VPNの実効速度を上げて快適リモートアクセス(SE除外
■ このスレッドは過去ログ倉庫に格納されています
SoftEther以外のVPNソフトウェアのパフォーマンスチューニングについて情報交換するためのスレッド。 現状ではOpenVPNの速度が不満。 もっと高速に通信できるようにして(少なくてもSoftEtherと同等)快適なリモートアクセス環境を 構築しましょう! 前スレ SoftEther→他のVPNシステム 乗り換えスレ http://pc8.2ch.net/test/read.cgi/network/1136813055/ OpenVPN http://openvpn.net/ OpenVPN GUI for Windows http://www.openvpn.se/ OpenVPN 2.0 HOWTO Japanese Translation http://degas.is.utsunomiya-u.ac.jp/ ~zhao/freesw/ovpn2_howto_ja.html 44氏の解説サイト http://maturi.s144.xrea.com/openvpn/index.html TinyVPN http://www.shimousa.com/tv/ ■OpenVPN メリット> 完全にフリー(無料)、マルチプラットフォーム対応(Windows、Linux、etc) デメリット> やや設定が難しく初心者には敷居が高い。現時点では速度が不満。 ■TinyVPN メリット> 非常に簡単。初心者でも大丈夫。速度もそれなりに出る。 デメリット> Proxy超えが不可能、8クライアント以上は有料、Windowsでしか動かない。 では皆さん、有意義で価値のある情報交換をして行きましょう! 結果報告 SoftEther Ver1はOpenVPNに比べて100KB/s 〜 200KB/s速い程度。 設定とかは非常に簡単。 ただLinux版のVPN Clientが無いからWindows同士が接続するだけで LinuxのSambaサーバは使えない、非常に残念。 速度もそれほど超速いわけでもない・・・ 製品版だと速度も超速くなってLinux版のClientがあるからSambaサーバも使えるって事に なるわな・・・。 悔しいなぁ・・・なんかいいソフトないかねぇ・・ほんと・・・。 OpenVPN開発陣はあまり速度チューンってのを考えて無いな 如何にノーマルで確実な実装をするかってのが至上命題みたいだ まあそれが、VPNのアイデンティティに最も則してるわけだけど.ねえ… >>178 ちょっとOpenVPN開発者に英語で「速度をもっと上げるように開発してくれ」って 訴えてくれませんか? 私?私は英語できないので無理です。 OpenVPNの掲示板とかその辺の開発者が見る辺りに・・・お願いしますYO もしくはこの掲示板を紹介・・日本語読めないか・・・。 速度を上げるようにったって、30Mbps出るんだし 十分いいんじゃねと思うけど。 >>182 そんなに出るかいな・・・。出ない出ない・・。 せいぜい200KB/s〜300KB/sですよ? つまり1.6Mbps〜2.4Mbpsです。 30Mbpsって事は3.75MB/s(3840KB/s)でしょ?十倍以上でてるんですか? うらやましいなぁ・・・・。 10Mbpsオーバー余裕なヒトと、1Mbpsカツカツな俺の差は、一体何なのだろう? 俺だって光同士なんだけどなあ とりあえず設定(クライアント)をさらそう dev tap proto tcp-client #プロキシ通すので remote xxx.xxx.xxx.xxx 443 # サーバのホスト名/IPと待ち受けポート dev-node OpenVPN # TAP-Win32アダプタの名前 persist-tun # デバイスを再オープンしない no-replay # リプレー攻撃防止 ;cipher none # 暗号化無し 怖いからやらない link-mtu 1400 # フレッツなので少なめ(厳密に計算しても結果変わらず) ;fragment 1318 # これ別に設定する意味あるの? mssfix 1280 resolv-retry infinite nobind # 特定なローカルポート番号のバインド必要なし http-proxy xxx.xxx.xxx.xxx 8080 basic # プロキシ設定 mute-replay-warnings # 重複パケット警告停止 secret xxx.key # 共有秘密鍵 ;comp-lzo # 圧縮いらない(サーバが少し遅い) >>185 UDPじゃなくてTCPで通信しているから速度は落ちるだろうなぁ・・・・ UDPでも遅いけどね・・・・。 結構サーバのスペックが効くらしいね、噂によると サーバ新調しようかなあ PentiumIII 700、256MBのファンレスノートじゃ、もう荷が重いのかなあ AEP1000LみたいなPCIカードのSSLアクセラレータって使えないもんなんかねぇ 普通にアプライアンスサーバ買えって言われそうだが。 >>188 SSLアクセラレータってほとんどが認証しかやってくれないよ。 >>187 いやいや、超高性能なマシンで実験してみたが遅い事には変わりは無いよ。 ソフトウェアが遅いんだよ。ハードウェアじゃなくて。 OpenVPNって、その特徴から多くの場合串越えVPNだし、 串の性能に依存しちゃうのかもね それを忘れて、他より遅いと誤解してしまう 他のVPNの串越え性能と比較するには、他のVPNを通せる串を自分で立てなきゃいけないから、面倒だ Proxy超えじゃなくて普通にVPNセッション張りたい人間も居る事を忘れるな >>195 その場合Tinyじゃね? お勧めは そこんとこ踏まえて言ったんだろ、>>193 は 最近のTinyは速い? 以前Tinyの出来がクソだったからOpenVPNを使うようにしてるんだが、 最近の事はよくしらない。 >>196 自宅のサーバがLinuxなんだよ。だからTinyVPN使えないんだよ。 こういう立場の人間もいるって事。 OpenVPN、何故遅いんだろうなあ FTPで30Mbps出る回線で、600kbpsは酷いよ… ProxyはSSL(SSH)に対して何か見てるんだろーか? レン鯖3000円でおけるところを探さないと・・・・・ ftpで、25Mなのに、12Mもでるなんて、 やっぱり国産すごい。 SE1やめて、OPENがんばって導入してみたけど、あまりに遅いんで、 SE2いれてみました ベータ版だけどね VPNの実効速度を上げて快適リモートアクセス(SE除外 VPNの実効速度を上げて快適リモートアクセス(SE正規版除外 OPENVPN動かしてるLINUXマシンを玄箱からPEN4に取り替えたら実測92Mでる回線で36Mbps出るようになった やっぱネックはCPUパワーなんかな? やっぱクリティカルな要素は、 ・UDP ・CPUが高速 の2点なんだろーか? MTUその他は大して効かない 何とも退屈な結論だが 他に工夫はあっても、セキュリティを侵すようなのばかりだからなあ SEみたいに複数VPNを張ってリンクアグリゲーションしたら速くなんねぇかなぁ Windows2000またはXP標準の着信接続をつかったVPNをやってる人はいませんか? このスレでは問題外? >>209-210 オレはPen4の高性能CPU搭載マシンでOpenVPNを組んだ事があるが、それでも 速度は変わらなかった。 大体topコマンドで見てみたら分かるとは思うけど、CPU使用率は全然振り切って無い。 振り切っているならCPUパワーがボトルネックになっている可能性もあるけど 振り切ってないのだからCPUは関係ない。 個人的にはやっぱり高速化を意図したコーディングをしてないから どうしようもないんじゃないかと諦めてる。 バージョンアップしても一向に速度が上がらないからなぁ・・・。 >>212 このスレッドのパート1を建てた>>1 ですが、 単純にファイル共有の操作しかしないならば、 内蔵機能でまったく問題ないでしょう。 かくいう自分も、メルコのリモートアクセス対応ルータを基地に設置し、 ルータの機能として内蔵されているPPTPサーバを常時稼働させる。 クライアントはWindowsのPPTPクライアント機能で落ち着いてます。 回線は光同士で、FTP直繋ぎの実測40Mbit/secの環境で、 VPN経由だと10Mbit/sec(ファイル操作で1MByte/SEC弱)出るので、 とくに不便は感じてません。 メルコのルータは、いまのところ一度も落ちず。当たりロットでした。 当方、利用がモバイルから自宅へのアクセスで、モバイル環境は32Kbpsなんですよ。そこでVPN張ってみたところ、表示された通信速度が4Kbpsだったので仰天。ファイル転送して実測したわけではないのですが、もうすこし速度アップさせる方法はないものか、と。 何故にWindowsの着信接続に、といいますと、自宅の環境がアッカなので、ルータを選べない、モバイルはPDA(PocketPC2003)かノート(WindowsXPPro)である事、が理由です。 サーバ側の着信でログは残せないものでしょうか?(Windows2000ProSP4を使用中)。 215=212です。 >>214 ありがとうございます。 >>215 ACCAのルーターの設定をブリッヂモードにして、 その下に任意のルーターを繋げちゃダメなの? 僕はそれでマイクロ研のルーター使ってるけど・・・ >>210 >MTUその他は大して効かない UDPを使用している場合はかなり効果があるみたいですよ。 fragmentとmssfixを指定していない環境では、200KB/s程度しかでなかったのが、 それらを指定すると5倍の1000KB/s出るようになりました。 TCPの場合は、それらのある無し、特に変わらず、500KB/s程度でしたんで、 大して効かないのかもしれないですが。 >>218 えええ・・・・何その速度羨まし過ぎ・・・・ 環境とか設定とか晒してよ・・・・ ここ、名無しのままだと、リモホでるの忘れてたorz とりあえず、PPTPからの乗り換えで試行錯誤してるんだけど、 環境としては、双方、NTT東の光でプロバイダは別々。 サーバーはLinuxでヘボイの(Cel400)、クライアントはWindows。 サーバー側のCPU使用率は、最大でユーザー時間が20%くらいかな。 速度自体は、netperfとか使ってきちんと調査してなくて申し訳ないけど、 FTPでファイルを転送して適当に調査。 fragmentとmssfixの値に関しては、適当。 まあ、PPPoEのフレームが1450くらいだから、適当にこのくらい小さくすればいいだろと。 設定が少しだけ特殊で、接続元ユーザー毎に決められた固定IPを与えたかったから、 server-brigeを使っていないけど、それは速度にはあまり関係ない。 同一環境で、PPTPも同じくらいのスループットが出ているんで、 ボトルネックは他にあるんだろうな。 設定は下に書くね。 サーバー側設定はこれ。 port XXXX proto udp dev tap0 fragment 1400 mssfix 1400 client-config-dir ccd ca /etc/openvpn/easy-rsa/keys/ca.crt cert /etc/openvpn/easy-rsa/keys/server.crt key /etc/openvpn/easy-rsa/keys/server.key dh /etc/openvpn/easy-rsa/keys/dh1024.pem cipher AES-128-CBC mode server tls-server ifconfig 192.168.XXX.YYY 255.255.255.0 push "route 192.168.XXX.0 255.255.255.0" push "route 192.168.ZZZ.0 255.255.255.0" push "dhcp-option DNS 192.168.XXX.YYY" client-to-client keepalive 10 120 comp-lzo user nobody group nobody persist-key persist-tun status /var/log/openvpn-status.log log /var/log/openvpn.log log-append /var/log/openvpn.log verb 3 management localhost 7505 クライアント側設定はこれ。 client proto udp dev tap fragment 1400 mssfix 1400 remote XXX.XXX.XXX.XXX XXXX route-gateway 192.168.XXX.YYY ca "keys/ca.crt" cert "keys/XXXXXXXXXXXXXXXXX.crt" key "keys/XXXXXXXXXXXXXXXXX.key" resolv-retry infinite nobind comp-lzo persist-key persist-tun verb 3 pull cipher AES-128-CBC keepalive 10 120 float redirect-gateway def1 またやっちまったorz 自分で読み返してみても、適当が多くて申し訳ないけど、参考になれば。 ああ、二つ、忘れてた。 OpenVPNのバージョンは、openvpn-2.0.9。 28-29はmssfixを指定していなかったけど、それは指定した方がいいみたい。 tun-mtuを設定していないのはわざとです。 (自分の構成上、仮想デバイス内をfragmentationが起こることがないと思うので。) ソースはこれね。 http://openvpn.net/archive/openvpn-users/2004-12/msg00037.html あー、連投すまんです。 tun-mtuについてきちんと調べてみたんだけど、 勘違いしてて、fragmentationを抑制するとかじゃなくて、 単純に仮想デバイスのリンクMTUを決定するだけみたいですね。 まあ、どちらにしろ、manでも、 "It's best to use the --fragment and/or --mssfix options to deal with MTU sizing issues." と言ってるし、そもそも、tunじゃなくて、tapを使うイーサネットブリッジでは、やっぱ、いじる必要なさそう。 ちょっと質問。 XPのPPTP鯖機能ってクライアントに範囲指定で複数のIPアドレスを振って あたかも複数のクライアントをつなげられる風だけど、1クライアントしかつながらんのは仕様? 2ユーザー目がつなごうとすると、エラー937で 「この種類の接続が他で使用されているため、着信接続はこの接続要求を受け付けることができません。 」 ってなる orz 速度も良好で圧縮も対応してたりして便利だから何とか使いたいんだけどなー 2000Serverだと複数ユーザーつながるけど、XPで複数つなげさせたいのよね 2003Serverじゃないとダメじゃね? だから、XPその他ユーザな俺らは別のVPNソフトを用意するわけで そっかぁ、 けど2003鯖でPPTP鯖やるとNICが2ついるんだよねー。 今XPでVirtualPC動かして2000Serverを起動してPPTP鯖してるけど どうもスマートじゃないしたまに再起動した時なんか面倒なのよ。 マシンも余ってないし。。 しかし客先とかでもよく速度関係で文句言われたりするけど VPNってほんと奥が深いわ。MTUとかいじるだけで全然違うし。おやすみなさい つか、そもそもXPって複数ユーザーの同時使用ができないのでは。 リモートデスクトップでも1セッションだし。 Edition次第でしょ? Proessionalまでは1セッションまでだと思うけど。 XPはプロとホームとメディアセンターしか無かったと思うが。 メディアセンターならできるのか? OpenVPN接続していると定期的に接続が切れて勝手に再接続になるんだけど、 どうしてこんなに不安定なの・・・ うちのも1時間にいっぺんSSLセッション張りなおしてるけど、 これだとセキュリティのための仕様かと… >>232-233 Cocurrent Loginとかで検索するといいことあるかもよ。 ttp://sig9.com/articles/concurrent-remote-desktop とか読んでも良し。 ネタ投下 http://ci.nii.ac.jp/naid/10016157275/ これなんだなんだなんだ? 地理的に離れた拠点間で仮想的な専用ネットワークを構築するためのVPNという技術 がある.特にSoftEther等のソフトウェアで実現するVPNは特別な機器を必要とせず安価 に導入できるため注目されている.本稿ではソフトウェアのみでVPNを構築可能な GPLソフトウェアであるOpenVPNを対象とし, 通信速度に対するオーバーヘッドを軽減し, 使用者の操作負荷を低減する方法について述べる.設定をサーバに委託し, クライアント側での特別な設定を不要にすることで操作負荷の低減を図っている. そして, ブロック暗号だけをサポートしているOpenVPNに対して高速なストリーム 暗号を適用することにより, 通信全体のオーバーヘッドの軽減を実現している. >>238 OpenVPN自体は、このスレでかなり出てると思うけど。 どのへんが凄いと思ったの? >>239 一瞬ビビった!wPacketiX作った本人光臨かと!w >OpenVPNを対象とし, 通信速度に対するオーバーヘッドを軽減し >使用者の操作負荷を低減する方法について述べる.設定をサーバに委託し, >クライアント側での特別な設定を不要にすることで操作負荷の低減を図っている. >そして, ブロック暗号だけをサポートしているOpenVPNに対して高速なストリーム >暗号を適用することにより, 通信全体のオーバーヘッドの軽減を実現している. だよ?OpenVPNの現状でのネック、使えないところは速度なんだよ! 速度が遅すぎるんだよ!速度とまぁ安定感も無いしね。よく切れたりするし。 後はクライアント側とサーバ側とで設定あわせてないとWarning吐きまくるけど、 このサイトによるとサーバ側に1個設定しておけばクライアント側はそんなに 色々パラメータ書かなくていいみたいだし、標準ではブロック暗号のみしか サポートしてないのに、なんらかの手段を使って(ソフトウェアハッキング?) 高速なストリーミング暗号を使えるようにして〜とか、とにかくこのサイトの 情報を見る事が出来ればOpenVPNが格段に速く、安定して、設定のわずらわしさ からも開放されて使いやすいキラーアプリケーションになると思ったんだけど・・・ だから凄いと思ったんだけど、そうは思わない? でもこのサイトどうやら情報をタダで公開しているわけではないようだ。 http://ci.nii.ac.jp/naid/10016157275/ ←書籍の情報?ということはこういう書籍が存在する? なんかもうOpenVPNダメすぎるので、1FD Linuxルータであるfloppyfwとかに 内蔵されているvpndってのに挑戦してみようかなぁと思っていたんだけど OpenVPNが高速化してくれればコレに勝る事は無い。 現状ではTinyVPNよりも負けてる。 直接転送>1.3MB/s程度 TinyVPN>700KB/s程度 (半分の速度は出ていますね) OpenVPN>200KB/s程度(6分の1以下の速度ですか、そうですか。しかも不安定) ってな状態なので・・・・。 >>241 で書いた.pdf記事によると Celeron等のCPUキャッシュが少ないCPUだと遅いらしい。 Pentium4だとCeleronの8倍のキャッシュ容量があるらしく、その場合はほとんど TCP/IPの通信と速度が変わらないそうな。 本当かよこの実験結果。Pen4のマシンをVPNサーバにしてPen4クライアントで 接続したら速いって言うのかな?このPDFは大体CeleronマシンでCPUが100%になっている が、うちの環境だとCeleronだけどCPU余りまくりなんだが・・・・ 結局高速化するにはPen4のマシンつかえってこと? OpenVPN遅いか? 鯖 P4-2.53GHz CentOS、BフレBasic クライアント PM-1.6GHz WinXP、BフレHF tun使用 クライアント(-11g無線LAN-ルータ-Internet-ルータ-)鯖-ルータ-Internet ()内がOpenVPN 上記の接続でクライアントからスピードテストサイトにつないでみた SPEED 2.5 (speed.rbbtoday.com) 下り(ISP→PC): 8.24Mbps 上り(PC→ISP): 3.8Mbps ちなみにVPNなしだと クライアント-無線LAN-BフレHF-Internet SPEED 2.5 (speed.rbbtoday.com) 下り(ISP→PC): 17.16Mbps 上り(PC→ISP): 7.43Mbps 45%程度出てるんだが。 >>244 OpenVPN遅いですよ? どうやら私が書いたレスの.pdfファイルによると、CPUがPentium4及びPentiumu系列? とにかくCPUのキャッシュが多いマシンがサーバでクライアントも出来ればPentium系列 であれば、速度はかなり速くなるらしい。 貴方の環境はサーバもクライアントもPentium系列みたいだし・・・もしかしたら そのおかげで速いのかも。 それにしたって45%程度しか出ないのは問題がありませんか? TinyVPNだと70%程度は出るんですよ? 私の環境(サーバ Vine Linux 3.2 Celeron 1GHz)<=>(クライアント WindowsXP Pen4 2.4GHz) だと普通に通信して1.3MB/s程度出るのに200KB/s程度しかでなくなるから20%ちょっと 程度しか出てないんですよねぇ・・・・。Celeronのサーバが悪いのかといって Pen4をサーバにしてクライアントをCeleronにするとそれはそれで同じ結果なわけで。 だったらクライアントとサーバが両方ともPentium系列じゃないと速度が出ないのか? って話になりますが2台もPen4のマシン持ってないので検証不能です。 というかそれで速度が出たとしても無条件で70%出るTinyVPNには到底及ばないわけで。 でもLinuxがサーバなのでTinyVPNは使えないわけで。 スピードテストサイトよりSambaとかFTPで接続してNethist使って速度を見た方がいいですよ。 実際の速度が良く分かるので。 OpenVPNの公式サイトに誰か英語で「もっと高速化してくれ」というような要望を 投稿して下さいませんか?当然私が英語の出来る人間なのであれば私がやっています。 でも私は英語が苦手で、翻訳サイトを使って翻訳した英語はかなり分かりにくいものになる はずなので、英語が出来る人が投稿するのが望ましいんですよ。 今OpenVPNがVer 2.0.9なので、次の2.1.0になる境目で、ココで高速化するコードを入れてもらえると なんて勝手に思っています。 OpenVPN info@openvpn.net 現在はこの掲示板死んでるのかな? http://openvpn.net/archive/openvpn-users/2005-02/threads.html >>238 そうか、OpenVPNはブロック暗号なのか、そりゃ、ストリーム暗号にしたくなるわな そうすりゃ、MTUとかの調整しなくても転送のジッタを少なくできるから パフォーマンスでそうだな。 実際にどれくらい出ているかっていう話と、 本家へのフィードバックがどうなっているか誰か雑誌取ってて知ってたら教えて〜 >>243 で私が貼り付けたURL http://almond.cs.uec.ac.jp/theses/paper/2005/undergraduate/kubodera.pdf をたった今全て読破しました。 読むのに時間がかかりそうなので、私が要点だけを書きます。 やはり>>245 で私が書いたような事が正解みたいです。 とにかくクライアントマシンのCPUのL2キャッシュが多くないとパフォーマンスは得られない。 L2キャッシュが1MBもあれば、TCP/IPの通信とほとんど変わらない高速な通信が期待できる。 しかしこの論文ではLAN内で実験をしていたようなので、WANをはさむと当然もっと遅くなる んだろうが、それでもよくまとまっていて、L2キャッシュ容量が多い=高速通信 になるのは間違いないようだった。なので、設定をいじって変更するとかそんなレベルだと 高速化は見込めない。ほとんど変化しません。サーバ側はAthlonXPで実験していた みたいだけど、自宅のCeleron1GHz(L2キャッシュ>256KB)とPen42.4GHz(L2キャッシュ>512KB) で転送テスト(LAN内で)してみましたが、ほぼTCP/IPの速度に近い(ん〜微妙、少し遅いか) 速度が得られました。確かクライアント側がCeleronだった頃はLAN内でさえ劇的に速度が 落ちていたように思います。とにかく Celeronは糞 って事で。サーバ側にCeleronを使っていますが、サーバ側であれば多少は耐えられるみたいですね。 可能な限りサーバ側もPen4がいいんでしょうが、うちの環境だとtopコマンドでCPU負荷を 見ても90%程度までしかいってなかったので、なんとか耐えてるようでした。 これが99%までいくと間違いなくボトルネックになっているんでしょうけど。 解決するにはハードウェアをかえるか、VPNソフトウェアのコーディングの見直し しかないと言うような事が論文で発表されていました。 なので、やはり私が提案したように開発元にその旨を英語で伝える事が出来れば 改良してくれるのではないかと淡い期待を持っているのですが・・・ どなたか英語に強い方いらっしゃいませんか? CoreDuoクライアントを別の場所に持って行ったときに どちらも、光だったけど明らかに速度差が出てたぞ。 片方は、PPPoEタイプで、片方は、直結。 OpenVPN以外の通信では差を意識できなかったけど、 OpenVPNでは明らかな差が出てた。 やっぱ、L2キャッシュだけでは解決せんよ。 サーバ側をリモート側に、クライアントは自分が今使っているマシンでOpenVPN組んだのですが (サーバはDebian GNU Linux Sarge) (クライアントはWindowsXP) サーバ側のログにエラーっぽいのが。 Wed Jan 24 04:44:53 2007 client/xxx.xxx.xxx.xxx:4198 MULTI: bad source address from client [192.168.11.12], packet dropped Wed Jan 24 04:44:53 2007 client/xxx.xxx.xxx.xxx:4198 MULTI: bad source address from client [192.168.11.12], packet dropped Wed Jan 24 04:44:53 2007 client/xxx.xxx.xxx.xxx:4198 MULTI: bad source address from client [192.168.11.12], packet dropped Wed Jan 24 04:44:53 2007 client/xxx.xxx.xxx.xxx:4198 MULTI: bad source address from client [192.168.11.12], packet dropped Wed Jan 24 04:44:59 2007 client/xxx.xxx.xxx.xxx:4198 MULTI: bad source address from client [192.168.11.12], packet dropped サーバから見れば10.8.0.6っていうIPからデータが送られてきた、だからそこに送り返す、みたいな動作を したいんだと思いますが、なぜか私が今使っているパソコンのプライベートIPがOpenVPNサーバ側に 流れていっているようです。(192.168.11.12ってのがそれ)。 だからbad sourceになるんでしょうけど、このエラーの回避方法は?どうすればいいんでしょう? エラー処理で速度が落ちると思いますので、通信は出来ているとはいえ解消しておきたいです。 Wed Jan 24 04:45:02 2007 read UDPv4 [EMSGSIZE Path-MTU=1454]: Message too long (code=90) Wed Jan 24 04:51:25 2007 read UDPv4 [ECONNREFUSED]: Connection refused (code=111) このエラーはさっぱり意味が分かりません。メッセージが長すぎ?コネクション拒否? このエラーも原因や解消方法など教えてください。よろしくお願いします。 open vpn GUI をいくらか日本語化したんだが需要ある? >>250 超ある!UPお願いします! # ついでにOpenVPNのmanページも日本語化してくれたりすると最高・・・ 片手間で作ったのでしょぼいですが一応おいて置きます。 ttp://www.geocities.jp/open_nokorimono/ >>252 ついでってレベルじゃ(ry では消えます。 OpenVPNについて質問です トンネルではなくブリッジです、サーバーの実IP(eth0)が192.168.0.1だとして、vpnクライアントに配布する IPは192.168.100.n、にする場合、# ifconfig eth0:0 192.168.100.1としてサーバーのNICにもうひとつ IPアドレスを追加して、bridge-startの eth="eth0-0" eth_ip="の行に192.168.100.1" として、server.confに server-bridge 192.168.100.1 255.255.255.0 192.168.100.200 192.168.100.230 の記述を・・・・あれ?どこでブリッジしてるんだろ?これじゃvpn出来そうもない・・・・ OpenVPNをVine Linux 3.2にインストール ./build-dh ./build-ca ./build-key server とやった後で ./build-key client を実行してclient用の接続に必要なファイルを作成するじゃないですか? で、このファイルを無効にしたい、廃止したい時は ./revoke-full client のように指定しますよね。そうすると ./build-key client で作成したファイルが 無効になるはずですよね。なのにソレを実行すると [root@vine easy-rsa]# ./revoke-full client Using configuration from /etc/openvpn/easy-rsa/openssl.cnf DEBUG[load_index]: unique_subject = "yes" ERROR:Already revoked, serial number 02 Using configuration from /etc/openvpn/easy-rsa/openssl.cnf DEBUG[load_index]: unique_subject = "yes" client.crt: /C=JP/ST=hoge/O=hoge/CN=client/emailAddress=me@hoge.co.jp error 23 at 0 depth lookup:certificate revoked このようにターミナルに出力されて ( error 23 )権限の剥奪に失敗している模様? で、廃止したはずのファイルが普通に使えちゃうんです。どうやったら廃止できますか? >>253 す、素晴らしい!!凄いですね!日本語化できました! っていうかどうやって作ったんです?こういうパッチ。あり難く使わせて頂きます! IRCに #OpenVPN って言うチャンネル作ってみた。よろしければどうぞ OpenVPNについて質問したいのですが OpenVPN専用スレって別のトコにあります? >259 ttp://pc10.2ch.net/test/read.cgi/unix/1136161335/l50 >>259 ぶっちゃけどこのスレも全然活発じゃない。強いて言うならこのスレが一番OpenVPNに ついて活発に語り合っているように思う。 OpenVPNは情報が少なすぎるね。 WindowsのPPTPサーバー立ち上げて、接続してきたクライアントの グローバルIPって確認する方法はないでしょうか? >>254 anynomasu bridge-start に tap="tapX" って変数 set してるでしょ,そいつと、 eth="ethX" とが bridge されるんでねぇのけ…。私の場合は物理的に NIC が2つあったのでかたっぽを tap="tap0" と bridge させた。NIC 1つのばあいはどうなるんですかね? 正確なことがあまり言えなくてすみませんが・・・, IP-VPN router が入ってて、Client 側で internet が精々 20Mbps ぐらいしか出ないってとこで, 1.OpenVPN Server: AMD K6-266Mhz,64Kb L1,512Kb L2,Linux (こんなん知らんって? 10年前買ったやつだもん….) Client: Pentium 3.0Ghz, 2Mb L2,WindowsXP Windwos の Explorer の copy で 2.5Mbps 程度. 2.OpenVPN Server: Pentium 2.8Ghz, 2Mb L2,WindowsXP Client: Pentium 3.0Ghz, 2Mb L2,WindowsXP Windwos の Explorer の copy で 10Mbps 程度. 1の server 機に Apache で SSL の WEBDAV directory 作って Windows XP の “ネットワーク プレース” ってのの folder を作成,Explorer で転送したら 16Mbps 位 出ました. これまで言われた事の検証(速い PC 使わにゃダメ)ができました.が,Client 側の internet 速度が速くなればもっと早くなるでしょうかねぇ?もうじき電力会社の回線 入るので test したら報告します. ちなみに、Server PC と転送の相手が同一です.違う PC にすればもっと 速くなるんでしょうね,それもこん test してらお知らせしますね. >>266 検証&結果報告お疲れ様です。 スペックと言うかまぁ、CPUの二次キャッシュ(L2キャッシュ)の容量の差が大きいんじゃないでしょうかね? > AMD K6-266Mhz,64Kb L1,512Kb L2,Linux このマシンは512KBですか?L2キャッシュは。対して > Pentium 2.8Ghz, 2Mb L2,WindowsXP このマシンは2MBもありますねぇ?4倍も違うんですね。 それから無視できないもう1つの点が、Server側のOSです。 > Pentium 2.8Ghz, 2Mb L2,WindowsXP のマシンにLinuxインストールしてそのマシンでもOpenVPNサーバ立てて検証は出来ませんか? ひょっとするとLinuxのOpenVPNよりWindowsXPのOpenVPNのほうが速いとかいう事もあるかもしれません。 しかしサーバOSであるLinuxがこの分野でWindowsに劣るはずがないんですけどね。 # SSLで暗号化通信したWebDAVの方がOpenVPN越しのWindowsファイル共有よりも # 高速って言う事ですかねぇ? >>268 L レスありがとう. K6-266 に L2 cache はありませんでした.すみません, えぇと、私も Linux のほうが速そうな気がしています. てより、K6-266 でそこそそ動いてるのは Linux だからな んじゃないかぁ,と妄想してます.(K6-266 では OpenVPN の前に WindowsXP がマトモに動かねぇんでねか….) 今のところ、 「SSL - WebDAV の方OpenVPN越しのWindowsファイル共有よりも高速」 ってのは確か、と思い込んでます。これもキチンとした数字を出 してお知らせします. いずれにしても、電力会社回線が来てからなので,速くても 来月になると思います.宜しく. >>269 >(K6-266 では OpenVPN >の前に WindowsXP がマトモに動かねぇんでねか….) はい、WindowsXPを動かそうなど無謀でしょうね。 そのクラスのマシンだとせいぜいWindows2000・・・。 私が試した限りではWebDAVは非常に遅くて不安定でしたがねぇ・・・。 OpenVPNの転送の方が速かったんですが・・・。 >来月になると思います.宜しく. こちらこそ結果報告楽しみに待っています。宜しくお願いします。 K6みたいなSocket7世代だとL2はマザーボードににあるのが普通だった >>256 ブリッジは諦めました。ブリッジ設定してOpenVPN起動するとなぜかnetworkが死んでしまうし 後でifconfig upしてもクライアントからつながらないからです。 で、トンネルで試したところうまくいきました、ただサブネットが255.255.255.254に指定されて OpenVPNサーバー側のLANと通信できないんですよねVPNクライアント-サーバーはつながってます そこでserver.confとclient.ovpnの dev tun ↓ dev tap に変えたところ振られるサブネットが255.255.255.0になってくれました。 これでようやくサーバー側LANのPCからVPNクライアントに通信できる!と思いきや サーバー側ゲートウエイが光プレミアムのCTUな為、ルートが追加できないんです VPNクライアントからはサーバー側のLANが見えるんですよね(SambaでActiveDirectory組んでます) でも離れてる場所のVPNクライアント同士は通信できるのでとりあえず良しとしてます ↑アンカー間違えました >>256 ではなく >>265 でした >>272 dev tun =トンネル dev tap =ブリッジ だという認識でいたのですが、トンネルなのにdev tapにすると確かに通信可能だし subnetが255.255.255.0 になってくれますね。今までは255.255.255.252で我慢してたんですが。 コレ弊害ないのかな。OpenVPNの日本語解説サイトの情報でもtunとtapは それぞれトンネルとブリッジだと書いてあったような。そういう意味の設定じゃないのかな。 なんか面白い事教えてくれたお礼にブリッジもう一回挑戦したくなる情報を教えます。 ブリッジはbridge-startスクリプトでやっていますよね?OpenVPN付属の。 あれの一番最後に /sbin/route add default gw xxx.xxx.x.x (xxxの部分はデフォルトゲートウェイのIP) を追加して下さい。 # vi bridge-start で普通に編集できます。ただのシェルスクリプトなので。 その状態で # ./bridge-start を実行。そしてOpenVPNサーバ開始。これで上手くいくと思うんですが? それから、終了する時はOpenVPNサーバを停止した後、bridge-stopスクリプトの最後に /etc/init.d/network restart (ネットワークを再起動させます) を追加します。これで./bridge-stopを実行すれば正常にブリッジを終了できます。 どうでしょう? 漏れもtapつかってるよ なんでこっちが普通になんないんだろ… tapがブリッジに使うために後から追加されたせいなのかな >>274 OpenVPN 2.0 HOWTO 日本語訳設定ファイル例/server.conf 引用 # "dev tun" はルーティングIPトンネルを作る. # "dev tap" はイーサネットブリッジを作る. # イーサネットブリッジモードを使いたければ # "dev tap"を使うこと. 確かに、書かれてます。 でもいろいろググッてるうちにふと気づいたんです、デバイスがTAPなのになぜTUNにするのだろう?って そこで試しにやってみたらうまくいった、ただそれだけです。 >コレ弊害ないのかな。 すいませんそこまで考えが及ばなかったです・・・ ブリッジ設定例ありがとうございます。 トンネルではないから OpenVPN 2.0 HOWTO 日本語訳 引用 >最後に,よく忘れがちのことであるが,サーバのLANゲートウェイにおいて, >192.168.4.0/24への経路をOpenVPNサーバボックス経由となるように設定しておく>こと >(OpenVPNサーバボックスがサーバLANのゲートウェイである時には不要). が必要なくなる=CTUでもサーバー内LANからVPNクライアントへの通信は可能になる訳ですね。 ただ OpenVPN 2.0 HOWTO 日本語訳 引用 >ブリッジVPN (dev tap)においてクライアント側のマシンを追加する >これにはもっと複雑な設定が必要である(実際にはそれほど難しくないだろうが,詳細を述べるには上記よりもっと難しい). >クライアントにおいて,TAPインタフェースとLAN接続のNICとブリッジする必要がある. ということですのでWin2000では対応できないですよね XPに変えねば(^_^; >>275 不思議ですね・・ >>276 細かいソースの貼り付けありがとうございます。さぞ面倒だったでしょうw >ということですのでWin2000では対応できないですよね いいえ、Windows2000でもブリッジ出来ますよ。 Ethernet Bridge http://www.ntkernel.com/w&p.php?id=20 ココから落としてもいいかも http://www.altech-ads.com/product/10000435.htm 使い方は非常に簡単(GUIアプリだし)なので、実行してみれば分かると思います。 もし分からなければ教えますけど・・・本当に簡単ですw ■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる