 > 80 [ACK] Seq=1 Ack=1 Win=65700 Len=0

PC -> 59.106.194.36 への MSS は PPPoE に出て行く時点で MSS=1414 に変更されているものの、 59.106.194.36 の応答 SYN パケットのそれは MSS=1460 のまま、変更されていません。


そして、LAN側、PPPoE側の双方に PPPOE-IN を適用した場合では、

$ monitor interfaces ethernet eth1 vif 5 traffic filter "host 59.106.194.36"
Capturing traffic on eth1.5 ...
  0.000000 192.168.0.17 -> 59.106.194.36 TCP 58688 > 80 [SYN] Seq=0 Win=8192 Len=0 MSS=1460 WS=2
  0.013817 59.106.194.36 -> 192.168.0.17 TCP 80 > 58688 [SYN, ACK] Seq=0 Ack=1 Win=29200 Len=0 MSS=1414 WS=9
  0.014805 192.168.0.17 -> 59.106.194.36 TCP 58688 > 80 [ACK] Seq=1 Ack=1 Win=66456 Len=0

$ monitor interfaces pppoe pppoe0 traffic filter "host 59.106.194.36"
Capturing traffic on pppoe0 ...
  0.000000 218.211.81.60 -> 59.106.194.36 TCP 58678 > 80 [SYN] Seq=0 Win=8192 Len=0 MSS=1414 WS=2
  0.013987 59.106.194.36 -> 218.211.81.60 TCP 80 > 58678 [SYN, ACK] Seq=0 Ack=1 Win=29200 Len=0 MSS=1460 WS=9
  0.015217 218.211.81.60 -> 59.106.194.36 TCP 58678 > 80 [ACK] Seq=1 Ack=1 Win=66456 Len=0

PC -> 59.106.194.36 への SYN パケットと、 59.106.194.36 -> PC の応答SYNパケットの双方で MSS=1414 に変更できていることがわかると思います。

なんでなんでー?というお話

詳細は調べてないのでわからないのですが、 policy route で指定する tcp-mss は iptables の mangle テーブルの PREROUTING チェインに入るようです。

各インタフェースの受信パケットは → PREROUTING チェインで MSS 変更 → ルーティング → ルーティング先インタフェースから出力、という流れで処理されるため、 LAN 側インタフェースに指定しただけでは、 PPPoE インタフェースで受信されたパケットに対して MSS 変更処理がされず、上に書いたような状況に遭遇してしまうと考えられます。
(Linux の受信パケットの流れは 画像検索"iptables prerouting" 参照)

以下、LAN 側インタフェースのみに指定したときの iptables の状態。

$ sudo /sbin/iptables -L -n -v -t mangle
Chain PREROUTING (policy ACCEPT 4263 packets, 753K bytes)
 pkts bytes target     prot opt in     out     source               destination 
 342K  142M VYATTA_FW_IN_HOOK  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain INPUT (policy ACCEPT 1074 packets, 82127 bytes)
 pkts bytes target     prot opt in     out     source               destination 

Chain FORWARD (policy ACCEPT 2841 packets, 628K bytes)
 pkts bytes target     prot opt in     out     source               destination 

Chain OUTPUT (policy ACCEPT 680 packets, 66835 bytes)
 pkts bytes target     prot opt in     out     source               destination 

Chain POSTROUTING (policy ACCEPT 3521 packets, 695K bytes)
 pkts bytes target     prot opt in     out     source               destination 
 306K  138M VYATTA_FW_OUT_HOOK  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain PPPOE-IN (5 references)
 pkts bytes target     prot opt in     out     source               destination 
 8559  444K TCPMSS     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            /* PPPOE-IN-10 */ tcp flags:0x02/0x02 TCPMSS set 1414
 175K   18M RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* PPPOE-IN-10000 default-action accept */

Chain VYATTA_FW_IN_HOOK (1 references)
 pkts bytes target     prot opt in     out     source               destination 
 1072  166K PPPOE-IN   all  --  eth1   *       0.0.0.0/0            0.0.0.0/0   

Chain VYATTA_FW_OUT_HOOK (1 references)
 pkts bytes target     prot opt in     out     source               destination

続いて、 PPPoE 側、LAN 側の双方に指定した場合の iptables の状態。

$ sudo /sbin/iptables -L -n -v -t mangle
Chain PREROUTING (policy ACCEPT 172 packets, 23721 bytes)
 pkts bytes target     prot opt in     out     source               destination 
 343K  142M VYATTA_FW_IN_HOOK  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain INPUT (policy ACCEPT 60 packets, 5003 bytes)
 pkts bytes target     prot opt in     out     source               destination 

Chain FORWARD (policy ACCEPT 99 packets, 18075 bytes)
 pkts bytes target     prot opt in     out     source               destination 

Chain OUTPUT (policy ACCEPT 45 packets, 4652 bytes)
 pkts bytes target     prot opt in     out     source               destination 

Chain POSTROUTING (policy ACCEPT 144 packets, 22727 bytes)
 pkts bytes target     prot opt in     out     source               destination 
 307K  138M VYATTA_FW_OUT_HOOK  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain PPPOE-IN (6 references)
 pkts bytes target     prot opt in     out     source               destination 
 8594  446K TCPMSS     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            /* PPPOE-IN-10 */ tcp flags:0x02/0x02 TCPMSS set 1414
 175K   18M RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* PPPOE-IN-10000 default-action accept */

Chain VYATTA_FW_IN_HOOK (1 references)
 pkts bytes target     prot opt in     out     source               destination 
   48 11695 PPPOE-IN   all  --  pppoe0 *       0.0.0.0/0            0.0.0.0/0   
 1075  166K PPPOE-IN   all  --  eth1   *       0.0.0.0/0            0.0.0.0/0   

Chain VYATTA_FW_OUT_HOOK (1 references)
 pkts bytes target     prot opt in     out     source               destination
経緯

新しく買ったタブレットからのWiFi通信が通らず、あかんやーんとしばらく放ってたところ、古いタブレットでも同じ現象が出ることに気づき、 LTE 経由だとちゃんと通信が通ったので、まず WiFi AP の不具合を疑い、ファーム更新したり再起動したりでも改善せず、MTU 絡みの可能性を疑って、 MSS がちゃんと変更されてるかパケットキャプチャしてみたところ、戻りパケットで MSS が変更されてないことに気付き、元設定じゃダメじゃんとなった次第。

PPPoE インタフェースにも set policy route の設定を入れたら、新タブでも通信できるようになったので、ようやく新タブが使えるようになったorz
PCからの通信も妙に遅かったのもこれのせいだったぽい。

これについて書かれたものが見あたらないので、国内だとあまり問題になってない地雷を踏み抜いたんだろうか…(or VyOSユーザがレアなのか)

VyOSっぽいOSが動くルーター EdgeRouter Lite では機能として MSS clamp が載ってる模様。
17,000円で買えるVyOSっぽいOSが動くルーター EdgeRouter Lite(ERLite-3)を使ってみる — どこか遠くでのんびり怠惰に暮らしたい

iptables を触って PPPoE インタフェースの POSTROUTING チェインに無理矢理 TCPMSS を書けばコンフィグ上はシンプルに収まりそうだけど、裏技臭がひどくて運用的に問題がでそうだし。

プライマリDNSの設定からセカンダリDNSの設定を起こす

Linux

CentOS 7.3 BIND chroot 環境 でのプライマリサーバの設定ファイルから
セカンダリサーバの設定を作る方法。

1. プライマリサーバの named.conf をセカンダリサーバにコピーする。
2. named.conf の allow-transfer を none にする。

allow-transfer { none; };

3. named.conf の zone 設定を変更する。
3-1. type を slave に変更する。
3-2. masters にプライマリサーバのIPアドレスを設定する。
3-3. file の頭に slaves を付ける。

zone "example.com" {
        type slave;
        masters {
                192.168.1.5;
       };
        file "slaves/example.zone";
};

zone "1.168.192.in-addr.arpa" {
        type slave;
        masters {
                192.168.1.5;
       };
        file "slaves/example.rev.zone";
};

/var/log/messages などのログファイルに以下のエラーが出ている場合は、最後の slaves の付け忘れ。zone転送時はsleves下にファイル出力される模様。

 dnsslave named[7455]: dumping master file: tmp-S0N6hyvAgw: open: permission denied

start して /var/named/chroot/var/named/slaves 以下にファイルが出来ていればOK

# systemctl start named-chroot.service
# ls -l /var/named/chroot/var/named/slaves
-rw-r--r--. 1 named named  629 12月 24 22:56 example.rev.zone
-rw-r--r--. 1 named named  531 12月 24 22:56 example.zone

さらに dig でセカンダリに問い合わせて解決できればOK

dig @192.168.1.6 hogehoge.example.com