KUINS Tips

めも。‎ > ‎

1 KUINSとは
1. 1.1 KUINS-IIとKUINS-III
2. 1.2 KUINS-IIIのOPENスペース・CLOSEスペースについて
2 壁を超える
1. 2.1 sshポート転送(ssh Port Forwarding)
2. 2.2 PPTP接続
3 NATについて
4 履歴

京大はいろんな情報が分散しているという欠点特徴があるんで、適当にまとめてみた。なんかあんまりまとまってない感がありますが。

誤りがあったらごめんなさい。突っ込みいただければ修正します。情報の正確性は頑張ってますが、無保証です。

KUINSとは

KUINSとは京都大学の学内ネットのことです。Kyoto University Integrated information Network Systemの略らしい(出典)。

KUINS-IIとKUINS-III

あんまり認識する機会がないんですが、KUINSはIIとIIIの２つがあります。

情報コンセントは、フタの色が黄色と緑の２種類に分けられている。緑はKUINS-III専用で外部への直接の通信は行えない。
黄色の方はKUINS-IIIでも、KUINS-IIのセグメントでも使用が可能だ。

［導入事例］京都大学が導入したセキュリティ性に優れたKUINS-IIIと日本初の10Gbitネットワーク (PDF)

あのコンセントの色にそんな意味があったんか。知らんかった。~~壁にコンセント２つ合って便利だなーとだけ思ってたぞ。~~

黄色のコンセントは上流の設定如何でKUINS-IIにできる、ぐらいの意味合いなんだろうかな。

KUINS-IIとKUINS-IIIの違いですが、端的にはグローバルIP使うかプライベートIP使うかの違いだとな。

KUINSには、グローバルIPアドレスで構成されるKUINS-IIと、プライベートIPアドレスで構成されるKUINS-IIIの二種類の利用区分があります。主に、学外と直接通信するサーバ類にはKUINS-IIを、直接通信をする必要のない個人のPCなどにはKUINS-IIIを利用します。

京都大学学術情報ネットワークシステム — 京都大学情報環境機構

例えば、Webアクセス用ProxyはKUINS-IIとKUINS-III用の２つある(出典：KUINS News No.39)。

どちらもインターネット上からは繋がりません。KUINS-IIのプロキシはグローバルIP持ってるのでアレ。

種別	ホスト名:ポート	ホスト名を逆引きしたIP
KUINS-II	www-cache.kuins.kyoto-u.ac.jp:8080	グローバルIP(130.なんとか)
KUINS-III	proxy.kuins.net:8080	プライベートIP(10.なんとか)

KUINS-IIIから既存のKUINS-IIへアクセスすることはできるが、KUINS-IIからKUINS-IIIへのアクセスは禁止されている。

［導入事例］京都大学が導入したセキュリティ性に優れたKUINS-IIIと日本初の10Gbitネットワーク (PDF)

KUINS-IIのプロキシはKUINS-III、KUINS-III両方から使えることになりますな(敢えてKUINS-IIのプロキシ使う理由は無いわけだが)。

ちなみに、KUINS-IIでのプロキシはWebだけではなくSOCKSもあって、これ使えばほぼ無制限に外に出られることになります。

SOCKSプロキシは「socks-proxy.kuins.kyoto-u.ac.jp:1080」で、socks-proxy.kuins.kyoto-u.ac.jpはservice.kuins.kyoto-u.ac.jpのCNAMEです。

Webと違ってSOCKSはKUINS-IIにぶら下がったプロキシのみ存在するようです。ニーズがそんなに多くないからなのかな。

KUINS-IIIのOPENスペース・CLOSEスペースについて

KUINS-IIIにはOPEN/CLOSEスペースという概念があるようです。

KUINS-IIIのVLANには，OPENスペース設定とCLOSEスペース設定の2種類があります． OPENスペース設定VLANの情報コンセントから通信を行う場合、端末にPPTP接続の設定をする必要があります。（IDによる認証を行うため）
OPENスペース設定：人の出入りが限定されない部屋．講義室，教室等．
CLOSEスペース設定：人の出入りが限定される部屋．研究室等

KUINS利用アカウント（京都大学学術情報ネットワークシステム利用アカウント）取得 - 京都大学情報環境機構

OPENスペースでは認証用のサーバなど一部のホストにしか繋がらない。確かKULASISとかOPENスペースでも繋がった気がするな(未確認)。OPENスペースでは何も出来ないに等しく、学外へのアクセスするにもCLOSEスペースにならないといけない。メディセンや図書館のマシンで繋ぐと特に何かせずとも世界につながるので、あれをCLOSEスペースのKUINS-IIIということか。

教室の壁にあるコンセントやらMIAKO(無線LAN)はOPENスペース設定のKUINS-IIIに繋がる。MIAKOが厳密にOPENスペースKUINS-IIIと同値なのかは分からなかったが、使ってる感覚的には一緒に感じる。

これ見る限りではOPENスペースでの認証はPPTPのみ読めるんだけど、実際はsshポート転送でも認証出来る。PPTPとかsshについては後述。

認証を経てCLOSEスペース設定の接続を得ると、学外へ繋いだり電子ジャーナル読んだり出来ます。

他にも出来る事あるようですが、取り敢えずニコ動見たりジャーナル見たりTwitterしたり出来たら十分ですよね。違うか。

無線LANで思い出しましたが、MIAKO以外にもeduroamってのがあります。が、わたしは接続に敗北したので放置プレイ。

壁を超える

壁を超えたいのは、主にこんな時ですね。

学内から学外に繋ぐ

SkypeとかTwitterとかニコ動とか

学外から学内に繋ぐ

学外から学内限定サービスを利用する

例えば、電子ジャーナル家でも見たい

リモートでは見れないジャーナルもあるらしい。

どちらもKUINS-III CLOSEスペースで出来る事なので、以下の手段はKUINS-III CLOSEスペースに入る手段、ということです。

学内から学外に繋ぐ：KUINS-III OPENスペースの環境からKUINS-III CLOSEスペースの環境に移動
学外から学内に繋ぐ：インターネット環境からKUINS-III CLOSEスペースへ移動

で、壁を超える手段ですが、以下の二つあります。

sshでポートフォワードする
PPTPによるVPN

手段が一つじゃないあたりが京大っぽくてステキ。

sshポート転送(ssh Port Forwarding)

ssh繋いでポート転送することで壁を超える手法。IPアドレス/ポートを指定することもダイナミック転送(sshクライアントがSOCKSサーバになる)することもできるようです。sshはtcp/22さえ通れば繋がるので、次項のPPTPに比べて汎用性が高いですが、転送するポート単位で指定してあげないといけない(ダイナミック転送設定すりゃいいんですが)ので、それは面倒かも。

SSH Port Forwardサーバによる接続サービスを利用することにより，自宅のネットワークがKUINS-III の標準的なクローズスペース設定の VLAN に接続しているのと同等になります．

学外から学内限定サービスを利用する - 京都大学情報環境機構 KUINS運用委員会より辿れるPDF

ということで、繋がる先はKUINS-IIIのクローズドスペースVLANらしいです。

forward.kuins.kyoto-u.ac.jp(CNAMEとしてforward.ipse.media.kyoto-u.ac.jpもあるようです)にsshで接続
ECS-ID(要はメディセンのID、a00なんとか)と対応するパスワードでログイン
sshクライアントにポート転送設定をする

例えば、 Webアクセス用Proxyへ繋ぎたい時は

%ssh -fNL 8080:www-cache.kuins.kyoto-u.ac.jp:8080 a00xxxxx@forward.kuins.kyoto-u.ac.jp

とでもすることに。ここでプロキシサーバはwww-cache.kuins.kyoto-u.ac.jp使ってますが、proxy.kuins.netも使えます。

sshポート転送使って研究室のマシンに学外からVNCしてる同級生がいましたね。

PPTP接続

Windowsで標準のVPN接続として入ってたりするPPTPを使って壁を超える方法。

PPTPはPPTPクライアントからPPTPサーバに繋ぐだけではなく、PPTPサーバからPPTPクライアントへも接続するftpみたいなプロトコルなので、クライアントとサーバの間にルータなどがある場合は接続をフォワードしてくれる機能(VPNパススルーとか言うらしい)がないと、接続できません。そんでもってWindowsに入ってるクライアントは例によって不親切なエラーメッセージしか吐けないので、気をつけましょう。

pptp0.kuins.kyoto-u.ac.jpへPPTP接続する
ECS-ID(要はメディセンのID、a00なんとか)と対応するパスワードでログイン

基本的にはKUINSのPPTPのとこに必要な情報書いてあるので端折ります。

ちなみにWebプロキシ設定はproxy.kuins.net:8080でないとダメで、www-cache.kuins.kyoto-u.ac.jp:8080には繋がりません。謎い。

NATについて

今まで色々書いてきましたが、KUINS-III CLOSEスペースに入ったところで無制限に何処でも繋がるわけではなく、学外に関してはProxy乃至NAT箱を経由しないと出られません。ProxyはWeb(先述)とSOCKS(socks-proxy.kuins.kyoto-u.ac.jp:1080)が立っていて、これに繋げばいいわけですがNATはどのポートがNATされてるか知らないと使えません。

というわけで、列挙してみました。歴史を辿るためにNAT運用開始の初出(と思われる)情報となるKUINSのリソースURIを書いてみました。

プロトコル	初出	備考
ssh(TCP/22)	KUINS-III NATサーバの増強とSSHへの対応について - KUINS News No.58	5分程度の無通信で切断
whois(TCP/43)	NAT 装置の運用開始について - KUINS News No.49
http(TCP/80)	Android OS 搭載端末からのPPTP接続について	PPTP接続時のみNATする
pop3(TCP/110)	NAT 装置の運用開始について - KUINS News No.49	ウィルスチェック用アプリケーションGW経由
imap4(TCP/143)	NAT 装置の運用開始について - KUINS News No.49	ウィルスチェック用アプリケーションGW経由
ssmtp(TCP/465)	NAT 装置の運用開始について - KUINS News No.49
msa(TCP/587)	NAT 装置の運用開始について - KUINS News No.49	ウィルスチェック用アプリケーションGW経由
imaps(TCP/993)	NAT 装置の運用開始について - KUINS News No.49
pop3s(TCP/995)	NAT 装置の運用開始について - KUINS News No.49
https(TCP/443)	KUINS-III NATサーバのTCPポート443への対応について - KUINS News No.74
rtmp(TCP/443)	KUINS-III NATサーバのRTMP(TCPポート1935)への対応について

備考について

「非暗号のメール送受信についてのみ，ウィルス検査を行うこととなりました．」

NAT 装置の運用開始について - KUINS News No.49

「SSHにおいては，装置への負荷を考慮し，5分間無通信の状態であるとセッションを切るようにしておりますので，ご注意下さい．」

KUINS-III NATサーバの増強とSSHへの対応について - KUINS News No.58

「KUINSが提供しているPPTP接続サービスの利用時，TCPポート80(http)を使った学外への通信をPPTP-NATサーバで中継するようサーバの設定を変更しましたので，お知らせします．」

Android OS 搭載端末からのPPTP接続について

要するにKUINS-IIIのCLOSEスペース接続ではtcp/80をNATしないってことか。proxy設定できるんだろから使え、と。

履歴

03 Sep 2012 移動する際に全面的に書きなおした

Comments

(:3[__]) zzz	このサイトを検索