- 1 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/01/02(月) 09:22:15 .net]
- どうよ
openvpn.net/
- 202 名前:194(=188) mailto:sage [2006/10/07(土) 01:56:08 .net]
- >>196
仕事が長引いてしまい、返信が遅くなりましてすみません。
メトリックの設定、試してみようとしたんですが、VPN用の方には設定することができませんでした。
ひとまず物理NIC用の方に大きな値を設定しておきましたが望んだ動作は得られませんでした。
アドバイスありがとうございました。
もう少し調べてみようと思います。
- 203 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/10/07(土) 11:18:36 .net]
- >>202
TCP/IPのプロパティで優先DNSサーバに直接VPNサーバのIP打ち込んだら?
- 204 名前:202 mailto:sage [2006/10/07(土) 13:47:16 .net]
- >>203
「それではVPN接続ごとにDNS切り替えしなければ・・・」って思いましたが、VPN内のDNSを優先DNSで登録して、普段利用しているDNSをサブで登録しておけば良いってことですよね?
・・・目から鱗です。
思い通りな挙動を示すか夜あたりに試してみます。
VPN接続してない時の名前解決にかかる時間がちょびっとだけ増えると思いますが、アドバイスありがとうございます。
- 205 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/10/07(土) 15:54:18 .net]
- ややこしいことをしたいなら
DNS 設定を切り替える仕組みにするか
DNS proxy をローカルにたてて
そいつに適宜切り替えさせるとかするしかないでしょ
やっぱり VPN とは直接には関係ないというか
切り替えタイミング(?)でのキックの問題だけじゃないの?
- 206 名前:204 mailto:sage [2006/10/09(月) 13:24:39 .net]
- >>203
設定してみたら望んだ動作が得られました。
ありがとうございました。
>>205
できればややこしいことはしたくないのですが、VPN接続先のDNSを優先させたいというのは、やはりあまり需要のない要求だったんでしょうね...
- 207 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/10/09(月) 15:56:17 .net]
- >206
OpenVPNなら、server.confに
push "dhcp-option DNS サーバのIPアドレス"
って書くだけだけど。
- 208 名前:名無しさん@お腹いっぱい。 [2006/10/10(火) 16:37:11 .net]
- 拠点間VPNをレイヤー2で接続したい場合に拠点Aと拠点Bで同じプライベートアドレスが使われてる場合はどのようにVPNを構築すればいいんでしょうか?
既存の構成を変更しないかぎり無理なのでしょうか?
- 209 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/10/10(火) 16:56:43 .net]
- ちゃんと別サブネットになるよう分けて変える方がいい
いやだという場合は...いろいろ考えないとな
本当に同じセグメントにしたいの?
(broadcast とか飛ばしまくりたいの?)
NW とかアドレスの管理とかできるの?
拠点間の通信はしたいの? (なくていいなら NAT で誤魔化す)
その他いろいろ
- 210 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/10/10(火) 17:13:28 .net]
- 拠点間通信だけはIPv6ですることにすればどうよ?
- 211 名前:208 mailto:sage [2006/10/11(水) 08:27:22 .net]
- >>209
今回は仕事でVPNを構築するのではなく、遊び(勉強)で試しにVPNを組んでみようと思ってます。
なので、ブリッジ必須や、アドレスの重複に関してはできればやってみたいというのが本音です。
HowToには複雑なNAT変換が必要になるとありました。
ぐぐっても例が見つからないので困っています。
でもまずはもう少しネットワークの知識を付けたほうがよさそうですねorz
>>210
私の頭ではまだ理解できないので調べてみます。<拠点間だけv6
- 212 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/10/11(水) 10:31:50 .net]
- >ぐぐっても例が見つからないので困っています。
そういう変態設定は
☆ やりたいことを理解できていて
☆ 自分で考えて設計して
☆ 問題点も自分で考えて対処できる
っていう人以外はやるべきじゃないし
ぐぐって仮に例があってもそのまま真似をしてはいけない
>210 も結局は v6 アドレスを新たに割り振って
ちゃんとした NW 構成にしようよと言っているだけで
そういうことが理解できるようにならないとね...
# 難しいからやらないとかそういう問題じゃないんだよ
- 213 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/10/30(月) 17:09:52 .net]
- OpenVPNを使い、大学の火壁を越えてネトゲをするという目標を立てたんだが、なかなかうまくいかないとです
(一応ネットワーク科なのでその勉強も兼ねて)
色々なサイトを参考にして何度も構築し直したりしたんだが…
・鯖の共有ファイルを覗けるようになったが、通信速度が果てしなく遅い
ファイルの受け渡しも電話回線並み
・大学のプロクシ設定無しでブラウジングしようも表示されない
上の通信速度が遅いせいか?と思ったが電話回線並みのスピードでもネットくらい見られるだろうと
多分routeの設定がちゃんとされてないかも。何度試してもうまくいかないのは知識不足なのだろうか…
・RealVNCによるリモートアクセスは余裕で可能
httpプロクシを越えるためにtcpと、将来複数のクライアントを接続する事を想定してtapで設定してます
アドバイスやら罵倒やらお願いします。またしばらく実験しますので
- 214 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/10/30(月) 17:27:55 .net]
- >>213
ぶっちゃけOpenVPNは遅いよ。オレも使おうと思って構築してみたけど
どうやってもノロノロな速度で失望したよ。
だから速度はどうしようもないよ。
少しでも速くしたいなら暗号化のけたりリプレイアタック防御をとめたり
まぁそれでも気休め程度だけど。
- 215 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/10/30(月) 17:51:11 .net]
- >>214
そうなのか…
SoftEtherがフリーだった頃は設定も簡単でそこそこのスピードが出たのに
OpenVPNが苦労してやっと設定終わって、このスピードしかでないなら泣ける
- 216 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/10/30(月) 18:03:50 .net]
- >213
stone 越しに openvpn 使って死ぬほど遅かった(数十〜数百kbps とか)ことはある
(普通に 100baseTX の LAN内で ping 応答なんかは高速に来る環境で試してた)
vtun はもっとましだった(stone 越しの話についても同じ条件で数〜数十Mbps)
openvpn もそこまで遅かった理由はよくわからん
別の壁越しには問題なく動いてたし...
なにか妙なパラメータがあるのかな...
- 217 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/10/30(月) 18:05:16 .net]
- ちなみに >216 は UDP(TCPでもやった) で FreeBSD 4,5系、tun device、
openvpn は 1.5 とか 2.0 直前の頃。
- 218 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/10/30(月) 18:50:15 .net]
- >>216
貴重な経験談をありがとう
VPNソフトの乗り換えを検討してみる(´・ω・`)
- 219 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/10/30(月) 19:55:30 .net]
- うちもOpenVPNは速度でないな。
鯖のウィンドウサイズ買えたり色々試したけど、70Mbpsは出る回線で3Mbpsが限界だ。
CPUは100%にならないし、何がボトルネックなのかよく分かんない。
- 220 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/10/30(月) 20:27:10 .net]
- VPNの実効速度を上げて快適リモートアクセス(SE除外
pc8.2ch.net/test/read.cgi/network/1156186472/
- 221 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/10/30(月) 20:28:37 .net]
- MTUとかRWINとかではナス?
- 222 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/10/30(月) 20:30:16 .net]
- >>216
別の壁越しって、別のfirewallでは、ってこと?
だとしたら、MTUとか、fragmentとNATがからんでたりとかじゃね?
- 223 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/10/31(火) 03:33:52 .net]
- OpenVPNは、設定が楽だからいい。
UDPでないとちょっとキツイけどな
- 224 名前:216-217 mailto:sage [2006/10/31(火) 08:23:35 .net]
- >222
別の壁は普通のルーターな FW・NAT での話です.
MTU は違うと思うんですけどね.
そもそも 14xx 位のはずで、1400 とか 1200 とかでも試したです.
(っていうかそもそも 100baseTX + local-router (+stone)程度だし)
RWIN か.FreeBSD 同士で影響があるとは全く思わなかったんで
試してないな... net.inet.tcp.recvspace だっけ?
L7 repeater な stone(UDPモード)経由って
何か他に考慮することありましたっけ?
- 225 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/10/31(火) 19:20:30 .net]
- とりあえず、遠隔地のsambaは見られるようになったのですが、IEなどでホームページなどを見ると、直接出て行ってしまいます。
これを遠隔地のコンピュータ経由になるようにするにはどのような設定をしたらよいのでしょうか?
- 226 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/10/31(火) 21:43:25 .net]
- >>225
つ defaultroute
- 227 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/11/02(木) 11:32:14 .net]
- stoneのスレが見つからないのでここで質問させていただきます
大学のhttpプロキシを経由して自宅に接続する場合なんですが、プロキシ認証がある場合
localhost:10443/ssl 10022 -- proxy:8080/http 10443 "CONNECT 俺んち:443 HTTP/1.0"
これだけじゃ繋がらないので
proxy:8080/proxy 10443 "Proxy-Authorization: Basic 暗号されたユーザ名パス"
を追加したいのですが、これは上段の /ssl 10022 -- proxy:8080 の間に挿入すればよろしいのでしょうか?
スレ違いだなんて言わないで・゚・(つД`)・゚・
- 228 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/11/02(木) 11:33:23 .net]
- つ Try and Error
- 229 名前:227 mailto:sage [2006/11/02(木) 17:29:29 .net]
- 駄目だった
proxy:8080/proxy〜の行だけの認証無しでのインターネッツも無理だったし
何が駄目なのかさっぱりわからん
- 230 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/11/06(月) 10:41:55 .net]
- -vとか-vvとか-vvvとかつけれ。
- 231 名前:227 mailto:sage [2006/11/06(月) 15:41:38 .net]
- プロクシ認証は回避できた。が、肝心の家のstoneに繋がらない
さらに受け取り側のssl復元が何故かエラーで出来ない!
でも目標達成まであとちょっとだ|∀・).。oO(・・・)
>>230
そんなコマンドラインは無かったきがす
- 232 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/11/06(月) 17:58:13 .net]
- 心眼で見ろ
- 233 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/11/06(月) 19:10:53 .net]
- つ tcpdump is your friend.
- 234 名前:227 mailto:sage [2006/11/06(月) 23:15:20 .net]
- ああああああああああもうSSLワカンネ!
どれ指定すればいいんだ助けて
- 235 名前:227 mailto:sage [2006/11/06(月) 23:17:12 .net]
- エラーで落とされる時は一瞬だから画面に何書いてあるかワカンネ!
なんとかできないのかこれ
- 236 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/11/07(火) 10:02:55 .net]
- >>231
ごめん -d だった。
-d -d -d とかするとどんどんdebug情報が増える。
- 237 名前:227 mailto:sage [2006/11/07(火) 17:28:33 .net]
- やっぱできねーや!そしてこれが主に俺の参考にしている解説ページだ
ttp://maturi.s144.xrea.com/openvpn/index.html
鯖側コンフィグ
-z verify
-z tls1
-z pfx=server.p12
-z CAfile=ca.cer
localhost:10443 443/ssl
クライアント(オプションはほぼ鯖と同じ)
localhost:10443 10022 -- 「俺んちのIP」/proxy 10443 "Proxy-Authorization: Basic 「mime64でエンコしたユーザ名とパス」"
公開鍵も秘密鍵も作った。認証局も作って証明書もコピペした
それなのに鯖は起動した瞬間落ちるんだ!エラー出てるっぽいけど見えないし!
解説ぺージも色々見て回って同じ設定にしてるのに起動しない
しかもssl通信無しで大学から家に繋げようとしてもコネクションエラー
そろそろ死にたくなってきた
- 238 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/11/07(火) 18:42:28 .net]
- 大学のパソコンをクライエントにしようとおもったけど、
Pingが通るのがネットワーク内だけっぽくて、いまいちやりにくかった
- 239 名前:227 mailto:sage [2006/11/07(火) 18:55:03 .net]
- 証明書や秘密鍵をBASE64形式に変換したらssl復号出来たー!
Nov 07 18:52:14.187000 1596 124 TCP 436: SSL_accept lib error:1408A0C1:SSL routi
nes:SSL3_GET_CLIENT_HELLO:no shared cipher
わかりません!教えてください!
- 240 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/11/07(火) 19:44:04 .net]
- >>239
共通の暗号化方式じゃないって言われてるよ?
- 241 名前:227 mailto:sage [2006/11/07(火) 20:49:25 .net]
- >>240
証明書か・・・また証明書が何かおかしいのか
もう疲れたよ畜生…
>>236
なんだかよく分からないログが出力されるようになった
とりあえず参考にしてみる
- 242 名前:227 mailto:sage [2006/11/07(火) 21:55:59 .net]
- EasyCertでユーザ証明書の拡張情報を追加して作成し直したら繋がった!
が、大学から接続しようとしたらどうなることやら…
- 243 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/11/08(水) 15:32:33 .net]
- >>227
ttp://yuukiremix.s33.xrea.com/chirashi/
- 244 名前:227 mailto:sage [2006/11/08(水) 16:44:21 .net]
- stoneのスレ無くて、あんま話題も無さそうだったから
このスレでstoneの話題出てたから質問したんだけど…
まぁ結局大学から接続出来なかったわけでorz
多分これが最後の質問
プロクシにリクエストとヘッダを両方パケットに乗せる時はどう指示すればいいか教えてくれ
説明書や解説ページには片方ずつのやり方しか載ってないぜ!
- 245 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/11/08(水) 16:46:48 .net]
- >>244
気にすんな。
ここは過疎スレ。どんどん書け。いつか誰かが参考になると思う
- 246 名前:227 mailto:sage [2006/11/09(木) 14:05:13 .net]
- test test
- 247 名前:227 mailto:sage [2006/11/09(木) 14:10:24 .net]
- やっと目的が達成できたー!
でも大学のプロキシが規制しているURLにアクセスできないんだよなぁ
2chの書き込みは規制されてるけどVPN接続で回避できたし
なんでだろ
ところでおまえら俺の質問に適当にしか答えてないような気がするんだが
まぁ気にしないでおく
- 248 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/11/09(木) 15:00:50 .net]
- >>247
キミの書き込みは、頭の中で思っているor考え中の内容を
そのまま2chという公共の場にアウトプットする、チラ裏の典型だ。
自分の書き込みを自分で、よく見直してみてくれ。
まじめにレスしても次々と後出しが出てくるおそれが高いため、
誰もまともなレスをしなかったと思われる。
もしくは、キミのソフトについて誰もわからなかった。
スレに貢献したければ、この経験を1つのページにまとめるとヨロシ。
できあがったら、アフィでも張って放置しれ。
- 249 名前:227 mailto:sage [2006/11/10(金) 10:14:47 .net]
- 規制URLはこっちの勘違いだった
更新ボタン押したら普通に表示されたし><
とりあえずstoneに関して自分のやりたかったことは全部成功しました
TinyVPN越しで通信速度が0.493Mbps(通常5.349Mbps程度)まで落ちたけどね・・・
関わってくれた人たちに感謝しつつ、これで報告終わりますノシ
- 250 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/11/11(土) 01:22:52 .net]
- 全然>>248見てねえwwwwwww
今なら予言出来る>>227の血液型はB
- 251 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/11/11(土) 10:37:40 .net]
- はっはっは
残念ながら私の血液型はAです
今更だけど「報告」じゃなくて「質問(チラシ)」だったね
うん、色々すまん
- 252 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/11/16(木) 11:23:17 .net]
- まず、想定ネットワークと環境。
[ルータ1]--(ネット)--[ルータ2]
| |
+-[鯖]====(VPN)====+-[PC2]
+-[PC1]
■ルータ1側
[ルータ1]
IP: 192.168.100.254
[鯖] VPNサーバ
OS: FreeBSD 6.1R
NIC-IP: 192.168.100.1
VPN-IP: 192.168.100.200
[PC1]
OS: Mac OS X 10.4
NIC-IP: 192.168.100.2
■ルータ2側
[ルータ2]
IP: 192.168.0.1
[PC2] VPNクライアント
OS: WinXP SP2
NIC-IP: 192.168.0.2
VPN-IP: 192.168.100.210
■条件
・UDPブリッジモード
・CA認証
・OpenVPNは2.0.7を使用
- 253 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/11/16(木) 11:24:01 .net]
- ■鯖設定(関係ありそうな部分を抜粋)
port 1194
proto udp
dev tap
ca /usr/local/etc/openvpn/easy-rsa/keys/ca.crt
cert /usr/local/etc/openvpn/easy-rsa/keys/server.crt
key /usr/local/etc/openvpn/easy-rsa/keys/server.key
dh /usr/local/etc/openvpn/easy-rsa/keys/dh1024.pem
server-bridge 192.168.100.200 255.255.255.0 192.168.100.210 192.168.100.220
client-to-client
■クライアント設定(関係ありそうな部分んを抜粋)
client
dev tap
proto udp
remote hogehoge 1194
resolv-retry infinite
nobind
ca ca.crt
cert client.crt
key client.key
pull
float
- 254 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/11/16(木) 11:24:57 .net]
- 鯖の実NIC(vge0)と仮想NIC(tap0)の間では、ブリッジ設定済み。
net.link.ether.bridge.config = "tap0,vge0"
net.link.ether.bridge.enable = 1
■したいこと
1.PC2から鯖のファイル共有(Samba)/音楽共有(mt-daapd)にアクセス
2.PC2からPC1のファイル共有(Samba)/音楽共有(iTunes)にアクセス
3.PC1からPC2のファイル共有/音楽共有(iTunes)にアクセス
現状で2と3は実現済み。
ドキュメントを読んでると、ブリッジモードでクライアントからサーバが
見えないのは当然、のような雰囲気だが、以前、同じネットワーク環境で
構築した時はなぜか1も実現できてた。
(その時の設定ファイル等はHDDクラッシュにより消失)
1を実現するための方法のヒントを教えて頂きたく候。
以上、よろしくおながいします。
- 255 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/11/16(木) 16:37:31 .net]
- PC1とPC2のpingが通るなら、1は実現しそうだけどな。
FWとか?
- 256 名前:名無しさん@お腹いっぱい。 mailto:sage [2006/12/17(日) 12:30:53 .net]
- 見えないってブラウジングできないだけって落ちか・・・
- 257 名前:名無しさん@お腹いっぱい。 mailto:age [2007/01/18(木) 20:58:52 .net]
- hoshuage
- 258 名前:名無しさん@お腹いっぱい。 [2007/01/18(木) 21:00:23 .net]
- 二回もUNIX板の住人にやられてたまるか!
- 259 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/01/18(木) 21:26:43 .net]
- OpenVPNの話題が最も活発はスレはどこ?
なんかこのソフトってあまり積極的に話されないよね。
- 260 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/01/18(木) 21:30:00 .net]
- 通信技術板のVPNスレ
- 261 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/01/18(木) 21:50:56 .net]
- >>260
それ、どこ? 探せない。
2ch素人ですまん。
- 262 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/01/18(木) 22:07:15 .net]
- >>261
menu.2ch.net/bbstable.html
- 263 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/01/18(木) 22:35:38 .net]
- VPNの実効速度を上げて快適リモートアクセス(SE除外
pc10.2ch.net/test/read.cgi/network/1156186472/
ココか?ココならオレが立てたんだが。
- 264 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/01/18(木) 22:56:06 .net]
- SE除外ってなにかとおもったらSoftEther以外ってことか。
- 265 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/01/19(金) 03:22:03 .net]
- サーバ側がダウンするとものすごい勢いでクライアントがアクセスを試みてくるように見えるんですが気のせいですか?
それこそBBルータが落ちそうな勢いで
- 266 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/01/19(金) 04:31:27 .net]
- >>263
thx!
- 267 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/02/04(日) 00:08:56 .net]
- IRCに
#OpenVPN
って言うチャンネル作ってみた。よろしければどうぞ
- 268 名前:267 mailto:sage [2007/02/04(日) 00:32:53 .net]
- irc.nara.wide.ad.jp
- 269 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/02/20(火) 23:12:11 .net]
- 昨日辺りからOpenVPNの設定を始めました。
という訳で教えて下さい。
以下のようなネットワークを想定しています
Win2k(192.168.0.1)-----(192.168.0.254)NAT鯖(GlobalIP)=====VPN鯖(GlobalIP)
win2kからVPN鯖までsshでport1194をForwardした上で、proto tcp-*で双方か
ら通信することは出来ました。目的は達成できたのでこれで良いと言えば良い
のですが、
Q1 いちいちSSHで転送するしか無いんでしょうか?
Q2 proto udpだとどんなに頑張っても通信出来ないのですが、設定の問題で
しょうか?(途中に防火壁無しとして)
- 270 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/02/20(火) 23:16:28 .net]
- >>269
まず、SSHで転送する必要は無いでしょ。
相手のVPNサーバに正常に繋がったのなら普通に同一LAN内に居るのと同じような
状態になるから、SSHでフォワードする意味が分からない。
proto udpでうちは構築してまともに動作しているよ。
むしろproto tcpは使った事がない。
設定ミスしているんじゃないの?
- 271 名前:269 mailto:sage [2007/02/22(木) 11:05:49 .net]
- >270
設定ファイルは以下のとおりです
----server.conf----
proto udp
dev tun0
ifconfig 192.168.1.1 192.168.1.2
secret /usr/local/etc/openvpn/openvpn.key
port 1194
user nobody
group nobody
comp-lzo
ping 15
ping-restart 45
ping-timer-rem
persist-tun
persist-key
verb 3
----client.conf----
remote hogehoge.server.com
port 1194
proto udp
dev tun
tun-mtu 1500
ifconfig 192.168.1.2 192.168.1.1
secret openvpn.key
ping 10
comp-lzo
verb 4
mute 10
- 272 名前:269 mailto:sage [2007/02/22(木) 11:29:18 .net]
- 続きです
Windows側のクライアントから接続したときに、サーバでは
Thu Feb 22 11:21:46 2007 Peer Connection Initiated with xxx.yyy.197.135:62370
Thu Feb 22 11:21:47 2007 Initialization Sequence Completed
のログが出力されています。クライアント側は
Thu Feb 22 11:22:38 2007 us=254073 UDPv4 link local (bound): [undef]:1194
Thu Feb 22 11:22:38 2007 us=257461 UDPv4 link remote: zz.ccc.3.163:1194
で止まったままです。倉→鯖の通信は出来ているけど、鯖→倉へ到達してい
ないような・・・
- 273 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/02/22(木) 17:33:19 .net]
- server.conf
ifconfig 192.168.1.1 192.168.1.2
client.conf
ifconfig 192.168.1.2 192.168.1.1
この2行おかしくないですか?IPを手動で設定しているわけですよねぇ。
だったら
server.conf
ifconfig 192.168.1.1 mask 255.255.255.0
client.conf
ifconfig 192.168.1.2 mask 255.255.255..0
じゃないんですか?maskの部分はnetmask だったかもしれないですが。
なんかifconfigがおかしい気がしますが?
- 274 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/02/22(木) 19:59:53 .net]
- maskが省略されテルだけじゃない?
ifconfig 192.168.1.2 192.168.1.1
は、こんな感じ
ifconfig 192.168.1.2 mask 255.255.255.255 gw 192.168.1.1
- 275 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/02/22(木) 20:46:36 .net]
- >>274
それにしたっておかしくないかい?
server.conf
ifconfig 192.168.1.1 192.168.1.2
client.conf
ifconfig 192.168.1.2 192.168.1.1
だよ? お互いのマシンがお互いをデフォルトゲートウェイに設定しているじゃないですか。
デフォルトゲートウェイってそんなもの?この設定おかしいと思うなぁ・・・。
>ifconfig 192.168.1.2 mask 255.255.255.255 gw 192.168.1.1
サブネットマスクワロスwwww ホスト部は0Bitですか・・・
- 276 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/02/27(火) 19:52:55 .net]
- ブリッジ出来ねぇ・・・
何が悪いのか分からん・・・
- 277 名前:276 mailto:sage [2007/02/27(火) 23:01:26 .net]
- もしかして、Bridgeモードってtap*じゃないとダメ?
tunじゃBridgeでけへんとか?
- 278 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/02/27(火) 23:06:55 .net]
- >>277
tapじゃないとだめよ、tunじゃできないよ。
- 279 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/02/27(火) 23:35:44 .net]
- _, ,_ パーン
( ‘д‘)
⊂彡☆))Д´) >>277
- 280 名前:276 mailto:sage [2007/03/01(木) 12:50:06 .net]
- >>278
/(^o^)\ ナンテコッタ
しかし先日tunでつないだ時は、VPN鯖の向こう側にあるsambaにちゃんと
繋がったんだけどなぁ・・・・・
たまたまブリッジ出来てただけかなぁ?
- 281 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/03/01(木) 14:29:19 .net]
- >>280
ブリッジじゃなくてトンネルで接続したんじゃないの?
- 282 名前:276 mailto:sage [2007/03/01(木) 20:05:38 .net]
- /(^o^)\
トンネル!また知らない単語が!
そもそも、VPN自体が2台のパソ間の通信の流れをトンネルするための物
という認識なんですが、そのトンネルとはまた違う意味のトンネル?
- 283 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/03/01(木) 20:50:40 .net]
- >>282
トンネルってつまりルーティング接続。
OpenVPNってのはルーティング接続とブリッジ接続の二種類の接続方法がある。
そのうちのルーティング接続の事をトンネルとも私は言うけど、違う?
一度OpenVPN How to Japanese TranslationのWebサイトを読む事をオススメします。
- 284 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/03/01(木) 21:01:05 .net]
- 通信技術板のバカがこのスレにも湧いて出てきたのか?
- 285 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/03/01(木) 21:33:46 .net]
- とりあえず >>284 が一人。
- 286 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/03/02(金) 01:26:07 .net]
- VPNの接続には
大きく分けて
レイヤー2で接続するものと
レイヤー3で接続するものがある。
この2つは、その上で動かすTCP/UDP以上のアプリケーションは意識しなくても問題はほぼないが
ブロードキャストなどを通すには、レイヤー2レベルでつながっている必要がある
もし、そういう用途がなければレイヤー3のルーティングモードを使っていれば幸せになれる
- 287 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/03/02(金) 13:03:36 .net]
- >>286
ちなみにTinyVPNとPacketiX VPNはレイヤ何で繋がるの?
- 288 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/03/02(金) 13:26:17 .net]
- >>287
どっちもEthernetフレームを運ぶのでL2。
- 289 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/03/02(金) 14:06:00 .net]
- >>288
OpenVPN = ルーティングがL3、ブリッジがL2
逆に言うと、ブリッジにしない限りL2で接続する事は不可能って事ですよね?
にもかかわらずTinyVPNはブリッジ接続にしなくてもL2接続が可能って事ですか?
この辺OpenVPNは劣っている?ルーティングでもL2で接続できれば別に劣ってないんですが。
- 290 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/03/02(金) 15:04:14 .net]
- 「劣っている」とか言っている時点で激しく勘違いしている悪寒
- 291 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/03/02(金) 16:29:01 .net]
- >>290
ブリッジじゃなくてもL2で転送できる
ブリッジじゃないとL2で転送できない
この2つの文章から考えて、明らかに後者は前者より劣っているでしょ?
そして
ブリッジじゃなくてもL2で転送できる = TinyVPN
ブリッジじゃないとL2で転送できない = OpenVPN
なのだから・・・・。違います?
- 292 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/03/02(金) 17:01:56 .net]
- ブリッジというのは、ネットワーク(サブネット)とネットワークをつなぐ橋という意味であり
L2レベルでつながないと、つながらないからそのレイヤーをつないでいる
単に、P2PのVPNを張っているマシン間でL2レベルの通信をするのはブリッジである必要はない
(つまり接続されたマシン以外からのL2レベルの通信は転送されない)
ただ、それを活用する場面が俺には思い当たらないです
なわけで、もしそれが出来ることで優劣を付けるならTinyVPNエライ!だろうけど
あまり有意義な違いではないと思います
# TinyVPNはよく知りません。というか、↑の説明であってる?
- 293 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/03/02(金) 17:03:35 .net]
- ↑ああ、そうかあったあった。活用場面。
TCP/IP以外のプロトコル使う場合だ。そういう人は幸せになれるかもね。
- 294 名前:名無しさん@お腹いっぱい。 [2007/03/13(火) 22:45:15 .net]
- OpenVPN2.0でチャレンジしてます。
構成は、サーバがLinux(Debian Sarge)でクライアントもDebian(Sarge)です。
まず、想定ネットワークと環境。
[ルータ1]--(ネット)--[ルータ2]
| |
+-[鯖]====(VPN)====+-[クラ1]
+-[PC1] +-[PC2]
この状態で、
[鯖]-[クラ1]間は通信可
[PC2]からは[PC1]、[鯖]共に通信可
だけれども、クラ1からは[PC1]と通信成立せず。
[鯖]からも[PC2]とは通信不可
完全にシームレスに通信したいのですが・・・
- 295 名前:294 [2007/03/13(火) 22:48:21 .net]
- ------- server.conf -------
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
server 192.168.100.0 255.255.255.0
push "route 192.168.0.0 255.255.255.0"
client-config-dir ccd
route 192.168.1.0 255.255.255.0
client-to-client
ifconfig-pool-persist ipp.txt
------- ccd/client -------
iroute 192.168.1.0 255.255.255.0
ifconfig-push 192.168.100.5 192.168.100.6
------- client.conf -------
client
dev tun
proto udp
remote server.domain.net 1194
persist-key
persist-tun
mute-replay-warnings
ca ca.crt
cert client.crt
key client.key
ns-cert-type server
- 296 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/03/14(水) 01:33:35 .net]
- >>295
push "route 192.168.0.0 255.255.255.0"
を
;push "route 192.168.0.0 255.255.255.0"
とコメントアウトし、
route 192.168.1.0 255.255.255.0
を
;route 192.168.1.0 255.255.255.0
とコメントアウトして通信するとどうですか?
あ、ccd/client も削除(っていうかどっか関係ないディレクトリに移動しとく)で。
- 297 名前:294 [2007/03/14(水) 07:47:22 .net]
- >>296
Replyありがとうございます。
routeを削除、及びccd/clientを削除したところ、
仮想VPN上のIPである、192.168.100.*に対しては通信できますが、
192.168.0.*や192.168.1.*というIPでは通信できない状態になりました。
route情報は
サーバ
受信先サイト ゲートウェイ ネットマスク フラグ Metric Ref 使用数 インターフェース
192.168.100.2 * 255.255.255.255 UH 0 0 0 tun0
192.168.100.0 192.168.100.2 255.255.255.0 UG 0 0 0 tun0
192.168.0.0 * 255.255.255.0 U 0 0 0 eth0
default gw 0.0.0.0 UG 0 0 0 eth0
クライアント
受信先サイト ゲートウェイ ネットマスク フラグ Metric Ref 使用数 インターフェース
192.168.100.5 * 255.255.255.255 UH 0 0 0 tun0
192.168.100.0 192.168.100.5 255.255.255.0 UG 0 0 0 tun0
192.168.1.0 * 255.255.255.0 U 0 0 0 eth0
default gw 0.0.0.0 UG 0 0 0 eth0
となっています。
- 298 名前:294 [2007/03/14(水) 10:51:45 .net]
- よく考えたら書き忘れてました。
サーバ側ネットワークが192.168.0.0/24
クラ1側ネットワークが192.168.1.0/24
です。
- 299 名前:294 [2007/03/15(木) 15:00:48 .net]
- tcpdumpで調査してみました。
すると、パケットの発信元IPがOpenVPNサーバ、クライアント以外からの
パケットは192.168.0.*や192.168.1.*となっているのに対し、OpenVPN
しているマシンからのものは192.168.100.1などと仮想IPになっていました。
でも、解決法がわかりません・・・。
どなたか、お教えください。
- 300 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/03/15(木) 18:57:18 .net]
- >>299
相当詳しいね、感服するよ。オレより断然ネットワークのスキルがあるみたいだから
オレからは何もアドバイスできねぇOTL
- 301 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/03/16(金) 12:46:04 .net]
- >>294
PC1,2が192.168.100.0/24宛のパケットをルータに送っているのだと思います。
具体的な設定方法はわかりませんが、
鯖,クラ1で192.168.100.0/24をNATするか、
ルータ1,2で鯖,クラ1にリダイレクトするか、
PC1,2のルーティングテーブルをいじって鯖,クラ1に向くようにするか、
でつながるような気がします。
- 302 名前:301 mailto:sage [2007/03/16(金) 13:01:05 .net]
- と、よく読んだら、PC2からPC1,鯖は見えているのですね。
PC2が192.168.0.0/24にパケットを送れる理由がよく分かりません。
見当違いだったかも…、ごめんなさい。
|
 |
