Category Archives: 鯖運営

雑記:QNAP TS-870のCPUを換えた

CPUを変更できるNASって珍しい気がする。
某セール品で保証もないので気軽に分解&換装した。
※2カ所ほどVOIDシールがあるので普通の方法じゃ保証は残せないっすな

やり方はこちらのサイトから

Blog – Duppeditten

Socket 1156 のIvy Bridgeで65WぐらいまでのCPUならOKらしい
今回載せ替えたのは余っていた(CPUの玉突き移動で余らせた)i5の3470S

分解はかなり難易度が高いので自信がある人以外にはおすすめできないです。
特に紹介したblogのしたの方に記載されている、横に飛び出たCPUヒートシンク直下のネジが
狭すぎて普通のドライバーじゃ外せないのでかなり無理矢理外すことになってヒヤヒヤだった
※たぶん専用のドライバー無いと無理な気がする

これ使えばもっとスムーズにいけたかな?
合わせてないので試す人は自己責任で。

ちなみに換えた理由は仮想マシンをNASで動かしたいので
メモリとCPUちょっと盛りたかっただけ^q^

blog:大分放置してたので再整備

最近ちょこちょこ自鯖周りを移行したりなんやりでいじってるので
このblogも大きく変わらないにしてもいろいろと動いてなかった部分を直したり消したりしますた(´ω`)

blogをほぼ動かしてなかったのはツイッターでほぼ事足りてたから
SNSは便利ね、blogキラーだと思う

ちょうど今の時期暇が少しあるんで、その合間に入れていければなぁといったところ

猫鯖はCounter-Strike: Sourceのゲームサーバとして生まれ
そのメンテナンスやらなんやらでWebページも作って
連動させたりやってたけど、個人がたてれるゲームサーバはほぼ今使われていないので
家鯖で動いてる部分をどんどんクラウドに持って行っております。
このblogも家鯖運用しててはまったことややろうと思ったことを書くつもりでやってきたけど
今後はお買い物したものの報告みたいになると思うw

メールサーバもオンプレからクラウドに移動させたので大分ましになった。
古い機構のシステムは厳しいかったー、ほぼ使い物にならないレベルでSPAMがなだれ込んでて
どうしたらいいか検討もつかなかった。

新しくメールシステムを作り直す過程で、今風のおすすめ設定いれて再構築したところ
満足がいくものになったという流れ

あと一つだけ家鯖に残ってる機能があるんで、これをどうやって消すか考え中
使ってなかったらそのままデストロイなんだけど^q^
仮想基盤に専用OS立てて維持する必要ありそう・・・NASにやらせるか

ちなみにWordPressのこの基盤、全部ConoHaで出てます。
VPSとクラウドの隙間を埋めてくれるナイスなサービスだと思う
おかげであんまり苦労せずにサーバ群をセットアップできた

※なお月額料金はそれなりの模様

Blog:サーバー引っ越しました

Blogは放置してたけど中身はちょこちょこ変えていたのれす(´ω`)
さくらのVPS旧プランでこの鯖ずっと動かしていたけど、だいぶ古くなってきたのと
継ぎ足し続けたUbuntuがいろいろあやしいので綺麗さっぱり入れ直しするついでに
ConoHaに移動しますた。

↓今はこんな構成に
https://www.conoha.jp/documents/example/04/

ApacheBenchを走らせてみたところ、大体同じ設定で2倍ぐらいConoHaが早かった
まあさくらは旧プランでHDDだったし、ConoHaはSSDだし
CPUは新しいでスペック的に大分差はあるのだけどね。

時間があればBlogも手を入れていきたいなぁとおもっとります。

blog:ngx_pagespeedはやっぱダメだった

仕組み的に早くなってバンザーイだと思ったngx_pagespeedですが
結局NGINXのCache使った方が死ぬほど早かったという罠

ngx_pagespeed on;

# ab -n 1000 -c 100 http://www.nekolove.jp/wp/
This is ApacheBench, Version 2.3 <$Revision: 1604373 $>
 Copyright 1996 Adam Twiss, Zeus Technology Ltd, http://www.zeustech.net/
 Licensed to The Apache Software Foundation, http://www.apache.org/
Benchmarking www.nekolove.jp (be patient)
 Completed 100 requests
 Completed 200 requests
 Completed 300 requests
 Completed 400 requests
 Completed 500 requests
 Completed 600 requests
 Completed 700 requests
 Completed 800 requests
 Completed 900 requests
 Completed 1000 requests
 Finished 1000 requests
Server Software: nginx
 Server Hostname: www.nekolove.jp
 Server Port: 80
Document Path: /wp/
 Document Length: 28383 bytes
Concurrency Level: 100
 Time taken for tests: 18.597 seconds
 Complete requests: 1000
 Failed requests: 2
 (Connect: 0, Receive: 0, Length: 2, Exceptions: 0)
 Total transferred: 28766106 bytes
 HTML transferred: 28383106 bytes
 Requests per second: 53.77 [#/sec] (mean)
 Time per request: 1859.710 [ms] (mean)
 Time per request: 18.597 [ms] (mean, across all concurrent requests)
 Transfer rate: 1510.55 [Kbytes/sec] received
Connection Times (ms)
 min mean[+/-sd] median max
 Connect: 14 28 98.4 17 1603
 Processing: 84 1762 1080.2 1406 4675
 Waiting: 68 1725 1072.0 1376 4646
 Total: 98 1790 1095.5 1428 5885
Percentage of the requests served within a certain time (ms)
 50% 1428
 66% 2482
 75% 2979
 80% 3027
 90% 3181
 95% 3363
 98% 3582
 99% 3617
 100% 5885 (longest request)
 #

ngx_pagespeed off;

# ab -n 1000 -c 100 http://www.nekolove.jp/wp/
This is ApacheBench, Version 2.3 <$Revision: 1604373 $>
 Copyright 1996 Adam Twiss, Zeus Technology Ltd, http://www.zeustech.net/
 Licensed to The Apache Software Foundation, http://www.apache.org/
Benchmarking www.nekolove.jp (be patient)
 Completed 100 requests
 Completed 200 requests
 Completed 300 requests
 Completed 400 requests
 Completed 500 requests
 Completed 600 requests
 Completed 700 requests
 Completed 800 requests
 Completed 900 requests
 Completed 1000 requests
 Finished 1000 requests
Server Software: nginx
 Server Hostname: www.nekolove.jp
 Server Port: 80
Document Path: /wp/
 Document Length: 88049 bytes
Concurrency Level: 100
 Time taken for tests: 8.838 seconds
 Complete requests: 1000
 Failed requests: 0
 Total transferred: 88367000 bytes
 HTML transferred: 88049000 bytes
 Requests per second: 113.15 [#/sec] (mean)
 Time per request: 883.754 [ms] (mean)
 Time per request: 8.838 [ms] (mean, across all concurrent requests)
 Transfer rate: 9764.69 [Kbytes/sec] received
Connection Times (ms)
 min mean[+/-sd] median max
 Connect: 16 60 264.5 24 3047
 Processing: 100 716 543.9 559 3994
 Waiting: 15 58 97.9 25 1663
 Total: 117 776 612.7 595 4952
Percentage of the requests served within a certain time (ms)
 50% 595
 66% 817
 75% 994
 80% 1110
 90% 1491
 95% 1932
 98% 2560
 99% 3298
 100% 4952 (longest request)
 #

これアカンやつや・・・っていうか処理能力が全般で倍違うとわ
もし使い続けるなら使用するフィルターを調整しないとダメだわね
NGINXのキャッシュのあるなしは関係なくてngx_pagespeedが動いてると性能が低下する模様
どこかにボトルネックがあるのか、合わないのか・・・

FreeBSD:FreeBSDのApache2.4でowncloudが動かない?

新しく環境作ってやってみたけど、結局そういう結論になった。
具体的には何かが原因でWebdavのコマンドがブロックされるみたい。
この”何か”がわからないので困っている。
Webdavモジュールはそもそもロードしてないし。
一応公式フォーラムには対応例があったけど、どれも当てはまらなかった。

Apacheに記録されるログ

xxx.xxx.xxx.xxx - - [16/Apr/2014:08:47:56 +0900] "PROPFIND /owncloud/remote.php/webdav/ HTTP/1.1" 405 253

owncloudに記録されるログ

Warning	core	isWebDAVWorking: NO - Reason: Method not allowed (Sabre_DAV_Exception_MethodNotAllowed)	2014-04-15T23:47:56+00:00

Apache2.4なら全部ダメというわけではなく、たとえばUbuntuでリポジトリからインストールしたものに関しては大丈夫みたい。
今のところ問題があるのはFreeBSDのApache2.4で、Portsもパッケージも両方ダメだった。
ちょっと原因がわからないし思い浮かばないので仕方が無くnginxをフロントにおいて、
owncloudはphp-fpm経由で動かすことにした。

owncloudの公式にあるnginxの設定例はサブドメインのサイト全体に対する設定だったので
あるURLの下に配置するには不適だったのでいじくる。
サブドメイン用意するのはいいとしても、SSLのキーをもう一個用意しないといけないのは面倒だから・・・
というわけで大体↓こんな感じに

# owncloud
location ^~ /owncloud {
        root /usr/local/www;
        index index.php;
        try_files $uri $uri/ /index.php?$args;
        location ~ ^/owncloud/(?:\.|data|config|db_structure\.xml|README) {
                deny all;
        }
        
		rewrite ^/owncloud/apps/([^/]+)/(.+\.(css|php))$ /owncloud/index.php?app=$1&getfile=$2 last;
        rewrite ^/owncloud/remote/(.*)$ /owncloud/remote.php/$1 last;
		
        location ~ ^(.+?\.php)(/.*)?$ {
                try_files $1 = 404;
                include fastcgi_params;
                fastcgi_index index.php;
                fastcgi_param PATH_INFO $2;
                fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
                fastcgi_pass  127.0.0.1:9000;
        }
        location ~* \.(?:jpg|gif|ico|png|css|js|svg)$ {
                expires max; add_header Cache-Control public;
        }
}

公式のには入ってないのが多々あるしもうちょっと洗練させれそうな気がしなくもないが、ひとまずこれで動いてる模様。

鯖関係:StartSSLで無料のSSL証明書を取得してみた

手順などはよそ様のサイトに結構あるので割愛

ちょっと試してみたかったのでSSL証明書を発行してもらった。
タイトルの通りStartSSLは無料でClass1のSSL証明書を発行してくれる。
商取引など信頼性を求められるものには使えないが、ドメインの所有者であることは証明出来る。
手続きを誤ったためwww.nekolove.jp用に作成した証明書は現在失効手続き中(´・ω・`)ショボーン
サブドメインの追加が出来ないと思って新しく秘密鍵とのペアを作ってしまった。
実用上は問題無いはずだが、気持ち悪いので一端失効させることに。
最近のブラウザだとルートCAに運営元のStartComが含まれるのでエラーページが出なくなってよい。
Webサイトを訪れるほとんどの人にはまったく関係無いけど、
おいら個人が管理用に使ってる部分をSSLに投げてますからな。
あとメールをSSLにしてて、Outlookが毎回証明書の確認を投げてくるのがうざかったので
解決すればよいな(´ω`)

blog:Apache2からNginxに載せ替えた

だいーぶ放置してたけど、ゲームも一段落したので
久しぶりに弄ってみようと思ってまずhttpをしゃべるサーバーを入れ替えてみた(´ω`)
Apache2+php_modからNginx+php5-fpmにしました。
サンプルのコンフィグ使いながら仮想環境で試してたんだけど、うまくいかなくて(´・ω・`)ショボーン
ロケーションのマッチングルールを理解するのに手間取った・・・
うちみたいにURLの最後を.phpにしてるとWordpressのサンプルコンフィグだと問題がある
どうやら空のURLリクエストがphp-fpmに飛んでいくっぽい感じだったので、飛ばないように設定

大体こんな感じになった

        location /wp/ {
                index index.php;
                if (-f $request_filename) {
                        expires 30d;
                        break;
                }
                if (!-e $request_filename) {
                        rewrite ^.+?(/wp-.*) $1 last;
                        rewrite ^.+?(/wp/.*\.php)$ $1 last;
                        rewrite ^ /wp/index.php last;
                }
        }
        location ~ ^(?:(?!(?:/archives/)).)*\.php$ {
                fastcgi_split_path_info ^(.+\.php)(/.+)$;
                fastcgi_pass unix:/var/run/php5-fpm.sock;
                fastcgi_index index.php;
                include fastcgi_params;
        }

MovableTypeから乗り換えた人なんかはパーマリンクがうちみたいになってるところ多そう
Nginxだと普通に罠みたいなURLになるんで困るわけだが( ̄∇ ̄;)

とりあえずフロントがNginxでWordpressはphp5-fpmに乗っているけど、実はまだapache2で動いてるところがあります
表に出してないWebアプリケーションをまだapache2に任せてるゆえですが
NginxがDigest認証に対応してくれたら移植しよう

FreeBSD:FreeBSD9.1のシャットダウンでフリーズする問題が解決してた

FreeBSD9.1のRELEASEから問題が発生してた
シャットダウン時に”All buffers synced”のところでフリーズして動かなくなる問題が解決してた。
今日freebsd-updateして2回再起動したら気がついた。
前回の再起動は4月とかだったので、いつ直ったのかわからん(´Д`;)

NEKOSABA /root# uname -a
FreeBSD nekosaba.nekolove.jp 9.1-RELEASE-p4 FreeBSD 9.1-RELEASE-p4 #0: Mon Jun 17 11:42:37 UTC 2013     root@amd64-builder.daemonology.net:/usr/obj/usr/src/sys/GENERIC  amd64

ま、まあこれで気兼ねなく再起動出来ますね。

CSS:メモ代わり

利用率がめっきり減ったCSSですが、いつの間にかアップデート用のクライアントが変更されていました。
CS:GOなどと同じくSteamCMDになってたんですね。
通常の手段だとサブスクリプションを持たないのでアップデート出来ないのですが(鯖用アカウントなので)
以下のフォーラムに書いてある方法で出来ました。
ログインIDにanonymousを指定出来たのね。GOもこれでいけるのかな?
わざわざ鯖用アカウント作ってしまったよ(´・ω・`)

https://forums.alliedmods.net/showthread.php?p=1933965

投入するコマンド例

steamcmd +@ShutdownOnFailedCommand 1 +@NoPromptForPassword 1 +login anonymous +force_install_dir /srcds/ +app_update 232330 +quit

ルータ:FWX120を買ってみた。

_DSC4344

前に中古で買ったRTX1500からのリプレースで珍しく(!?)新品購入

ヨドバシで55000円ぐらいだった、ポイント分を考えると最安級
そろそろフレッツネクストのハイスピードにしたかったので
WAN側にGigaのインターフェイスがあるルータが欲しかったのです。
他にRTX1200の中古などが検討材料にあったのだけど、新製品にいっとくかーという感じで
LAN3が無いけどVLANで代替出来て、ISDNはいらなかったので。

Yamaha以外の業務用ルータはUPnPが無いので、家でメインに使うには不向き・・・
地味にゲームやアプリでUPnPが欲しくなるのよね。いちいちNAT追加していくの面倒だから。
CiscoのASAとかNECのIXとかにUPnPが付いてたら、ちょっと考えたかも。
性能はあっちの方が圧倒的に高いというのがあるので。

_DSC4358

_DSC4365

見た目、、、というかたぶんハードそのものはRTX810そのもののようなので
1万円ぐらい高いので迷っていたのだけど、だいたい以下の理由が決め手に

赤い
ポリシーフィルターが面白そうなこと
メモリが従来機の倍あること(RTX810以前は128MB、FWX120は256MB)
NATのセッションがRTX810の3倍、RTX1200の1.5倍(FWX120は30000セッション)
ファイヤウオールのパフォーマンスが100kPPSと記述されてる
統計情報のグラフが見られる
できたてほやほやの新製品!

VPNの対地数なんかはあんまり考えない方向でー
それでもRTX810よりは多いのだ。

パケットの処理能力はRTX1500の半分以下になってしまったのが気になるところ。
http://www.rtpro.yamaha.co.jp/RT/FAQ/TCPIP/routing-performance.html
実害は無いと思うんだけどなぁ、こればっかりは動かしてみないと。

さっそく使ってみた感じ、ポリシーフィルターの動作は従来機とはちょっと違うので
だいぶ戸惑った、というか望んだ動作にならなかったので首をひねりまくり
ラストマッチなので後の方にあるフィルターが作動するのはわかっているのだけど
最初うまく必要なルールが作れなくて困ってた。
結局NATの追加をブラウザから行うと自動でフィルターも追加される仕様だったので
それを見て大体理解した。Webブラウザのインターフェイスは基本的な部分を教えてくれるので良い先生だね。

そんなわけでコマンド入力とWebインターフェイスを活用して作ったコンフィグはこちら
一部あぶないところは削っております。

# FWX120 Rev.11.03.02 (Wed Sep 26 10:26:43 2012)
# MAC Address : *, *
# Memory 256Mbytes, 2LAN
# main: FWX120 ver=00 serial=* MAC-Address=* MAC-Address=*
# Reporting Date: Jan 17 10:41:48 2013
login password *
administrator password *
console columns 100
console lines infinity
console prompt FWX120
login timer 600
ip routing process fast
ip route default gateway pp 1 filter 500000 gateway pp 2 filter 500000 gateway pp 1
ip lan1 address 192.168.221.1/24
ip lan1 proxyarp on
ip lan1 intrusion detection in on
ip lan1 intrusion detection in ip on reject=off
ip lan1 intrusion detection in ip-option on reject=off
ip lan1 intrusion detection in fragment on reject=off
ip lan1 intrusion detection in icmp on reject=off
ip lan1 intrusion detection in udp on reject=off
ip lan1 intrusion detection in tcp on reject=off
ip lan1 intrusion detection in default off
ip lan1 intrusion detection out on
ip lan1 intrusion detection out ftp on reject=off
ip lan1 intrusion detection out default off
ip lan1 forward filter 10
provider type isdn-terminal
provider filter routing connection
provider lan1 name LAN:
provider lan2 name PPPoE/0/1/5/0/0/0:*
provider ntpdate ntp.jst.mfeed.ad.jp
pp select 1
pp name PRV/1/1/5/0/0/0:*
pp keepalive interval 30 retry-interval=30 count=12
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname * *
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp intrusion detection in on
ip pp intrusion detection in ip-option on reject=off
ip pp intrusion detection in fragment on reject=off
ip pp intrusion detection in icmp on reject=off
ip pp intrusion detection in udp on reject=off
ip pp intrusion detection in tcp on reject=off
ip pp intrusion detection in default off
ip pp intrusion detection out on
ip pp intrusion detection out ftp on reject=off
ip pp intrusion detection out default off
ip pp inbound filter list 1001 1002 1003 1004 1005 1006 1007 1099
ip pp nat descriptor 1000
pp enable 1
provider set 1 *
provider dns server pp 1 1
provider select 1
pp select 2
pp name PRV/2/1/5/0/0/0:*
pp keepalive interval 30 retry-interval=30 count=12
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname * *
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp intrusion detection in on
ip pp intrusion detection in ip-option on reject=off
ip pp intrusion detection in fragment on reject=off
ip pp intrusion detection in icmp on reject=off
ip pp intrusion detection in udp on reject=off
ip pp intrusion detection in tcp on reject=off
ip pp intrusion detection in default off
ip pp intrusion detection out on
ip pp intrusion detection out ftp on reject=off
ip pp intrusion detection out default off
ip pp inbound filter list 1101 1102 1103 1104 1105 1106 1107 1199
ip pp nat descriptor 1100
pp enable 2
provider set 2 *
provider dns server pp 2 2
pp select anonymous
pp name L2TP/IPsec
pp bind tunnel9
pp auth request mschap-v2
pp auth username * *
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 9
tunnel encapsulation l2tp
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 off
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text *
ipsec ike remote address 1 any
l2tp tunnel auth off
l2tp tunnel disconnect time off
l2tp keepalive use on
ip tunnel tcp mss limit auto
tunnel enable 9
ip filter 111 pass 192.168.221.111 * * * *
ip filter 112 pass 192.168.221.112 * * * *
ip filter 114 pass 192.168.221.114 * * * *
ip filter 500000 restrict * * * * *
ip inbound filter 1001 reject-nolog * * tcp,udp * 135
ip inbound filter 1002 reject-nolog * * tcp,udp 135 *
ip inbound filter 1003 reject-nolog * * tcp,udp * netbios_ns-netbios_ssn
ip inbound filter 1004 reject-nolog * * tcp,udp netbios_ns-netbios_ssn *
ip inbound filter 1005 reject-nolog * * tcp,udp * 445
ip inbound filter 1006 reject-nolog * * tcp,udp 445 *
ip inbound filter 1007 reject-nolog 192.168.221.0/24 * * * *
ip inbound filter 1099 pass-nolog * * * * *
ip inbound filter 1101 reject-nolog * * tcp,udp * 135
ip inbound filter 1102 reject-nolog * * tcp,udp 135 *
ip inbound filter 1103 reject-nolog * * tcp,udp * netbios_ns-netbios_ssn
ip inbound filter 1104 reject-nolog * * tcp,udp netbios_ns-netbios_ssn *
ip inbound filter 1105 reject-nolog * * tcp,udp * 445
ip inbound filter 1106 reject-nolog * * tcp,udp 445 *
ip inbound filter 1107 reject-nolog 192.168.221.0/24 * * * *
ip inbound filter 1199 pass-nolog * * * * *
ip policy interface group 101 name=Private local lan1

ip policy address group 101 name=Private 192.168.221.0/24
ip policy address group 102 name=Any *
ip policy service group 101 name="Open Services"
ip policy service group 102 name=General dns ntp
ip policy service group 103 name=Mail pop3 smtp
ip policy service group 111 name=L2TP-NAT-T ike esp l2tp ipsec-nat-t

ip policy filter 1 pass-nolog * * * 1 1
ip policy filter 2 pass-nolog * * * 1 2
ip policy filter 3 pass-nolog * * * 2 3
ip policy filter 4 pass-nolog * * * 3 4
ip policy filter 5 pass-nolog * * * 4 5
ip policy filter 6 pass-nolog * * * 5 6
ip policy filter 7 pass-nolog * * * 6 7
ip policy filter 1100 reject-nolog lan1 * * * *
ip policy filter 1110 pass-nolog * * * * 102
ip policy filter 1122 static-pass-nolog * lan1 * * *
ip policy filter 1123 static-pass-nolog * local * * *
ip policy filter 1124 static-pass-nolog * * 192.168.221.0/24 * http
ip policy filter 1130 pass-nolog * tunnel* * * *
ip policy filter 1150 pass-nolog * pp1 * * *
ip policy filter 1160 pass-nolog * pp2 * * *
ip policy filter 1500 reject-log pp* * * * *
ip policy filter 1520 pass-log * lan1 * * 101
ip policy filter 1560 static-pass-nolog * local * * 111
ip policy filter 1600 reject-nolog tunnel* * * * *
ip policy filter 1610 pass-nolog * 101 * * *
ip policy filter 1630 pass-nolog * tunnel* * * *
ip policy filter 1660 reject-nolog * pp* * * *
ip policy filter 1700 pass-nolog local * * * *
ip policy filter 1710 static-pass-nolog * lan1 * * *
ip policy filter 1750 static-pass-nolog * pp* * * 111
ip policy filter 3000 reject-log * * * * *

ip policy filter set 101 name="Internet Access" 1100 [1110 1123 [1124] 1122 1150 1160 1130] 1600 [1630 1610 1660] 1500 [1520 1560] 1700 [1710 1750] 3000
ip policy filter set enable 101
ip forward filter 10 111 gateway pp 2 filter 111
ip forward filter 10 112 gateway pp 2 filter 112
ip forward filter 10 114 gateway pp 2 filter 114
nat descriptor type 1000 masquerade

nat descriptor masquerade static 1000 8 192.168.221.1 udp 1701
nat descriptor masquerade static 1000 9 192.168.221.1 udp 500
nat descriptor masquerade static 1000 10 192.168.221.1 esp
nat descriptor masquerade static 1000 11 192.168.221.1 udp 4500
nat descriptor type 1100 masquerade

ipsec auto refresh on
ipsec transport 9 1 udp 1701
syslog host 192.168.221.10
syslog facility local6
syslog notice on
syslog debug off
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.221.100-192.168.221.199/24

dns server pp 1
dns server select 500001 pp 1 any . restrict pp 1
dns server select 500002 pp 2 any . restrict pp 2
dns private address spoof on
schedule at 1 */* 01:53 * ntpdate ntp.jst.mfeed.ad.jp
l2tp service on
upnp use on
external-memory syslog filename usb1:fwx120.log backup=100
external-memory config filename sd1:config.rtfg,*:config.txt 0
statistics cpu on
statistics memory on
statistics traffic on
statistics flow on
statistics route on
statistics nat on
statistics filter on
statistics qos on
#

ポリシールーティングが入ってたり、L2TP/IPSECが入ってたり
普通の家庭用ルータはここまで細かい設定出来ませんからなー