ラズパイはARMプロセッサなわけですが、pritunlというVPNサーバOSSはARMに対応していませんでした。がっかり。

これまでSoftEtherでVPN（【Raspberry Pi】SoftEtherでVPNを参照）をやっていましたが、tapデバイス設定が割と面倒で、これをやらないとネットワーク内にVPNサーバとなった自分自身がVPNネットワークに表示されないという、結構面倒な仕様でした。

というわけで、pivpnのインストールに挑戦。

あ、使うのはラズパイ3です。

※WireGuardに対応したようなので、そちらも記載しました。

engetu21.hatenablog.com

1.PIVPNとは

まぁ、書いてある通りですね。簡単にOpenVPNをラズパイでインストールできるとのこと。

2.インストール

インストールは以下のコマンドで実行。TeratermなどでSSHで入って打てばOK

$ curl -L https://install.pivpn.io | bash

勝手にデータをダウンロードしてインストールが始まります。

ウェルカム画面。了解を押すことで次へ。

自身のIPアドレスとデフォルトゲートウェイのアドレスが表示される。

事前に静的IPアドレスを割り当ててるので、このまま「はい」を選択。

「ルータがこのIPをデバイスに割り当てようとする可能性があり、競合が発生する可能性があります。 しかし、ほとんどの場合、ルータはスマートではありません。
あなたが心配している場合は、手動でアドレスを設定するか、必要なIPが含まれないようにDHCP予約プールを変更してください。 DHCP予約を使用することもできますが、これを行う場合は、静的アドレスを設定することもできます。」

by Google翻訳

というか、了解しか押せないので、次に進む。

ovpn構成を保持するローカルユーザーを選択せよと言われます。今はデフォルトユーザの「pi」しかいないので、それを選択。

「このサーバーには少なくとも1つのポートがインターネットに接続されているため、無人アップグレードを有効にすることをお勧めします。この機能は毎日セキュリティパッケージの更新をチェックし、必要なときに適用します。 定期的に再起動する必要がある更新プログラムを完全に適用するため、サーバーを自動的に再起動しません。」

by Google翻訳

これも了解しか押せないので、次に進む。

「このサーバーに対するセキュリティパッチの無人アップグレードを有効にしますか？」

by Google翻訳

したほうがよさそうかな？一応「はい」にします。

一度メニュー？画面が閉じ、元のコンソール画面へ。終了するとまたメニュー画面へ。

「プロトコルを選択します（選択するスペースを押してください）。 TCPが必要な理由がわかっている場合は、TCPを選択してください。」

by Google翻訳

ふむ？たぶんVPN通信をUDPでやるかTCPでやるかということかな？TCPは3ウェイハンドシェイクとかもろもろの理由で遅いだろうからUDPを選択。

ポートの指定。特に変更なしでそのままにします。

暗号化のレベル。長くなると処理も遅くなるのでデフォルトの2048を選択。

プライベートキーを自動で生成してくれる。

「サーバーキー、Diffie-Hellmanキー、およびHMACキーが生成されます。」

by Google翻訳

一度メニュー画面を終了させ、キーを生成してくれる。

なお、キーの生成はラズパイの性能もあってなかなか時間がかかる模様です。大体6～7分程度。

「クライアントはパブリックIPまたはDNS名を使用してサーバーに接続しますか（選択するためにスペースを押してください）？」

by Google翻訳

ここは以前から使ってるieserverのドメインを使います。ので、DNS Entryを選択。

ドメイン名入力。

DNSプロバイダーの選択。無難にGoogleで。

「次に、 'pivpn add'を実行してovpnプロファイルを作成します。 他に何ができるのかを見るには 'pivpn help'を実行してください！ インストールログは/etc/pivpnにあります。」

by Google翻訳

「インストール後に再起動することを強くお勧めします。 今すぐ再起動しますか？」

by Google翻訳

断る理由がないので、再起動！

3.プロファイルの作成

OpenVPNはプロファイルファイルを作り、それをクライアントソフトで指定することで簡単にアクセスできるようになります。

というわけで、2つほど説明の画面で出てきたコマンドをコンソールで実行。

$ pivpn add

クライアント名とパスフレーズの入力を求められるので、好きなものを設定。

コマンドを実行したディレクトリ(たぶん)にovpnsディレクトリとその中に「クライアント名.ovpn」が生成されるため、あとはovpnファイルをスマホなどに移動させ、OpenVPNアプリで実行させるのみです。

つながらない場合は、ルータの1194UDPポートに対してのファイアウォール設定やラズパイへのFORWARD設定を見直しましょう。

※2018/12/30追記

一度作成したクライアントを再作成したい場合は一旦削除して作成を行います。

まずはクライアントを確認。

$ pivpn -l

: NOTE : The first entry should always be your valid server!

::: Certificate Status List :::
:: Status || Name ::
Valid :: server_U6ExeXoLIBIVDWO4
Valid :: ********　←追加したクライアント

-rオプションでクライアントを指定して削除を実行

$ pivpn -r ********

::: Revoking certificate '********'.
Using configuration from /etc/openvpn/easy-rsa/openssl-easyrsa.cnf
Revoking Certificate 961AFAD9BE48F1C9C1B9D2FADC42D36B.
Data Base Updated

Note: using Easy-RSA configuration from: ./vars
Using configuration from /etc/openvpn/easy-rsa/openssl-easyrsa.cnf

An updated CRL has been created.
CRL file: /etc/openvpn/easy-rsa/pki/crl.pem

::: Certificate revoked, and CRL file updated.
::: Removing certs and client configuration for this profile.
::: Completed!

あとは pivpn addでクライアントを再作成すればOK。 

※追記終わり

さすがに更新さぼりすぎだろということで更新。

仕事でAzureを触る機会があり、かつZABBIX導入を検討しなければいけないということで弄っていたのですが、zabbix-agentdが起動しないという問題があったので、メモとして残しておきます。

しかしこれいいなぁ。自宅に構築しよう。

１．ZABBIXとは？

・・・を記載すると長くなるのでググってください。まぁ、Web‐UIでシステムリソースを監視できるOSSです。

２．で、何が起こったの？

ZABBIXというのは、管理サーバにインストールするzabbix-serverと管理（監視）される側にインストールするzabbix-agentdがあります。

管理サーバ自身も監視したいため、管理サーバには基本両方入れます。

↓こちらがとても分かりやすかったです！

今回インストールしたのは3.2.0ですが、上記ブログのバージョンを読みかえれば基本的にはOK。

さて、ここでおそらく躓きやすいのは、ZABBIXサーバは動いて、ブラウザでもアクセスできた、でもなぜか、「Zabbixサーバーの起動」の状態が「いいえ」になっている。という問題があります（これ自体は今回の主題ではない）。

対策法も上記ブログに記載してあるため、おそらくこれも問題ないかと思います。

要はSELinuxの設定をちゃんとしなければいけない。

問題はzabbix-agentdが起動しないということ。これもSELinuxが原因だった。

３．何故か情報が見つからない

zabbix-agentdを起動するようにするには以下のようにコマンド打ちます。が、エラーも出ました。

# sudo systemcrl service zabbix-agent.service

Job for zabbix-agent.service failed. See 'systemctl status zabbix-agent.service' and 'journalctl -xn' for details.

 ※Azure上のCentOSはroot権限のものはすべてsudoで動かす

/var/log/zabbix/zabbix_agentd.logを見ると、どうも権限がなくてPIDファイルが/var/run/zabbixディレクトリに作成できないというエラーでした。

これに関していろいろ調べましたが、分かったことは、SELinuxをPermissive（アクセス許可）にすると動き、Enforcing（アクセス拒否）と動かないということ。また、zabbix-serverに関しての対応は結構見つかるのに、zabbix-agentdについては何故か情報が見つからず（いくつか関連しそうなのはあるが、解決には結びつかず）。

記載によっては # setenforce 0でPermissiveにすればよいと書いてあったり、SELinuxのコンフィグファイルを変更して止めればいいとか書いてあったりでいやそれはさすがに（セキュリティ的に）ダメだろ・・・と。

４．で、どうなった

で、対策見つかりました。

まぁ、最初に取り上げた方のブログなんですが。

「SELinuxの設定」のところに記載されている内容がまさしくドンピシャで、同じ方法をzabbix-agentdでも行えばよい。

# sudo grep zabbix_agent /var/log/audit/audit.log | audit2allow
#=============zabbix_agent_t==============
allow zabbix_agent_t self:process setrlimit;
#

という感じで、grepに引っかかるはずなので、これをこう。

# sudo grep zabbix_agent /var/log/audit/audit.log | audit2allow -M zabbix-limit
******************** IMPORTANT ***********************
To make this policy package active, execute:semodule -i zabbix-limit.pp

zabbix-limit.ppファイルが実行したディレクトリに作成されているはずなので、メッセージの通りに実行する。

# sudo semodule -i zabbix-limit.pp

SELinuxのポリシーに追加されたはずなので、zabbbix-agentdを実行するだけ！

# sudo systemcrl service zabbix-agent.service 

 ※実行成功の時は特に何も出ない。# sudo systemcrl status zabbix-agent.serviceで確認！

連休中に挑戦してみてやっと出来ました。

１．準備するもの

• ↓に書いてあるもの

• サーボモータ（MiniS RB50-JRを買いました→http://www.sengoku.co.jp/mod/sgk_cart/detail.php?code=2A4A-JAJP）
• 電池ケースと単３電池４本
• 低損失三端子レギュレーター　３．３Ｖ５００ｍＡ　ＴＡ４８Ｍ０３３Ｆ（http://akizukidenshi.com/catalog/g/gI-00538/）

２．ESP-WROOM-02で動かすWebサーバソース

Webサーバを動かすと同時に、http://ローカルIP/servoにアクセスされた時にサーボモータを動かすようにします。

gist9d2a9b6057097b4d0ce0

 ３．電圧の調整

配線は「1.準備するもの」で記載した過去記事のものがベースですが、今回は電池駆動をさせます。単３電池4本で大体5.3Vですが、ESP-WROOM-02の電源電圧は3.0-3.6Vなので、5.3Vは過剰になってしまいます。

で、登場するのが三端子レギュレーターです。これで5.3V→3.3Vに降圧することで、必要な電圧を確保することができます。

サーボモータは4.8Vで動くようですが、5.3Vでも問題なさそうなので電圧調整はなし。

そんなわけで配線は以下の様な感じ。（暇があれば配線図作ります・・・）

４．実際にWiFi経由でHTTPリクエストをしてみる

ローカルLANにつながっているPCのブラウザからHTTPアクセスします。

１アクセスで90度まで可動→戻るといった感じ。