仙石浩明の日記

2006年5月2日

VPN-Warp 入門編 (6)

前回は、WWW ブラウザで VPN-Warp へアクセスする方法を紹介しました。 基本的には https://リレーサーバのホスト名/パス という URL を WWW ブラウザでアクセスすれば、 relayagent に設定したフォワード先の WWW サーバへつながるわけですが、 二点ほど注意すべき点があります。

1. 「https」と「http」の違い
2. ホスト名の違い

WWW サーバに直接アクセスする場合の URL を、 例えば http://intra/path としましょう。 この場合、WWW サーバへ送られるリクエストヘッダは、 次のようになります(説明の都合上大幅に単純化しています):

GET /path HTTP/1.1
Host: intra

一方、VPN-Warp 経由 (つまり、ブラウザ → リレーサーバ → relayagent → WWW サーバ) でアクセスする場合に、 WWW サーバへ送られるリクエストヘッダは、URL が https://relay.klab.org/path ですから、 次のようになります:

GET /path HTTP/1.1
Host: relay.klab.org

両者を比べると、「Host: 」フィールドの部分が異なりますね。 多くの WWW サーバには、バーチャルホストと呼ばれる機能があって、 一台の WWW サーバで、いろんなホスト名の URL を受け付けて、 ホスト名に応じて異なるページを見せることができるわけですが、 要はこの「Host: 」フィールドを見て、 配信するコンテンツを切替えているわけです。

したがって、「Host: relay.klab.org」のままでは、 「intra」のコンテンツを見ることができないケースが多いでしょう。 この (2) ホスト名の違い の問題を解決するために、 relayagent には「Host: 」フィールドの書き換え機能があります。 この場合でしたら、 「-h intra」オプションを追加指定することにより、 リクエストヘッダの「Host: 」フィールドを「intra」に書き換えます。

これで少なくともリクエストヘッダは、直接アクセスする場合と、 VPN-Warp 経由でアクセスする場合が同じになりました。 コンテンツの HTML 文書で URL を絶対指定したりしない限りは、 普通にブラウズできるでしょう... か？

コンテンツが全て静的なページから構成されているのであれば、 その通りなのですが、 普通は PHP や Java などを使用して動的に生成するページもあるでしょう。 その場合、PHP インタプリタやサーブレットコンテナは、 いま生成中のページの URL がなんであるか把握していて、 ページを出力するときに、絶対指定を出力してしまうケースがあるので 注意が必要です。

特に、(1) 「https」と「http」の違い は留意しておくべきでしょう。 WWW サーバにとっては、80番ポートでアクセスを受け付けているわけですから、 PHP インタプリタないしサーブレットコンテナは、 「http」なページを出力中だと認識しているはずです。 ところが WWW ブラウザにとっては、アクセスしている URL は「https」です。 WWW サーバがレスポンス中に「http」な URL を出力してしまうと、 ブラウザはその URL をたどれなくなります。

とはいえ、動的なページを出力する際に絶対 URL を指定してしまうと、 コンテンツの URL を変更したいときも不便ですし、 そもそも相対 URL で済むところをわざわざ絶対指定する必然性もないので、 普通の Web アプリケーションを使う限りはあまり問題とはならないようです。 WWW サーバのレスポンスを全て監視して、 適宜 URL の書き換えを行なえば解決できる問題ではあるのですが、 ごく少数の絶対 URL の書き換えのためだけに、 全てのレスポンスを監視するのは、 パフォーマンスの点で割が合わないと言えそうです。

むしろ問題となるのは、リダイレクトです。 リダイレクトの場合、WWW サーバは次のようなレスポンスヘッダを返します (説明のため大幅に単純化しています):

HTTP/1.1 301 Moved Permanently
Location: http://intra/path

このような 301 レスポンスを受け取ると、 WWW ブラウザは「Location: 」フィールドで指定された URL のページを 表示しようとします。 そして「Location: 」フィールドは絶対 URL で指定されます。

WWW サーバは、ページの URL は「http://intra/...」である と認識していますから、 同じホスト名の URL へリダイレクトを行なう場合 「Location: 」フィールドには「http://intra/...」が指定されます。 これをそのまま WWW ブラウザに伝えてしまうと、 WWW ブラウザは「http://intra/...」すなわち VPN-Warp を介さずに 直接 WWW サーバへアクセスしようとしてしまいます。

この問題を解決するために、 relayagent にはレスポンスヘッダの「Location: 」フィールドを書き換える機能が あります。 すなわち「-H」オプションを指定すると、 「Location: 」フィールドのホスト名とフォワード先のホスト名 (今回の例の場合は intra ですね) が一致する場合、 それをリレーサーバの URL へ書き換えます。 前述したレスポンスヘッダの場合であれば、

HTTP/1.1 301 Moved Permanently
Location: https://relay.klab.org/path

に書き換えるわけです。これでめでたく WWW ブラウザは リダイレクト先のページも、VPN-Warp 経由でアクセスするようになります。

Filed under: システム構築・運用 — hiroaki_sengoku @ 15:13

Comments (0)

No Comments »

No comments yet.

RSS feed for comments on this post.

Leave a comment

• 京都大学大学院工学研究科情報工学専攻修了。株式会社日立製作所で遺伝的アルゴリズムおよびネットワーク基盤技術の研究に従事。 1997年に情報処理学会山下記念研究賞受賞。 1998年、電気学会先端システム技術の産業応用調査専門委員会委員。 2000年、KLab株式会社取締役CTOに就任。 2011年、同 退任。 1995年以来、TCP/IPパケットリピータ「stone」や、Palm上の時刻表ツール「Time Table Viewer」などを開発・発表する。また、堅牢で安定したサイト gcd.org を運営し、会員にサービスを提供。 そこで得たサーバー構築ノウハウを日経Linuxで、2000年4月から 2年間連載
• Categories
  • Android (29)
  • Hawaii (10)
  • IPv6 (9)
  • La Fonera (12)
  • SIM (19)
  • stone 開発日記 (29)
  • その他 (24)
  • システム構築・運用 (83)
  • ハードウェアの認識と制御 (30)
  • プログラミングと開発環境 (43)
  • 元CTO の日記 (30)
  • 技術と経営 (35)
  • 技術者の成長 (43)
  • 自己啓発 (30)
  • 香港 (12)
• Blog内検索
• Archives Archives Select Month March 2024  (1) July 2023  (1) June 2023  (1) May 2022  (1) March 2022  (1) August 2021  (1) July 2021  (1) September 2020  (2) December 2019  (1) November 2019  (2) September 2019  (1) August 2019  (1) April 2018  (1) March 2018  (1) August 2017  (1) July 2017  (1) April 2017  (1) August 2016  (1) November 2015  (1) October 2015  (1) October 2014  (2) August 2014  (1) January 2014  (1) December 2013  (2) November 2013  (2) March 2013  (2) February 2013  (1) December 2012  (1) September 2012  (1) July 2012  (1) May 2012  (1) March 2012  (1) February 2012  (2) January 2012  (2) November 2011  (1) October 2011  (1) August 2011  (1) July 2011  (2) June 2011  (2) May 2011  (3) April 2011  (1) March 2011  (2) February 2011  (2) January 2011  (3) December 2010  (3) November 2010  (2) October 2010  (1) September 2010  (2) August 2010  (1) July 2010  (3) June 2010  (1) May 2010  (2) April 2010  (2) March 2010  (2) February 2010  (2) January 2010  (2) December 2009  (4) November 2009  (1) October 2009  (3) September 2009  (3) August 2009  (1) June 2009  (1) May 2009  (1) April 2009  (1) March 2009  (1) February 2009  (1) January 2009  (2) December 2008  (4) November 2008  (1) October 2008  (1) August 2008  (1) July 2008  (4) June 2008  (2) May 2008  (1) April 2008  (4) March 2008  (2) January 2008  (7) December 2007  (7) November 2007  (2) October 2007  (3) September 2007  (5) August 2007  (6) July 2007  (2) June 2007  (3) May 2007  (3) April 2007  (2) March 2007  (3) February 2007  (2) January 2007  (6) December 2006  (8) November 2006  (7) October 2006  (4) September 2006  (2) August 2006  (8) July 2006  (12) June 2006  (13) May 2006  (34) April 2006  (53) March 2006  (24)
• 人気記事
  • Z80 コンピュータを作ってみた (27年前のお話)
  • Android 端末 IS01 のカーネルを入れ替えてみた 〜 さよならデッカード LSM
  • 生涯 「こだわらないエンジニア」 宣言
  • お金と自由 ～ なぜ貯められないのか？
  • なぜ、「購入 VS 賃貸」 という比較がナンセンスなのか？
  • 自分戦略 〜 なぜ成功できないのか？
  • 成功しない方法
  • 「ソフトウェア開発」は「モノ作り」ではない
  • 技術力が高い人こそ、ビジネスモデルの良し悪しにもっと敏感になるべき
  • 技術者の成長に役立つ会社とは？(1)
  • 技術者を目指す学生さんたちへ
  • コミュニケーション能力の育成を第一とする教育が格差社会を救う
  • NFS と AUFS (Another Unionfs) を使って、ディスクレス (diskless) サーバ群からなる低コスト・高可用な大規模負荷分散システムを構築する
  • 新規一括 0円の Galaxy Nexus (SC-04D) を買ってみた ～ 国際版 Galaxy Nexus と全く同じにする
  • Perl の非同期I/Oモジュール POE を使って VPN-Warp relayagent を書いてみました
  • chroot されたディレクトリから脱出してみる
  • 故障した HDD WD10EACS を RMA (Return Merchandise Authorization, 返却承認) 手続きで交換してみた
  • ベンチャーが学校教育に求めること
  • IT企業には技術者と経営者の両方と話せるバイリンガルが必要
  • ソフトウェア産業の究極の振興策
  • 断片的な知識と体系的な知識
  • プログラマ 35歳 定年説
  • プログラマを目指すのに適した時代、適していない時代
• Recent Posts
  • 突然死した Pixel4 から nanaco 残高を救い出した話
  • exFAT な Ubuntu ブータブル USBメモリ (exFAT Bootable USB Flash Drive) の作り方
  • Wio Node (ESP8266) に MicroPython をインストールして、Wi-Fi 照度＆人感センサを作ってみた
  • WSL2 (Windows Subsystem for Linux 2) で物理ディスク上の独自 OS を動かしてみた
  • 所得税を分割して、複数の高還元率クレジットカードを何回も使って納付してみた
  • M5Stack ATOM Lite を USBシリアル変換アダプタにしてみた 〜 Raspberry Pi Pico の UART コンソールを使う 〜
  • PayPay STEP の新基準をクリアしてみた 〜住民税と健康保険料の支払で1.5%還元〜
  • IFTTT のアプレットが 3個に制限されてしまったので、IFTTT を使わずに スマート家電リモコン RS-WFIREX4 をコントロールしてみた 〜 RS-WFIREX4 の通信プロトコルの解析
  • サーバの MAC アドレスを偽装 (MAC spoofing) してエッジ・スイッチの MAC アドレスと同一にしてみた 〜 プロバイダの接続台数制限を回避する
  • 学習リモコンの赤外線波形データを変換してみた 〜 Nature Remo で取得した波形データを PC-OP-RS1 用に変換
  • IFTTT に登録できないのでお蔵入りになってた Eco Plugs RC-028W & CT-065W が、UDP パケットを送るだけでコントロールできた！
  • IoT な人感センサをトリガーとした照明の点灯/消灯を IFTTT を使って行っていたけど反応が遅いので IFTTT をショートカットしてみた
  • UEFI ブートでキーボードが無いと GRUB がハングするバグを修正してみた
  • Windows 10 上の VMware Workstation Player のゲストOS でタグVLAN を使ってみる
  • NETGEAR のスマートスイッチ GS108E/GS116E のポートごとの通信量を取得して Cacti でグラフ化してみた 〜 通信量を見ることができない Wi-Fi中継機への対処法 〜
  • 配当金領収証の上限は 100万円、複数枚でも簡易書留で送付できるらしい 〜 祝 KLab(株) 初配当 (特別配当 9円) 〜
  • ZenFone3 で撮影した写真ファイル内の、位置情報が壊れている Exif データを修復するコードを書いてみた
  • カナダで Project Fi を使ってみた 〜 現地でプリペイドSIMを買うより安いし、同時に複数のスマホで使える
  • ZenFone3 Deluxe を Nougat 7.0 にしたらデータ通信できなくなった 〜 アンロックして Android 6 に戻す 〜
  • カナダで fido と WIND と Virgin のプリペイド SIM カードを買ってみた
  • 自分戦略 〜 なぜ成功できないのか？
  • 米国 BYOD プリペイド SIM の GoSmart を使ってみた 〜 $35 で 30日間 かけ放題、4G データ 2.5GB 〜
  • シンガポール SingTel 3G プリペイド SIM を 4G へアップグレードしてみた
  • お金と自由 〜 なぜ貯められないのか？
  • ALS Ice Bucket Challenge
  • 台灣大哥大のプリペイド SIM のデータパッケージ型 (計量型 NT$180 1GB 30日) プランを日本から Web で購入してみた
  • nexus5 の充電をワイヤレス (Qi 給電) にしたので、バックアップもワイヤレスにしてみた 〜 ssh サーバを nexus5 上で動かす 〜
  • Nexus5 を買って、香港で LTE を使ってみた (中國移動香港 4G/3G 數據及話音 プリペイド SIM カード)
  • nexus5 に ストラップを付けてみた ～テグスを使って～
  • Z80 コンピュータを作ってみた (27年前のお話)
• Recent Comments
  • ICYMI Python on Microcontrollers Newsletter: CircuitPython 8.2.0-beta.1, Focus on RISC-V and More! #CircuitPython #Python #micropython #ICYMI @Raspberry_Pi « Adafruit Industries – Makers, hackers, artists, designers and engineers! on Wio Node (ESP8266) に MicroPython をインストールして、Wi-Fi 照度＆人感センサを作ってみた
  • SnowCamp on IFTTT のアプレットが 3個に制限されてしまったので、IFTTT を使わずに スマート家電リモコン RS-WFIREX4 をコントロールしてみた 〜 RS-WFIREX4 の通信プロトコルの解析
  • hiroaki_sengoku on IFTTT のアプレットが 3個に制限されてしまったので、IFTTT を使わずに スマート家電リモコン RS-WFIREX4 をコントロールしてみた 〜 RS-WFIREX4 の通信プロトコルの解析
  • SnowCamp on IFTTT のアプレットが 3個に制限されてしまったので、IFTTT を使わずに スマート家電リモコン RS-WFIREX4 をコントロールしてみた 〜 RS-WFIREX4 の通信プロトコルの解析
  • SnowCamp on IFTTT のアプレットが 3個に制限されてしまったので、IFTTT を使わずに スマート家電リモコン RS-WFIREX4 をコントロールしてみた 〜 RS-WFIREX4 の通信プロトコルの解析
  • hiroaki_sengoku on 自分戦略 〜 なぜ成功できないのか？
  • T on 自分戦略 〜 なぜ成功できないのか？
  • hiroaki_sengoku on 自分戦略 〜 なぜ成功できないのか？
  • T on 自分戦略 〜 なぜ成功できないのか？
  • hiroaki_sengoku on 新卒の内定者とかけて、がらがらの道路ととく。その心は？
  • 松本真治 on 新卒の内定者とかけて、がらがらの道路ととく。その心は？
  • 松本真治 on 新卒の内定者とかけて、がらがらの道路ととく。その心は？
  • KDK研究所 on Z80 コンピュータを作ってみた (27年前のお話)
  • hiroaki_sengoku on 個人でも気軽に買える安価なスマートスイッチ GS108E (IEEE 802.1Q タグVLAN 機能付) を使ってみた 〜 UCOM光 マンション全戸一括タイプの戸内配線上にプライベートネットワークを構築
  • fire on Android 端末上で透過型プロキシを動かしてみる 〜 VPN のように使えて、しかも省電力
  • hiroaki_sengoku on 自分戦略 〜 なぜ成功できないのか？
  • なな on 自分戦略 〜 なぜ成功できないのか？
  • うさこさん on stone に Server Name Indication (TLS 拡張) 機能を実装
  • hiroaki_sengoku on stone に Server Name Indication (TLS 拡張) 機能を実装
  • うさこさん on stone に Server Name Indication (TLS 拡張) 機能を実装
  • 浜田 on HP ProLiant ML115 で、IPMI ハードウェア・ウォッチドッグ・タイマー ipmi_watchdog を使ってみる
  • 朱酒 on カナダで Project Fi を使ってみた 〜 現地でプリペイドSIMを買うより安いし、同時に複数のスマホで使える
  • yas on ZenFone3 Deluxe を Nougat 7.0 にしたらデータ通信できなくなった 〜 アンロックして Android 6 に戻す 〜
  • phmpk on なぜ、「購入 VS 賃貸」 という比較がナンセンスなのか？
  • ゆっち on なぜ、「購入 VS 賃貸」 という比較がナンセンスなのか？
  • hiroaki_sengoku on なぜ、「購入 VS 賃貸」 という比較がナンセンスなのか？
  • phmpk on なぜ、「購入 VS 賃貸」 という比較がナンセンスなのか？
  • ゆっち on なぜ、「購入 VS 賃貸」 という比較がナンセンスなのか？
  • ゆっち on なぜ、「購入 VS 賃貸」 という比較がナンセンスなのか？
  • hiroaki_sengoku on なぜ、「購入 VS 賃貸」 という比較がナンセンスなのか？