仙石浩明の日記

2011年7月31日

OpenVZ な ServersMan@VPS で独自 OS を動かしてみた

国内に (自宅以外で) IPv6 が使えるサーバが欲しかったので、 ServersMan@VPS を使ってみた。 ServersMan@VPS は仮想化プラットフォームが OpenVZ なので今まで敬遠していたのだが、 Osukini サーバ (Xen) も、さくらの VPS (KVM) も、いまのところネイティブな IPv6 はサポートしていない (さくらの IPv6 は 6rd) ので、やむなく契約してみた次第。

Xen や KVM などの完全仮想化と異なり、 OpenVZ はホストOS のカーネルがゲスト OS のカーネルとしても使われる。つまり VPS (Virtual Private Server) サービスのユーザが別のカーネルを立ち上げることができない (ServersMan@VPS Perfect は完全仮想化だが月額 3150円と高いのでここでは考えない)。 OS は CentOS, Debian, ubuntu から選ぶことになる。

しかしながら、私が個人的に管理しているサーバは、全て OS を独自の「my distribution」 (便宜上ここでは GCD OS と呼ぶ) に統一していて、全サーバでディスクの内容を同期させている。つまりある特定のサーバ固有の設定情報も、全サーバが共有している。共有していないのは各サーバのホスト名と、秘密鍵などごく一部の情報だけ。だからサーバが壊れた場合も、新しいマシンを用意して他のサーバからディスク内容を丸ごとコピーするだけで済む。

私個人で管理しているサーバ (もちろん会社で運用しているサーバは除く) は、仮想環境も含めると 20台ほどになるので、異なる OS はできれば管理したくない。 ServersMan@VPS で提供されるカーネルを使うのは (OpenVZ の仕組み上) 仕方がないとして、ディスクの内容は GCD OS と入れ替えることにした。

稼働中のサーバをいじるとき重要なのが、トラブった時に「元に戻せるか?」ということ。元に戻せるなら多少の失敗を恐れることはない。ほとんどの VPS サービスは、最悪の事態に陥っても初期化すれば元通りになるので、操作をミスっても一からやり直せばいいのだが、 OS を入れ替えようとする場合は (当然) 新しい OS 一式を送り込む必要があり、初期化するとこれが消えてしまうので再度転送する羽目になる。 GCD OS は最小セットで 7GB 近くあるので、何度も転送を繰り返したりすると VPS サービスの契約ネットワーク帯域を使いきってしまう。

幸い、 ServersMan@VPS に帯域制限は無いが、一日に何十GB も転送していたら、きっと管理者に睨まれるはず。そこで、どんなに失敗しても、再起動すれば ssh でログインできる状態に戻るような OS 入れ替え手順を考えてみた。 ssh でログインできさえすれば後は何とでも修復できる。逆に言うと ServersMan@VPS のようなコンソールが提供されない VPS サービスでは ssh でログインできなくなると万事休す、残された復旧手段は初期化しかない。

まず ServersMan@VPS Standard プランを契約 (月額 980円) して、 Ubuntu(64bit) の最小構成 (シンプルセット) を選択。 ssh でログインして netstat でソケットを開いているデーモンを調べ、片っ端から dpkg --purge (アンインストール) する。もちろん sshd (ssh サーバ) だけは purge してはいけない。 syslog や cron などフツーは決して purge しないデーモンも遠慮無く purge する。 ps したとき sshd のプロセスのみが表示されるような状態になるまで purge しまくる。で、一通り purge し終わったら念のため再起動してみる。もしここで ssh でログインできなくなってしまっていたら、初期化して振出しに戻る。

この時、 sshd が 22番ポートで listen している場合は、 GCD OS が起動する sshd と衝突するので、 22番ポート以外に変えておく。幸い ServersMan@VPS の場合は sshd が初めから 3843番ポートで listen する設定になっていた (なぜ?) ので、そのままにしておく。

次に、デーモン類以外のパッケージも、残しておくとディスクの肥やしになるだけなので、できるだけ purge する。とはいっても、多くのパッケージが数MB 以下で容量的には誤差の範囲なので、無理に purge して再起不能状態に陥るリスクを冒すより、ディスクの肥やしにしておいた方がマシ。で、一通り purge し終わったら念のため再起動してみる。もしここで ssh でログインできなかったら、初期化して振出しに戻る。

こうして netstat -nap しても ps axf しても sshd 以外のプロセスが一切残っていない状態になったら、いよいよ GCD OS 一式を送り込む。

senri:/ # mirror -v -r /usr/local/gcd -e 'ssh -p 3843' \
        'core64[183.181.54.38]' > /tmp/serversman &

mirror というのはサーバ間で GCD OS の同期を行なうためのスクリプト。 64bit (x86_64) の最小セットをコピーするために引数として「core64」を指定した。このスクリプトは、同期すべきファイルのリストを作成して rsync を呼び出す。「-e 'ssh -p 3843'」オプションは、そのまま rsync に渡される。このコマンド列で GCD OS 最小セット約 7GB が VPS の /usr/local/gcd ディレクトリ以下へ丸ごとコピーされる。 7GB の転送にどのくらいかかるかと思っていたら、わずか 10分弱で終わってしまった。 100Mbps 以上の帯域ということになる。結構すごい。

ホスト名を chiyoda.gcd.org に設定し、このサーバ専用の秘密鍵を作成すれば GCD OS のインストールが完了。あとは、 /usr/local/gcd 以下へ chroot して GCD OS を起動するだけ。次のような GCD OS 起動スクリプト /etc/init.d/chroot を書いてみた。

#!/bin/sh
root=`echo $0 | sed -e 's@/etc/init.d/chroot$@@'`
if [ ! -d $root ]; then
   echo "Can't find root: $root"
   exit 1
fi
mount -obind /lib/modules $root/boot/lib/modules
chroot $root sh <<EOF
mount -a
svscanboot &
/etc/rc.d/rc.M
EOF

このスクリプトも GCD OS 一式をコピーするときに /usr/local/gcd/etc/init.d/chroot へコピーされる。で、/usr/local/gcd/etc/init.d/chroot を、とりあえず手動で実行。手動で実行するところがミソで、もしこのスクリプトにバグがあって異常事態に陥っても、再起動すれば元に戻る。

上記 /usr/local/gcd/etc/init.d/chroot は、 chroot /usr/local/gcd sh を実行して、 chroot 環境下で svscanboot と /etc/rc.d/rc.M を実行する。 svscanboot は daemontools の起動スクリプト。 GCD OS のほとんどのデーモン類は daemontools の管理下で起動される。一方 /etc/rc.d/rc.M は、 GCD OS のブートスクリプトで、ファイアウォールなどネットワークまわりの設定や、個々のサーバ特有の設定、および一部のデーモン類の起動を行なう。

普通の Linux OS だと init から直接起動されるデーモンもあるが、 GCD OS の場合 init が起動するのは /etc/rc.d/rc.S と /etc/rc.d/rc.M および svscanboot だけ。 /etc/rc.d/rc.S は、 OpenVZ 環境下では不要な処理ばかりなので実行する必要はない。

こうして chroot 環境下で GCD OS が起動したら、 chroot /usr/local/gcd sh などと実行して GCD OS 環境へ入ることができる。各種設定が正しく機能しているか、デーモン類が正しく動いているか確認する。

ServersMan@VPS で使われているカーネルが、 2.6.18-194.3.1.el5.028stab069.6 と、かなり古い (2.6.18 などという 5年も昔のカーネルを使い続けないでほしい＞ RHEL) ので、 GCD OS をきちんと動かすには問題があった。特に困ったのが、 iptables の owner モジュールが使えない点:

chiyoda:/ # uname -rv
2.6.18-194.3.1.el5.028stab069.6 #1 SMP Wed May 26 18:31:05 MSD 2010
chiyoda:/ # iptables -t nat -j REDIRECT -p udp --dport 53 --to-port 2053 \
        -A dnscache.lo -s 127.0.0.1 -d 127.0.0.1 -m owner ! --uid-owner Gdnscache
iptables: No chain/target/match by that name.

このエラーは、カーネルに CONFIG_NETFILTER_XT_MATCH_OWNER の設定がないのが原因。 NETFILTER_XT_MATCH_OWNER が導入されたのは 2.6.25 以降なので、そもそも元から 2.6.18 には存在しない。

なぜ --uid-owner が必要かと言えば、 GCD OS では tinydns と dnscache を、同じ IP アドレスで動かすことが基本になっているから。つまり、通常の名前解決に 127.0.0.1 の dnscache を利用するのだが、 dnscache (Gdnscache 権限で動作) が 127.0.0.1 に問合わせる時に限り mydns が返事をするようにしたい。

仕方がないので、 iptables に --uid-owner を指定してエラーになる場合は、 --uid-owner 抜きで iptables を再実行するように修正した:

nsredirect="-t nat -j REDIRECT --dport 53 --to-port $PORT"
chain=dnscache.lo
iptables -t nat -N $chain 2>/dev/null || iptables -t nat -F $chain
nsinner="$nsredirect -A $chain -s 127.0.0.1 -d 127.0.0.1 \
        -m owner ! --uid-owner Gdnscache"
iptables -p udp $nsinner
if [ $? -ne 0 ]; then
    nsinner="$nsredirect -A $chain -s 127.0.0.1 -d 127.0.0.1"
    iptables -p udp $nsinner
fi
iptables -p tcp $nsinner

このような修正を、 chiyoda.gcd.org だけでなく、 GCD OS をインストールしている全サーバで一斉に行なう点がミソ。サーバごとにファイルの内容が微妙に異なっていたりしたら、 GCD OS を使う意味がない。

当然、 --uid-owner 抜きで iptables を実行した場合は、 dnscache が 127.0.0.1 の mydns に問合わせをすることができないが、 127.0.0.1 以外、つまり 183.181.54.38 あるいは 2001:2e8:634:0:2:1:0:2a ならば mydns に問合わせることができるので問題無い。

じゃ、なんのために、わざわざ --uid-owner を使って 127.0.0.1 の mydns に問合わせられるようになっているかというと、 127.0.0.1 以外の IP アドレスが動的に変わるサーバ (ノートPC など) も想定しているから。 GCD OS は VirtualBox や Xen などの完全仮想化環境だけでなく、 coLinux や今回の OpenVZ など、仮想化環境としてはやや異質なものもサポートしている。

以上のような細かい修正を行なっていって、 GCD OS が問題無く立ち上がるようになったら、 /usr/local/gcd/etc/init.d/chroot の呼び出しを (ubuntu の) /etc/rc.local に追加して、 VPS の起動時に自動的に GCD OS が起動されるようにする。

GCD OS が正しく立ち上がれば、外部から 22番ポートに対して ssh ログインして GCD OS が使える。 22番ポートでログインできることが確認できたら、 3843番ポートの sshd は止めてもよい。 chroot 環境からはいつでも脱出できるので、 3843番ポートを止めても本来の (chroot する前の) ubuntu 環境にアクセスすることが可能:

senri:~ # ssh chiyoda.gcd.org
Enter passphrase for key '/root/.ssh/id_rsa':
Last login: Sat Jul 30 09:14:54 2011 from 2409:82:5fff:0:5542:d84e:971a:9656
Linux 2.6.18-194.3.1.el5.028stab069.6.
chiyoda:~ # ls -F /                                ↓ GCD OS
bin@   dev/  ftp/   lib/    proc/  run/   sys/  usr/
boot/  etc/  home/  lib64@  root/  sbin@  tmp/  var/
chiyoda:/ # chroot_escape /bin/bash                ← chroot から脱出
groups: cannot find name for group ID 11
groups: cannot find name for group ID 14
root@chiyoda:/# ls -F --color=never                ↓ ubuntu
aquota.group@  boot/  fastboot  lib32/  mnt/   sbin/     sys/  var/
aquota.user@   dev/   home/     lib64@  proc/  selinux/  tmp/
bin/           etc/   lib/      media/  root/  srv/      usr/
root@chiyoda:/# cat /etc/debian_version
squeeze/sid
root@chiyoda:/# lsb_release -r
Release:        10.10
root@chiyoda:/# exit
chiyoda:~ #                                         ↓ GCD OS

「chroot_escape /bin/bash」が、 chroot 環境から脱出するコマンド。脱出して、「本来の」 root 環境 (この例では ubuntu) 下で、引数のコマンド「/bin/bash」を実行する。この bash を使って ubuntu の操作ができて、 exit すると元の GCD OS へ戻る。まるで chroot 下の GCD OS の方が「主」で、本来の root が「従」のように見える ;-)。

なお、 chroot_escape コマンド実行時の「groups: cannot find name for group ID 〜」というエラーは、 GCD OS の /etc/group と ubuntu の /etc/group が異なるため。つまり GCD OS の root は ID 11 と 14 のグループに属しているが、 ubuntu には ID が 11 と 14 のグループが存在しないため、このようなエラーが表示される。

ここまでやるなら、 chroot といわず root に GCD OS をインストールしてしまえば? という声が聞こえてきそうであるが、 ServersMan@VPS ではコンソールが利用できないため、トラブったときのために何らかの「バックドア」は残しておきたい。 GCD OS がどのような状況に陥っても、 3843番ポートの sshd (init から起動されるので kill しても再起動する) にログインできれば、 ubuntu 環境で GCD OS の修復が可能。

というわけで一週間ほど ServersMan@VPS Standard プランを使っているが、意外に (失礼!) 使えるので驚いた。実は、 OpenVZ な 512MB ということであまり期待していなかった。 OpenVZ は swap を使えないので、メモリ 512MB だと、ちょっと重い処理をさせるだけですぐ OOM Killer が動き出すのだろうと思っていた。ところが、

chiyoda:~ $ free
             total       used       free     shared    buffers     cached
Mem:       2097152     425020    1672132          0          0          0
-/+ buffers/cache:     425020    1672132
Swap:            0          0          0

512MB というのは実メモリ? の割当量のようで、見かけ上は 2GB のメモリがある。 OpenVZ な VPS サービスによっては、これをメモリ 2GB と言い張るところもあるんじゃないかと思うので、 ServersMan@VPS は良心的。

どのくらいのパフォーマンスなのか、この日記 (WordPress を使用) の処理時間を測ってみる。 senri.gcd.org から ApacheBench でアクセスすると:

senri:~ $ /usr/apache2/bin/ab -n 10 http://chiyoda.gcd.org/blog/
This is ApacheBench, Version 2.3 <$Revision: 655654 $>
        ...
Connection Times (ms)
              min  mean[+/-sd] median   max
Connect:        6    7   0.3      7       7
Processing:   992 1116  94.1   1139    1259
Waiting:      305  403  78.3    380     561
Total:        998 1122  94.1   1146    1265

これを、 Linode Xen 512MB プラン (fremont.gcd.org) と比較する。 fremont.gcd.org は米国西海岸にある VPS なので、同じく西海岸にある prgmr.gcd.org から ApacheBench でアクセスすると:

prgmr:~ $ /usr/apache2/bin/ab -n 10 http://fremont.gcd.org/blog/
        ...
              min  mean[+/-sd] median   max
Connect:        2    3   0.1      3       3
Processing:   996 1081  73.8   1084    1197
Waiting:      354  391  30.5    388     450
Total:        999 1084  73.8   1086    1200

両者は、ほとんど同等のパフォーマンスであることが分かる。 Linode Xen 512MB プランは、ディスク 20GB で月額 $19.95 (約 1600円) なので、 ServersMan@VPS Standard プラン (ディスク 30GB, 月額 980円) の方がコストパフォーマンスが良い。

もちろん、 ServersMan@VPS Standard には、カーネルのバージョンが古すぎ、という問題点があるし、メモリ 512MB を超える部分のパフォーマンスは、ホストOS 側の負荷状況に左右されると思われるので、単純に比較すべきではない。

Filed under: IPv6,システム構築・運用 — hiroaki_sengoku @ 10:48

Comments (0)

2011年7月24日

フレッツ光ネクストの IPv6 IPoE 接続 (ネイティブ方式) を使ってみた

IPv6 閉域網であることを今までさんざん dis られてきたフレッツ網 (NGN, 次世代ネットワーク) が、ついに 7月21日からインターネットに接続できるようになった。これでもう「NGN と IPv6 インターネットは併用できない」などとは言わせない。私は IPv6 を既に PPPoE 接続で使っているのだが、トンネル方式 (PPPoE) よりネイティブ方式 (IPoE) のほうがいいにきまってる、ということでさっそく申し込んでみた。

NGN のサービス情報サイト (NGN からでないとアクセスできない) のページで「サービス申込受付」をクリック。「お客様ID」と「アクセスキー」を入力してログインすると、「フレッツ・v6オプション」を申し込むことができる (このページから申し込むと無料)。

申込み後、 NGN から流れてくる IPv6 ルータ広告 (RA, Router Advertisement) を tcpdump で監視していたら、 34分経過した頃にプレフィックスが突然変わった。 NGN の契約以来、今まで一度も変わったことがなかったプレフィックス 2408:82:5fff:86a::/64 が、 2408:282:5fff::/64 になった。これはきっとインターネットと通信できるプレフィックスに違いないと思って、他のサイトから ping6 を打ってみた。が、 NGN からは RA 以外は何も流れてこない。うーん。ちなみに RA の送信元 (NGN のエッジ・ルータ) は fe80::21e:13ff:fec2:69c2 のまま変わらず。

その後 1時間ほど放置してみたが何も状況が変化しなかったので、「フレッツ・v6オプション」って何? と思い直して (サービス内容をよく確認せずに申し込んでしまっていた)、あらためて FAQ を見ると、

　Q: 「フレッツ・v6オプション」を利用してインターネットへの接続はできますか？
　A: 「フレッツ・v6オプション」は、NTT東日本が構築するNGN内での通信が可能ですが、「フレッツ・v6オプション」のみではインターネットへの接続はできません。インターネットへの接続には、別途プロバイダサービスをお申し込みいただく必要があります。

インターネットへ接続するには、フレッツ・v6オプションとプロバイダ契約の両方が必要らしい。では、どのプロバイダの、どんなサービスを申し込めばいいんだろう? と思って、フレッツ光ネクスト IPv6 IPoE対応プロバイダを調べてみると、神奈川県だと現時点で対応しているのは IIJmio だけだった (神奈川県だけでなく他県も同様)。 IIJ は今まで契約したことがなかったが、他に選択肢が無いのであれば仕方がない。さくっとクレジットカード番号を入力して IIJmio FiberAccess/NF を契約した (月額 2100円)。これで半固定 IPv6 アドレスによる IPoE サービスと、動的割当て IPv4 アドレスによる PPPoE サービスが利用できる。

Ether 上に IP を流すのはごくごく普通のことなので、あらたまって「IPoE」 (IP over Ether) と表現されると何だか妙な感じ。「半固定」というのも微妙な表現だが、注意書きには「お客様の移転、フレッツ回線の品目変更やNTTのメンテナンスにより、変更になる場合があります」と書いてあるので、普通に使ってる限りプレフィックスが変わることは無さそう。

mio FiberAccess/NFサービスは、インターネットマルチフィード株式会社が提供する「transix (トランジックス)」サービスを利用して、 NTT東西の「インターネット（IPv6 IPoE）接続」に対応したIPv6接続を提供します。 IPv6接続に加えて、 PPPoE接続方式によるIPv4接続もあわせて提供するため、お客様は一つのサービスでIPv6、 IPv4の両方の接続環境を利用することができます。
IIJmio FiberAccess/NF概要から引用

IPv6 接続は全て transix が担っていて、 IIJmio はネットワーク的には何の役割も果たしていない。 IIJmio がやってるのは課金などユーザ管理関連だけ。プロバイダである IIJmio が絡むから、 IPv4 接続も提供するなどという抱き合わせ商法になる。動的割当の IPv4 PPPoE 接続サービスなんて要らないから、もう少し安いプランがあればいいのにと思う。

本来、ネイティブ方式の IPv6 接続サービスは、 NTT東西だけで提供するのが自然な形だった。ところが、 NGN を持っていて地域独占な NTT東西が接続サービスまで提供してしまっては、他のプロバイダの出る幕がなくなると猛反発されて、 BBIX, JPNE, インターネットマルチフィードの三社が接続サービスを提供することになった。なぜ三社だけかといえば、プロバイダを増やすと経路情報の処理量が膨大になって NGN の各ルータの処理能力の限界を超えてしまうから。

ところが、三社だけでは少なすぎると他のプロバイダ達が反対したので、その他大勢の中小プロバイダにも参入の余地を無理矢理作ったということなのだろう。でも、やってることは単なるユーザ管理なので、通信事業者じゃなくてもできる簡単なお仕事。この期に及んで業界保護みたいなことはやめてほしい。インターネット接続サービスは既にコモディティ化しているのだから、体力のないところは淘汰されるべき。

FiberAccess/NF を契約してから 1時間が経過したとき、 NGN から流れてくる RA のプレフィックスが 2409:82:5fff::/64 に変わった。今度こそ疎通したかと思い、 senri.gcd.org に IPv6 アドレス 2409:82:5fff::3c20:55dc を割当てて、他のサイトから 2409:82:5fff::3c20:55dc に対して ping6 を打ってみる。すると無事、NGN IPoE 経由で senri.gcd.org に ICMPv6 パケットが届いた。

ただし、まだ senri.gcd.org の routing 設定を行なっていないので、返りパケットは PPPoE 経由で OCN 側へ行ってしまう (おそらく OCN 内部で捨てられる)。そこで、とりあえずの対策として NGN から届いたパケットは NGN へ返すように、 policy routing rule を設定した:

senri:/ # ip -6 rule add from 2409:82:5fff::/64 table 100 pref 25600
senri:/ # ip -6 route add default table 100 via fe80::21e:13ff:fec2:69c2 dev eth1

つまり、送信元アドレスが 2409:82:5fff::/64 なパケットは routing table 100 を参照するようにして、 routing table 100 において default route を、 fe80::21e:13ff:fec2:69c2 (NGN のエッジ・ルータ) へ向ける。

これで ping に対して応答できるようになった。

fremont:~ $ ping6 -c 3 2409:82:5fff::3c20:55dc
PING 2409:82:5fff::3c20:55dc(2409:82:5fff::3c20:55dc) 56 data bytes
64 bytes from 2409:82:5fff::3c20:55dc: icmp_seq=1 ttl=49 time=122 ms
64 bytes from 2409:82:5fff::3c20:55dc: icmp_seq=2 ttl=49 time=122 ms
64 bytes from 2409:82:5fff::3c20:55dc: icmp_seq=3 ttl=49 time=122 ms

--- 2409:82:5fff::3c20:55dc ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 122.479/122.526/122.591/0.289 ms
fremont:~ $ tcpspray 2409:82:5fff::3c20:55dc
Transmitted 102400 bytes in 0.491628 seconds (203.406 kbytes/s)

RTT (Round Trip Time, 往復所要時間) が 122ms もかかってるのは、 fremont.gcd.org が米国の西海岸にあるため。 2400:400d:100::3c20:55dc (OCN の PPPoE 接続) 宛の場合↓ と比べると、 transix は RTT で 50ms ほど速く、帯域 (tcpspray による簡易測定) で倍くらい広い。

fremont:~ $ ping6 -c 3 2400:400d:100::3c20:55dc
PING 2400:400d:100::3c20:55dc(2400:400d:100::3c20:55dc) 56 data bytes
64 bytes from 2400:400d:100::3c20:55dc: icmp_seq=1 ttl=49 time=174 ms
64 bytes from 2400:400d:100::3c20:55dc: icmp_seq=2 ttl=49 time=174 ms
64 bytes from 2400:400d:100::3c20:55dc: icmp_seq=3 ttl=49 time=174 ms

--- 2400:400d:100::3c20:55dc ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 174.046/174.386/174.593/0.539 ms

fremont:~ $ tcpspray 2400:400d:100::3c20:55dc
Transmitted 102400 bytes in 0.905523 seconds (110.433 kbytes/s)

参考までに IPv4 60.32.85.216 (OCN の PPPoE 接続) の場合も測ってみた。すると RTT も帯域も transix と同程度だった。つまり OCN の IPv6 PPPoE だけが突出して遅く、帯域も狭い。

fremont:~ $ ping -c 3 60.32.85.216
PING 60.32.85.216 (60.32.85.216) 56(84) bytes of data.
64 bytes from 60.32.85.216: icmp_req=1 ttl=51 time=130 ms
64 bytes from 60.32.85.216: icmp_req=2 ttl=51 time=130 ms
64 bytes from 60.32.85.216: icmp_req=3 ttl=51 time=129 ms

--- 60.32.85.216 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 129.377/129.903/130.202/0.559 ms

fremont:~ $ tcpspray 60.32.85.216
Transmitted 102400 bytes in 0.518052 seconds (193.031 kbytes/s)

米国西海岸から transix までの IPv6 の経路はこんな感じ:

fremont:~ $ tracepath6 2409:82:5fff::3c20:55dc
 1?: [LOCALHOST]                        0.021ms pmtu 1500
 1:  2600:3c01:ffff:0:ca4c:75ff:fef5:d63f                  0.558ms
 1:  2600:3c01:ffff:0:ca4c:75ff:fef5:d63f                  0.480ms
 2:  10gigabitethernet2-3.core1.fmt1.he.net                3.149ms
 3:  10gigabitethernet1-2.core1.sjc2.he.net               11.042ms
 4:  equi6ix.sv.iij.com                                    1.834ms asymm  5
 5:  sjc002bf00.iij.net                                    9.384ms asymm  7
 6:  2001:48b0:bb00:8016::71                             120.588ms asymm  7
 7:  tky009bb11.IIJ.Net                                  120.730ms asymm  8
 8:  tky009ip50.IIJ.Net                                  121.048ms
 9:  2001:240:bb5c:1008::cafe                            120.365ms
10:  2404:8e00:feed:101::2                               121.852ms
11:  no reply
12:  no reply
13:  no reply
14:  no reply
15:  no reply
16:  2409:82:5fff::3c20:55dc                             127.409ms reached
     Resume: pmtu 1500 hops 16 back 49

「IIJmio はネットワーク的には何の役割も果たしていない」が、日米間の回線は IIJ が担っているようだ (あれっ? ^^;)。日本に上陸後 (6 以降) はほとんど遅延していない。

OCN の PPPoE の場合だと、こんな感じ:

fremont:~ $ tracepath6 2400:400d:100::3c20:55dc
 1?: [LOCALHOST]                        0.047ms pmtu 1500
 1:  2600:3c01:ffff:0:ca4c:75ff:fef5:d63f                  3.935ms
 1:  2600:3c01:ffff:0:ca4c:75ff:fef5:d63f                  0.852ms
 2:  10gigabitethernet2-3.core1.fmt1.he.net                7.978ms
 3:  10gigabitethernet1-2.core1.sjc2.he.net                2.532ms
 4:  xe-0.equinix.snjsca04.us.bb.gin.ntt.net               2.018ms asymm  5
 5:  as-1.r21.osakjp01.jp.bb.gin.ntt.net                 168.074ms asymm 11
 6:  ae-0.ocn.osakjp01.jp.bb.gin.ntt.net                 167.792ms asymm 14
 7:  2001:380:8060:6::1                                  159.446ms asymm 13
 8:  2001:380:8170:4::1                                  167.630ms asymm 14
 9:  2001:380:8030:16::1                                 168.401ms asymm 15
10:  2001:380:8110:d::1                                  170.344ms asymm 14
11:  2001:380:8110:f::2                                  178.503ms asymm 13
12:  2001:380:8130:11::13                                178.131ms asymm 13
13:  2001:380:8270:8::2                                  172.448ms
14:  2001:380:4d:101::2                                  179.036ms
15:  2001:380:4d:182::2                                  181.317ms
16:  no reply
17:  2001:380:4d:181::2                                  173.127ms pmtu 1454
17:  senri.v6.gcd.org                                    183.023ms reached
     Resume: pmtu 1454 hops 17 back 49

日米間に 160ms もかかっている上に、日本に上陸後 (5 以降) も 15ms ほど遅延がある。なぜこんなに遅いのだろう? また、PPPoE なので mtu が 1454 になっている。

同じ OCN の PPPoE でも、 IPv4 だと遅くない (というか transix より若干速い) ので、 OCN の IPv6 PPPoE 接続サービスには、なにか問題がありそう。まあ、追加料金無しのサービスなので、 IPv4 のオマケ的な位置づけなのかも?

fremont:~ $ tracepath 60.32.85.216
 1:  fremont.gcd.org                                       0.169ms pmtu 1500
 1:  184.105.143.85                                        1.702ms
 1:  184.105.143.85                                        0.418ms
 2:  10gigabitethernet2-3.core1.fmt1.he.net                0.665ms
 3:  10gigabitethernet1-1.core1.pao1.he.net                8.907ms
 4:  sjo-bb1-link.telia.net                                1.297ms asymm  5
 5:  verio-119529-sjo-bb1.telia.net                        4.568ms
 6:  ae-8.r20.snjsca04.us.bb.gin.ntt.net                   1.922ms
 7:  as-2.r20.tokyjp01.jp.bb.gin.ntt.net                 112.093ms asymm  8
 8:  ae-1.ocn.tokyjp01.jp.bb.gin.ntt.net                 119.692ms asymm 11
 9:  60.37.27.137                                        120.641ms asymm 10
10:  60.37.55.158                                        119.549ms asymm 11
11:  122.1.173.238                                       121.243ms
12:  118.23.5.78                                         128.853ms asymm 14
13:  no reply
14:  118.23.8.9                                          128.712ms pmtu 1454
14:  gcd.org                                             123.788ms reached
     Resume: pmtu 1454 hops 14 back 52

More...

Filed under: IPv6,システム構築・運用 — hiroaki_sengoku @ 18:33

Comments (4)

2011年6月20日

フレッツ光ネクストの IPv6 PPPoE 接続を OCN 光アクセスで使ってみた

6月1日から NTT東日本のフレッツ光ネクストにおいて IPv6 PPPoE 接続の提供が始まった。私は OCN光アクセスを契約しているが、幸い OCN (NTTコミュニケーションズ) も、 NTT東日本に合わせて順次対応を開始ということなので、さっそく OCN へ電話で問合わせてみたら、申込書をメールで送るので記入押印の上 FAX で送り返して欲しい、とのこと。

いまどき Web で申し込めないなんて、と思いつつ 8ページにもわたる申込書 (いつも感じるが OCN の申込書は無駄にページ数が多い *_*) を FAX で送付。すると翌日電話がかかってきて、開通日は 10日後などとおっしゃる。それじゃ World IPv6 Day に間に合わないじゃんと思ったが、どんな変更でも申込みから 7営業日は最低でもかかるらしいので仕方がない。なお、工事費および月額使用料は無料。

OCN には元々月額 315円の「OCN IPv6」というサービスがあるが、 OCN IPv6 はフレッツ網に PPPoE によるトンネルを張って IPv4 を通し (OCN フレッツ光)、その IPv4 上に L2TP (Layer 2 Tunneling Protocol) によるトンネルを張って PPP セッションを通し、その PPP 上に IPv6 を通すという屋上屋を架す方式だったのに対し、 6月1日から始まった「IPv6インターネット接続」はフレッツ網に PPPoE によるトンネルを張って IPv6 を通す方式。

つまり OCN フレッツ光の IPv4 の部分を IPv6 でそのまま置き換えたシンプルな方式。もちろんフレッツ網に IPv6 を直接通す「ネイティブ方式」が一番シンプルだが、ネイティブ方式に関しては「平成23年7月を目途に提供を予定」ということなので、どのようなサービスが始まるのか今のところ不明 (もう来週には 7月が始まってしまうのだが)。 7/24追記: ネイティブ方式サービスが始まった！

開通日の 2日前に郵便で届いた「ご利用内容のご案内」の欄外の注釈に、

IPv6 でインターネットに接続する際、認証ID の @ 右側を “@bizf.ocn.ne.jp” の場合は “@bizf6.ocn.ne.jp” に、 “@bizd.ocn.ne.jp” の場合は “@bizd6.ocn.ne.jp” に変更してご利用下さい。

と書いてあった。 IPv6 での接続に関する説明はこの部分だけなので、あとは推測するしかない (サポートに接続方法を聞いても、単に IPv6トンネル対応ルータを購入してくれと言われる)。

とりあえず、ふだん IPv4 で接続するときに使ってる PPPoE スクリプト (RP-PPPoE) を、認証ID を “xxxx@bizf.ocn.ne.jp” から “xxxx@bizf6.ocn.ne.jp” に変更して走らせてみる:

20:39:13 senri pppd[16587]: Plugin /etc/ppp/plugins/rp-pppoe.so loaded.
20:39:13 senri pppd[16587]: RP-PPPoE plugin version 3.10 compiled against pppd 2.4.5
20:39:13 senri pppd[16587]: pppd 2.4.5 started by root, uid 0
20:39:13 senri pppd[16587]: PPP session is 6394 (0x18fa)
20:39:13 senri pppd[16587]: Connected to 00:1e:13:c2:69:c2 via interface eth1
20:39:13 senri pppd[16587]: Using interface ppp0
20:39:13 senri pppd[16587]: Connect: ppp0 < --> eth1
20:39:13 senri pppd[16587]: Couldn't increase MTU to 1500
20:39:13 senri pppd[16587]: Couldn't increase MRU to 1500
20:39:13 senri pppd[16587]: PAP authentication succeeded
20:39:13 senri pppd[16587]: peer from calling number 00:1E:13:C2:69:C2 authorized
20:39:13 senri pppd[16587]: local  LL address fe80::fd61:ff9b:eb97:1f93
20:39:13 senri pppd[16587]: remote LL address fe80::0090:1a00:41a3:d3f3

PPP は 1 つ以上のネットワーク層プロトコルを選択できるので、 IPCP (IP Control Protocol) と IPv6CP (IPv6 Control Protocol) の両方が流れてくるのかと予想したのだが、流れてきたのは IPv6CP のみだった。つまり “@bizf.ocn.ne.jp” で IPv4 用、 “@bizf6.ocn.ne.jp” で IPv6 用、計 2本の PPPoE セッションを張ることになる。

上記ログから分かる通り Link Local とはいえ IPv6 なアドレス fe80::fd61:ff9b:eb97:1f93 が割り振られたのだから、 IPv6 で通信できるはず。試しに PPP の対向サーバへ ping を打ってみると、ちゃんと応答が返ってきた:

senri:~ $ ping6 -c 3 fe80::0090:1a00:41a3:d3f3%ppp0↓
PING fe80::90:1a00:41a3:d3f3%ppp0 (fe80::90:1a00:41a3:d3f3%ppp0): 48 data bytes
56 bytes from fe80::90:1a00:41a3:d3f3%ppp0: icmp_seq=0 ttl=255 time=3.936 ms
56 bytes from fe80::90:1a00:41a3:d3f3%ppp0: icmp_seq=1 ttl=255 time=4.050 ms
56 bytes from fe80::90:1a00:41a3:d3f3%ppp0: icmp_seq=2 ttl=255 time=4.176 ms
--- fe80::0090:1a00:41a3:d3f3%ppp0 ping statistics ---
3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max/stddev = 3.936/4.054/4.176/0.098 ms
senri:~ $

じゃ、 Global なアドレス (固定アドレス契約なのでプレフィックスが「ご利用内容のご案内」に書かれていた) を付けて routing 設定を行なえば Global に通信できそうと思い、試してみると...

senri:/ # ifconfig eth0 add 2400:400d:100::1/56↓
senri:/ # ip -6 route add default via fe80::0090:1a00:41a3:d3f3 dev ppp0↓
senri:/ # ping6 www.kame.net↓
PING www.kame.net (2001:200:dff:fff1:216:3eff:feb1:44d7): 48 data bytes
^C--- www.kame.net ping statistics ---
15 packets transmitted, 0 packets received, 100% packet loss
senri:/ #

う〜ん、ダメか。 tcpdump を使って ppp0 に届く IPv6 パケットを監視してみたが、 OCN へ送信したパケットのみが表示され、 OCN 側からは何のパケットも届かない。

しかも、他のサイトから 2400:400d:100::1 に対して ping6 を打ってみても何も届かない。仮にこちらの設定に何か間違いがあったとしても、 OCN 側で 2400:400d:100::1 宛のパケットを routing していれば、パケット自体は流れてきそうな気がするのだが... 少なくとも IPv4 の場合なら、こちらの IP アドレス設定が間違っていても、受け取れないだけでパケット自体は流れてくる。

ひょっとして、「ご利用内容のご案内」に書かれていた「2400:400d:100::」というプレフィックスが間違っているんじゃ? と、途方に暮れる。

More...

Filed under: IPv6,システム構築・運用 — hiroaki_sengoku @ 09:08

Comments Off

2011年6月2日

Android 端末上で透過型プロキシを動かしてみる〜 VPN のように使えて、しかも省電力

透過型プロキシ (Transparent Proxy) というのは、ブラウザから「見えない」プロキシのこと。ブラウザ自身は WWW サーバにアクセスしているつもりなのに、ブラウザが送信したリクエストをプロキシが横取りし、プロキシから出し直す。サーバからのレスポンスは当然プロキシに返り、プロキシがそれをブラウザに送信するのだけど、パケットがブラウザに届くまでの間に送信元アドレスが書き換えられて、サーバから直接レスポンスが届いたようにブラウザからは見える。

フツーの「見える」プロキシは、ブラウザ等でプロキシ設定が必要であるのに対し、透過型プロキシだと設定が不要。だから一部の ISP (インターネット接続プロバイダ) などで、フツーのプロキシの代りに使われていたりする (ユーザにプロキシ設定の方法を説明する必要がなくてサポートコストが削減できる)。あるいは企業等で、従業員が仕事と関係ない Web ページを閲覧していないか監視するために、社内から社外へ接続するゲートウェイ等に透過型プロキシを設置して、社外への http アクセスを記録していたりする (監視だけならパケットをダンプするだけでも用が足りるが、アクセス先のサイト毎に細かな制御を行なおうとすると、プロキシを使った方が楽)。

このように、透過型プロキシはその存在を隠すために使われることが多いが、ブラウザにプロキシ設定の機能が無い場合は、透過型プロキシを使わざるを得ない。例えば、 Android 端末で使われるブラウザの多くが、なぜかプロキシ設定の機能を持っていない。プロキシ経由でアクセスされると、モバイル端末からのアクセスなのか、フツーの PC からのアクセスなのか、区別がつかなくなってしまうので、あえてプロキシ設定できないようにしているのかも知れないが、プロキシを使わないとアクセスできない場合は困ってしまう。

私の場合、勤務先の LAN 内のサーバに社外からアクセスするとき、社内アクセス専用のプロキシ (ここでは仮にホスト名を proxy.klab.org とする) を利用している。例えば senri.gcd.org (自宅のサーバ、つまり社外) からこのプロキシをアクセスすると、こんな感じ:

senri:~ $ openssl s_client -connect proxy.klab.org:443 -cert cert.pem -key key.pem -CApath /usr/ssl/certs -quiet↓
Enter pass phrase for key.pem:xxxxxxxx↓

depth=1 /C=US/O=Equifax/OU=Equifax Secure Certificate Authority
verify return:1
depth=0 /serialNumber=-cn4oMJtlqoqfQZaTat68U68dNVbM8iQ/C=JP/O=*.klab.org/OU=GT41256819/OU=See www.rapidssl.com/resources/cps (c)09/OU=Domain Control Validated - RapidSSL(R)/CN=*.klab.org
verify return:1
CONNECT irc.klab.org:6667 HTTP/1.1↓
↓
HTTP/1.0 200 OK

:irc.klab.org NOTICE AUTH :*** Looking up your hostname...
:irc.klab.org NOTICE AUTH :*** Found your hostname

行末に「↓」がある行が入力行。「↓」は Enter キー押下。秘密鍵 key.pem でクライアント認証を受けて proxy.klab.org に接続し、 CONNECT リクエストを送信することにより、社内の任意のサーバ:ポートに接続できる。上記の例では社内 IRC サーバである irc.klab.org:6667 に接続しているが、もちろん社内の任意の WWW サーバにも接続できる。

説明を簡単にするため proxy.klab.org と書いたが、実際には VPN Warp を使っている (だから proxy.klab.org というサーバは存在しない)。 VPN Warp も stone で接続することができるので、以下の説明は VPN Warp の場合もほとんど同様に適用することができる。

プロキシというと、ファイアウォールの内側から外部のインターネットをアクセスするために用いるものと思っている人が多いせいか、外からファイアウォールの内側をアクセスするためのプロキシは、特にリバースプロキシ (reverse proxy) と呼ばれることもある。

proxy.klab.org を透過型プロキシとして利用できれば、社内の任意のサーバに透過的にアクセスできるようになる。例えばこんな感じ:

senri:~ $ adb shell↓
$ getprop ro.build.description↓
soju-user 2.3.4 GRJ22 121341 release-keys
$ su↓
# busybox traceroute irc.klab.org↓
traceroute to irc.klab.org (10.10.0.18), 30 hops max, 38 byte packets
 1  110.158.20.29 (110.158.20.29)  701.203 ms  90.517 ms  85.570 ms
 2  *  *  *
 3  *  *  *
 4  110.158.18.138 (110.158.18.138)  79.540 ms !A  *  *
 5  *  *  *
 6  *  ^C
senri:~ $ adb shell↓
$ telnet irc.klab.org 6667↓
:irc.klab.org NOTICE AUTH :*** Looking up your hostname...
:irc.klab.org NOTICE AUTH :*** Found your hostname

「soju-user 2.3.4 GRJ22」つまり Android 2.3.4 な Nexus S で、パケットが届かないはずの irc.klab.org (10.10.0.18) に対して、 telnet でアクセスできている。 telnet でアクセスできるということは、もちろん任意の IRC アプリで irc.klab.org にアクセスできるということ。

VPN (Virtual Private Network) でも同じことができる! という声が聞こえてきそうだが、 VPN だと TCP でデータを送受信していないときも、 VPN セッションを張っているだけでいろんなパケット (例えば ARP) が行き交って、そのたびに電波が飛んで電池を消耗するので、あまりモバイル向きではないと思う。

あるいは、 ConnectBot などを使って ssh で port forward を行なう方法もあるが、これまた ssh セッションを張りっぱなしだと電池消耗が心配だし、かといって IRC を使う前に毎回 ssh 接続を行なうのはメンドクサイ。また、通信先/宛先ポートが増えるたび port foward 設定を追加するのもメンドクサイ。

その点、透過型プロキシだと実際にパケットが飛ぶときのみ通信が行なわれるので、電池消耗をあまり心配せずに TCP セッションを張りっぱなしにできる。また、 LAN 内の通信先/宛先ポートが増えても設定変更は不要。モバイルで LAN 内にアクセスする方法として最適だと思う (便利なのに普及していないのはナゼ?)。

More...

Filed under: Android,stone 開発日記 — hiroaki_sengoku @ 09:41

Comments (31)

2011年5月23日

TheBus でヌアヌ・パリ展望台 (Nu‘uanu Pali Lookout) へ行ってみた

ハワイ州オアフ島の観光スポットの定番、ヌアヌ・パリ (Nu‘uanu Pali) 展望台。地図中赤印 A →
一昔前のパック・ツアーなどだと、空港に到着後、ホテルへチェックインする前に観光バスで連れて行ってもらえたりしたが、自力で行こうとすると難度が高い。すなわち、ハワイ唯一の公共交通機関 TheBus だと最寄りのバス停 (地図青印 3ヶ所) から遠い (もちろんレンタカーを使えば簡単に行けるが、ここでは車を使う方法は除外して考える)。

遠いだけならまだしも、「展望台」であるから (当然) 山の中であり、しかも展望台があるのは高速道路 (Pali Highway, 61号線) の真上 (標高 386m)。展望台 A のホノルル側 (地図で左下方向) の二つのバス停は、直線距離で 4km 以上ある上に、途中トンネルなどもあって、徒歩で行くのは現実的では無さそう (Pali Highway はオアフ島の幹線で、かなり交通量がある上に車速も 80km/h 程度と速く、路肩を歩くのは危険)。

可能性があるのは A のカイルア側 (地図で右上方向) のバス停 (Kamehameha Highway との交差点)。直線距離で 1.6km ほどだが、道路がヘアピンカーブになっているので、実際には 3km くらいになる。展望台から 500m ほど、今は使われていない旧道 (Old Pali Road) があって (この旧道の下に Pali Highway のトンネルがある)、その先は山道 Maunawili Trail に接続している。

More...

Filed under: Hawaii — hiroaki_sengoku @ 09:43

Comments (3)

2011年5月18日

nook color を買って CyanogenMod 7 をインストールしてみた〜レンガ化リスクが無い PC のようなタブレット端末

ハワイ滞在中、泊ったホテルのすぐ近くに米国最大の書店チェーン Barnes & Noble があった。当然しばしば立ち寄ったが、電子ブックリーダ nook のデモ機を店内の一番目立つ場所 (入口を入ってすぐのところ) に並べて説明員が張り付いていて、いつ訪れても、来店する人々に nook を勧めたり説明したりしていた。昨年 (2010年4月) 訪れたときもこういう状態だったので、もうかれこれ一年以上やっているのだと思うが、今回は昨年と違って、 nook color がラインアップに加わっている。

電子ブックリーダというと、初代 nook や Kindle や BORDERS (米国二番手の書店チェーン, 経営再建中) の kobo eReader など、電子インク (E Ink) をディスプレイに用いた機種が思い浮かぶが、 nook color は普通の液晶ディスプレイ。電子書籍を読むなら圧倒的に電子インクの方が適していると思うが、あいにく日本では電子書籍の普及は今一つだし、近い将来普及が進むかというとなかなか難しそう (そもそも普及に懸ける書店の意気込みがぜんぜん違う)。だから (英語がニガテな私は) 電子インクなブックリーダにはあまり興味がなかった (自炊は大変そう)。でも、 nook color は液晶ディスプレイなので Android タブレットとして使えそう。

店頭デモ機をいじってみると、そのままでも WWW ブラウザで日本語表示できるし、ちょっと検索してみるとハックもいろいろ進んでいる (Android 3.0 honeycomb も動く) ようだ。しかも $249 と Android タブレットとしてみると格安。同じく 7インチ液晶の Galaxy Tab (382g) よりは重いが、 9.7インチ液晶の iPad2 (601g, ずっしり重くて私には無理) よりは軽い 450g.

というわけでハワイ滞在最終日に衝動買い (^^;)。ちょうど円高が進んでいる昨今でもあるし〜 (言い訳)。説明員のお姉さんに、コレちょうだいと言うと、すぐカウンターの下から (そんなところに在庫を入れていたのか) 取り出してレジへ。ハワイ州の Sales Tax 4.710% が加算されて $260.73 (約 21000円)。そのままスーツケースに放り込んで帰国。

で、まず root 化。 Auto-Nooter 3.0.0 を使うと、 root 権限の取得から各種ソフトウェアのインストールまで、全自動でやってくれるらしい。 Auto-Nooter をダウンロードして、 micro SD カードに書込み、 nook color に挿入して USB ケーブルで PC とつなぐと、勝手にブートして勝手に全部やってくれる。なんて簡単な...

ところが!

More...

Filed under: Android,Hawaii — hiroaki_sengoku @ 07:43

Comments (0)

2011年5月7日

米国 T-Mobile のプリペイド SIM カードで Nexus S を使ってみた

米国 AT&T のプリペイド SIM カードは、 $100 ぶんの度数を購入 (refill) すると、 1年間有効。昨年訪米したときに $100 refill しておいた (さらに直前に Data Package 100MB を購入しておいた) ので今回の訪米では、最初から (飛行機の外へ出た直後から) Nexus One で通信できた。

ところが今回は Nexus One の他に Nexus S も (ついでに言うと Galaxy S も) 持ってきている。 Nexus S は、 UMTS (W-CDMA) I/IV/VIII (2100MHz/AWS/900MHz) のみ対応で、 AT&T の UMTS II (1900MHz) は対応していない。もちろん EDGE (Enhanced Data Rates for GSM Evolution) なら Nexus S でも対応しているが、 3G 対応スマートフォンで EDGE を使うのは悲しすぎる。そこで AWS (Advanced Wireless Services, 上り1.7GHz 下り2.1GHz) を使う T-Mobile のプリペイド SIM カードを購入してみた。

いたるところにある AT&T ストア (ホノルル市で 7ヶ所) と比べると、 T-Mobile ストアはホノルル市に 2ヶ所しかないが、うち一軒は幸いダウンタウンの比較的アクセスしやすい場所 1100 Alakea St にあるので、 T-Mobile store ハワイ唯一の公共交通機関 TheBus で行ってみた:

ちなみにホノルル市のもう一軒は Kahala にあるようだが、 (車無しでは) とてもアクセスしにくそう。しかも Google Map で見ると、「存在しないと報告されました」などと書いてある。

ダウンタウンの T-Mobile ストアに入るなり、スタッフが寄ってきたので Prepaid SIM を「Pay As You Go」プランで買いたい旨を伝えた。 ID (写真入りの身分証明書) を求められたので、写真入りの Debit カードを提示したら、住所を言う必要もなく、携帯電話を見せる必要もなく、すんなり購入できて、しかも (頼んでないのに) Activation まで行なってくれた。

店内に椅子がなかったので、店の外に出て石段 (上の写真の「1100 ALAKEA」と書いてあるブロック) に腰掛けて、購入した SIM を Nexus S に入れてみた。 Nexus S から、 Nexus One の電話番号へかけたら、無事 Nexus One の着信音が鳴った。 Activation はホテルに戻ってからゆっくりやろうと思っていただけに、あっさり Nexus S が使用可能状態になってしまって拍子抜け。

More...

Filed under: Android,Hawaii,SIM — hiroaki_sengoku @ 17:57

Comments (7)

2011年4月8日

Galaxy S を Android 2.2.1 へ更新したら、アプリが次々と異常終了するようになってしまった〜原因と復旧方法

Sorry! The app has stopped unexpectedly.

Galaxy S を Kies 経由 (SAMSUNG 公式の方法) で 2.2.1 (ビルド番号 FROYO.ZSJPK) へアップデートしたら、ほとんど全てのアプリが起動直後に異常終了するという事態に陥ってしまった。

← のような「Sorry!」ダイアログが、ブート中に次々と表示される。これは jp.softbank.mb.mail つまり SoftBankメールが異常終了したことを知らせるダイアログだが、これ以外にも Battery Graph, K-9 Mail, Dropbox, Calendar Pad, ROM Manager などなど、ブート時に自動起動されるウィジェットやサービスなどが、次々と異常終了して同様の「Sorry!」ダイアログで画面が埋め尽された。「Force close」ボタンを押してダイアログを閉じても、後から後からダイアログが繰り返し現れる深刻な事態。

一体何が起ったのかと呆然としながら「Force close」を押し続けていると、言語 (英語/中国語) を選択する画面が表示された。これはセットアップウィザード (PhoneSetupWizard.apk) で、普通は初回のみ起動されるアプリ。

なぜホーム画面が表示されないのかと思いつつ、ウィザードにしたがって時刻などを設定していくと、異常終了してウィザードが再起動してしまった。つまり言語設定からやり直し。これが繰り返される無限ループに陥り、ホーム画面に移行できなくなってしまった。

いったい何が起ったのか?

検索したら Kies を使って 2.2.1 BOJS5 へアップデートしたら PhoneSetupWizard.apk の無限ループに陥った、という同様の症例が見つかったが、もし SAMSUNG 公式の方法で 2.2.1 へアップデートしたとき、常にこのような問題が起きるのだとしたら、もっと大騒ぎになるはず。だから、単にアップデートしただけで発症するのではなく、なにか別に発症の条件があるのではないか?

RyanZA's OCLF 2.0 を使っていて、きちんと OCLF (One Click Lag Fix) を無効化してから 2.2.1 へアップデートしたのに、アプリが動かなくなったという症例も見つかった。 Galaxy S はアプリのデータ用のフラッシュメモリ (/data ディレクトリ) の書込み速度が遅く、しばしばフリーズする (いわゆる「プチフリ」) 問題があり、多くの人が OCLF 等のツール (ext2 なイメージファイルを /data パーティションに作って loop device 経由で /data にマウントしてくれるツール。ファイルシステムが rfs から ext2 になることによりプチフリが軽減される) を使っていると思われるし、もちろん私も使っている。

私の場合、まず OCLF を無効化 (ext2 上のデータを /data 以下へ書き戻して loop device をアンマウント) し、 Kies を使って 2.2.1 へアップデートを行なった。次に OCLF を有効化し、しばらくフツーに Galaxy S を使ってみて問題無いことを確認した後、バックアップを取っておこうと ClockworkMod recovery へ再起動してバックアップを行なった (うっかり OCLF を有効化したままバックアップしてしまったので、 data.img が 1.6GB になってしまった ^^;)。

ここまでは全く正常。

フツーの Android だと recovery mode では (通常起動時とは別の) recovery mode 専用のブートイメージ (recovery image) が使用されるので、この recovery image を書き換えてバックアップ機能を持たせたり、カスタムROM を書込む機能を持たせたりできる。 ClockworkMod recovery や Amon RA recovery が有名。
ところが Galaxy S の場合は、 recovery mode でも通常起動と同じブートイメージが使用され、 /system/bin/recovery が実行される。しかもこの recovery が、バージョン <3e> 以降から (正規の) 署名付 update.zip でないと書込めず (つまりカスタムROM 等を書込めない) しかも書込んだときは強制的に初期化するようになった。
そこで改変版 3e Recovery が作られた。この改変版で /system/bin/recovery を置き換えると、初期化せずに任意の update.zip を読み込むことができて、かつ ROM Manager に含まれる recovery-update.zip を読み込むと、 Galaxy S でも ClockworkMod recovery が利用できる。

で、バックアップが正常に終了したあと起動したら前述したような異常事態に陥った、という顛末。
同様の異常事態に陥ったかたは、何をしたらそうなったか教えて頂けると幸い。

この手のトラブルが起きたとき、 Web 上でよく見かける対処方法といえば「初期化」 (wipe data / factory reset)。そりゃ初期化すれば直ることが多い (より事態が悪化して再起不能になるケースも無いわけではないので、手放しで推奨するわけにはいかない) が、トラブルの原因が闇に葬られるので、私としてはきちんと原因究明した上で (可能なら設定等も温存したまま) 直したい。

More...

Filed under: Android — hiroaki_sengoku @ 07:57

Comments Off

2011年3月24日

Nexus S を素のまま root 化する方法〜アンロック不要、リカバリROM書換も初期化も不要 (GRH78 まで)

遅ればせながら Nexus S を入手した。

もちろん、真っ先に行なったのは root 権限の取得。「正規に」 root 権限を取得できるのが、 Nexus S の唯一(?)の存在理由なのだから、 root を取らずにいじるというのは邪道だろう。 root を取らないのであれば Galaxy S などで充分。

Android 端末の root 権限を取得するには大別して次の二つの方法がある:

ブートローダをアンロックしてリカバリを書換 (fastboot oem unlock)
セキュリティホールを利用して root 権限を奪取 (RageAgainstTheCage)

1. の方法は Google 正規の方法。開発目的で Android 端末をいじるときは root 権限を取得したほうが何かと便利なので、 Nexus One や Nexus S など開発者用の Android 端末は、「仕様」として root 権限を取得できるようになっている。

開発用でない端末の root を取れてしまうとセキュリティ上の脅威となる (他人の端末で勝手に root を取ってプライベートデータを盗み読むなど) ので、端末上の全データを消去した上でないとアンロックできない。なので、 root を取る前にアプリをインストールしたり、設定を変更したりすると、アンロックしたとき全て消えてしまって二度手間になる。だから Nexus S を入手したら、何よりも真っ先にアンロックすべき (← くどい)。

2. の方法は、 (root 権限で起動される) adbd が、 setuid(2) を使って root 権限を手放す (adbd は shell ユーザ権限で動く) ときに、エラー (setuid の返値) チェックを行なっていない、というバグ (セキュリティホール) を利用する。具体的には RageAgainstTheCage exploit を利用して (再起動した) adbd が setuid を呼び出すときにリソース不足 (errno = EAGAIN) で失敗させ、 adbd が root 権限を手放さずにそのまま走るようにすることにより、 root 権限が利用できるようになる。

一般の (開発者用でない) 端末をいじり倒したい場合には便利な方法だが、当然ながら悪用もできるわけで、ユーザが意図しないところでアプリが勝手に root 権限を奪取してしまうと、極めてやっかいなことになる。実際そういうマルウェアも出回っているらしい。

Android Gingerbread 2.3.3 以降でこのバグが修正され、 RageAgainstTheCage では root 権限を奪取できないようになったのは当然と言える。むしろ遅きに失したくらい。これだけ有名かつ重大なセキュリティホールを今まで放置した Google は万死に値する。

というわけで、 Nexus S の箱を開封して真っ先にアンロックしようと FASTBOOT MODE にした (音量大ボタンを押しながら電源を入れる) のだが、アンロックコマンド (fastboot oem unlock) が使えるなら、もしかすると、その他の fastboot コマンドも使えるのではないか? という思いがよぎり...

senri:~ $ fastboot boot recovery-clockwork-3.0.0.5-crespo.img
downloading 'boot.img'... OKAY
booting... OKAY

ありゃ (^^;)、 clockwork リカバリで起動してしまった。リカバリイメージをフラッシュしていない点に注目。フツーは、アンロックした上でリカバリイメージを書込み、リカバリモードで起動して root 化するのだが、そうした手順をすっ飛ばして起動できてしまった。

ちなみに、リカバリイメージを書込むにはアンロックが必要であるようだ:

senri:~ $ fastboot flash recovery recovery-clockwork-3.0.0.5-crespo.img 
sending 'recovery' (3980 KB)... OKAY
writing 'recovery'... FAILED (remote: Bootloader Locked - Use "fastboot oem unlock" to Unlock)
senri:~ $

フラッシュに書込みできなくても、任意のカーネルを起動できたら何でもできるわけで、ロックする意味がなくなってしまう。実際、 root 権限があれば flash_image コマンドでリカバリイメージを書き込むことができた。アンロック不要で「fastboot boot」コマンドが実行できてしまうのは、バグなのではないか?

バグか仕様かはサテオキ、現状の Nexus S は、アンロックせず、フラッシュへの書込みもせずに clockwork リカバリが起動できたので、初期状態のフルバックアップが可能。しかも、 clockwork リカバリは、 adbd が root 権限で動いている (これはバグではなく仕様) ので、 adb でアクセスすれば root になれる。

senri:~ $ adb shell
~ #

う〜ん、簡単すぎ。こんなことでいいのだろうかと思いつつ、アンロックする手間が省けたので、 clockwork リカバリのメニューから「mount /system」を実行し、 su コマンドをインストール:

senri:~ $ adb push su-2.3.6.1-ef/system/bin/su /system/bin/
596 KB/s (26264 bytes in 0.042s)
senri:~ $ adb install su-2.3.6.1-ef/system/app/Superuser.apk
1825 KB/s (196521 bytes in 0.105s)
        pkg: /data/local/tmp/Superuser.apk
Success
senri:~ $ adb shell
~ # chmod 4711 /system/bin/su
~ #

というわけで、 Nexus S を素のまま root 化できてしまった。ブートイメージやリカバリイメージを変更する必要がないので、文鎮化リスクが全く無い安全な root 化方法と言えるが、逆に言うと端末に痕跡を全く残さずに root 権限を奪取できてしまうわけで、いいんだか悪いんだか...

More...

Filed under: Android — hiroaki_sengoku @ 09:14

Comments Off

2011年3月7日

Osukiniサーバを使ってみた〜仮想コンソールが提供されない VPS で独自OS をインストールする方法

今まで米国の VPS を使っていたが、いつのまにか日本の VPS もリーズナブルな値段になってきたらしい。「さくらのVPS」がメモリ 512MB で月額 980円、「Osukini サーバ」 ST プランがメモリ 1GB, ディスク 100GB で月額 980円。「さくらのVPS」でも充分安いが、「Osukini サーバ」の安さは目を疑うレベル。これはもう試してみるしかない。

実は、最初は「さくらのVPS」を申し込んだのだが、 rootパスワードが見つからない事件でイカってキャンセルしてしまった。申し込んだ直後に VPS が起動できたので、さくら++ と思いつつ root でログインしようとしたらパスワードが分からず Web じゅう探しまわる羽目に。万策尽きてサポートに電話したら 15分以上待たされ、しかも担当者には root と言っても話が通じず、別の番号にかけなおせと言われる始末。後ほど届いた「仮登録完了のお知らせ」メールに root パスワードが書いてあったのだが、メールが届く前に VPS のコントロールパネルをいじれて、起動までできてしまう現在の仕様はいかがなものか。

Osukini サーバの場合 OS は CentOS, Ubuntu, Debian から選べるが、「my distribution」以外は使う気が起きないので、どうやって私の「独自OS」をインストールするか、方法を考えてみた。もちろん、 Osukini サーバのサポートの範囲外なので、インストールする方法だけでなく、トラブった時の復旧方法を考えておくことが重要。

Osukini サーバでは仮想コンソール (hvc console, リモートコンソール) が提供されない。 OS の外部から操作する手段がほとんどなく、ブートスクリプトの設定ミスなどで OS にリモートログインできなくなってしまったら最後、 OS の再インストールしか復旧手段はない (と思う)。しかも、 (サポートの範囲外である) 独自OS の再インストールを支援してもらえるはずはないので、せっかくインストールした独自OS は跡形もなく消えてしまう。

再起動すれば復旧できる一時的な障害はここでは考えない。設定ファイルなどを不適切な内容に書き換えてしまった結果、再起動してもリモートログインできない状態が続くケースのみを考える。実際、サーバを運用しているとそういうトラブルはよくある。ネットワーク設定を間違えて通信不能になるだけで、他は全く正常でもリモートログインはできなくなるし、あるいは sshd の設定を間違えて sshd が起動しなくなっただけでもリモートログインできなくなる。
ネットワークが全く使えなくても、 sshd が立ち上がらなくなってしまっても、 OS 自体が正常に起動していれば init から起動される getty は生きていることが多いので、仮想コンソールさえ使えれば、大抵はログインできて修復できる。

他の VPS, 例えば Linode や prgmr などでは、仮想コンソールが利用できる。さらに、両者とも GRUB が使えるので、複数 OS をインストールしておいて切り替えて使うこと (いわゆる「デュアルブート」) ができる。つまり一つの OS 上で何かトラブルが起きて OS が立ち上げ不能になっても、別の OS (いわゆるレスキュー用 OS) を立ち上げて、トラブった OS を修復することができる。

リアルサーバでは、 (仮想ではなく物理的な) コンソールが利用できる (当たり前)。さらに、トラブった時はレスキュー用の CD-ROM / USBメモリからブートして復旧作業を行なったりする。 VPS でもリアルサーバでも、イザというときに備えて、通常使う OS とは別に、修復作業を行なうためのレスキュー用の OS を用意しておくことが極めて重要。

ところが、レスキュー用 OS が一切利用できないばかりか、仮想コンソールから操作することすらできないのが Osukiniサーバ。トラブルに対して極めて脆弱であると言わざるを得ない。

VPS にとって仮想コンソールは必須の機能だと思っていたので、 Osukiniサーバのコントロールパネルを見て驚いた。「再起動」「停止」などの操作と、 OS の初期化しかできない (値段相応? でも、仮想コンソール機能は Xen 標準なのに...)。

OS の初期化をすれば、全てが消えてしまう。いわば、クリーンインストールしかできない CD-ROM からブートするようなもの。トラブったからといって、即クリーンインストールしたいという人がどれだけいると言うのか?

嘆いていても仕方がないので、どうやってレスキュー用 OS 相当のことを実現するか考えてみる。レスキュー用 OS を立ち上げることさえできれば、独自 OS をインストールすることも可能になる。こんなこともあろうかと、 2年前 (2008年10月) に作っておいた ptyd (Pseudo TTY Daemon) が役に立ちそう。

More...

Filed under: システム構築・運用 — hiroaki_sengoku @ 08:36

Comments (1)

2011年2月24日

決してBusyにならない SIP 留守番電話機を Perl で作ってみた〜用件が録音されるとメールに添付して送信

IP 電話でいろいろ遊ぼうとすると定番は Asterisk だが、いかんせん牛刀すぎる。個人的に VoIP を使う場合 PBX の必要はなく、留守番電話や転送ができれば充分。というわけでまずは留守番電話の機能をさくっと Perl で書いてみた (わずか 93行)。

sip_user: hiroaki_sengoku
sip_passwd: xxxxxxxx
sip_domain: ekiga.net
answer_rings: 30
answer_sound: /home/tam_ekiga/answer.raw
voicemail_time: 60
voicemail_dir: /home/tam_ekiga/LOCAL/voicemail

設定ファイル answer_machine.conf を ↑ のような感じで書いておいて、留守番電話スクリプト answer_machine を実行する:

answer_machine --conf /home/tam_ekiga/answer_machine.conf

sip:hiroaki_sengoku@ekiga.net に着信があると、応答メッセージを流した後、相手の音声を録音し、 /home/tam_ekiga/LOCAL/voicemail ディレクトリに 8kHz サンプリングの 8bit μ-law 形式で保存する。あとはこのディレクトリを監視するプログラムを走らせて、新着録音をメールで送信するようにしておけばよい。

次に IPKall を利用 (申込には米国の IP アドレスからアクセスする必要あり) して電話番号をもらう。米国ワシントン州リンデンの番号 +1-360-526-6699 が割当てられた。上記 SIP 留守番電話が待受けている sip:hiroaki_sengoku@ekiga.net を、この電話番号の転送先として IPKall に登録すれば、 Google Voice もどき (^^;) の出来上がり。この番号に電話すると、上記スクリプトが応答し (上記設定ファイルに answer_rings: 30 と書いてある通り、 30秒間呼び出しを続けないと応答しない)、何かメッセージを吹き込めば mp3 形式の音声データが添付されたメールが私宛に届く。

この仕掛けを作った晩の翌日未明 3:16 に、さっそく着信があり録音データが添付されたメールが届いた。発信者の電話番号は +1-877-347-3760 だった (+1-877- は米国のフリーダイヤル)。メールで送られて来た録音データがコレ。英語が苦手な私にはちょっとつらい (^^;) が、再生速度を遅めにして一生懸命聞き取ってみる:

Hello, this is a message for Korety Martin. If you are not Korety Martin, please hang up and call 877-347-3760 to remove this phone number from our records. If you continue to listen to this message, you are acknowledging that you are Korety Martin. This message contains personal and private information. There will now be a three second pause.

This is EOCCA, A Collection Agency. This is an attempt to collect a debt. Any information obtained will be used for that purpose. Please contact us about this important business matter at 877-347-3760. When calling please reference account number 9.

真面目にディクテーションするのが馬鹿馬鹿しくなるような、絵に描いたような詐欺電話 (*_*)。「Collection Agency」は債権回収会社のこと。「EOCCA, A Collection Agency」で検索してみると、いっぱい出てくる。借金の心当たりがある人 (のうち 1% くらい?) は、つい騙されて折り返し電話をかけてしまうのか。日本とかだと人海戦術で電話をかけまくるらしいが、自動で電話をかけまくるのが米国流なのか? 電話版スパムメールといった感じ?

なお、最後がしり切れとんぼのような感じがするが、これは録音時間を 60秒間に制限しているため (上記設定ファイルの voicemail_time: 60)。

- o -

以下は、 Perl プログラミングに興味があるかた向け:

More...

Filed under: プログラミングと開発環境 — hiroaki_sengoku @ 19:52

Comments (5)

2011年2月14日

Google Voice で電話する「V字発信」 Perl スクリプトを書いてみた〜日本へは 2円/分、米国内は年内無料

2009年に米国内でサービス開始した Google Voice は、 2010年6月から以前のような「招待制」ではなくなり、米国内からであれば設定するだけですぐ利用できるようになった。近いうちに米国外へも展開すると思われるが、日本は後回しになりそうな気がする (Android 版 Skype が使えるようになったのも世界中で一番最後だったし)。米国内限定といっても、米国内に IP アドレスと電話番号があれば利用できるようなので試しに使ってみた。

米国内 IP アドレスは Linode VPS (Virtual Private Server, 仮想専有サーバ) を契約しているので既に持っている。この VPS 上で PPTP (Point to Point Tunneling Protocol) デーモンを立ち上げておけば、 Windows 標準機能の「仮想プライベートネットワーク」 (VPN) で接続して、米国内からのアクセスを装うことができる。 WWW アクセスだけなら proxy server を立ち上げておくだけで充分かと思ったが、 proxy 経由のアクセスかどうか Google サーバ側で見ているらしく、 proxy 経由では Google Voice は利用できない。

なお、いったん Google Voice の設定を済ませて Google Number を確保してしまえば、米国内国外を問わず任意のマシンから Google Voice を利用可能。つまり Google Number を確保するときのみ、米国内の IP アドレスからアクセスする必要がある、ということ。

米国内の電話番号は、無料で電話番号を割当ててくれるサービスがあるのでそれを利用する。私は IPKall を利用した。こちらも米国内の IP アドレスからアクセスする必要があるが、 Google Voice とは異なり米国内の proxy server を経由するだけで登録できる。 SIP フォン (VoIP 電話) のアドレスと、メールアドレスを登録すると、ワシントン州の電話番号を一つ割当て、それをメールで教えてくれる。割当てられた電話番号に着呼すると、登録した SIPフォンへ転送してくれる仕掛け。ただ、米国は電話代が安すぎるためかイタ電が多いのがちょっと困りもの。いたずら電話に困っている人がよほど多いのか、 WhoCallsMe.com, Who Called Us, PhoneOwner.info, white pages, Location Lookup など、かかってきた電話番号を調べるサービスがいくつもある。

維持費用無しで米国の電話番号を持てるのは大変ありがたいが、 30日間サービスを利用していないと登録が無効になってしまう (IPKall の場合)。

IPKall Signup
**ABSOLUTELY FREE**
Washington state phone number to your IP phone.
...(中略)...
Accounts that are inactive for 30 days will be terminated for non-use.
IPKall Signup から引用

「inactive」というのが、 (1)通話実績がないことを意味するのか、 (2)着呼だけでも「active」と見做されるのか、あるいは (3)登録情報を更新するだけでもよいのかは不明。

仮に (1) だとすると、毎月日本から国際電話をかけて通話実績を作らなければならず、とても面倒だしお金もかかる。そこで Google Voice を使って通話実績を作ることを考えた。自動で発呼できれば手間もかからず番号を維持できる。しかも 2011年中 Google Voice は米国内宛の通話が無料らしいので発呼の実験し放題。

Java や Python などから Google Voice をアクセスする非公式な Google Voice API が発表されているが、公式ではないので Google が仕様変更すると使えなくなる恐れあり。「非公式 API」のコードを見てみると、内容的にはとても単純であるように見える。この程度なら自分で一から書いた方が Google の仕様変更への追随も即座にできるし、 Java や Python よりは Perl で書きたかったというのもあって、さくっと書いてみた。わずか 58行、しかも後述するように follow_meta_redirect のバグ対策で 21行ほど要してるので、実質だとわずか 27行。

More...

Filed under: プログラミングと開発環境 — hiroaki_sengoku @ 09:27

Comments (9)

2011年1月17日

Huawei IDEOS U8150 の各国キャリア向けファームウェアの比較

華為 (华为, Huawei) の IDEOS U8150 は、各国キャリア向けのファームウェアが公開されている。華為終端 (华为终端, Huawei Device) の中文 (中国語) ページで「U8150」を検索すると、香港數碼通 (数码通, SmarTone Vodafone) 向けファームウェアが、 Worldwide ページで「U8150」を検索すると、 Italy Vodafone 向けファームウェアが、それぞれダウンロードできる。また、華為終端サイトの検索では見つけられなかったが、米国 T-Mobile (Postpay) 向け (T-Mobile Comet) も華為終端サイトからダウンロードできる。その他、台湾などアジア各国向けやオーストラリア向けもダウンロードできるようだ。

IDEOS U8150 の既知のファームウェアについてまとめてみる:

C	B	SP	Baseband	AMSS	キャリア等	ビルド日時 CST
127	818	05	2210	B235	香港數碼通	2010-08-08 16:16:18
197	821	03	22201003	B238	台灣遠傳	2010-09-03 19:57:29
00	822		22201003	B239	Singapore C2O Mobile	2010-09-11 12:31:46
182	822		22201003	B239	Pakistan CMPak	2010-09-11 12:31:46
191	822		22201003	B239	Australia	2010-09-11 12:31:46
126	823	01	22201003	B239	USA T-Mobile	2010-09-17 21:21:49
203	823	01	22201003	B239	Belarus Velcom	2010-09-17 18:37:35
203	823	01	22201003	B239	Australia BP CJ	2010-09-17 18:37:35
126	825		22201003	B239	New Zealand 2degrees	2010-09-26 17:15:43
126	826		22201003	B254	Australia Virgin mobile	2010-10-14 20:39:16
126	826		22201003	B254SP01	Mexico Iusacell	2010-10-14 20:39:16
126	827		22201003	B254	Peru Movistar	2010-10-21 20:53:39
126	827		22201003	B254	BrightPoint	2010-10-21 20:53:39
126	827		22201003	B254	Philippine TCI	2010-11-06 12:23:13
02	827	01	22201003	B254	Italy Vodafone	2010-10-19 22:28:32
126	827	03	22201003	B254	Italy Vodafone	2010-11-20 12:39:21
126	828		22201003	B254	Australia Vodafone	2010-10-27 18:48:49
126	828	01	22201003	B256	Singapore M1	2010-10-27 18:48:49
230	828	01	22201003	B256	Pakistan Ufone	2010-10-27 18:48:49
126	829		22201003	B257	Normal	2010-11-01 22:52:56
126	829		22201003	B257	Cambodia Beeline	2010-11-01 22:52:56
126	829		22201003	B257	South Africa Vodacom	2010-11-01 22:52:56
126	829		22201003	B257	Finland Techdata	2010-11-01 22:52:56
126	829	02	22201003	B257	Vietnam VHH	2010-11-01 22:52:56
126	830		22201003	B259	EMOBILE	2010-11-24 21:19:04
126	830	01	22201003	B257	Norway Telenor	2010-11-10 03:55:12
126	831	02	22201003	B257SP01	日本通信	2010-11-25 16:54:11
126	831	03	22201003	B257SP01	日本通信	2010-11-25 16:54:11
126	832		22201003	B257	Cambodia CamGSM	2010-11-23 18:38:55
126	832	01	22201003	B257	India Aircel	2010-11-29 18:18:52
126	832	02	22201003	B257	India Tata DoCoMo	2010-11-29 18:18:52
126	832	04	22201003	B257SP01	India Tata DoCoMo	2010-11-29 18:18:52
126	833		22201003	B257	Italy WIND	2010-12-03 12:04:10
253	836		22201003	B257	Germany	2011-01-11 17:35:05
167	836	03	22201003	B266	Sudan Zain	2011-01-28 12:00:11
126	836		22201003	B257	Holand	2011-02-14 12:33:39

ビルド番号は、どのファームウェアも「U8150V100R001」で始まっているので、その後に続く「C〜B〜SP〜」の数値のみ記した。「USA T-Mobile」は、ファームウェアのファイル名では C85 なのだが、実際に使ってみると U8150V100R001C126B823SP01 と表示されるので、 C126 と記した。日本通信が販売している IDEOS も C126 だが、 T-Mobile Comet と何らかの共通点があるのだろうか?

「B〜」の数値を昇順に並べてみると、ファームウェアをビルドした日時 (ro.build.date) も昇順に並ぶことが分かる。このことから、「B〜」はビルドした順に付けた番号と推測される。

「AMSS」のバージョンは、「*#*#2846579#*#*」をダイヤルすると表示される「テスト中」メニューの「ProjectMenu」を選び、その中の「4.Veneer information query」を選び、その中の「1.S/H version query」を選ぶと表示される。「テスト中」とか「Veneer」 (化粧張り) とか、メニューの項目名がいかにもアレだが、こうした詳細情報を表示する機能をつぶさずに出荷している点は好感が持てる。日本のメーカとかだと、こういう機能は全力でつぶしてくる。力をかける場所を間違ってるんじゃ? と思いたくなるくらい。わたし的には、「*#*#4636#*#*」や「*#*#8255#*#*」などの機能をつぶしている Android 端末は「買ってはいけない」。

AMSS (Advanced Mobile Subscriber Software) というのは、ベースバンドチップ上で動く基本ソフトウェア。

BREW は, 米QUALCOMM 社が 2001年 1月31日に発表した携帯電話向けダウンローダブルアプリケーションプラットフォームであり, ARM のアーキテクチャに基づいて作られた CPU をコアに持つ, 同社のベースバンドチップ MSM (Mobile Station Modem) シリーズに組み込まれた基本ソフトウェア AMSS (Advanced Mobile Station Software) 上で動作する.
「国内向けCDMA2000 1xEV-DO 方式携帯電話W31T」から引用

AMSS のバージョンは、どのファームウェアも「M7x25V100R001C00」で始まっているので、その後に続く「B〜」のみ記した。例えば Italy Vodafone 向けファームウェアの AMSS のバージョンは M7x25V100R001C00B254 なので「B254」と記した。

香港で IDEOS U8150-B を購入したら香港數碼通向けファームウェア B818 (上表 B 欄の数値、以下同様) だったが、このファームウェアだと日本の一部(?)のキャリアの SIM でデータ通信できないという問題がある (音声通話は可能)。例えば、ソフトバンクの銀SIM/黒SIM や、 WILLCOM CORE 3G の SIM では接続できなかった。

Italy Vodafone 向けファームウェア B827 を書込むと、ソフトバンク SIM などでも 3G データ通信できるようになるが、香港數碼通向け B818 と Italy Vodafone 向け B827 では何が違うのだろうと思ったので、少し調べてみた。ちなみに B818 だけでなく B822, B823 にも同様の問題がある。つまり B823 までと B827 以降では何かが変わったようだ。

More...

Filed under: Android — hiroaki_sengoku @ 09:52

Comments (14)

2011年1月6日

香港で Hutchison (3HK) SIM カードと Galaxy S (GT-I9000) を買ってみた

2009年の年末に香港に行ったときは、 Hutchison と CSL の SIM を比較して CSL を選んだが、単に CSL の HK$1000 Prepaid SIM の有効期限が 2年だった (フツーは 6ヶ月) ことに魅力を感じたからで、データ通信自体を比較したわけではなかった。そこで今回は Hutchison Telecom Hong Kong (和記電訊, 3HK) の 3G Int'l Roaming Rechargeable SIM Card (3G 國際漫遊循環儲值咭) HK$98 (約1080円) を買うことにした。

今回の訪港は夜のフライトで、しかも向かい風 (偏西風) が強くて到着が大幅に遅れ、香港国際空港に着いたのは 23:00 過ぎ。出発ロビーの 3Shop (3HK の店) も 1010 Centre (CSL の店) も既に閉ってる (正確に言えば到着ロビーに着いた時点で 23:30 だったので行くのを断念)。

ホテルへのバス (パックツアーなので空港⇔ホテルの送迎が含まれてる) の中で 24:00 を過ぎたので、さっそく Nexus One (2009年の年末に購入した HK$1000 Prepaid SIM を入れてある) で「179179」にダイヤルして、 CSL の Mobile Broadband Service の 5-day pass を申し込む (HK$178, 約1960円)。

CSL の Mobile Broadband Service (データ通信サービス) は 24:00 が課金の区切りとなるので、 24:00 前に申し込んでしまうとそれが一日目とカウントされてしまう (例えば 23:00 に使い始めると、 1-day pass なのに 24:00 までの 1時間しか使えない恐れがあるが、本当にそうなるのか恐くて実験できない ^^;)。もっと早い時間に香港に着く場合だと、最初の日に Mobile Broadband Service を申し込むべきか悩ましいことになる。
その点、 3HK SIM だと、 24:00 区切りなのは CSL と同じだが、一日の上限 HK$28 (約310円) に達するまでは HK$2/MB の従量課金なので、何時に着こうが迷わずデータ通信を開始することができる。
CSL の 1-day pass は HK$50 (約550円) なので 3HK の HK$28 が圧倒的に安く感じられるが、 5日間で考えると CSL の HK$178 に対し、 3HK は HK$28*5 = HK$140 と、差が縮まる。

で、ホテルに着いて Nexus One を WiFi AP (ポータブル Wi-Fi アクセスポイント, Android 2.2 の標準機能) として使う。ホテルの部屋でも無線LAN サービスが提供されているのだが、一日の利用料が HK$100 (約1100円) とバカ高いので、滞在中はずっと Nexus One をアクセスポイント代わりに使った。ノートPC 2台 (前回、前々回、香港で購入した NetBook) と Android 端末 2台 (今回購入した Galaxy S と IDEOS U8150-B) でこの「WiFi AP」を利用したが、常に安定して利用できた。しかも日中は (当然だが) スマートフォンとして使えるわけで、これならモバイル WiFi ルータ専用機なんて要らない。

翌日、旺角へ行って適当に歩いていて見つけた 3Shop (亞皆老街40-46號) で
3G Int'l Roaming Rechargeable SIM Card (3G 國際漫遊循環儲値咭) HK$98 を買う。
そして、そこからほど近い電器店、百老滙 Broadway (西洋菜南街78號) で Galaxy S (i9000) を買った。

More...

Filed under: Android,SIM,香港 — hiroaki_sengoku @ 09:36