「VM」の記事 - Crieit

GNS3 に VyOS 仮想ルーターを追加する長い道のり④ 応用編

2022-12-28T23:48:38+09:00

本記事は【アットホームな現場です】🎄★☆ネットワーク系エンジニア★☆アレコレアウトプット★☆🎄 Advent Calendar 2022 25日目の記事だ。
ごめんなさい、色々書いてたら結局分量が多くなって期限内に書き切れなかった。

GNS3 という OSS のネットワークエミュレータを、 Cisco の IOS などの取得なしに、無料のライセンス内で利用できるようにしようという話。

今回は最終回の応用編。
以前の投稿はこちら。
https://crieit.net/posts/GNS3-VyOS (① 環境導入編)
https://crieit.net/posts/GNS3-VyOS-63ac561ed5a75 (② イメージ準備編)
https://crieit.net/posts/GNS3-VyOS-63ac5693838af (③ 実践編)

目指すゴール

今回は、上記の図のように、ルーターを 2台置いて、ルーターを跨いだ端末間 (tmp-net-tools-1, -2) で通信ができるように構成していく。

相互通信するコンテナの準備

ルーターを跨いだ通信を実際に行うことになるコンテナを準備する。

通信の確認を行う最低限のモジュール（パッケージ）をインストールしたイメージを用意する。

（リスクを自分で評価しつつ）第三者が用意したイメージを使っても良いのだが、今回は自分でビルドしてみよう。

まず、 VM管理ツールや ssh で GNS3 VM の管理画面に入る
メニューから Shell を選択する
以下のコマンドで、 tmp-net-tools という名前をつけた Docker イメージをビルドする
- shell gns3@gns3vm:~$ docker build -t tmp-net-tools - FROM alpine:latest RUN apk add --no-cache curl iperf3 net-tools EOF
GNS3 (GUI) の Preferences を開き、 Docker コンテナテンプレートで上記のビルド済み tmp-net-tools でテンプレートを作成する。
- Console type は telnet で OK.

ここでポイントとなるのは、 GNS3 で動かすコンテナは基本的に（明示的に接続市内限り）外部ネットワークに繋がっていないが、 GNS3 VM で Docker をビルドする際は、外部ネットワークに繋がると言う点だ。
このため、コンテナ内にて追加で必要なパッケージがある場合、このように予めコンテナの build 段階でインストールしておく必要がある。

ネットワークの構成 1

コンテナテンプレートの準備ができたら、ペタペタとデバイスを貼って結線していく。
2つの VyOS とも、 eth0 を端末のコンテナ側に、 eth1 をルーター同士を繋ぐ Switch に繋いでいこう。

本来 VyControl は、 1サービスで複数の VyOS を管理できるはずなのだが、試した感じどうも管理対象の切り替えでエラーになってしまうので、素直に VyOS と VyControl を 1対1 で作成している。
ただ、そうするとホストPCからそれぞれの VyControl にアクセスする際に同じ IP アドレスとなって Cookie が衝突するため、片方にログインするともう一方からログアウトされてしまう問題があるので注意。

また、 vycontrol-host や tmp-net-tools の各コンテナにて、 Edit config からの /etc/network/interfaces の編集で、 eth0 を DHCP から IP アドレスを取得するよう設定することを忘れずに。

VyOS は前回の設定に加えて eth1 の IP アドレスを静的に決めるため、それぞれ以下のように設定する。

VyOS1.3.2-1:

vyos@vyos:~$ configure
vyos@vyos# set interfaces ethernet eth0 address '192.168.11.254/24'
vyos@vyos# set interfaces ethernet eth1 address '192.168.1.1/24'
vyos@vyos# set service dhcp-server shared-network-name 'subnet01'
vyos@vyos# set service dhcp-server shared-network-name 'subnet01' subnet '192.168.11.0/24' default-router '192.168.11.254'
vyos@vyos# set service dhcp-server shared-network-name 'subnet01' subnet '192.168.11.0/24' name-server '192.168.11.254'
vyos@vyos# set service dhcp-server shared-network-name 'subnet01' subnet '192.168.11.0/24' range 0 start '192.168.11.17'
vyos@vyos# set service dhcp-server shared-network-name 'subnet01' subnet '192.168.11.0/24' range 0 stop '192.168.11.126'
vyos@vyos# set service https api keys id my_id key 'my_secret_key'
vyos@vyos# set service https certificates system-generated-certificate lifetime '65535'
vyos@vyos# set service https virtual-host vyos1 listen-address '192.168.11.254'
vyos@vyos# set service https virtual-host vyos1 listen-port '6443'
vyos@vyos# set service https virtual-host vyos1 server-name 'vyos1.example.com'
vyos@vyos# commit
vyos@vyos# save
vyos@vyos# exit

VyOS1.3.2-2:

vyos@vyos:~$ configure
vyos@vyos# set interfaces ethernet eth0 address '192.168.21.254/24'
vyos@vyos# set interfaces ethernet eth1 address '192.168.1.2/24'
vyos@vyos# set service dhcp-server shared-network-name 'subnet01'
vyos@vyos# set service dhcp-server shared-network-name 'subnet01' subnet '192.168.21.0/24' default-router '192.168.21.254'
vyos@vyos# set service dhcp-server shared-network-name 'subnet01' subnet '192.168.21.0/24' name-server '192.168.21.254'
vyos@vyos# set service dhcp-server shared-network-name 'subnet01' subnet '192.168.21.0/24' range 0 start '192.168.21.17'
vyos@vyos# set service dhcp-server shared-network-name 'subnet01' subnet '192.168.21.0/24' range 0 stop '192.168.21.126'
vyos@vyos# set service https api keys id my_id key 'my_secret_key'
vyos@vyos# set service https certificates system-generated-certificate lifetime '65535'
vyos@vyos# set service https virtual-host vyos1 listen-address '192.168.21.254'
vyos@vyos# set service https virtual-host vyos1 listen-port '6443'
vyos@vyos# set service https virtual-host vyos1 server-name 'vyos1.example.com'
vyos@vyos# commit
vyos@vyos# save
vyos@vyos# exit

ちなみに、 VyOS の仮想デバイスは、一通り設定を完了させてから、仮想デバイスを複製できる。
VyOS のインストールなどの作業が 1回で済む点は便利なのだが、コピー後 MAC アドレスが変更になるため、仮想デバイス内のインターフェース名が、 eth0, eth1, eth2 から eth3, eth4, eth4 へと名前を変えてしまうことが多く、 GNS3 UI 上の NIC のインターフェース名と、仮想デバイス内の名前が一致しなくなってややこしい事になるので、ご注意を。

ネットワークの構成 2

さて、ここで各端末 (tmp-net-tools-1, -2) が DHCP サーバーに割り当てられた IP アドレスを使って、お互いに ping を打っても、当然届かず失敗する。

ここで VyControl を使って、それぞれの VyOS に静的ルーティングを定義する。

その後改めてお互いに ping を打つと、無事疎通ができるようになった。

外部との接続

さらなる応用として、 "Cloud" デバイスを使って外部機器との接続もできる。

まず、適当な物理NIC (USB LAN アダプタ) を、仮想マシン管理ツール側で GNS3 VM のネットワークアダプタに割り当てる。
その後、 GNS3 内で "Cloud" デバイスをその物理NIC に割り当ててやれば、物理ルーターと仮想ルーターとの間で、論理的なネットワークの接続を構成できる。

おわりに

…とまあ、こんなところが GNS3 の基本的な使い方となる。
慣れてきたら、不完全な VyControl なんか使わず、直接 VyOS に CUI コマンドで設定を定義してやると良いかもしれない。

長々となる解説となったが、誰かの役に立てば幸いだ。

GNS3 に VyOS 仮想ルーターを追加する長い道のり③ 実践編

2022-12-28T23:45:39+09:00

本記事は【アットホームな現場です】🎄★☆ネットワーク系エンジニア★☆アレコレアウトプット★☆🎄 Advent Calendar 2022 17日目の記事だ。

GNS3 という OSS のネットワークエミュレータを、 Cisco の IOS などの取得なしに、無料のライセンス内で利用できるようにしようという話。

環境導入編、イメージ準備編に続く実践編。
以前の投稿はこちら。
https://crieit.net/posts/GNS3-VyOS (① 環境導入編)
https://crieit.net/posts/GNS3-VyOS-63ac561ed5a75 (② イメージ準備編)

実際に、 GNS3 上で VyOS を使ってみよう。

GNS3 プロジェクトを作成

GNS3 を開き、適当なプロジェクトを新規作成（ないし開く）する。

平行して、 GNN3 VM が起動するまで待とう。

VyOS の起動

GNS3 GUI 上で、テンプレート一覧から VyOS のデバイスをドラッグ＆ドロップして、プロジェクトに追加する。

デバイスアイコンの右クリックで Configure をクリックしてプロパティを開き、 On close の動作を Save the VM state (休止状態) にしておくとよいだろう。

その後、デバイスアイコンの再度右クリックで Start を選択し、仮想マシンをスタートさせる。
デバイスアイコンをダブルクリックすると、コンソールが起動する。 iso ファイルがブータブルディスクになっていてるため、VyOS の起動ログが表示されているはずだ。
ログイン画面が出るまで待つ。

デフォルトの認証情報 (login: vyos, password: vyos) を使ってログインする。

VyOS 仮想 HDD へのインストール

このままでも VyOS として利用できるのだが、 "T2958 DHCP server doesn't work from a live CD" といった問題もあるようなので、一旦仮想 HDD にインストールする。
→ Permanent installation — VyOS 1.3.x (equuleus) documentation

ログイン後、以下のコマンドを実行し、いくつかの質問に答えれば OK だ。

vyos@vyos:~$ install image

その後、再起動する。

vyos@vyos:~$ reboot

再起動前は、 cat /proc/cmdline のカーネルに渡された BOOT_IMAGE が /live/vmlinuz となっていたのが、

vyos@vyos:~$ cat /proc/cmdline # 再起動前
BOOT_IMAGE=/live/vmlinuz boot=live components hostname=vyos username=live nopersistence noautologin nonetworking union=overlay console=ttyS0,115200 console=tty0 net.ifnames=0 biosdevname=0 initrd=/live/initrd.img

再起動後は、 install image の途中で入力したイメージ名のものに変更されていることがわかる。

vyos@vyos:~$ cat /proc/cmdline # 再起動後
BOOT_IMAGE=/boot/1.3.2/vmlinuz boot=live rootdelay=5 noautologin net.ifnames=0 biosdevname=0 vyos-union=/boot/1.3.2 console=tty0 console=ttyS0,115200

VyOS の初期設定

VyOS の操作は VyContol に任せたい… が、どうしても VyControl から VyOS にアクセスできるようにするため、以下の 3点はコマンドで設定する必要がある。

インターフェースへの IP の設定
- 以下の例では、 192.168.11.254/24 に設定
DHCP サーバーの起動
- 以下の例では、 192.168.11.0/24 のサブネットに、 DNS, デフォルトゲートウエイを自分自身、 DHCP の貸し出し範囲を .17 から .126 の範囲で指定
(VyControl で操作させるための) HTTP API の有効化
- API のアクセスキーを my_secret_key (任意の文字列) に設定

このため、 VyOS のコンソールでログインし、以下のコマンドを入れる。

vyos@vyos:~$ configure
vyos@vyos# set interfaces ethernet eth0 address '192.168.11.254/24'
vyos@vyos# set service dhcp-server shared-network-name 'subnet01'
vyos@vyos# set service dhcp-server shared-network-name 'subnet01' subnet '192.168.11.0/24' default-router '192.168.11.254'
vyos@vyos# set service dhcp-server shared-network-name 'subnet01' subnet '192.168.11.0/24' name-server '192.168.11.254'
vyos@vyos# set service dhcp-server shared-network-name 'subnet01' subnet '192.168.11.0/24' range 0 start '192.168.11.17'
vyos@vyos# set service dhcp-server shared-network-name 'subnet01' subnet '192.168.11.0/24' range 0 stop '192.168.11.126'
vyos@vyos# set service https api keys id my_id key 'my_secret_key'
vyos@vyos# set service https certificates system-generated-certificate lifetime '65535'
vyos@vyos# set service https virtual-host vyos1 listen-address '192.168.11.254'
vyos@vyos# set service https virtual-host vyos1 listen-port '6443'
vyos@vyos# set service https virtual-host vyos1 server-name 'vyos1.example.com'
vyos@vyos# commit
vyos@vyos# save
vyos@vyos# exit

これで、 VyOS 側の設定は完了だ。

VyControl の起動

GNS3 GUI 上で、テンプレート一覧から VyControl をドラッグ＆ドロップして、プロジェクトに追加する。

スイッチングハブか何かを間に咬ませて（2デバイスを繋ぐだけなら無くても良いけど）、 VyOS と VyControl を結線する。

デバイスアイコンの右クリックで Edit config をクリックして、コンテナの /etc/network/interfaces を編集する。

# DHCP config for eth0 の部分のコメントアウトを外せば、 VyOS の DHCP から IPアドレスを取得するようになる。

その後、デバイスアイコンの再度右クリックで Start を選択し、コンテナをスタートさせる。
デバイスアイコンをダブルクリックすると、コンテナ内にフォワードされるアドレスがブラウザ側で開く。

VyControl の初期設定

VyControl の初回アクセス時は、管理者アカウントを作るように表示されるので、適当なユーザー名とパスワードで作成しておく。

そして、 VyControl のコントロール対象の VyOS インスタンス情報を設定してやる。

Router の Interfaces 情報を開き、 VyOS ルーター側の interface 一覧が表示されていれば、設定は完了だ。

以上で、 VyControl から VyOS が操作できるようになった。

トラブルシューティング

VyOS 起動時に `KVM acceleration cannot be used` と出る

VyOS 起動時に、以下のようなエラーが出て起動に失敗するケース。

text/plain KVM acceleration cannot be used (/dev/kvm doesn't exist). It is possible to turn off KVM support in the gns3_server.conf by adding enable_kvm = false to the [Qemu] section.

① 環境導入編で触れていた、「入れ子になった（ネストされた）仮想化」が機能しておらず、 GNS3 VM の中で更に、 KVM という仮想化支援機能を使用して二重の仮想化にて VyOS を起動するのに失敗している。
GNS3 VM を開くと以下のように "KVM support available: True" となるべきところが "False" となっていると思われる。

まずは、 OS のバージョンや CPU, 仮想化管理ツールのバージョンが、ネストされた仮想化をサポートしているかをもう一度確認しよう。

しかし、 CPU や仮想化管理ツールの組み合わせによっては、どうしても有効化できない場合がある。

そういった場合は、動作速度は遅くなるが KVM による仮想化支援機能を無効化してしまう方法もある。

まず、 VM管理ツールや ssh で GNS3 VM の管理画面に入る
メニューから Configure を選択する
以下の内容を追記し、 Ctrl+X で保存、その後 GNS3 VM を再起動する。
```
[Qemu]
enable_kvm = false
```

ただし、 VyOS の動作速度がかなり落ちるので注意。

次回

最後となる次回は応用編。

GNS3 に VyOS 仮想ルーターを追加する長い道のり② イメージ準備編

2022-12-28T23:43:42+09:00

本記事は【アットホームな現場です】🎄★☆ネットワーク系エンジニア★☆アレコレアウトプット★☆🎄 Advent Calendar 2022 15日目の記事だ。（空いていたので埋め）

GNS3 という OSS のネットワークエミュレータを、 Cisco の IOS などの取得なしに、無料のライセンス内で利用できるようにしようという話。

前回の環境導入編に続く第2回。
https://crieit.net/posts/GNS3-VyOS

GNS3 のインストールと GNS3 VM へのアタッチが完了している状態から始める。

VyOS イメージの取得

GNS3 のマーケットプレイスには、 VyOS のテンプレートが用意されており、これを使うと手軽に GNS3 内で VyOS のルーターを追加できる。

このテンプレートを使うためには、 VyOS の特定のバージョンの ISO イメージファイルが必要だ。
しかし、 VyOS の LTS 版では、ビルド済みイメージのダウンロードは、サブスクリプション契約者（または非営利団体など）のみとなっている。
https://docs.vyos.io/en/equuleus/installation/install.html#download

一方で、 VyOS 自体は OSS であり、 GPL のライセンスを守る限りソースコードを自由にビルドして利用できる。そのビルド自体も docker を利用したツールセットが用意されていたりと、比較的しっかり整備されていて失敗しにくい。
あまり性能が高くないノートPC でも 10分程度でビルド可能だ。

VyOS イメージを自分でビルド

このため、マニュアルの Build 手順に従って VyOS 1.3 を自分でビルドしてイメージファイルを作成しよう。

そのビルドには、前回インストールした Docker が必要となる。
加えて、 Docker は WSL2 内のディストリビューションから利用する必要がある。
Docker 自体は、 Windows のシェル (コマンドプロンプトや PowerShell) から直接起動できるが、今回行う作業では Windows と Linux のファイルシステム違いによる問題で、ビルドが失敗してしまうためだ。

というわけで、前回 WSL Integration を有効にした、適当な WSL2 ディストリビューション (Ubuntu 22.04.1 LTS など) を起動する。
適当な空のフォルダをカレントフォルダに設定し、以下のように実行する。

git でビルドスクリプトを clone して、 docker でビルド環境を起動する

$ git clone -b equuleus --single-branch https://github.com/vyos/vyos-build.git
$ cd ./vyos-build/
$ docker run --rm -it --privileged -v $(pwd):/vyos -w /vyos vyos/vyos-build:equuleus bash

docker コンテナに入ったら、以下のコマンドでビルドする。

vyos_bld@xxxx:/vyos# ./configure --architecture amd64 --build-type release --version 1.3.2
vyos_bld@xxxx:/vyos# sudo make iso

ビルドが成功すれば、 build ディレクトリに .iso ファイルが出力されているはずだ。ホスト PC 側から WSL2 内のビルドディレクトリを開き、ホスト PC にコピーする。
- \\wsl$\\... のネットワークパスで、ホスト PC側から WSL2 のファイルを参照できる。

ちなみに、このビルド手順に関しては、プロキシ環境下ではどうしてもうまくビルドができなかった。
ビルドスクリプトが、プロキシ環境下のことをあまり考慮していないのだと思われる。

VyOS イメージの野良ビルドを取得する

もし自分でイメージのビルドができなかった場合…

GPL のライセンス上、ビルドしたイメージを再配布することも再配布されたビルドを利用することも、ライセンスを守る限り問題は無い。
このため、 VyOS の LTS版のビルドを公開している人がいるので、それを取得して利用することもできる。

→ Releases · 9l/vyos-build-action

GitHub Actions でビルドされており、比較的信頼できそうなイメージではあるが、 VyOS 以外の第三者によるもので何か余計な物が仕込まれているリスクは上がるので、利用に関しては自己責任で。

最初からこれを紹介しとけよって？まぁまぁ、自分でビルドできるならそれに越したことはないし。

VyOS のテンプレートを GNS3 に取り込み

GNS3 のマーケットプレイス Appliances から VyOS のテンプレート (vyos.gns3a) をダウンロードする。
GNS3 GUI の [File]->[Import appliance] メニューから、ダウンロードした vyos.gns3a を取り込む。
取り込み先をどこにするか聞いてくるので、 GNS3 VM を選択する。（これまで手順通りなら、他の選択肢はグレーアウトされているはず）
GNS3 VM 内で VyOS を動かす仮想マシン (入れ子の VM) をどれにするか選択する。デフォルトの選択で問題ないはず。
必要なファイルをインポートする。
1. まず、 empty8G.qcow2 を選択し、 [Download] をクリックすると、自動的に sourceforge.net のダウンロードページに飛ばされるので、それをダウンロードする。
2. [Import] ボタンで、 ↑ でダウンロードされたファイルを選択すれば、 "Found on GNS3 VM" と表示が変わる
3. vyos-x.x.x-amd64.iso のほうは、 "Allow custom files" のチェックボックスにチェックをつけてからインポートする。これは、セルフビルドや野良ビルドをインポートする際に、公式提供の .iso とファイルハッシュが異なるために、エラーとなるのを回避するためだ。
  
  [Import] ボタンから .iso ファイルをインポートすると MD5 チェックサムが異なると怒られるが、それでもインポートを続行させる。
Ready to install 表記に変わったら、その version を選択して、 Next をクリックする。
- 他のバージョンの VyOS を用意する場合は、インポートの動作を繰り返す。

これで、 GNS3 で VyOS を利用する準備が整った。

VyControl Docker イメージを GNS3 に取り込み

VyOS を操作するフロントエンドとなる VyControl を、 Docker で導入する。

公式で用意されている robertoberto/vycontrol イメージを入れれば良い… と言いたいところなのだが、別途用意した advanceboy/vycontrol-host のイメージを使う。

GNS3 で vycontrol コンテナがホストする HTTP サーバーを操作する際、 GNS3 がフォワーディングしてくれので、ホスト側のブラウザを使用する。
ところが、 vycontrol の公式イメージは 127.0.0.1 以外でのアクセスを禁止しているので、フォワーディングされたアドレスで UI に入ることができない。

そこで、 ALLOWED_HOSTS という環境変数経由でアクセスに使える IPアドレスを指定可能に改造したイメージを使用する。
https://github.com/advanceboy/vycontrol-host

GNS3 の [Edit]->[Preferences] から "Docker container templates" の設定を開き、 [New] をクリック。
Docker コンテナを実行する場所をどこにするか聞いてくるので、 GNS3 VM を選択する。（これまで手順通りなら、他の選択肢はグレーアウトされているはず）
New image の Image name に、先ほどの advanceboy/vycontrol-host:latest のイメージ名を設定する。
- ちなみに、 GNS3 VM のシェル側で docker pull をあらかじめ実行しておけば、 "Existing imases" の選択肢に現れるようになる。
Template name は、適当にわかりやすい名前で。 Adapter 数は 1 で OK。 Start Command も空でよい。
Console type を "http" に設定する。
Environment で、 ALLOWED_HOSTS=* を設定して、コンテナテンプレートの設定を完了させる、
"Docker container templates" の設定から [Edit] で詳細設定画面を開き、 "HTTP port in the container" を 8000 に設定する。
更に、 Advanced タブに移動して、コンテナの永続化パスに /code/db.sqlite3 を追加する。

これで、 GNS3 で VyControl を利用する準備が整った。

ついでに、 curl などが利用できる buildpack-deps:stable-curl イメージあたりも追加しとくと便利かもしれない。

次回

次回は、いよいよ GNS3 で VyOS を実行する。

GNS3 に VyOS 仮想ルーターを追加する長い道のり① 環境導入編

2022-12-23T23:58:54+09:00

本記事は【アットホームな現場です】🎄★☆ネットワーク系エンジニア★☆アレコレアウトプット★☆🎄 Advent Calendar 2022 8日目の記事だ。（空いていたので埋め）

GNS3 という、オープンソースのネットワークエミュレータがある。

GUI 上で、様々なネットワーク機器を仮想環境に設置して、仮想ネットワークを構築できる、大変優れたツールだ。

実際に、ルータや端末を沢山用意して物理的に結線せずとも、 PC 上で簡単にネットワークを作成できるので、ネットワークの勉強の為に、いわゆるネットワークラボ環境を準備には最適だ。

しかし、一つ大きな問題がある。
GNS3 自体には、基本的なハードウェアのエミュレータしか含まれていないため、ルーターなどを使うには、 "Cisco の IOS" といった「ルーターのソフトウェア」を別途用意しなくてはならない。

すでに Cisco のルーターを持っていて、 IOS イメージなどが手に入るならよいのだが、そうではない場合合法的にこういったイメージを入手するのは（主に金銭的な意味で）厳しい。

ネットワークの検証や勉強をする目的であれば、何も Cisco のルーターでなくとも、使う分には問題ないはずだ。

…ということで、 VyOS という OSS のネットワークデバイスを、 Windows 上の GNS3 で使えるようにするまでの長い道のりを、数回に分けて紹介しようと思う。

とりあえず、今回は環境導入編。

OS

実行する Windows のバージョンは、 CPU が Intel なら Windows 10 で問題ないが、 CPU が AMD (Ryzen/Epic) の場合 Windows 11 以上が望ましい。
これは、入れ子になった（ネストされた）仮想化による仮想マシンのサポートが、 OS 側に必要であるためだ。
(一応、 AMD のサポートは Windows 10 Build 19640 以上となっているが、このバージョンはプレビュービルドしか存在しない)

一応、上記を満たしていなくても動作させることは可能だが、内部で仮想化支援機能が働かないので、 VyOS の動作が著しく遅くなる。

ちなみに、 ARM Windows はそもそもサポートされない。

VyOS と VyControl

VyOS とは、オープンソースのネットワーク機器向けの OS で、 Linux をベースとしたディストリビューションである。

ルーティングからファイアウォール、パケットフィルタから負荷分散まで、商用ルータに劣らない様々な機能を持っている。

VyOS の設定は、基本的に専用のコマンドを用いて行うのだが、最初からそれを学ぶのは学習コストが高い。
そこで、 VyControl という VyOS 向けのシンプルな GUI フロントエンドと組み合わせるところまで、構築していきたいと思う。

環境構築に必要なもの

しかし、 GNS3 上で VyOS を利用できるようにする道のりは長い。

まず、 VyControl を使うためには、 VyOS 1.3 以上が必要となる。
実は、ビルド済みの安定板の VyOS イメージは、サブスクリプション契約をしないとダウンロードできない。

VyOS 自体は、前述のとおり OSS なのでソースコードを自由に取得できる。
そのビルド自体も docker を利用する仕組みがしっかりと用意されおり、環境依存なども少なく失敗しにくい。
あまり性能の高くないノートPCでも、 10分程度でビルド可能だ。

Windows 上で VyOS 1.3 のイメージをビルドするには、 WSL2 と Docker (Docker Desktop または Rancher Desktop) が必要だ。
Docker Desktop を使えば、 Windows のシェルから直接 Docker を起動できるが、ファイルシステムの問題でビルドエラーになるため、 WSL が必要となる。

また、 GNS3 を Windows 上で使うには、別途 VirtualBox などの仮想マシン管理ツールが必要となる。 ¹
以降、無料で使用できる VirtualBox での利用方法を中心に説明するが、他の仮想マシン管理ツールを利用する場合は適宜読み替えていただきたい。

GNS3 は、この VirtualBox の中に "GNS3 VM" という仮想マシンを作成し、その中でさらに QEMU の仮想マシンや、 docker コンテナ (※) を作成し、ネットワークをエミュレーションを行うのが、基本的な仕組みとなる。

※: VyOS のビルドに使用した docker とはまた別の環境。

…とまあ、いろいろツールの名前が出てきたが、これらの構成をまとめると、以下の図のようになる。

これらを順にインストールしていこう。

なお、このうち WSL2 と Docker Desktop については、 VyOS の ISO イメージのビルドを自分でせず、野良ビルドを使う場合はインストール不要だ。 (詳しくは次回②に記載)

WSL2

WSL のインストール | Microsoft Learn
のページの内容に則り、以下の手順でインストールする

PowerShell または Windows コマンドプロンプトを管理者モードで開く
以下のコマンドを入力して PC を再起動する
```
wsl --install
```
以下のコマンドで、 WSL で作成される WSL バージョンを WSL2 を規定にする。
```
wsl --set-default-version 2
```
Microsoft Store などから、適当な WSL ディストリビューション (Ubuntu 22.04.1 LTS など) をインストールする

Docker Desktop

Docker Desktop のインストーラを取得し、ウィザードに従ってインストールする。

インストール後、設定から WSL Integration を有効にする。

もし、ライセンス的に Docker Desktop が使いづらい環境なら、以下の Rancher Desktop の手順を参照。

https://aquasoftware.net/blog/?p=1703

VirtualBox

VirtualBox で、 Version 6.1 以上を取得して、ウィザードに従ってインストール。

こちらは特に気を付けるべきことはなかったと思う。

GNS3

GNS3 本体のインストール

GitHub の gns3-gui プロジェクトのリリースページから、最新バージョンの

GNS3-*-all-in-one.exe

をダウンロードし、実行する。

インストールするコンポーネントを選択するところで、

GNS3 Desktop
GNS3 VM

の2つだけを選択してそれ以外の選択を（外せる物は）全て外す。 ²

ウィザードを進めると、 GNS3 の VMタイプを選ぶ場面になるので、 VirtualBox を選択する。

そのままインストールを進め、初回起動の段階で一旦休憩。

GNS3 VM のインポート

次に、インストール途中で "ダウンロード" フォルダあたりにダウンロードされていた、 GNS3.VM.VirtualBox.*.zip を解凍して GNS3 VM.ova を取り出す。 ³

VirtualBox を起動し、この GNS3 VM.ova を「仮想アプライアンスのインポート」にて、 "GNS3 VM" という名前でインポートする。

その後、 PowerShell を立ちあげ、以下のコマンドを実行する。
これにより、前述の入れ子になった（ネストされた）仮想化による仮想マシンの機能が有効化される。 ⁴

$env:Path += ';' + 'C:\Program Files\Oracle\VirtualBox\';
VBoxManage.exe modifyvm 'GNS3 VM' --nested-hw-virt on;

GNS3 上の VM の設定

GNS3 の初回起動に戻ると、 GNS3 のネットワークシミュレーションをどのように実行するか選択肢が出てくる。

The GNS3 VM option is strongly recommended on Windows and Mac OSX.

と書かれているように、 Virtual Machine を選択する。

Local server の設定はデフォルトのままで良い。この設定を使って、 GNS3 VM で動くサービスがホストされ、 GNS3 GUI がそのサービスと通信することでツールが動作する仕組みとなる。

改めてもう一度 GNS3 VM がどの仮想マシンマネージャーを使うか効いてくるので、 VirtualBox を選択する。

vCPU や RAM のサイズ (特に前者) は、ホスト PC のリソースが許す限り豊富に設定しておいた方が良い。

GNS3 起動後、 [Edit]->[Preferences] の [GNS3 VM] の設定でも、もう少し細かい GNS3 VM の設定ができる。
"Run the VM in headless mode" や "Action when closing GNS3: suspend the GNS3 VM" あたりの設定は ON にしておいた方が便利。

正しくセットアップできていれば、 GNS3 起動後暫くしたら、 Servers Summary ウィンドウの GNS3 VM がグリーンになっているはずだ。

GNS3 VM 側の設定

VirtualBox 側で立ち上がった GNS3 VM を開くと、以下のように VM 情報が表示されている。

この画面 (TUI) を直接操作したり、画面に書かれているアドレスやパスワードで ssh することで、 GNS3 VM 内部のより細かい設定ができる。

例えば、プロキシ環境下でプロキシの設定が必要な場合、以下の 2カ所の設定を行う。

VM 情報のページから [OK] -> メニューで [Proxy] と選択し、 http://203.0.113.99:8080 と言った形で指定する。
- VM 内からホストPCで設定されている DNS は見れず、 DNS は 8.8.8.8 や 8.8.4.4 が決め打ちされている。イントラネット内の名前解決はできないので、プロキシがイントラネット内なら、ホスト名では無くて IPアドレスで指定する方が良い。

メニューで [Shell] を選択して以下のように実行し、 docker デーモン (dockerd) にもプロキシの設定を反映させる。

gns3@gns3vm:~$ sudo mkdir -p /etc/systemd/system/docker.service.d
gns3@gns3vm:~$ sudo tee -a /etc/systemd/system/docker.service.d/http-proxy.conf /dev/null
[Service]
Environment="HTTP_PROXY=$http_proxy"
Environment="HTTPS_PROXY=$https_proxy"
EOF
gns3@gns3vm:~$ sudo systemctl daemon-reload
gns3@gns3vm:~$ sudo systemctl restart docker
gns3@gns3vm:~$ cat  ~/.docker/config.json
{"proxies":{"default":{"httpProxy": "$http_proxy","httpsProxy": "$https_proxy","noProxy": "127.0.0.0/8"}}}
EOF

GNS3 から VirtualBox を操作する部分の作り込みが甘いのかもしれないが、 GNS3 VM が再起動されると GNS3 から VM を正常に操作できなくなってエラーが起きがちだ。
このため、一通り GNS3 VM の設定が終わったら、 GNS3 (GUI) 側を再起動したほうが良い。

次回

次回は、 GNS3 に入れる VyOS イメージのビルドと、 GNS3 に VyControl のコンテナを準備する。

VirtualBoxではなくHyper-Vなども使えることは使えるが、仮想NICの扱いの仕組み上Hyper-Vだと若干ややこしい。（GNS3 VMのIPアドレスが毎回わかるとか、VPN環境下で使いにくいとか） ↩︎
GNS3は、VMではなくホストPC上で直接ネットワークをエミュレートする方法もあり、そういった場合にTool以下のソフトが必要になるのだが、今回はVM上でエミュレートしているので、これらの殆どはホストPC側にインストールする必要が無い。強いて言うならNPCAPとWiresharkはインストールしても良いかも。 ↩︎
ダウンロードし間違えたり、どこにダウンロードされたかわからない場合、前述のリリースページから手動でダウンロード可能。 ↩︎
Hyper-Vの場合は、GNS3.VM.Hyper-V.*.zip内のinstall-vm.batのバッチを実行すれば、自動的にネストされた仮想化が有効になる。 ↩︎

ルータを経由すると仮想ブリッジ接続の VM にアクセスできない？

2019-11-25T04:32:35+09:00

今回は、ネットワークの話。

解決してみれば割としょうも無いトラブルで、時間を浪費してしまったので、自戒の意味を込めて記事にしておく。

サブネット外から ping が通らない

ある日、ホストPC の NIC とブリッジ接続されている VM に、サブネット外からアクセスできなくなってしまった。

構成を図にすると、以下のような感じ。
(あまり UML図に明るくないので、書き方がヘタクソだったり本来の意味と違う記号の使い方をしている点は大目に見て欲しい。)

同一サブネット内 (図の "Machine on Same Subnet") から 172.16.42.16 を叩くと VM ゲストに到達するのだが、サブネット外 (図の "Machine on Different Subnet") からだと ping すら通らない。

以前は同じ構成で、サブネット外から繋がっていたはずだ。

ちょうど直前に、ネットワーク機器のメンテナンスがあったため、そちらで IPフィルタの動作がおかしくなったのではないかと疑ってしまった。
しかし、繋がらなくなった直接的な原因は、 VM Gurest 側にあった。
このため、答えにたどり着くのに時間がかかってしまった。

アクセスできなかった原因

上の図で若干答えを示唆してしまっているが、 VM Guest に繋がっているもう一つの仮想ネットワークアダプタ (図の "eth0") が原因だ。

この eth0 は NAT 経由でホスト側のネットワークに繋がっていた。
そして、 eth0 の metric が、 eth1 よりも短くなる設定に変更してしまっていたのだ。
(何故そんな繋ぎ方をしているかというと、ホスト PC の IP として通信させたい事情があったから。理由は察して。)

構成を図にしてみると、以下のような感じ。

このような構成だと、 VM Guest からの通信は全て、より『距離が近い』と見做される eth0 と NAT 経由で行われるようになる。

通常、ルータや L3スイッチなどが、 IPアドレスと MACアドレスの対照表である ARP テーブルに載っていない IP のパケットを受け取った場合、サブネット内に ARP リクエストパケットをブロードキャストして、対象の MACアドレスを探しに行く。
しかしこのサブネットの間を取り持っているルータは、どうも ARP テーブルに載っかっていない IP へのパケットを全て破棄してしまうらしい。
（レイヤ3 の知識が不十分なので、正確な説明ではないかも知れないが、雰囲気だけでも伝われば。）

つまり、 VM Guest から eth1 を経由してルータに到達する通信がなかったために、ルータが eth1 の MACアドレスを知らず、パケットが全て破棄されてしまっていたようだ。

以前通信できていた頃は、 eth0 より eth1 からの通信の方が metric が近かったため、 eth1 からルータを経由してインターネットへ向かう通信が存在し、ルータが eth1 の MACアドレスを知っていたため、サブネット外からの通信がちゃんと eth1 に届いていたのだろう。

一方、同一サブネット内の "Machine on Same Subnet" からの通信は、この Machine が直接 ARP リクエストパケットをブロードキャストして、 eth1 の MAC アドレスを見つけられるため、 metric の距離にかかわらず通信できていたのだと思われる。

解決策

VM Guest の eth1 から通信が外に出るように metric の設定を変更して、適当なパケットを投げたところ、サブネット外から eth1 の IPアドレスに通信ができるようになった。

ルータがサブネット内の未知の IPアドレスへのパケットを全て握りつぶすというのは、盲点だった。。。

仮想マシンのそれぞれレベルの違い（Basic, 低優先度、standard)

2019-07-28T07:41:37+09:00

仮想マシンのサイズのレベルでは、Basic, 低優先度とstandardがあります。

Basicレベル
負荷分散、オートスケーリング、メモリ消費量の多い仮想マシンのいずれも必要としない開発ワークロード、テストサーバー、その他のアプリケーションの経済性の高いオプション。

低優先度レベル
一般的に、ジョブが多数の並列タスクに分割されていたり、スケールアウトされた多数のジョブが多数の VM に分散されていたりするバッチ処理ワークロードに適しています。

Standardレベル
最高の柔軟性。仮想マシンのすべての構成および機能がサポートされます。

「VM」の記事 - Crieit

GNS3 に VyOS 仮想ルーターを追加する長い道のり④ 応用編

GNS3 に VyOS 仮想ルーターを追加する長い道のり③ 実践編

VyOS 起動時に KVM acceleration cannot be used と出る

GNS3 に VyOS 仮想ルーターを追加する長い道のり② イメージ準備編

GNS3 に VyOS 仮想ルーターを追加する長い道のり① 環境導入編

ルータを経由すると仮想ブリッジ接続の VM にアクセスできない？

仮想マシンのそれぞれレベルの違い（Basic, 低優先度、standard)

VyOS 起動時に `KVM acceleration cannot be used` と出る