OpenVPN

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 2ch.scのread.cgiへ]
Update time : 09/02 04:30 / Filesize : 221 KB / Number-of Response : 742
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

OpenVPN

1 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/01/02(月) 09:22:15 .net]: どうよ
openvpn.net/
319 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/04/18(水) 17:23:26 .net]: cipher none にしたら速くなるって言うんなら暗号化のせいだろうけど、
そんなに遅いCPU使ってんの？
320 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/04/18(水) 17:42:24 .net]: >>319
VPNの実効速度を上げて快適リモートアクセス(SE除外
pc11.2ch.net/test/read.cgi/network/1156186472/241-247
参照

ただ、低速CPUでもCPUを使い切っているわけではないので、暗号化自体の処理が
重いというより、バッファリングがおかしいんじゃないの?
321 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/04/18(水) 18:11:01 .net]: cipher noneにしてもぶっちゃけOpenVPNの速度は向上しません。
なので暗号化が原因ではありませんよ。
内部のコード自体に問題があると思われ。外国のネットワークが遅いから
そんな高速なネットワーク環境で使う事を前提にソース書いてないって聞いたことがある。
ソースレベルからパフォーマンスを最適化したコードを書き直さないと高速化は無理って。
だから公式サイトにその事を投げかける事が出来ればいいんだろうけどなぁ。
322 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/04/18(水) 20:59:14 .net]: とりあえず枯れてる vtun 使えば?
性能はこっちの方が断然いいよ
323 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/04/18(水) 21:55:03 .net]: >>322
クライアントがWindowsなのでVtun使えません。
324 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/04/18(水) 22:09:45 .net]: >>323
WinもつかうのならLinux用になるけどCIPEなんていうのもあることはある。
まるでメンテされていないのがアレだけど。

枯れているといえば、PPP over SSHという手もあるなぁ。TCP over TCPどころ
ではないほどの屋上屋なので、原理的にはUDPなOpenVPNよりもパフォーマンスは
ずっと劣るはずだけど、なぜか結構パフォーマンスが出たりする。
325 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/04/18(水) 22:30:31 .net]: >>324
メンテされてないのはちょと・・・・
SSHもなぁ・・・。ちょっと前に smb over ssh　やってみたんですが、遅い遅い。
まだOpenVPNの方が二倍ぐらい速かった。
今のところこういうVPN用途ではOpenVPNが最強なんだよね・・・最強なくせにしょぼい。。。
326 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/04/18(水) 23:09:31 .net]: >>325
sshは圧縮効かせられるのと、暗号化周りの融通が利くので
設定次第で結構パフォーマンスが変わるよ。もちろん、限界は低いけど。
327 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/04/18(水) 23:23:18 .net]: mpd で pptp
328 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/04/18(水) 23:32:46 .net]: >>325
SMB/CIFSは一定サイズを転送するごとに制御情報のやり取りをしていて
遅延が大きいとパフォーマンスががた落ちらしいね。
329 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/04/18(水) 23:49:42 .net]: 脱線モード。

SMB関連でネットワークの遅延の影響が一番出るのはディレクトリ中のファイル一覧見る場合かな。
RDPやVNC経由で一覧見たほうがはるかに速いっていうのはどういうこっちゃ。
基本的にNetBEUI時代のプロトコルで、遅延のほとんど生じないセグメント内で閉じた環境しか
考えていなかったので仕方ないんだろうけど。

ってことでSMB 2.0が策定中なわけだけど
ttp://itpro.nikkeibp.co.jp/article/NEWS/20060123/227737/?P=2
ttp://blogs.msdn.com/chkdsk/archive/2006/03/10/548787.aspx
どうなることやら…
330 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/04/19(木) 10:21:17 .net]: 別オプション: zebedee ってwindows でも動かなかったっけ?
331 名前：名無しさん＠お腹いっぱい。 [2007/05/02(水) 20:21:49 .net]: ブリッジモードのネットワークにVistaでクライアントとして接続
しようとしたときに、routeあたりで何かエラーが出るんだけど、
他にそんな症状の人いる？

今ちょっと試せないんだけど、確かDOS窓に
「引数が間違っています」って日本語でエラーが出てた。
あと英語で「～API」が失敗したどうのこうのって感じで怒られた。
XPではこうならなかった。

ただ、手動で画面に表示されているrouteコマンド打ち込んだら
あとは問題なく動作した。
もちろんOpenVPNは管理者権限（互換性タブで設定）で起動してる。
OpenVPNは最新版

どなたか解決策教えてください。

エラーになっているらしい設定
push "route 172.147.1.0 255.255.255.0"
pudh "redirect-gateway def1"
332 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/02(水) 20:46:20 .net]: >>331
え、そもそもVistaでOpenVPNって使えるの？
333 名前：331 mailto:sage [2007/05/03(木) 00:45:13 .net]: OpenVPN GUI とroute以外は正常に動いてる。

今やってみるとエラーの内容は以下の通り。
route addition failed using CreateIpForwardEntry

んで、自己レスになってしまうが、CreateIpForwardEntryの仕様が
vistaで変わったらしく、ルート設定ができない場合があるとのこと。
GetIpInterfaceEntryを使ってごにょごにょしろってMSDNに書いてある
けれどソース見る限りそんなことはやってなさそう。

今はコマンドプロンプト直打ちで我慢……かな？
334 名前：331 mailto:sage [2007/05/03(木) 01:02:17 .net]: 追加。今実験したところ
FWがプライベートネットワークになっているときはうまく動くらしい。

しかし公衆ネットワークでプライベート設定にするのは気が引けるなぁ
335 名前：331 mailto:sage [2007/05/03(木) 01:12:13 .net]: さらに追加。
2.1RC4ってAPIの呼び出しに失敗すると自動でrouteコマンドを実行してくれるみたい。
エラーの表示に気がとられて気づかなかった。

スレ汚し失礼しました。
336 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/10(木) 05:49:44 .net]: >>331
>>312 にようにしたか？GUIだけじゃ動かんぞ。
337 名前：331 mailto:sage [2007/05/14(月) 21:03:25 .net]: 多分したと思う。
そのときはGUI使ってなかったからやってたのであんまり関係ないかと。
ちなみに、GUIは管理者権限で起動すると問題なく動いた。

ただ内部的には
「APIの仕様がかわっちゃってるけれど、現状は総当り攻撃式に回避を
しているだけ」みたいだから、エラーになったときはrouteコマンドで
逃げてるんだと思う。ソースみてる限りは。
338 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/30(水) 10:56:14 .net]: 今まで会社から自宅にOpenVPN使ってVPN張ってたんだけど、なんか会社にFW導入
されたら自宅鯖と全く繋がらなくなりました。蔵=win、鯖=Linux

一応、蔵側の画面で "Initialization Sequence Completed" と出てくるんだけ
ど、鯖側のsamba共有フォルダも見れないしhttpdにもsshdにも繋がりません。

OpenVPNの設定でどうにかなりますか？
339 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/30(水) 10:57:35 .net]: >>338
会社のネットワーク管理者に聞けﾀｺ
340 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/30(水) 12:00:03 .net]: >>339
341 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/05/30(水) 16:15:09 .net]: >>338
外側に出て行くパケットも制限されたってことじゃないかね。
ヤフーメールのSSLを使ってログインを試してみて。

もしSSL使ってログインすることが出来れば、SSLは制限されてないって事なので
443番は空いてるはず。その場合はOpenVPNサーバを443番でリッスンするように
設定を変えて、クライアントも
server:443　にアクセスするように設定する。
とにかくどの番号であれば外部に出られるか調べる事。
Web閲覧できるから80番あいてる＞じゃあ80番使おう
というのは管理者にバレる可能性があるので443番が一番無難。
342 名前：名無しさん＠お腹いっぱい。 [2007/06/01(金) 10:20:42 .net]: トンネル堀おもすれ～
って、これﾏﾁﾞ大丈夫なの?

WinPC <--internet--> VPN_GW <--internet--> WinPC

OpenVPNゲートウェイ作っちゃったわけですが
あまりにもなんでも通すのでΣ(ﾟДﾟ；ﾋﾞｯｸﾘ
343 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/06/03(日) 23:20:41 .net]: 頻繁に443の通信が生きてたり、443でUDPだと即バレで辞表書かされるけどな。
まあｶﾞﾝｶﾞﾚ
344 名前：名無しさん＠お腹いっぱい。 [2007/06/03(日) 23:34:41 .net]: あのぉ。。。。。ぽまえら何につかってるんすか?
345 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/06/04(月) 01:44:44 .net]: >>343
辞表書かされるほど極端な会社なんてあんの？
346 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/06/04(月) 04:40:13 .net]: 懲戒免職でもいいんじゃね？禁止されてるんなら。
実際、自分で問題解決できない技術もない奴がそんな火遊びしてるから困るわけで。
347 名前：名無しさん＠お腹いっぱい。 [2007/06/07(木) 01:52:03 .net]: だりかおせーて

PC1---Local------[OpenVPN]----ﾌﾟﾛﾊﾞｲﾀﾞ-------PC2

このつなぎ方は仮想ハブ接続でいいのでつか？
PC1,2 はWinXP　OpenVPNのｸﾗｲｱﾝﾄｲﾝｽﾄ済
348 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/06/13(水) 23:09:25 .net]: 仮想ハブ　
スター接続
349 名前：名無しさん＠お腹いっぱい。 [2007/06/23(土) 07:46:57 .net]: OpenVPNがDHCPを出さない方法ってあるのでしたっけ？
350 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/06/26(火) 16:34:11 .net]: >>349
まるで、知ってるんだけどちょっと忘れてますという口調。
351 名前：名無しさん＠お腹いっぱい。 [2007/06/26(火) 21:27:33 .net]: お教え下さい。

OpenVPNで自宅LANと事務所LANを接続したいと考えています。
使用しているブロードバンドルータが古く、静的ルーティング機能を持っていません。
「OpenVPNで構築する超簡単VPN入門」という本を頼りに、
debianサーバとWindowsクライアント一対一での接続が出来ることは確認したのですが、
各クライアントにOpenVPNクライアントをインストールすることなく、
ルーティング方式で、WindowsのLANどうしを接続したいと考えています。
グローバルアドレスは固定ではなく、ダイナミックDNSです。

1)
構成としては以下のようにして可能でしょうか？

LAN - OpenVPNサーバ兼ルータ - ブロードバンドルータ - インターネット
（ルーター機能を持たせるためにiptablesを使用、WINSサーバとしてsambaを使用）
（敢えて[OpenVPNサーバ兼ブロードバンドルータ]にせず、既存の市販ブロードバンドルータにPPPoEを任せる）

2)
iptablesで可能だとして、
・iptablesをルーターとして設定する
・テスト試用であっても最低限必要なセキュリティを設定する
ために必要な知識、具体的設定例等、良い情報源は何でしょうか？
352 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/06/26(火) 22:01:58 .net]: >>351
https://bookweb.kinokuniya.co.jp/imgdata/large/4899771673.jpg
これ？
良かったらAmazonのこの本のページにレビュー書いてよ。結構いい本なの？オレも買おうか迷ってるんだけど。

で、質問の内容って、ブリッジ方式の事言っているのかな？ルーティング方式だと
LAN同士を接続する事は出来ないんじゃ？
353 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/06/27(水) 21:07:48 .net]: >>352
書いてみました。
ルーティング方式で、尚且つ、異なるセグメントのLANをルーティングによって接続する方法が載っていますが、
その構成例では、サーバ側LANからクライアント側LANへのルーティングをブロードバンドルータ搭載の
静的ルーティング機能に頼っているのです。
VPNの知識というよりルーティングの知識が必要なようで、とりあえず図書館に関連本を予約しました。
いつになるかわかりませんが、またご報告します。
354 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/06/28(木) 20:11:19 .net]: 共通鍵方式だと1:1の接続しかできない?
355 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/06/28(木) 22:22:45 .net]: >>354
公開鍵暗号方式は　1つの秘密鍵と1つの公開鍵があれば
公開鍵をクライアントに持たせて、クライアントはその公開鍵で暗号化して
サーバは自分の秘密鍵で復号するという形でとりあえず1組あれば多人数とも
同じ公開鍵渡せばいいから使えると思うんだけど

共通鍵暗号方式は暗号通信をする相手の数だけ異なる共通鍵が必要だから
共通鍵でマルチ通信しようとするのは無理と言うか、1つの共通鍵しか生成してない
でしょ。だから1つの共通鍵だけじゃ１：１しか出来ないんじゃないかねぇ？
人数分生成すれば共通鍵暗号方式でマルチ通信できるかって言うとそれは
どうか知らない。
356 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/06/28(木) 22:24:50 .net]: >>353
書いてないようだけど？どこに書いたの？

2chの書き込み制限の都合上Amazonのアドレス長いから1行じゃ収まらないので複数行に分けて書きます。
www.amazon.co.jp/OpenVPN%E3%81%A7%E6%A7%8B%E7%AF%89%E3%81%99%E3%82%8B%E8%B6%85%E
7%B0%A1%E5%8D%98VPN%E5%85%A5%E9%96%80%E2%80%95Windows-Mac-OS-X-Linux%E5%AF%BE%E5%BF
%9C/dp/4899771673/ref=sr_1_1/249-7532527-2013163?ie=UTF8&s=books&qid=1183036985&sr=1-1

↑1行に連結してアドレスバーに貼り付けて下さい。

ココにレビュー書きましたか？表示されないんですけど。
357 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/06/29(金) 01:16:38 .net]: >>356
すみません
書き込んでから24時間過ぎて間もない程度なので、まだ検閲中なのか、あるいは没になったかも
358 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/06/29(金) 16:31:44 .net]: おーい>>356君！
urlはもっと簡潔に書きなさい。
ttp://www.amazon.co.jp/dp/4899771673/
359 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/06/29(金) 20:50:25 .net]: >>358
あれ、どうやってそんな短いURLにしたんですか？
Amazon開いてから　検索でOpenVPNって入れてEnter
で、出てきた奴の該当する奴をクリックして開いたらアドレスが
あんなふうになっていたけど、ひょっとしてFirefoxだからまずかったのかな。
360 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/06/29(金) 21:07:59 .net]: >>356 のは検索ワードとかもくっいてるわけよ
>>358 のは商品IDだけをくっつけてる
それだけ
361 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/06/29(金) 21:27:29 .net]: >>359
手編集でしょ。
362 名前：358 mailto:sage [2007/06/30(土) 00:57:55 .net]: >>361正解！拍手！
363 名前：358 mailto:sage [2007/06/30(土) 01:01:18 .net]: 微妙に間違った

正解！>>361君に拍手！

だったっけ？

>>359
amazonのurlを人に伝えるときには、不要な検索ワードやその他諸々の情報を削除して、簡潔にする
364 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/06/30(土) 01:43:23 .net]: >>363
いや、っていうかどうやって手編集したの？
365 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/06/30(土) 01:48:39 .net]: >>356と>>358見比べてわからんか？
dpとその次の文字列を残したんでしょ。
366 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/06/30(土) 01:55:21 .net]: よそでやれ。

【有名通販】Amazon.co.jp
pc11.2ch.net/test/read.cgi/esite/1152280770/
367 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/07/02(月) 01:05:57 .net]: うわ、地雷本じゃねーかｗ
しかし「VPN構築術-OpenVPNによ…」よりは遥かに使える本なのは確か。
368 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/07/03(火) 22:15:53 .net]: VPN構築術はゴミ
369 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/07/07(土) 22:57:25 .net]: Amazon掲載されないな・・・
記述ミスを一点具体的に指摘したのがまずかったのだろうか・・・
370 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/07/08(日) 04:13:12 .net]: 掲載されないからココに同じような内容を投稿してよｗ
371 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/07/09(月) 11:21:42 .net]: ・各セクションで Windows/Mac OS X/Linux の具体的設定例を並行解説していますので、VPN
サーバはLinuxでクライアントが Windows のような場合でも全く困りません。
・LinuxはRPM系のみ言及しておりapt-get系との違いを言及していません。debian etch で確認
したところ、以下の違いがありました。

証明書を作成するための初期設定：
　p.125 /usr/share/openvpn/easy-rsa
　　debianでは /usr/share/doc/openvpn/examples/easy-rsa
　debianにはinit-configが無いが、これはvarsとopensslを作るためのもので、apt-getすると
既に作られているため不要。
　p.128の chmod -x var は多分誤りで、 chmod a+x vars だと思う。

サーバ設定：
　p.143 /usr/share/doc/openvpn/sample-config-files/server.conf
　　debianでは /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz
　　(コピー後 gunzip server.conf.gz )
　p.145 l.255 group nobody
　　debianでは group nogroup

・書いてある通りにやるだけで、ルーティング方式での一対一の接続までは、あっさり出来ま
した。（ブリッジ方式はtapデバイスを設定できなかったため試していません）
・本書はiptablesについての本ではないため、iptablesをどう設定すればセキュアなVPN足りえ
るかまでは言及しないと明言しています。
・本書はルーティング方式のほうが簡単とありますが、ネット上ではブリッジ方式のほうが簡
単という意見が多いです。どういうことかというと、設定はルーティング方式のほうが簡単、
しかし最初からブリッジ方式でやったほうが簡単な割りに自由度が高い、ということのようです。
・後半では、ルーティング方式で異なるサブネットのLAN同士を接続する方法まで言及していま
す。各コンピュータにVPNクライアントをインストールなどせず、インターネットを介してLAN
が一つにつながるようです。ただし、本書の構成例はブロードバンドルータが静的ルーティン
グできる場合という条件付きです。静的ルーティング機能は、IP電話普及後の新しいブロード
バンドルータにはたいてい付いている機能ですが、それ以前のものには付いていない場合が多いです。
・VPN確立後の保守運用についての言及は少ないです。
372 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/08/20(月) 14:24:04 .net]: WinXP SP2でOpenVPNクライアントを使いたいのですが、SP2+OpenVPN+FWの組み合わせは相性が悪いらしく、
Kerio2を試したところつなげませんでした。
どなたかSP2でも問題なく接続できるFWをご存知でしょうか？
あるいは他に解決法があるのでしょうか？

環境
サーバー：Debian Sarge + OpenVPN 2.0.1 sarge
クライアント：Windows XP SP2 + OpenVPN 2.0.7

よろしくお願いします。
373 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/08/20(月) 23:54:56 .net]: Vistaでサーバを動かすと最悪だわ。
374 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/08/21(火) 14:34:00 .net]: でっていう
375 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/08/21(火) 22:31:06 .net]: >>372
ウチはノートン先生で動いてます。問題無し。

まず・・・・・FW切ったら動くんですか？そこは確認して欲しい。
あと、Kerioの設定で何とかならないのか、と。
376 名前：372 mailto:sage [2007/08/22(水) 11:32:07 .net]: >>375
レスありがとうございます。
ぐぐったところ、Sp2+Kerio2+OpenVPNの相性は悪いらしいです。
Kerio2をインストールしてしまうと、一時的に切ってもつながらないが、
アンインストールするとちゃんとつながるようになります。
設定もいろいろ試してもダメでした・・・。

乗換えを検討します。
377 名前：!omikuji [2007/10/01(月) 23:35:44 .net]: ＼(＾o＾)／指数チェック
378 名前：名無しさん＠お腹いっぱい。 [2007/10/10(水) 00:17:35 .net]: OpenVPN 2.1_rc4をwindows 2000 service pack 4にインストールしましたが、
TAP-Win32 v9が、ばつ印がついて動きません。。。。
win2kではだめなんでしょうか。ググると、同様にwin2kでv9が動かないというかきこは幾つか見つかりました。
だめなんでしょうか。
379 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/10(水) 08:12:49 .net]: >>378
Windows2000でも普通に動くはずだけど。
380 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/10(水) 17:01:29 .net]: デフォでは動いてるときでないとケーブルが繋がってないになるよ
381 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/10(水) 17:16:39 .net]: 378じゃないけどドライバが正常に動作してないか・・・ってなる。
RCだから駄目なのかと思って普通に2.0使ってるけど
382 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/10(水) 17:18:47 .net]: >>378
Windows 2000では動かないね。
デバイスマネージャでTAP-Win32を見ると、！アイコンが付いた状態。
OpenVPN2.0.9を使うのがよろし。
383 名前：名無しさん＠お腹いっぱい。 [2007/10/10(水) 21:11:13 .net]: >>378です。助言ありがとうございます。
Windows 2000に、2.0.9を入れたらあっさり動きました。
逆にVistaでは2.0.9だとサーバーにつながらず、Vistaは2.1_rc4でないとだめなようでした。
ちなみにサーバーはLinux Fedora Coreで2.1_rc4です。
384 名前：名無しさん＠お腹いっぱい。 [2007/10/10(水) 21:20:44 .net]: ブリッジとルーティング両方試したのですが、ブリッジのみ成功しました。
ルーティングのほうだと、サーバーマシンにはつながるのですが、サーバーにつながっているほかのマシンにつながりませんでした。

自宅：10.70.70.0/255.255.255.0
VPNクライアント：10.70.70.100
　　　　　　　トンネル：10.80.80.10　（ＶＰＮクライアントの仮想ＮＩＣ）
　　　　　　　　　　　　　↓
　　　　　　　トンネル：10.80.80.11　（ＶＰＮサーバーの仮想ＮＩＣ）
会社：192.168.1.0/255.255.255.0
VPNサーバー：192.168.1.100

ＶＰＮクライアントで、ping 10.80.80.11とping 192.168.1.100は繋がるのですが、
その他のマシンたとえば、ping 192.168.1.200とかがつながりません。

VPNサーバーで、
sysctl net.ipv4.ip_forward=1
およびiptablesですべてのチェーンをフラッシュして、すべてをデフォルト ACCEPTにしましたが、だめでした。

192.168.1.100がＯＫなので、あとはＶＰＮサーバーでのルーティングさえうまくいけば、
192.168.1.0/255.255.255.0のネットワークすべてにアクセスできると思うのですが、どのような設定が必要でしょうか。
385 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/11(木) 20:47:08 .net]: 鯖側ネットワークのデフォルトゲートウェイにも性的ルーティング
386 名前：名無しさん＠お腹いっぱい。 [2007/10/20(土) 09:24:58 .net]: ブリッジで成功したのなら、ブリッジでいいでしょ。
ブリッジで不都合ある？？
387 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/10/23(火) 15:59:15 .net]: パラレルポートに差し込む安物のプリンタサーバとかあってブロードキャストしまくりとか？
388 名前：abc [2007/11/09(金) 16:43:31 .net]: *鯖*ーーーーールーターーーーーインターネッツーーーーークライアント
NASーーーーー｜
XPーーーーーー｜
Macーーーーー｜

クライアントからOpenVPN鯖とのVPNを張り
NASへアクセスするのが目的です
ブリッジ接続です

ルータアドレス　192.168.5.1 udp:1194 ポートマッピング

鯖　FreeBSD6.2　OpenVPN2 apache2.2
|---rl0 192.168.5.103
|---bridge0 192.168.5.103 member=rl0 member=tap0
|---tap0

・・・続く
389 名前：abc [2007/11/09(金) 16:44:17 .net]: ・・・続き
とりあえず、クライアントからOpenVPNサーバとの接続は確認しました
さらに、クライアントからNASへのアクセスもできます
この後が理解に苦しんでおります
鯖のファイアウォールにipfを選び、有効にしました
ipf.rulesのデフォルトを確認したところ
bridge0のルールが自動記述されrl0の記述はありませんでした
ここでLAN内のXPからapacheへ接続してみると
rl0に接続するのではなくbridge0へ接続しているみたいです
さらにファイアウォールがきかずにアクセスできております
この挙動は正しいのでしょうか？
ポート80の通信はrl0へ
ポート1194の通信はtap0へ
というような設定が必要なのでしょうか？
bridge0とtap0との違いもよく理解できておりません
アドバイスをいただけないでしょうか？
他のスレでも同じようなことを聞いておりますが
こちらの方のほうが詳しそうなのであえてマルチさせていただきます
390 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/11(日) 14:22:36 .net]: みんな個人使用の場合、SSLはオレオレ認証？
www.cacert.org/　とか使ってる人いる？
391 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/11(日) 14:42:41 .net]: 完全に個人で閉じてるからオレオレ証明書
392 名前：388 mailto:sage [2007/11/13(火) 00:17:12 .net]: 388,389はシカトしてください
ただひとつだけ教えていただきたいことがあります
OpenVPNサーバで使う仮想NICはtap0
FreeBSDなので実NICはrl0です

ルータにぶらさがっているサーバ
サーバ------ルータ------ネット
この状況でWebサーバをたてた場合
ポート80はrl0、ポート1194はtap0という実NICと仮想NICの使い分けの設定が
必要なのでしょうか？
しつこいようですが、セキュリティが保たれているのかどうか心配ですので
よろしくお願いします
OpenVPNとWebサーバをひとつのサーバで運用しないほうがいいのか
サーバひとつで運用できるけど、それなりの設定が必要なのか
教えていただきたいと思います
393 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/13(火) 01:31:54 .net]: >>392
マルチ宣言の上、解読する気になれない文章で、釣りかと思った。

多分firewallとかNATを勘違いor理解できていないのでは？
「仮想」とか「実」とか名前が付いてるから混乱してるのかも知れんが、IPFilterにとっては関係ない。
要するにNIC２枚差しの時のFirewallとかNATの設定とやり方は変わらない。
あとはポリシー次第じゃないでしょうか。
NIC２枚差しの時どう設定するんですか？って質問は無しな。

>OpenVPNとWebサーバをひとつのサーバで
そもそもが、その程度の理解で外に向かってweb serverを公開するのは自殺行為ではないかと・・・・

オレが解読できないぐらいのスーパーハカーで、的外れだったらゴメンネw
394 名前：392 mailto:sage [2007/11/13(火) 08:29:03 .net]: >>393
ありがとうございます
Webサーバは非公開サーバとして使おうとしています
外部へは公開しないつもりです
テストもかねて、知識を得た後は公開するかもしれませんが
リスクを犯さないようやっていくつもりです

ルータ配下のサーバであればファイアウォールは、いらないという
話を聞いたのですがやはりIPFilterは取り入れるべきなんですよね
助かりました
395 名前：角栄 [2007/11/24(土) 14:41:02 .net]: WindowsXP Professional環境でOpenVPN2.0.7をインストールしたのですが、
ネットワーク接続にネットワーク接続2という風に新しいアイコンが表示されません。
support.microsoft.com/kb/825826/ja
を試したのですがやはりダメです。
どなたかこんな症状に見舞われたかたおりませんか。
396 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/11/25(日) 08:23:45 .net]: インストール時にTAP-Win32を表示しないというオプションにチェックを入れたんだろ（デフォだっけ？）
397 名前：角栄 [2007/11/25(日) 17:32:03 .net]: >369
コメントありがとうございます。
openvpn-2.0.9-install.exeでインストールをしているのですが、
そのようなオプションは見あたりませぬ。
何かその他の妙案を・・・
398 名前：名無しさん＠お腹いっぱい。 [2007/12/22(土) 04:05:11 .net]: debian etch で vpn サーバ、クライアントを組もうとしています。
一通り設定をして server 側の設定で openvpn を起動しました。
ただ、外部からの接続を受け付けなくて困っています。

起動すると下記のメッセージを表示し待ち受け状態であることがわかります。
Listening for incoming TCP connection on [undef]:1194

netstat -l で 1194 が待ち受けになっているのも確認できます。
tcp 0 0 *:openvpn *:* LISTEN

ローカルから telnet localhost 1194 で接続すると、接続があったことが表示されます。
TCP connection established with 127.0.0.1:1043
TCPv4_SERVER link local (bound): [undef]:1194
TCPv4_SERVER link remote: 127.0.0.1:1043

localhost 以外の IP で叩いても同じです。

しかし、これを同一ネットワークの別のホストから試みると
反応が返ってきません。telnet した場合に現れる文字も表示されなければ
openvpn の画面上も変化なしです。

tcpdump で確認してもちゃんと接続に来ていますのが確認できます。
が、openvpn は無視しています。

疑わしきはどこでしょう？何かアイディアあれば教えてください。
399 名前：398 mailto:sage [2007/12/22(土) 04:59:23 .net]: 自己レス

解決しました。
何のことはない iptables で弾いていただけでした。OTL
お騒がせしました。
400 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/01(金) 01:26:02 .net]: OpenVPN 2.1_rc7 age
401 名前：名無しさん＠お腹いっぱい。 [2008/02/19(火) 01:05:01 .net]: Linux（CentOS 5）でOpenVPN（bridge）構成で使用していて
問題なく接続はできるのですがOpenVPNを使用中にFTPでファイルのUp/Downされてしまうと
著しく速度が下がってしまいます。

そこでOpenVPNにログインしている状態の時はネットワークの使用帯域を優先させたい（もしくはProftpdの帯域の制限）
のですがよい方法はないでしょうか？

プロトコルはtcpを使用しています。
402 名前：名無しさん＠お腹いっぱい。 [2008/02/19(火) 02:00:22 .net]: SCPではどう？
つーかポートあいてないかな？
403 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/19(火) 08:04:38 .net]: >>401
traffic shaper
設定が面倒だったような気がするが。
404 名前：401 [2008/02/19(火) 10:49:57 .net]: >>402
他ユーザーでFTP使われちゃう時の対策を考えてました。
説明不足ですいません。

>>403
traffic shaper 初めて聞きました。
詳細わからないのでちょっと調べてみます。
ありがとうございます。
405 名前：anonymous mailto:sage [2008/03/11(火) 23:47:31 .net]: www.linux.or.jp/JF/JFdocs/traffic-control.html
OpenVPNにもtraffic shaperあるけど、OSの機能でやればよくね?
優先制御すればOpenVPNのトラフィックが無いときはFTPに全帯域使わせる
とかできるし
406 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/04/04(金) 00:22:50 .net]: OpenVPN 2.1_rc7にしてみた。
安定してて無問題。でも相変わらず遅いｗ

保守
407 名前：名無しさん＠お腹いっぱい。 [2008/04/04(金) 00:23:39 .net]: 保守なのに下げちまったorz
408 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/04/04(金) 08:56:25 .net]: なんで "遅い" のかねぇ…

100Mbps FTTH 回線どうしで使って不満が出ない
お手軽 VPN ソフトって何か他にありますか?
409 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/04/04(金) 09:21:00 .net]: 実効80Mbpsくらいの回線+"proto udp"で使ってた時は、そんなに遲いと思わなかったなあ。
まあimap/nfs/VNCくらいしか通してないけど。

スピード測っておけばよかった。
410 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/04/04(金) 11:00:34 .net]: なんか問題あるときは同一 100Mbps ether subnet なのに
kbps レベルで数字が出てくるようなことがあるんだよね…

単なるファイル転送とかなので NW/VPN 以外に
そこまでボトルネックになる要素はない状況で
411 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/05/16(金) 16:48:15 .net]: OpenvpnサーバがPentium2-366で、squid越しにtcpで結んでも2Mbpsは出てるよ。
412 名前：名無しさん＠お腹いっぱい。 [2008/06/03(火) 21:26:00 .net]: OpenVPNかPPTPか悩む・・・・・

ララァ　私を導いてくれ
413 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/06/04(水) 01:16:22 .net]: PPTPはGREが通らない環境が多いからOpenVPNを奨めてみる
414 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/06/04(水) 10:01:32 .net]: PPTPではルータにVPNパススルー機能が必要だったりするようですが、
その点はOpenVPNでも同様でしょうか？
415 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/06/04(水) 14:53:43 .net]: コレってvpncみたくCISCO VPN 3550のクライアントにならないよね？
416 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/06/04(水) 23:07:24 .net]: >>414
{UDP,TCP}/IPでくるむのでいらない。
Port forwardあった方がいいと思うが。

>>415
無理じゃないかい。
417 名前：名無しさん＠お腹いっぱい。 [2008/06/05(木) 23:23:22 .net]: CiscoのVPNとLinux等のIPSecとかPPTPとかでつながんの？
418 名前：414 mailto:sage [2008/06/06(金) 07:07:41 .net]: >>416
お、そうなんですか。じゃあ使えるかも。ありがとうございます。
419 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/06/06(金) 20:48:39 .net]: SoftEther 2.0 を使ってて，有料化したから OpenVpn に乗り換えました。
いろいろ自分なりに調整したけど，OpenVpn の遅さに我慢できず
今は SoftEther 1.0 に戻して使ってます。（SE 1.0 が３割くらい早いです）
OpenVpn のサーバ，SoftEther の Hub は同じマシンで WinXP 上で稼動させてます。
サーバの OS を Linux に変えれば，速度の向上を期待できますか？

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef