■会社からMXをやるためにVPNを自鯖まで張るスレ■
■■■ みなさま助けてください!
*** 目次 ***
1. はじめに
2. ネットワーク構成
3. 従来の接続方法
4. 症状
5. 要請
>>2 次レスへ続く
会社から家、は出口があれば、ふつう繋がるなーー。
Unix式のOSなら、SSH over ふつうのtcp/ip だけで
なんでもできるなーー。
家から会社、は会社のfwをいじれる立場の人に頼まないと難しいなーー。
簡単なのはたぶん、
会社の端末から勝手にピッチでダイアルアップして、
私設ルータにしてそこから入る、だなー。
簡単にできることをわざと、ややこしい方法で実現する、
というのは、嫌がらせとしては、ありがちだなーー。
>家から会社、は会社のfwをいじれる立場の人に頼まないと難しいなーー。
これができればどんなシステムだって入り込めるぞ。>>1はスーパーハッカーを
目指しているのでは。
>>562
会社サーバにメールを送りつけて、それを契機にして会社から自宅にコネクション
するようにすればOK こんばんは。道路職人です。
本日、メールキックに成功しましたので、
これまでの経緯をまとめたいと思います。
ここに至るまでの皆さんのご協力に感謝いたします!
>>Next ----------------------------------
【 ネットワーク構成 】
----------------------------------
・[Home3](WinXP) 〜 主な用途 : VNC被制御側(from [Office1] )/VNC制御側(to [Office2]) 〜 悪口監視盗聴器用途。
・[Home2](WinXP) 〜 主な用途 : 嫁さんのPCのため、ここでは議論の対象外です。
・[Home1](RHL9) 〜 主な用途 : FW, Mail, Web 等、サービス全般を所掌します。
|
| - Home Side
--- The Internet ---
| - Office Side
|
・DMZ [HTTP Proxy] 〜 会社側HTTPプロキシ
・DMZ [Mail Server 1] 〜 会社側公開メールサーバ
|
:
|― [Mail Server 2] 〜 事業部メールサーバ(社内LAN)
|― [DNS] 〜 事業部DNSサーバ(社内LAN)
:
|
・[Office1](RHL9) 〜 主な用途 : VNC制御側(to [Home3]) 〜 MX, NY, 株取引用途。
・[Office2](WinXP) 〜 主な用途 : 業務用PC/VNC被制御側(from [Home3] )
----------------------------------
【 接続方法 - 『会社 ⇒ 自宅』 】
----------------------------------
@:[Office2] --> [Home1] : HTTPトンネルを設定します。下記に示されているため、ここでは省略いたします。
----------------------------------
A:「PPP over SSH」 サーバ側設定 - [Home1]
参考:http://www.kmc.gr.jp/proj/vpn/server-setting.html
【手順 1】 : 接続用ユーザ(road_master)を作成します。下二行はログイン名のメッセージを消すための処理です。
# /usr/sbin/useradd -m road_master
# touch /home/road_master/.hushlogin
# chown road_master:road_master /home/road_master/.hushlogin
【手順 2】 : 公開鍵を以下に配置します。
【場所】:/home/road_master/.ssh/authorized_keys
【手順 3】 : 接続用ユーザ(road_master)に対して、pppdの実行権限を与えます。
/etc/sudoers に以下の行を追加します。
--------------------------------------------------
■ [ /etc/sudoers ] の追記内容
--------------------------------------------------
road_master ALL = NOPASSWD: /usr/sbin/pppd
【手順 4】 : ログインスクリプトを作成します。下記を編集後、「実行権(chmod +x)」も付けておいてください。
--------------------------------------------------
■ [ ログインスクリプト(/etc/ppp/vpn-script) ] の内容
--------------------------------------------------
#!/bin/sh
/usr/bin/sudo /usr/sbin/pppd local proxyarp nocrtscts s1.s2.s3.s4:c1.c2.c3.c4 nodetach ms-dns [DNS] noauth
〜 s1.s2.s3.s4 : サーバ側(自宅側)に割り振るIPアドレス
〜 c1.c2.c3.c4 : クライアント側(会社側)に割り振るIPアドレス
〜 [DNS] : 事業部DNSサーバ(【 ネットワーク構成 】参照)のIPアドレス
【手順 5】 : 接続用ユーザ(road_master)のログインシェルを /etc/ppp/vpn-script にします。
# chsh -s /etc/ppp/vpn-script road_master
【手順 6】 : 会社側からの接続要求を受けるために、「stone」を設定します。
# stone localhost:22 443 &
----------------------------------
B:「PPP over SSH」 クライアント側(Linux)設定 - [Office1]
参考:http://www.kmc.gr.jp/proj/vpn/server-setting.html
【手順 1】 : HTTPトンネルを作って、会社側HTTPプロキシ([HTTP Proxy])を通過できるように設定します。
# stone localhost:10443 10222 -- [HTTP Proxy]/http 10443 "CONNECT [Home1]:443 HTTP/1.0" &
【手順 2】 : 接続コマンド群を以下のように配置します(必ずしもこの場所でなければ、というのではありません)。
尚、「pty-redir」がない場合は、
ftp://ftp.vein.hu/ssa/contrib/mag/pty-redir-0.1.tar.gz
よりダウンロード・インストールしてください。
# pwd
/usr/local/vpn
# ls -l
合計 16
-rwxr-xr-x 1 root root 134 11月 6 11:00 check-vpn
-rwxr-xr-x 1 root root 5412 7月 2 2000 pty-redir
lrwxrwxrwx 1 root root 12 11月 11 13:50 vpn_connecting -> /usr/bin/ssh
-rwxr-xr-x 1 root root 758 11月 7 21:16 vpn_start
--------------------------------------
■ [ /usr/local/vpn/check-vpn ] の内容
--------------------------------------
#! /bin/bash
PING_CHECK=192.168.0.1
ping -c 4 $PING_CHECK 1>/dev/null 2>/dev/null
if [ $? -ne 0 ]; then
/usr/local/vpn/vpnd
fi
--------------------------------------
■ [ /usr/local/vpn/vpn_start ] の内容
--------------------------------------
#! /bin/sh
USERNAME=road_master
IDENTITY=/home/road_master/.ssh/identity <------ A:【手順 2】の秘密鍵
VPN_SERVER=vpn_connecting
VPN_SERVER_INTERNAL=s1.s2.s3.s4 <------ A:【手順 4】のIPアドレス
CRYPTO=blowfish
ln -sf /usr/bin/ssh /usr/local/vpn/${VPN_SERVER}
killall $VPN_SERVER 1>/dev/null 2>/dev/null
sleep 5
killall -9 $VPN_SERVER 1>/dev/null 2>/dev/null
echo -n "Starting VPN tunnel: "
/usr/local/vpn/pty-redir /usr/local/vpn/${VPN_SERVER}\
-1 -i $IDENTITY -l $USERNAME -F /home/road_master/.ssh/config l0 > /tmp/vpn-device
sleep 15
echo -n "ssh "
/usr/sbin/pppd `cat /tmp/vpn-device` noipdefault ipcp-accept-local ipcp-accept-remote local noauth nocrtscts lock nodefaultroute
sleep 15
echo -n "pppd "
/sbin/route add -net 192.168.0.0 gw $VPN_SERVER_INTERNAL netmask 255.255.255.0
echo -n "route"
echo " "
--------------------------------------
■ [ /home/road_master/.ssh/config ] の内容
--------------------------------------
Host l0
HostName localhost
Port 10222
--------------------------------------
■ [ /tmp/vpn-device ] の内容
--------------------------------------
/dev/ttyp0
【手順 3】 : 接続します。
# vpn_start
----------------------------------
C:「PPP over SSH」 クライアント側(Windows)設定 - [Office2]
参考:http://www.kmc.gr.jp/proj/vpn/install-w2k-img.html
【手順 1】 : HTTPトンネルを作って、会社側HTTPプロキシ([HTTP Proxy])を通過できるように設定します。
# stone localhost:10443 10222 -- [HTTP Proxy]/http 10443 "CONNECT [Home1]:443 HTTP/1.0" &
【手順 2】 : ドライバ・サービスのインストール
上のURLに書かれている手順をそのまま実行すればできます。ここでまとめても良かったのですが、
画像つきのほうがわかりやすいと思いますので、上記リンクをご参照下さい。製作者に感謝いたします。
----------------------------------
【 接続方法 - 『自宅 ⇒ 会社』 】
----------------------------------
□ 会社の端末がメールの着信状況を監視しており、Subjectとして特定文字列を含むメッセージを受け取ると、
自宅側へセッションを張りに行く仕組みを以下に示します。つまり、
『セッションを張りに行った側が操作される』という、一見変な状況を実現することで、
『PPP over SSH』を擬似的にVPN(RAS型)として使ってしまおうということです。
・会社メールアドレスに特定文字列「ROAD_MASTER_VPN_START」をSubjectとしたメールを発信。受信後セッションを開く。
・会社メールアドレスに特定文字列「ROAD_MASTER_VPN_CLOSE」をSubjectとしたメールを発信。受信後セッションを切断。
・このため、[Office2]においてメーラが起動中でなければならない。
メーラとして「Becky」を用いると、社内自席端末[Office2]の設定は以下のようになります。
----------------------------------
@:「WSH RAS」のインストール(http://ourworld.compuserve.com/homepages/Guenter_Born/WSHBazaar/WSHRas.htm)
参考:http://garuda.medinfo.m.ehime-u.ac.jp/2000/wshras/
DOS窓> regsvr32 WSHRAS.ocx
----------------------------------
A:スクリプト作成
--------------------------------------------------------------
■ [ セッション開始用スクリプト(ROAD_MASTER_VPN_START.vbs) ] の内容
--------------------------------------------------------------
lockfilename = "lock.txt"
Set IoRas = WScript.CreateObject("WSHRas.Ras")
if IoRas.InetDial ("ROAD_MASTER_VPN",ConID) Then <-- "ROAD_MASTER_VPN"は「マイネットワーク」で設定した接続名
set fso = CreateObject("Scripting.FileSystemObject")
if fso.FileExists(lockfilename) then
fso.deletefile(lockfilename)
end if
set fp = fso.createtextfile(lockfilename )
fp.writeline conid
fp.close
End If
--------------------------------------------------------------
■ [ セッション切断用スクリプト(ROAD_MASTER_VPN_CLOSE.vbs) ] の内容
--------------------------------------------------------------
lockfilename = "lock.txt"
set fso = CreateObject("Scripting.FileSystemObject")
if fso.FileExists(lockfilename) then
Set IoRas = WScript.CreateObject("WSHRas.Ras")
set fp = fso.opentextfile(lockfilename )
conid = fp.readline
fp.close
fso.deletefile(lockfilename)
ioras.InetHangup (conid)
end if
----------------------------------
B:メーラ「Becky」のフィルタは「.exe」以外には受け付けないので、これを変換します。
日本語プログラム環境「ひまわり」でexeファイルの作成を行いました。
以下は変換前のファイルですが、たった一行の記述で済みます。
参考:http://hima.chu.jp/download/download.htm
--------------------------------------------------------------
■ [ セッション開始用スクリプト(ROAD_MASTER_VPN_START.hmw) ] の内容
--------------------------------------------------------------
ROAD_MASTER_VPN_START.vbsを、起動。おわる。
--------------------------------------------------------------
■ [ セッション切断用スクリプト(ROAD_MASTER_VPN_CLOSE.hmw) ] の内容
--------------------------------------------------------------
ROAD_MASTER_VPN_CLOSE.vbsを、起動。おわる。
----------------------------------
C:Bで作成した「ROAD_MASTER_VPN_START.hmw」および「ROAD_MASTER_VPN_CLOSE.hmw」を変換します。
同操作は「ひまわり」のメニューとして用意されていますので、説明は省略します。
----------------------------------
D:Cで作成したexe, hmw, vbs ファイルを、Beckyの管理するフォルダに入れます。
【場所】:D:\Mail\Becky\Becky!\ROAD_MASTER\3b458d78.mb\!!!!Outbox\!!!Sent\ 配下
----------------------------------
E:Beckyのフィルタリング条件として、受信時のSubjectを判別して、特定文字列であった場合、
これらのプログラムを実行するようになれば準備完了です。
尚、レスポンスを高めるため、ポーリング間隔は「0秒」と設定してください。
なんか面倒なことしてるなぁ。
もっと簡単に実現できるのに。 とまぁ、長かったですね。
煽り・罵倒何でもありの楽しい日々でした。
終わってしまえば、これらもいい思い出ですな。
私が血統にふさわしい地位に上った暁には叙勲して差し上げますので、
お元気で!
# というかまた煽りが入ったら出て行きますが。
ではでは! >>574
ま、この程度のやりかたしかできないようじゃ、
>私が血統にふさわしい地位に上った暁には
はなさそうだな。 でもまぁできたからいいわけで。
ここは素直に祝ってやろう。
あと素人考えだが、セキュリティとかはこれでOKなのか? こいつ、ルータのNATもまともに設定できないくせに
態度でかすぎ >>579
は?ルータ云々については何も書いてませんが、
なぜ設定できないと言い切る?
会社の鯖は何一つ管理権を持たないので、
これが最善の方法と思っておるのですが、貴方にそれ以上のことが出来るとでも?
何だったらNATでも何でもいいから、貴方の知識を存分に披瀝してください。話はそれからです。
といいますか、貴方、まだ中学生でしょ。
だめでちゅよー 子供は寝る時間ですよ。
。。。永遠に眠ってください >>580
Windowsマシンからbeckyともぐらを使って接続するなんてのが最善かねぇ。
なんて回りくどいことやってんのかなぁ?って思うけど。 >>580
未だに勘違いしてるようだが、ここではお前以下のことしかできないヤシの方が少ない。
ここでふざけたレス付けてるやつは皆お前のレベルの低さを楽しんでいたんだ。
そんで、思った通りほほえましいやり方になったのをうすわらいしながら祝福しているんだよ。 >>1 さんへ
早く実行してその成果を報告してください。 少なくとも>>579はこのスレまともに読んで無いだろ ★
☆ [~~~]
|\ [~~~~~] 早目のクリスマスケーキ ドゾー
∴∴∴ [~~~~~~~]
. .. (´・ω・`)ノ
ノ/ /
. ノ ̄ゝ 11月21日最新情報!
自分でも驚いているほほど稼げてます。ここ半年で一番のヒットです。
まだ始まったばかりの為、かなりレアな情報です。
http://kagawaizs.nce.buttobi.net/
ここがソースになります。
http://user.auctions.yahoo.co.jp/jp/user/tempippy
とりあえず一度みてください。
1. 情報が新しい 最終評価日付11月19日(yahoo評価の日付や出品日付で確認できます。これは必須!)
2. ほったらかしや100万円や魔法のシャー○ペン、T○Jなどではありません。
3. これまでの方法とは全く違う画期的な方法です。
ちょっとでも気になったらみてくださいね。見るのはタダですので・・・・
http://kagawaizs.nce.buttobi.net/
またぶっとびユーザーかっ!
てめぇ一人でぶっ飛んでろや禿! なんだこりゃ。
POP clienとTimerコンポーネント貼り付けて
適当にプロパティいじれば終わりやん化。 頭でっかちで自意識過剰でわがままで、そのくせロクなものが作れない
最低な社員だね。 >>584
良く読んだ上で想像したんだろ。妥当な推定だ。 一応のところ>>1の欲している情報は手にいれたんだろう。
だったら次のステップは実行した結果報告だよね。目的とした
ことが成就したのかどうか知りたいもんだ。 >>593
なんだって。>>1が法律にふれることでもしでかしたのか。
何かニュースでそれらしき奴のことが書いてあったのか????
>>1が餅逃げしたんだって。正月だからなぁ。食いたかったのか。 >>1さん。その後取り調べは進んでいますか?
差入れの希望はありますか? 弁護士が悪いのか?
ほんとmxは罰金なのに、重くない?
【京都府】 2003年12月18日(木) ネット上で無断公開著作権法違反で起訴
mxは罰金
http://www.okumura-tanaka-law.com/www/okumura/tyosaku/WINMX.html
>>1
おまえの願いが通じて良かったな。SoftEther使えよ。
使い方は聞くんじゃねーぞ。 169 :名無しさん@4周年 :04/01/04 09:12 ID:olmjLY3B
不正アクセス法の論文ってとぼしいな。
http://www.okumura-tanaka-law.com/www/okumura/access/access.htm
http://www.okumura-tanaka-law.com/www/okumura/access/030908access.htm
不正アクセスの禁止等に関する法律の運用(罪数判断を中心に)
奥 村 徹
不正アクセス行為の禁止等に関する法律(平成11年8月13日法律第128号)は平成12年2月13日に施行されて3年を経過した。
同法初の上告事件の弁護人となったことを契機に、刑事確定訴訟記録法によって、
報道・文献で紹介された事例について判決例を収集・分析を試みた。
その結果、ひとたび他人のID・パスワードを入手すると多数回の不正アクセスを行う犯人が多いこと、
私怨による動機であったり知人に対するものなど概して犯罪規模が小さいこと、
保護法益や罪数の理解にバラツキがあること、保護法益は社会的法益とされているものの
判決理由では具体的被害の大小や被害感情が重視されていることが判明した。
本稿では、検挙事例を概観して、刑罰による規制の限界を明らかにしたい。
そこに書いてあるとおりだが。。。。
おかあさんみたいに読んで欲しいのか? そうか>>1の馬鹿はクビになったか
めでたしめでたしさらしあげw こんなカンジダ
MXやNYや東風が塞がれてて使えない大学、会社のネットワークからでもそれらのサービスが普通に使える
そういえば、俺が初めて読んだWin32APIの本は登大游著だったなぁ。
スレ違いスマソ。
ティッシュ置いときますね。
_,,..i'"':,
|\`、: i'、
.\\`_',..-i
.\|_,..-┘
GMOのどこでもLANはどうよ?
www.dokodemolan.com 会社のブロードバンドルータが触れるときは
普通にポートを自分のPCに向ければいいの? MXをHTTPで遠隔操作できるプログラムを使う。これなら携帯でさえつかる。
VPNは('A`)マンドクサ ていうか、>>1は教えてぐぅ で質問した方が
得るものが多かった気がするw Windows限定だが、そのものずばりだったな、SoftEther [自宅ネットワーク]
192.168.0.0〜192.168.1.0[192.168.0.0配下]
192.168.0.0:非固定IP:DDNS hoge.foo.org
||
|VPN|192.168.2.x
||
[別宅ネットワーク]
192.168.0.0:固定IP*A→OpenVPNサーバー hoge.foo.com
|| ルーター間接続
192.168.1.0:固定IP*B
レイヤー2でVPNくみたいのだけど、サーバー側の書き方としたら
vi /etc/openvpn/vpnserv.conf
remote hoge.foo.org
proto udp
port 5500
dev tap
secret /etc/openvpn/key.openvpn
cipher none
ping 10
ping-restart 60
ping-timer-rem
persist-key
persist-tun
ifconfig 192.168.2.1 255.255.255.0
こんな感じかな? softetherは、関係者がフリーソフトにトロイを仕掛けて個人情報抜いた疑惑あり。
信用できないソフトNo.1。 OpenVPNは速度が非常に遅いから使い物にならないよ さてこの板生きてるかな。
>>107
>トンネル掘るときはDNSも自宅サーバに振り向けないと、DNSの解析や
>られてバレる事もあるから注意しようね。 > 掘ってる奴
これ、何となく頭に引っかかっていて、ときどきパケット調査とかして
いたのですが、結局のところ、意図せずに会社・学校側のDNSを叩いて
しまう心配はないことがわかりました。
ただし、想定しているのは、次の利用形態のみです。
たしかに、いきなりnslookupとかかませば、当然会社・学校側のDNSに
も行ってしまうと思いますが。
・Webブラウジング(1)
俺会社PC[ブラウザ/ギコナビ]…会社
=<トンネル>=家…俺家PC[通常串]…インターネット
・Webブラウジング(2)
俺会社PC[ブラウザ]…会社
=<トンネル>=家…俺家PC[Webサーバ+CGI串]…インターネット
・リモートデスクトップ、ファイル操作
俺会社PC[VNCクライアント]…会社
=<トンネル>=家…俺家PC[VNCサーバ]…インターネット sshで3389をport-forwardして、リモートデスクトップ接続でいいじゃん。快適だし。
port22を閉じてたり串があったりする会社なら443経由でssh。
自宅側にはstone常駐。
漏れはこれで会社からnyやってるけど全然問題なし。 VPNってどういう鯖構成になってるの?
1台のPC(HDD+RAM+CPU)から、使用できる領域を割り当てる感じ?