www.kinryo.net

ubuntuにはデフォルトでVPNにL2TP/IPSecがありませんのでインストールが必要ですがhttps://hnakamur.github.io/blog/2018/03/31/l2tp-vpn-on-ubuntu-17.10/を参考にしてください。一通り設定を済ませサーバーのルータに接続しますが接続は完了しますが1分程で切断されてしまいます。ルーター側の問題かubuntu側の問題かの切り分けがよく出来ず、同じ家庭内のwindows10からは出来るので、てっきりubuntu側の問題として（可能性もあるが）調べたが回答にたどり着かず、もしかしてと思いサーバー側のルーターとして使っているRTX830のヤマハのヘルプデスクで解決が出来ました。
問題があった時のRTX830のログ
[L2TP] TUNNEL[1] connected from xx.xx.xx.xx
[L2TP] TUNNEL[1] tunnel 9847 established
[L2TP] TUNNEL[1] session 65097 established
PP[ANONYMOUS01] Call detected from user ‘XXXXX’
PP[ANONYMOUS01] PPP/IPV6CP up
PP[ANONYMOUS01] PPP/IPCP up (Local: 192.168.xx.xx, Remote: 192.168.x.153)
で最後の行でサーバー側のローカルIPの払い出しが出来ているので、接続はされているが、1分程経つと
keepalive timer expired tunnel 27251 とあり27251はubuntuが接続した時のものです。
切断されてしまいます。でもルーターの設定には
ipsec ike keepalive use 4 off や
l2tp tonnel disconnect time off
などの設定があり、なんで切断されるかわかりませんでしたが、ヤマハによると更にl2tp keepalive useという設定があり、これがデフォルトでon になっているので、これをオフにする。ルーターの管理→保守→コマンドの実行から
select tonnel トンネル番号
l2tp keepalive use off
を実行したら切断されることは無くなった

ルーターのローカル側のアドレスを192.168.0.1から192.168.0.2に変更したら、今まで接続出来ていたVPN(L2TP)に接続が出来ない。勿論デフォルトゲートの設定とかルーターの再起動は行っている。
問題の切り分けをする為サーバー側のルーター（RTX830）のログを調べると、接続後、ユーザー名が入ると直ぐに接続が切れている？？
2022/09/28 09:49:15: [IKE] respond ISAKMP phase to xx.xxx.xx.x
2022/09/28 09:49:15: [IKE] respond IPsec phase to xx.xxx.xx.x
2022/09/28 09:49:15: IP Tunnel[3] Up
2022/09/28 09:49:15: [L2TP] TUNNEL[3] connected from xx.xxx.xx.x
2022/09/28 09:49:15: [L2TP] TUNNEL[3] tunnel 9483 established
2022/09/28 09:49:15: [L2TP] TUNNEL[3] session 25118 established
2022/09/28 09:49:15: PP[ANONYMOUS02] Call detected from user ‘ユーザー名’
2022/09/28 09:49:15: [L2TP] TUNNEL[3] disconnect session 25118 complete
2022/09/28 09:49:15: [L2TP] TUNNEL[3] disconnecting tunnel 9483
2022/09/28 09:49:15: [L2TP] TUNNEL[3] disconnect tunnel 9483 complete
2022/09/28 09:49:16: [IKE] initiate informational exchange (delete)
2022/09/28 09:49:16: IP Tunnel[3] Down

接続が完了する時のログ
2022/09/28 10:52:06: [IKE] respond ISAKMP phase to xx.xxx.xx.x
2022/09/28 10:52:06: [IKE] respond IPsec phase to xx.xxx.xx.x
2022/09/28 10:52:06: IP Tunnel[7] Up
2022/09/28 10:52:07: [L2TP] TUNNEL[7] connected from xx.xxx.xx.x
2022/09/28 10:52:07: [L2TP] TUNNEL[7] tunnel 15992 established
2022/09/28 10:52:07: [L2TP] TUNNEL[7] session 46664 established
2022/09/28 10:52:07: PP[ANONYMOUS03] Call detected from user ‘ユーザー名’
2022/09/28 10:52:08: PP[ANONYMOUS03] PPP/IPCP up (Local: 192.168.0.1, Remote: 192.168.0.158)
接続が出来る場合はユーザー名の後に、DHCP（IPCP？）の払い出しで、サーバーのローカルIPが与えられている。
こうなると多分サーバー側では無く（最初から見当は付いていたが、だってローカル側のルーターのアドレス変更前は繋がっていたのだから）
google先生を探しまくって、やっと見つけた（https://nakada-r.com/2020/05/vpn-trouble-4/)
つまりデバイスマネージャーでminiportを削除する。私の場合は
WAN miniport(IP), WAN miniport(L2TP), WAN miniport(PPTP)の3つを削除し、再起動すると、これらのminiportが自動でインストールされ、VPNに繋がるようになった。

ubuntuはセキュリティーの為にrootにいろいろな制限が入っているらしい。調べたわけでは無いが、自分がやってみて出来なかった事。
# gedit が出来ない　>>  $ sudo gedit は出来る
# ls -ls /root で隠しファイルが表示されない >>  $ sudo ls -la /root では表示される
# nautilus で cannot open displayになりノーチラスが出来ない　>> $ sudo nautilus は出来るが、やはり/rootに隠しファイルが表示されないので、$ sudo ls -la /rootで見るしかない

CentOSに慣れているので色々不便極まりない。セキュリティーを取るか利便性を取るか！！
良いこともある：vi がCentOSより便利。下によく使うコマンドが表示され（ctrl+なにかのキー）で便利。いちいち esc : コマンドをやらなくて良いし、最初からinsert mode になっている。

ubuntuでは起動時には一般ユーザなので少し複雑。と言うのも一般ユーザでsudoを付けても今いるディレクトリーはユーザーのhomeである。その辺がこんがらがる元だった
cronでrsyncを使うが、パスワードを聞かれないようにする(sudoするのでユーザはroot)
まずは鍵を作る（サーバー側のsshやrsyncは設定済み）ubuntuのrootのパスワードは設定済み
$ su –
# mkdir .ssh
# ssh-keygen
どこに保存するか聞かれるので、/root/.ssh/id_rsaを指定、パスフレーズはエンターだけで進む。
.sshに出来たid_rsa.pubを何らかの方法でサーバーのに入れるが、私はg-mailのWEB mailでid_rsa.pubを添付し自分から自分に送って、サーバー側のブラウザでg-mailを開き、/root/.ssh/に保存。ファイル名をauthorized_keysに変更、もしすでにauthorized_keysがあればその最後にコピー（gmailを使う理由、サーバー側のsshはパスワードログインを許して無い、そしてauthorized_keysにubuntuのキーが入っていないので、他のコンピュータからscpをしないとならない）
rsync時にパスワードを聞かれないように
$ sudo visudo
root ALL=NOPASSWD: /usr/bin/rsync
を最後に追記。つぎにrsync-excludeとrsyncd.passwdを作成
$ sudo gedit /etc/rsync-exclude
rsyncで同期した時コピーしなくていいファイル
/.Trash-0/
/lost+found/
.recycle/　など
$ sudo gedit /etc/rsyncd.passwd
rootのパスワードのみを記入
このパスワードはサーバーのrsyncd.secretsに登録しているrootのパスワード
$ sudo chmod 600 /etc/rsyncd.passwd
ホームにRsyncActionを作る
$ gedit RsyncAction
sudo rsync -av -e “ssh -p SSHのポート -i /root/.ssh/id_rsa” –exclude-from=/etc/rsync-exclude –password-file=/etc/rsyncd.passwd rsync://root@サーバーのIP:/サーバーのrsyncd.confで指定したディレクトリ/ /同期されるディレクトリ
別のサーバーの設定も記入
ここで重要なのはrsync://root@サーバーのIP:/サーバーのrsyncd.confで指定したディレクトリ/ の最後の / これが無いと同期されるディレクトリの下に同期する。
rootになり、/etc/cron.dにプログラムを記入
$ su –
# echo “10 7,9,11,13,15,17,19,21 * * * ユーザー名 /home/ユーザー名/RsyncAction” >/etc/cron.d/rsync
# exit
これで７時から２１時まで、毎時１０分に同期される。

WEBサーバーはapacheを使い、複数のWEBを運用している。そして先日DRBDを導入し、運用している。ここで問題、apacheはDRBDから起動しているので、systemctl status httpd ではFailed になる（当たり前）なのでletsencrypt のstandalone モードでは不可能だ（Error while running apachectl graceful.になる。当たり前、systemctl から起動はしていないので）尚かつ万が一apache をストップしても、DRBDがセカンダリーをプライマリーにして、サーバーは落ちない。

なので、standalone では無くwebroot でやるしかないが、私は standalone で作成したので webroot に変更する方法を探したら、https://blog.apitore.com/2016/08/06/lets-encrypt-standalone-webroot/ にヒントが在った。
でもこれはWEBが一つの場合で複数の場合では無い。因みに一つだけで設定をすると
Failed to renew certificate aarah.info-0001 with error: Missing command line flag or config entry for this setting:
Input the webroot for aarah.info:
というエラーが出た。複数のWEBはどうするのか、再度調べる。
https://community.letsencrypt.org/t/lets-encrypt-renewal-simulation-problem/43784/4 にその答えが在った。つまり複数のWEBの場所を [[webroot_map]] に記入すればよい。webroot-path は代表の一つでいいみたい。最終的に私の /etc/letsencrypt/renewal/aarah.info.conf は

# renew_before_expiry = 30 days
version = 1.11.0
archive_dir = /etc/letsencrypt/archive/aarah.info
cert = /etc/letsencrypt/live/aarah.info/cert.pem
privkey = /etc/letsencrypt/live/aarah.info/privkey.pem
chain = /etc/letsencrypt/live/aarah.info/chain.pem
fullchain = /etc/letsencrypt/live/aarah.info/fullchain.pem

# Options used in the renewal process
[renewalparams]
   # authenticator = apache
   #installer = apache
   account = b9af5964365d5f0641d47c2fb75dbbb3
   manual_public_ip_logging_ok = None
   server = https://acme-v02.api.letsencrypt.org/directory
   authenticator = webroot
webroot-path = /XXX/public/aarah,
[[webroot_map]]
      aarah.info = /XXX/public/aarah
      inpac.jp = /XXX/public/inpac
      inpactours.jp = /XXX/public/inpactours
      kinryo.net = /XXX/public/kinryo
      opengarden.info = /XXX/public/opengarden
      www.aarah.info = /XXX/public/aarah
      www.inpac.jp = /XXX/public/inpac
      www.inpactours.jp = /XXX/public/inpactours
      www.kinryo.net = /XXX/public/kinryo
      www.opengarden.info = /XXX/public/opengarden
一部伏せ字
その後
# certbot renew –dry-run
ドライランを付けテスト。この時どういう分けかkinryo.netでエラーがでる
Failed to renew certificate kinryo.net with error: Missing command line flag or config entry for this setting:
Input the webroot for kinryo.net:
だが、ドライランを付けずに
# certbot renew
で本ちゃんでやるとエラーは出ずに
Congratulations, all renewals succeeded:
   /etc/letsencrypt/live/aarah.info-0001/fullchain.pem (success)
   /etc/letsencrypt/live/kinryo.net/fullchain.pem (success)
   /etc/letsencrypt/live/kinryokai.net-0001/fullchain.pem (success)
   /etc/letsencrypt/live/kinryokai.net/fullchain.pem (success)
とエラーなく終了した。この原因は不明

だがこれではDRBDでプライマリーとセカンダリーが入れ替わた時、現在のletsencrypt の設定が入っていないのでエラーになる。なのでrsync で同期をして置く。
コピー先の/etc/rsyncd.conf に
[letsencrypt]
path = /etc/letsencrypt
authusers = root
secrets file = /etc/rsyncd.secrets
read only =no
を追記し、rsyncdをリスタートしておく。
そして、コピー元でドライランをする(nがドライラン）
# rsync -avn /etc/letsencrypt/ rsync://root@192.168.xx.xx/letsencrypt
パスワードを聞かれるが、これはコピー先の/etc/rsyncd.secrets に設定してあるrootのパスワードを入力の事、のログインパスワードでは無い
エラーが無いことを確かめて、本ちゃんの同期
# rsync -av /etc/letsencrypt/ rsync://root@192.168.xx.xx/letsencrypt
これで同期が出来る。

自分への覚書
* certbotの証明書の表示
# certbot certificates

* certbotでメールサーバーの証明書の更新
# certbot certonly –dry-run -d mail.kinryo.net →ドライランでテスト
その後下記のように聞かれるので
1: Apache Web Server plugin (apache)
2: Spin up a temporary webserver (standalone)
3: Place files in webroot directory (webroot)
Select the appropriate number [1-3] then [enter] (press ‘c’ to cancel): 3 と入力
場所を聞かれるので、kinryo.netのWEBの場所を入力（メールを保存している場所では無い）
Input the webroot for mail.kinryo.net: (Enter ‘c’ to cancel): /XXXXX/public/kinryo
これで成功するので、ドライランを外して、本ちゃんの更新をする。
その後、secondary側の/etc/rsyncd.conf も同じ様に変更して置くこと。