駄文置場

PC、ガジェット、音楽に関して自分が興味がある事をツラツラと書いていく駄文置場です。

Raspberry Pi 3の初期設定、セキュリティ、VPN

Raspberry Pi 3を購入したので、
初期設定、セキュリティ設定、VPNサーバー立ち上げまでの流れを書いてみます。
基本的にWindows上で操作しますが、一部だけRaspberry Pi 3で操作します。

1)Raspbian Jessie with PIXELのダウンロード

https://www.raspberrypi.org/downloads/raspbian/

Version: April 2017
Release date: 2017-04-10
Kernel version: 4.4

これを落とした。

2)Win32 Disk Imagerのダウンロード

https://sourceforge.net/projects/win32diskimager/files/Archive/

Win32DiskImager-1.0.0-binary.zip

これを落とした。

3)SDカードへの書き込み(Transcend microSDHCカード 16GB Class10 UHS-I対応 TS16GUSDU1P)

Writeで書き込む。

a

4)USBマウスとキーボード、HDMIケーブルでモニタを取り付けた上で Raspberryの設定で以下を設定(Raspberry Pi 3で作業)

Raspberry Pi 3にSDカードを装着し、起動してから以下を設定

・ホスト名変更(任意)
・SSHの有効化
・ロケール、タイムゾーン、キーボード、無線LANを日本に設定


5)IPアドレスの固定化(Raspberry Pi 3で作業)

ターミナルを開き以下の設定に変更(xxの所は自分の環境にあわせて設定)

sudo nano /etc/dhcpcd.conf

----------------------------------------
interface eth0
static ip_address=192.168.xx.xx/24
static routers=192.168.xx.xx
static domain_name_servers=192.168.xx.xx
----------------------------------------

sudo reboot

6)Tera Termのダウンロード

https://ja.osdn.net/projects/ttssh2/

teraterm-4.95.zip

これを落とした。

7)Tera TermでSSH接続

192.168.xx.xx に接続

ユーザ名 pi
パスワード raspberry

8)NTPサーバーを設定を変更する

sudo nano /etc/ntp.conf

----------------------------------------
# pool.ntp.org maps to about 1000 low-stratum NTP servers.  Your server will
# pick a different set every time it starts up.  Please consider joining the
# pool: <http://www.pool.ntp.org/join.html>
#server 0.debian.pool.ntp.org iburst
#server 1.debian.pool.ntp.org iburst
#server 2.debian.pool.ntp.org iburst
#server 3.debian.pool.ntp.org iburst
pool ntp.nict.jp iburst
----------------------------------------

9)pi / rootのパスワードを設定

sudo passwd pi
sudo passwd root

10)Swap廃止、ramdisk構築(ramdiskは64mb)
sudo swapoff --all
sudo apt-get remove dphys-swapfile
sudo nano /etc/fstab

----------------------------------------
tmpfs    /tmp    tmpfs    defaults,size=64m,noatime,mode=1777 0 0
tmpfs    /var/tmp    tmpfs    defaults,size=64m,noatime,mode=1777 0 0
----------------------------------------

sudo reboot

11)アプリのインストール
リモートデスクトップと、ファイアウォールを入れた。

sudo apt-get update
sudo apt-get upgrade
sudo apt-get install tightvncserver
sudo apt-get install xrdp
sudo apt-get install ufw

sudo reboot

12)xrdpの初期設定


cd /etc/xrdp/
sudo wget http://w.vmeta.jp/temp/km-0411.ini
sudo ln -s km-0411.ini km-e0010411.ini
sudo ln -s km-0411.ini km-e0200411.ini
sudo ln -s km-0411.ini km-e0210411.ini
sudo service xrdp restart

13)ファイアウォールの初期設定

500と4500=vpn
22=ssh(ローカルからの接続のみ許可)
443=SoftEtherクライアント(ローカルからの接続のみ許可)
3389=リモートデスクトップ(ローカルからの接続のみ許可)
3350=リモートデスクトップ(ローカルからの接続のみ許可)

外部へは500/udp 4500udpのみ開放となる。
それ以外は全て閉じている状態になります。

公開されたポートはL2TP/IPsecで接続を許可する事になるので、
ここのセキュリティ管理(SoftEtherの初期設定、一番最後に記載)を重視しておけば
ほぼセキュリティは問題ないと考えます。

sudo ufw disable
sudo ufw default deny
sudo ufw allow 500/udp
sudo ufw allow 4500/udp
sudo ufw allow from 192.168.xx.0/24 to any port 22 proto tcp
sudo ufw allow from 192.168.xx.0/24 to any port 443 proto tcp
sudo ufw allow from 192.168.xx.0/24 to any port 3389 proto tcp
sudo ufw allow from 192.168.xx.0/24 to any port 3350 proto udp
sudo ufw enable

14)SoftEther VPN Serverのインストール

最新の製造工程版、SoftEther VPN Server (Ver 4.20, Build 9608, rtm) を入れる事にした。

su-

wget http://jp.softether-download.com/files/softether/v4.20-9608-rtm-2016.04.17-tree/Linux/SoftEther_VPN_Server/32bit_-_ARM_EABI/softether-vpnserver-v4.20-9608-rtm-2016.04.17-linux-arm_eabi-32bit.tar.gz

tar zxvf softether-vpnserver-v4.20-9608-rtm-2016.04.17-linux-arm_eabi-32bit.tar.gz

cd vpnserver
make
cd ../
mv vpnserver /usr/local/
cd /usr/local/vpnserver
sudo chmod 600 *
sudo chmod 700 vpn*
sudo nano /etc/init.d/vpnserver

----------------------------------------
#!/bin/sh
### BEGIN INIT INFO
# Provides:                 vpnserver
# Required-Start:           $local_fs $network
# Required-Stop:            $local_fs $network
# Default-Start:            2 3 4 5
# Default-Stop:             0 1 6
# Short-Description:        SoftEther VPN 4.20 RTM
# Description:              Start vpnserver daemon SoftEther VPN 4.20 Server
### END INIT INFO

DAEMON=/usr/local/vpnserver/vpnserver
LOCK=/var/lock/vpnserver

. /lib/lsb/init-functions
test -x $DAEMON || exit 0

case "$1" in
start)
sleep 3
log_daemon_msg "Starting SoftEther VPN 4.20 Server" "vpnserver"
$DAEMON start >/dev/null 2>&1
touch $LOCK
log_end_msg 0
sleep 3

# SoftEther VPNで追加した仮想tapデバイス名を調べる
tap=`/sbin/ifconfig -a| awk '$1 ~ /^tap/ {print $1}'`
/sbin/brctl addif br0 $tap
;;

stop)
log_daemon_msg "Stopping SoftEther VPN 4.20 Server" "vpnserver"
$DAEMON stop >/dev/null 2>&1
rm $LOCK
log_end_msg 0
sleep 2
;;

restart)
$DAEMON stop
sleep 2

$DAEMON start
sleep 5
# SoftEther VPNで追加した仮想tapデバイス名を調べる
tap=`/sbin/ifconfig -a| awk '$1 ~ /^tap/ {print $1}'`
/sbin/brctl addif br0 $tap
;;

status)
    if [ -e $LOCK ]
    then
        echo "vpnserver is running."
    else
        echo "vpnserver is not running."
    fi
;;
*)

echo "Usage: $0 {start|stop|restart|status}"
exit 1
esac
exit 0
----------------------------------------

sudo chmod +x /etc/init.d/vpnserver
sudo apt-get -y install chkconfig
sudo chkconfig --add vpnserver

15)SoftEtherの初期設定

以後クライアント側の設定となりWindows上で作業をするが、
画面がないと煩雑なので以下URL参照の事。(リンクは貼っていません)

http://俺の技術メモ.net/raspberry-pi2-vpnserver-part2/

ただしこのURLの一番最後にある「本番設定」「起動スクリプトを作り直す」の2つは、
仮想HUBを作っていないので、作業不要。

16)本体の設定方法

IMG_0337

こんな感じで背面の熱を放熱しやすい向きに設置すると良いかと。

vcgencmd measure_temp

このコマンドでCPU温度を見ることができる。
ラズバイ3のCPUは最大85度まで動く模様。
我が家はケース装着、自然冷却で60度~67度の間をウロウロ。

<2017/6/21追記>
ケースファンを追加した。
見た目は格好悪いですが、ケースの横に紐でくくりつけて運用中。

IMG_0342

Scythe AS-71G2 [USB変換ケーブル]
オウルテック Owltech FANGuard-M8(B)/II [ファンガード 8cm ブラック]
オウルテック Owltech SF8-S2 [ケースファン 1300RPM 80mm角 25mm厚 リブ無し]


この3点セットです。最大10dbと超静音でノイズは全くきにならず。
これを常時まわしてあげると、
48~49度で飽和し-15度位さがったので十分かと!

これで常時運用可能なVPNサーバーが構築できた。

===以上===

で、ある調で書きたかったのですが、なんか中途半端になってしまった・・・。

さて、セキュリティ対策について少し補足です。
piのユーザ名を変更する事や、
sshのポートを変更する事を推奨している例もあるのですが、
今後のメンテナンス性などを考えて、
このあたりは意図的に弄らないようにしました。

UFWで本当に最低限のポートしか空けていませんし、
原則サーバーとしての利用なので、
ラズベリーパイ側から積極的に外部アクセスもしないため、
ウイルス進入の可能性も低いと考えます。
必要があればClamAVを入れておけばより安心だとは思います。

外部公開ポートはL2TP/IPSec接続のポートのみとなりますが、
暗号化を担うIPsecプロトコルを米NSAあたりが破ったという噂はあるものの、
その他で不正事例は聞きませんので、安全性は高いと思います。
となると正攻法で正面突破しかありませんが、
そもそもIPSecをやぶる事はスパコンレベルの演算能力があり、
かつ高度な技術がないと無理でしょうから、
VPNの接続先を特定するのは難しいと思います。
よって事実上安全と言ってよいと思います。あくまで素人考えですが・・・。

そんなこんなで、今回の初期設定方法のご案内が何かの参考になれば!と思います。

AsRock DeskMini110/B/BBにWindows7をインストールする。

AsRock DeskMini110/B/BBは購入直後Windows8.1をインストールしていたのですが、
Windows7をインストールしてみたくなって試した所、ほんのちょっとだけ手間取りました。

DVDがないためUSBスティックにインストールメディアを作り、
そこからインストールとなるわけですが、
Skylake世代のAsRock製品(だけは?ほかも?)は、
Enhanced Host Controller Interface というインタフェース機能がカットされたため、
USB3.0からインストールしようとしても途中でエラーになりインストール不可になります。

対策方法ですが、AsRockのこのページにあるユーティリティを使い、
インストーラを作成すればUSB3.0からインストール可能な
USBスティックがメディアが作成できます。

WEBページで100シリーズを選び、ユーティリティをダウンロードしたら、
あとは下のほうにある画面の通りに作業すればOKです。
インストールメディアの作成時間は思ったより長く15分位?かかったと思います。

ここで作ったインストールメディアを他のメーカで使えるかは不明ですが、
無事これでWindows7をインストールできました。

AsRock DeskMini110/B/BB

AsRockのDeskMini110/B/BB という、
Mini-STXベースのベアボーンを購入致しました。

用途としては、家庭内サーバーと
x264CPUパワーによるエンコード目的です。

<<構成>>
色々検討して以下のようにしました。

CPU:Intel Core i7 6700
CPUクーラー:RAIJINTEK 0R100003
M/B・CASE:ASRock DeskMini 110/B/BB
MEM:Crucial PC4-17000 CT2K8G4SFD821(8GBx2)
HDD:手持ちの2.5インチHD×2を流用。

CPUはKabyLakeも検討はしたのですが、
Win10以外正式サポートではないのでSkyLakeに。
それとACアダプタの出力を考慮した事と、
冷却面の不安も少しあったのでKシリーズもパスしました。

<<大きさ>>
大きさは写真の通りです。
横にQNAPのNASをおきましたが、似たような大きさです。
(QNAPが使い込まれていて埃まみれなのはお許しを)
デスクトップ用のCPUを使えるPCとしては極めて小さいと思います。

①

ケース内は結構キツキツですが、配線がほぼ必要ないので、
エアフローは十分に確保できる作りになっています。

②
③
④

<<質感>>
ケースの質感は値段相応でしょうか。この位で仕方ないかなと。

<<ACアダプタ>>
大きいです、笑
もうひと回り小さいと扱いやすいと思います。

⑤

<<騒音>>
販売元で20dbと書かれている事もあり、
RAIJINTEK 0R100003を選びましたが、
少なくともスペック同等の静かさは無いように思います。

うまく表現できませんが、煩い・・・とまではいかないにせよ、
9cmファンというサイズからくる高めのノイズが耳につきます。

<<発熱>>
発熱について、HWMonitorで測定してみました。

①アイドル状態
①

②長時間動画(youtube)を再生
②

③アプリ(DVDから6GB程度)をインストール
③

④x264(CPU)でエンコード
④

私の利用用途では最も重たいx264のCPUエンコードをしても、
クロック上昇もこの程度ですので、
端的にいうとオーバースペックだと思いました、笑
2コアCPUはきついですが、4コアのi5で十分だったかもしれません。

次に発熱面ですが、CPUファンを50%の力で回していますが、
エンコード程度の負荷であれば、
1500回転あたりをずっとキープし回転数はあがりません。
キンキンに冷えているとはいえないものの、
発熱としては問題ないレベルをキープできているようです。
念のため?CPUグリスを添付品ではなく、
所有していた別の物にした事が、結果として功を奏したかもしれません。

ただ、騒音の所に書いたとおり、ややCPUファンの音がきになりますので、
対策をかね、TurboBoostをOFFにした上で、
もう少しCPUファンの回転数を落としてみようと思っています。

※このブログを書いた後に、TueboBoostをOFFにし、
CPUファンの回転数を更に150回転落として、
1350回転あたりで動作するように調整した結果、
エンコード中のピーク時でも47℃~48℃と変わらぬ温度を維持できました。
TurboBoost OFFは、当然ではありますが発熱対策には効果絶大ですね。
それとHyper-Threadingは、折角i7を買ったので意地でもONのままです、笑。
肝心のノイズは気持ち小さくなった・・・?という感じでしょうか。
7~9月が温度ピークなので様子をみつつ都度調整したいと思います。

<<まとめ>>
率直にいえば「使う人を選ぶPCである」と言ってよいです。

恐らくこのパソコンは、
つけっ放しで使う事を考える方が多いのではないかと思います。

ですが、ここまで書いてきたとおり、
静音PCとは言えずCPUファンの音が気になります。
一方で、このケースの縦横の小ささは本当にすばらしく一長一短があります。

私の場合、モニタもキーボードも繋げないヘッドレス運用で、
それなりに生活音のある場所に設置したので近寄らなければ気になりませんが、
寝室や書斎など、落ち着いた静かな場所で使う・・・となると、
TDP35W位のCPUに抑えたり、完全SSD化して廃熱性能を犠牲にしつつ、
CPUファンをかなりゆっくり回して音を防ぐ等、静音化の工夫が必要となります。

ただそこまで妥協するのであれば、
もっと小型のBRIXやIntelNUCを買ったほうがよいのでは…と、
なってしまうんですよね。こういった点から、使う人を選ぶPCだと考えています。

CPUファンは小太刀の方が静かだったのかなとか、
CPUはi5でもよかったなとか、個人的に考える点はありますが、
結果として、利用用途にはばっちりですので、買ってよかったなと思っています。

先々Scytheあたりから、
9cmファン45mm厚の薄型の静音CPUファンでも出てくれば、
唯一の不満点も解消するので、
こういったものの登場を期待しつつ暫く使っていこうと思います。

<<情報追記>> 2017/06/05
慣れは恐ろしいです。きになっていたCPUファン音ですが、
数日つかっていたらほぼ気にならなくなりました。
この部屋で眠れるかというと、私は静かじゃないと無理なので厳しいですが、
それでも、日常使いでは全く気にならなくなりました。

<<情報追記>> 2017/06/06
上に書いた通り、2.5inchのHDDを起動用OSに搭載しているため、
そもそも起動などは大変に遅いわけですが、
OSが起動して安定状態になってから再起動をかけ、
再度OSが立ち上がり、操作可能になるまでの時間を計測したところ、
3分15秒でした。
計測するとわかりますが、やっぱり遅いですね…涙

Sonarworks Reference 3 Headphone calibration

Sonarworks社の「Reference 3 Headphone calibration」を購入しました。
本家サイトにて40%OFFのキャンペーンを実施していた為、8000円弱でした。

このプラグインは、フラットなリファレンス・サウンドをヘッドフォンで実現する
次世代キャリブレーションというソフトウエアと言ううたい文句ですが、
実際どういった動作するのかさっそく試してみました。

<レジストレーションについて>
本題に入る前に注意(?)が1つあります。

このプラグインはオンラインでレジストレーションすると、
sonarworks側で利用登録されますが、
セルフメンテで、ディアクティベーションする仕組みはありません。

なので例えば、別PCにライセンスを移行するとか、
自作PCでパーツ組み換えの際、構成変更が大きく別PC扱いになってしまい、
結果としてライセンス登録がうまくいかなくなってしまった場合等は、
サポートに連絡をし、ディアクテーベーションしてもらう必要があります。

出きればiLokに対応するとか、PresonusのStudioOneのように、
サイトでセルフメンテの仕組みがあれば便利ですが、この点は少し注意が必要かもしれません。

<使用方法について>
さて、このプラグインの使い方ですが、

1)マスタバスの一番最後に本プラグインを指す。
2)モニタに使うヘッドフォン用のプリセットを選ぶ。
3)音がグッとかわって聞こえやすくなるので、ミックスをする。
4)プラグインを完全無効化(Cubaseで言えばグレーアウト状態)して、ミックスダウンする。

という簡単な手順です。

4)の完全無効化してミックスダウンというのはポイントのようで、
bypassだけだと、音が変化してしまう可能性があるようです。

もう1つ注意点ですが、ヘッドフォン用のプリセットを自分で作ることはできません。
有償でsonarworksに作ってもらうことはできるようですが、
基本的には提供された物を使う事になります。
ですので、対応していないヘッドフォンでは、利用できないという点は
抑えておく必要があるかと思います
また、ヘッドフォンのプリセットはプラグインをインストールしただけでは使えず、
アクティベーションをする事で後から追加インストールされ、
初めて使えるようになる仕組みになっています。

さて、このプリセットの役割ですが、ヘッドフォン毎の周波数特性を補正し、
フラットな音に変化させて聞こえるようにする事で、
使っているヘッドフォンの違いによるミックス品質のバラつきが生じないよう
補正するためのものです。

例えば、CD-900ST・SRH-840・K240Studioは、
それぞれに音の傾向や特性がありますが、プリセットを通してから聴くと、
ほぼ同じような音の傾向や特性で聞こえるようになります。

以下が、ヘッドフォンのプリセット画面です。
※画像は購入する前に、体験版を使っているときの画像です。

CD-900ST
900st
SRH-840
840
MDR-7506
7506
K240Studio
240

それぞれのプリセットの青い線がヘッドフォンの周波数特性であり、
これと真逆の補正をかけることで、
結果として、フラットな音を実現するという仕組みになっています。
(恐らく単にEQの周波数調整だけではなく、
他にも、何かしらの補正がかかっていると思います。)

<実際の使用感について>
言葉を選ばずに言うと、このプラグイン本当にすごい・・・の一言です。

実は今まで、CD-900ST、MDR-7506、ATH-M50、SRH840、K240Studio、HD6MIXと、
複数のヘッドフォンを使い分けていたのですが、
MDR-7506、ATH-M50、SRH840については、少なくとも使う事がなくなってしまいました。
(じゃんぱらに中古売却してしまい、その費用で、トータルバランス用に
K240Studioとの親和性も考慮し、AKGのK271MkIIを導入しました。)

今回売ってしまった3本はどちらかというと、
ミキシングにも使えるものの、リスニングにも使えるヘッドフォンであり、
シビアな調整というよりは、全体的なバランスをみる事に長けているヘッドフォンと認識しています。

そのため今までは、各楽器やボーカルの距離を900STでみて、
全体のバランスをK240Studioでみて、EQ、コンプの効きをHD6MIXでみて、
最後に、MDR-7506、ATH-M50、SRH840で視聴感を調整するというやり方をとっていました。
(録音時以外は、スピーカーで作業をした上でチェックという意味ですが)

しかしこのプラグインの導入によって、
癖のあるヘッドフォンがフラットな特性で鳴るようになってくれたため、
結果として最終的な視聴感調整をせずとも、一定の品質の作品が作れるようになりました。
(念のため最後にK271MkIIで聴きますが、本当にリスナー視点で聴いています。)

恐らく、今までヘッドフォンの出音(耳にきこえる音)を
キャリブレーションするプラグインは無かったように思います。

今後対応するヘッドフォンがどれだけ増えていくかが肝ではありますが、
使って得はあれど、損はしないプラグインだと思います。

\Device\RaidPort0 にリセットが発行されました

DELL Latitude E7250ですが、出荷時には LITEON社の128GBのSSDがついていたのですが、
容量が少し小さいため、crucialの250GBに換装をしました。CT250MX200SSD3というモデルです。

もちろん動作は問題なく、順調に動いているのですが、
ある日調べてみると、イベントマネージャに謎のエラーが発生している事がわかりました。

「デバイス \Device\RaidPort0 にリセットが発行されました イベント ID 129」

これは一体何がおこっているんだろう。

Port0なので、内蔵のSSDで何かしらトラブルが生じている事は間違いなし。
更にリセットがかかっているという事で、データロストの危険性があり、すぐ対処したくなります。

この事について色々調べたのですが、経緯はすっ飛ばして、結論だけ書きます。

実は、SSDの内容をバックアップしておこうと思い、
AcronisのTrue Imageというイメージソフトでバックアップを保管してあります。

どうやらこのバックアップデータを書き戻すと、SSDの省電力機能(LPM)が有効化されるようですが、
これが有効化されると、CT250MX200SSD3がエラーを吐くようです。

もちろん不具合というわけではありません。バックアップイメージを戻した時の弊害のようです。
(なので、クリーンインストール直後はエラーは吐かない)

という事で、レジストリを変更し対策しました。

ちなみに私は、インテルラピッド・ストレージ・テクノロジーをいれており、
バージョンは14.8.12.1059となっています。

バージョン11より前と、バージョン11以降でレジストリの場所が異なるようですが、
古いものを使っている方は既に少ないだろうという事で、バージョン11以降のみの場所を記載します。

====ここから====

1)コマンドプロンプトを開き、管理者権限でREGEDITを起動する。

2)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iaStorA\Parameters\Device を開く。

3)以下4点の値を、DWARDで追加し、全て 1 とする。(デフォルトで既に記載がある場合は弄らない)

DIPMの有効/無効の設定
Controller0PhyXDIPM(Xはポート番号)
Enable:1(Default)、Disable:0


HIPMの有効/無効の設定
Controller0PhyXHIPM(Xはポート番号)
Enable:1(Default)、Disable:0


HIPMで要求するLPMの状態
Controller0PhyXLPMState(Xはポート番号)
Slumber:1、Partial:0(Default)


DSTATE時にHIPMで要求するLPMの状態
Controller0PhyXLPMDstate(Xはポート番号)
Slumber:1(Default)、Partial:0


4)レジストリを閉じる。

5)インテルラピッド・ストレージ・テクノロジーを開き以下の画面を「無効」にする。

無題

6)PCを再起動する。

====ここまで====

手順は以上です。

上記の設定をした後しばらく様子を見ていますが、イベント ID 129のエラーは発生していないようです。
これでひと安心です。

しかし、まさかバックアップを戻すと、こんな弊害がでるとは・・・。
記事検索
最新コメント
アーカイブ
livedoor プロフィール