VPNの実効速度を上げて快適リモートアクセス(SE除外

**ななしさん** · 2006/08/22(火) 03:54:32

SoftEther以外のVPNソフトウェアのパフォーマンスチューニングについて情報交換するためのスレッド。
現状ではOpenVPNの速度が不満。
もっと高速に通信できるようにして（少なくてもSoftEtherと同等）快適なリモートアクセス環境を
構築しましょう！
前スレ
SoftEther→他のVPNシステム　乗り換えスレ
http://pc8.2ch.net/test/read.cgi/network/1136813055/

OpenVPN
http://openvpn.net/

OpenVPN GUI for Windows
http://www.openvpn.se/

OpenVPN 2.0 HOWTO Japanese Translation
http://degas.is.utsunomiya-u.ac.jp/~zhao/freesw/ovpn2_howto_ja.html

44氏の解説サイト
http://maturi.s144.xrea.com/openvpn/index.html

TinyVPN
http://www.shimousa.com/tv/

■OpenVPN
メリット＞完全にフリー（無料）、マルチプラットフォーム対応（Windows、Linux、etc)
デメリット＞やや設定が難しく初心者には敷居が高い。現時点では速度が不満。

■TinyVPN
メリット＞非常に簡単。初心者でも大丈夫。速度もそれなりに出る。
デメリット＞ Proxy超えが不可能、8クライアント以上は有料、Windowsでしか動かない。

では皆さん、有意義で価値のある情報交換をして行きましょう！

**Compare** · 2006/11/18(土) 15:59:26

結果報告

SoftEther Ver1はOpenVPNに比べて100KB/s ～ 200KB/s速い程度。
設定とかは非常に簡単。

ただLinux版のVPN Clientが無いからWindows同士が接続するだけで
LinuxのSambaサーバは使えない、非常に残念。
速度もそれほど超速いわけでもない・・・

製品版だと速度も超速くなってLinux版のClientがあるからSambaサーバも使えるって事に
なるわな・・・。
悔しいなぁ・・・なんかいいソフトないかねぇ・・ほんと・・・。

**sagesagesage** · 2006/11/18(土) 17:15:02

OpenVPN開発陣はあまり速度チューンってのを考えて無いな
如何にノーマルで確実な実装をするかってのが至上命題みたいだ
まあそれが、VPNのアイデンティティに最も則してるわけだけど.ねえ…

**faga** · 2006/11/18(土) 17:48:39

>>178
ちょっとOpenVPN開発者に英語で「速度をもっと上げるように開発してくれ」って
訴えてくれませんか？

私？私は英語できないので無理です。

OpenVPNの掲示板とかその辺の開発者が見る辺りに・・・お願いしますYO

もしくはこの掲示板を紹介・・日本語読めないか・・・。

**age** · 2006/11/18(土) 19:54:03

age

**sage** · 2006/11/19(日) 03:30:50

SEとか言ってる奴はスレタイみえないのか。

d · 2006/11/19(日) 06:54:55

速度を上げるようにったって、30Mbps出るんだし
十分いいんじゃねと思うけど。

**anonymous** · 2006/11/19(日) 09:34:29

>>182
そんなに出るかいな・・・。出ない出ない・・。

せいぜい200KB/s～300KB/sですよ？
つまり1.6Mbps～2.4Mbpsです。
30Mbpsって事は3.75MB/s(3840KB/s)でしょ？十倍以上でてるんですか？
うらやましいなぁ・・・・。

**182** · 2006/11/19(日) 20:20:59

すまん、計測し直した。
平均34Mbpsだった。

**sagesage** · 2006/11/19(日) 20:42:51

10Mbpsオーバー余裕なヒトと、1Mbpsカツカツな俺の差は、一体何なのだろう？
俺だって光同士なんだけどなあ

とりあえず設定（クライアント）をさらそう

dev tap
proto tcp-client #プロキシ通すので
remote xxx.xxx.xxx.xxx 443 # サーバのホスト名/IPと待ち受けポート

dev-node OpenVPN # TAP-Win32アダプタの名前

persist-tun # デバイスを再オープンしない
no-replay # リプレー攻撃防止
;cipher none # 暗号化無し　怖いからやらない

link-mtu 1400 # フレッツなので少なめ（厳密に計算しても結果変わらず）
;fragment 1318 # これ別に設定する意味あるの？
mssfix 1280

resolv-retry infinite

nobind # 特定なローカルポート番号のバインド必要なし

http-proxy xxx.xxx.xxx.xxx 8080 basic # プロキシ設定

mute-replay-warnings # 重複パケット警告停止

secret xxx.key # 共有秘密鍵

;comp-lzo # 圧縮いらない（サーバが少し遅い）

**anonymous** · 2006/11/19(日) 23:14:19

>>185
UDPじゃなくてTCPで通信しているから速度は落ちるだろうなぁ・・・・
UDPでも遅いけどね・・・・。

**sagesage** · 2006/11/19(日) 23:40:41

結構サーバのスペックが効くらしいね、噂によると

サーバ新調しようかなあ
PentiumIII 700、256MBのファンレスノートじゃ、もう荷が重いのかなあ

**anonymous@** tetkyo147133.tkyo.te.ftth2.ppp.infoweb.ne.jp · 2006/11/19(日) 23:46:56

AEP1000LみたいなPCIカードのSSLアクセラレータって使えないもんなんかねぇ
普通にアプライアンスサーバ買えって言われそうだが。

**anonymous** · 2006/11/20(月) 10:20:10

>>188
SSLアクセラレータってほとんどが認証しかやってくれないよ。

**anonymous** · 2006/11/20(月) 17:40:56

>>187
いやいや、超高性能なマシンで実験してみたが遅い事には変わりは無いよ。
ソフトウェアが遅いんだよ。ハードウェアじゃなくて。

**anonymous** · 2006/11/20(月) 19:15:55

（ ´_ゝ`）ﾌｰﾝ

n · 2006/11/20(月) 19:40:46

速度はその人のｽｷﾙに比例

**sagesage** · 2006/11/21(火) 00:15:43

OpenVPNって、その特徴から多くの場合串越えVPNだし、
串の性能に依存しちゃうのかもね
それを忘れて、他より遅いと誤解してしまう

他のVPNの串越え性能と比較するには、他のVPNを通せる串を自分で立てなきゃいけないから、面倒だ

**anonymous** · 2006/11/21(火) 16:36:47

（ ´_ゝ`）ﾌｰﾝ

**anonymous** · 2006/11/22(水) 17:40:57

Proxy超えじゃなくて普通にVPNセッション張りたい人間も居る事を忘れるな

**anonymous** · 2006/11/22(水) 23:19:10

>>195
その場合Tinyじゃね？　お勧めは

そこんとこ踏まえて言ったんだろ、>>193は

**anonymous** · 2006/11/23(木) 11:54:21

最近のTinyは速い？
以前Tinyの出来がクソだったからOpenVPNを使うようにしてるんだが、
最近の事はよくしらない。

**anonymous** · 2006/11/23(木) 12:45:52

>>196
自宅のサーバがLinuxなんだよ。だからTinyVPN使えないんだよ。
こういう立場の人間もいるって事。

**anonymous** · 2006/11/24(金) 01:09:05

OpenVPN、何故遅いんだろうなあ
FTPで30Mbps出る回線で、600kbpsは酷いよ…

ProxyはSSL（SSH）に対して何か見てるんだろーか？

**anonymous@** e156103.ppp.asahi-net.or.jp · 2006/11/30(木) 11:52:42

レン鯖3000円でおけるところを探さないと・・・・・

**sage** · 2006/11/30(木) 20:09:41

ｆｔｐで、２５Mなのに、１２Mもでるなんて、
やっぱり国産すごい。

w · 2006/12/01(金) 01:38:16

宣伝乙

**anonymous** · 2006/12/01(金) 14:14:11

>>201
Tiny ?
SE ?

**sage** · 2006/12/01(金) 22:01:46

SE1やめて、OPENがんばって導入してみたけど、あまりに遅いんで、
SE2いれてみました
ベータ版だけどね

2006/12/01(金) 23:00:17

VPNの実効速度を上げて快適リモートアクセス(SE除外

NA · 2006/12/01(金) 23:16:39

VPNの実効速度を上げて快適リモートアクセス(SE正規版除外

**anonymous** · 2006/12/02(土) 09:23:45

SEの宣伝うぜー

**anonymous@** 122x211x246x82.ap122.ftth.ucom.ne.jp · 2006/12/02(土) 21:46:47

激やーす

**anonymous@** 66.net059085242.t-com.ne.jp · 2006/12/05(火) 02:06:37

OPENVPN動かしてるLINUXマシンを玄箱からPEN4に取り替えたら実測92Mでる回線で36Mbps出るようになった
やっぱネックはCPUパワーなんかな？

**sageruze** · 2006/12/05(火) 02:12:41

やっぱクリティカルな要素は、
・UDP
・CPUが高速
の2点なんだろーか？
MTUその他は大して効かない

何とも退屈な結論だが
他に工夫はあっても、セキュリティを侵すようなのばかりだからなあ

**anonymous** · 2006/12/05(火) 12:29:24

SEみたいに複数VPNを張ってリンクアグリゲーションしたら速くなんねぇかなぁ

**anonymous@** nfmvno002003240.dd.ppp.infoweb.ne.jp · 2006/12/05(火) 16:28:27

Windows2000またはXP標準の着信接続をつかったVPNをやってる人はいませんか？
このスレでは問題外？

**anonymous** · 2006/12/05(火) 17:25:42

>>209-210
オレはPen4の高性能CPU搭載マシンでOpenVPNを組んだ事があるが、それでも
速度は変わらなかった。
大体topコマンドで見てみたら分かるとは思うけど、CPU使用率は全然振り切って無い。
振り切っているならCPUパワーがボトルネックになっている可能性もあるけど
振り切ってないのだからCPUは関係ない。
個人的にはやっぱり高速化を意図したコーディングをしてないから
どうしようもないんじゃないかと諦めてる。
バージョンアップしても一向に速度が上がらないからなぁ・・・。

**NANASI** · 2006/12/05(火) 17:59:43

>>212
このスレッドのパート1を建てた>>1ですが、
単純にファイル共有の操作しかしないならば、
内蔵機能でまったく問題ないでしょう。

かくいう自分も、メルコのリモートアクセス対応ルータを基地に設置し、
ルータの機能として内蔵されているPPTPサーバを常時稼働させる。
クライアントはWindowsのPPTPクライアント機能で落ち着いてます。

回線は光同士で、FTP直繋ぎの実測40Mbit/secの環境で、
VPN経由だと10Mbit/sec（ファイル操作で1MByte/SEC弱）出るので、
とくに不便は感じてません。

メルコのルータは、いまのところ一度も落ちず。当たりロットでした。

**anonymous** · 2006/12/07(木) 10:22:38

当方、利用がモバイルから自宅へのアクセスで、モバイル環境は32Kbpsなんですよ。そこでVPN張ってみたところ、表示された通信速度が4Kbpsだったので仰天。ファイル転送して実測したわけではないのですが、もうすこし速度アップさせる方法はないものか、と。
何故にWindowsの着信接続に、といいますと、自宅の環境がアッカなので、ルータを選べない、モバイルはPDA(PocketPC2003)かノート(WindowsXPPro)である事、が理由です。
サーバ側の着信でログは残せないものでしょうか？（Windows2000ProSP4を使用中）。

**212** · 2006/12/07(木) 10:24:48

215=212です。
>>214
ありがとうございます。

**sage** · 2006/12/07(木) 14:15:49

>>215
ACCAのルーターの設定をブリッヂモードにして、
その下に任意のルーターを繋げちゃダメなの？
僕はそれでマイクロ研のルーター使ってるけど・・・

**anonymous@** 218.219.147.25 · 2006/12/16(土) 23:57:09

>>210
>MTUその他は大して効かない

UDPを使用している場合はかなり効果があるみたいですよ。
fragmentとmssfixを指定していない環境では、200KB/s程度しかでなかったのが、
それらを指定すると5倍の1000KB/s出るようになりました。
TCPの場合は、それらのある無し、特に変わらず、500KB/s程度でしたんで、
大して効かないのかもしれないですが。

**anonymous** · 2006/12/17(日) 00:55:37

>>218
えええ・・・・何その速度羨まし過ぎ・・・・

環境とか設定とか晒してよ・・・・

p · 2006/12/17(日) 16:20:42

>>28-29の設定で速くならんなら無理じゃね

**218** · 2006/12/18(月) 02:05:19

ここ、名無しのままだと、リモホでるの忘れてたorz

とりあえず、PPTPからの乗り換えで試行錯誤してるんだけど、
環境としては、双方、NTT東の光でプロバイダは別々。
サーバーはLinuxでヘボイの(Cel400)、クライアントはWindows。
サーバー側のCPU使用率は、最大でユーザー時間が20%くらいかな。

速度自体は、netperfとか使ってきちんと調査してなくて申し訳ないけど、
FTPでファイルを転送して適当に調査。

fragmentとmssfixの値に関しては、適当。
まあ、PPPoEのフレームが1450くらいだから、適当にこのくらい小さくすればいいだろと。

設定が少しだけ特殊で、接続元ユーザー毎に決められた固定IPを与えたかったから、
server-brigeを使っていないけど、それは速度にはあまり関係ない。

同一環境で、PPTPも同じくらいのスループットが出ているんで、
ボトルネックは他にあるんだろうな。

設定は下に書くね。

**218** · 2006/12/18(月) 02:06:14

サーバー側設定はこれ。
port XXXX
proto udp
dev tap0
fragment 1400
mssfix 1400
client-config-dir ccd
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh1024.pem
cipher AES-128-CBC
mode server
tls-server
ifconfig 192.168.XXX.YYY 255.255.255.0
push "route 192.168.XXX.0 255.255.255.0"
push "route 192.168.ZZZ.0 255.255.255.0"
push "dhcp-option DNS 192.168.XXX.YYY"
client-to-client
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn-status.log
log /var/log/openvpn.log
log-append /var/log/openvpn.log
verb 3
management localhost 7505

**anonymous@** 218.219.147.25 · 2006/12/18(月) 02:09:02

クライアント側設定はこれ。
client
proto udp
dev tap
fragment 1400
mssfix 1400
remote XXX.XXX.XXX.XXX XXXX
route-gateway 192.168.XXX.YYY
ca "keys/ca.crt"
cert "keys/XXXXXXXXXXXXXXXXX.crt"
key "keys/XXXXXXXXXXXXXXXXX.key"
resolv-retry infinite
nobind
comp-lzo
persist-key
persist-tun
verb 3
pull
cipher AES-128-CBC
keepalive 10 120
float
redirect-gateway def1

**218** · 2006/12/18(月) 02:10:14

またやっちまったorz

自分で読み返してみても、適当が多くて申し訳ないけど、参考になれば。

**218** · 2006/12/18(月) 02:32:07

ああ、二つ、忘れてた。
OpenVPNのバージョンは、openvpn-2.0.9。
28-29はmssfixを指定していなかったけど、それは指定した方がいいみたい。

tun-mtuを設定していないのはわざとです。
(自分の構成上、仮想デバイス内をfragmentationが起こることがないと思うので。)

ソースはこれね。
http://openvpn.net/archive/openvpn-users/2004-12/msg00037.html

**218** · 2006/12/18(月) 03:00:35

あー、連投すまんです。

tun-mtuについてきちんと調べてみたんだけど、
勘違いしてて、fragmentationを抑制するとかじゃなくて、
単純に仮想デバイスのリンクMTUを決定するだけみたいですね。

まあ、どちらにしろ、manでも、
"It's best to use the --fragment and/or --mssfix options to deal with MTU sizing issues."
と言ってるし、そもそも、tunじゃなくて、tapを使うイーサネットブリッジでは、やっぱ、いじる必要なさそう。

**nobody** · 2006/12/21(木) 23:14:11

ちょっと質問。

XPのPPTP鯖機能ってクライアントに範囲指定で複数のIPアドレスを振って
あたかも複数のクライアントをつなげられる風だけど、1クライアントしかつながらんのは仕様？
2ユーザー目がつなごうとすると、エラー937で
「この種類の接続が他で使用されているため、着信接続はこの接続要求を受け付けることができません。」
ってなる　orz

速度も良好で圧縮も対応してたりして便利だから何とか使いたいんだけどなー
2000Serverだと複数ユーザーつながるけど、XPで複数つなげさせたいのよね

**sage** · 2006/12/21(木) 23:42:21

2003Serverじゃないとダメじゃね？

だから、XPその他ユーザな俺らは別のVPNソフトを用意するわけで

**nobody** · 2006/12/22(金) 01:23:33

そっかぁ、
けど2003鯖でPPTP鯖やるとNICが2ついるんだよねー。

今XPでVirtualPC動かして2000Serverを起動してPPTP鯖してるけど
どうもスマートじゃないしたまに再起動した時なんか面倒なのよ。
マシンも余ってないし。。

しかし客先とかでもよく速度関係で文句言われたりするけど
VPNってほんと奥が深いわ。MTUとかいじるだけで全然違うし。おやすみなさい

**sage** · 2006/12/22(金) 10:57:21

中古PCでも買えば？

_ · 2006/12/22(金) 21:19:27

つか、そもそもＸＰって複数ユーザーの同時使用ができないのでは。
リモートデスクトップでも１セッションだし。

**anonymous@** 58-70-29-254.eonet.ne.jp · 2007/01/04(木) 03:25:23

Edition次第でしょ？
Proessionalまでは１セッションまでだと思うけど。

**anonymous** · 2007/01/04(木) 08:06:54

XPはプロとホームとメディアセンターしか無かったと思うが。
メディアセンターならできるのか？

**anonymous** · 2007/01/05(金) 22:04:42

鯖はXPじゃなくて2003だよな

**anonymous** · 2007/01/10(水) 23:26:24

OpenVPN接続していると定期的に接続が切れて勝手に再接続になるんだけど、
どうしてこんなに不安定なの・・・

**anonymous** · 2007/01/11(木) 02:30:21

うちのも1時間にいっぺんSSLセッション張りなおしてるけど、
これだとセキュリティのための仕様かと…

こん · 2007/01/19(金) 00:43:27

>>232-233

Cocurrent Loginとかで検索するといいことあるかもよ。
ttp://sig9.com/articles/concurrent-remote-desktop
とか読んでも良し。

**anonymous** · 2007/01/22(月) 23:35:18

ネタ投下
http://ci.nii.ac.jp/naid/10016157275/

これなんだなんだなんだ？

地理的に離れた拠点間で仮想的な専用ネットワークを構築するためのVPNという技術
がある.特にSoftEther等のソフトウェアで実現するVPNは特別な機器を必要とせず安価
に導入できるため注目されている.本稿ではソフトウェアのみでVPNを構築可能な
GPLソフトウェアであるOpenVPNを対象とし, 通信速度に対するオーバーヘッドを軽減し,
使用者の操作負荷を低減する方法について述べる.設定をサーバに委託し,
クライアント側での特別な設定を不要にすることで操作負荷の低減を図っている.
そして, ブロック暗号だけをサポートしているOpenVPNに対して高速なストリーム
暗号を適用することにより, 通信全体のオーバーヘッドの軽減を実現している.

**登犬遊** · 2007/01/22(月) 23:48:01

>>238
OpenVPN自体は、このスレでかなり出てると思うけど。
どのへんが凄いと思ったの？

**anonymous** · 2007/01/23(火) 00:47:02

>>239
一瞬ビビった！ｗPacketiX作った本人光臨かと！ｗ

＞OpenVPNを対象とし, 通信速度に対するオーバーヘッドを軽減し
＞使用者の操作負荷を低減する方法について述べる.設定をサーバに委託し,
＞クライアント側での特別な設定を不要にすることで操作負荷の低減を図っている.
＞そして, ブロック暗号だけをサポートしているOpenVPNに対して高速なストリーム
＞暗号を適用することにより, 通信全体のオーバーヘッドの軽減を実現している.

だよ？OpenVPNの現状でのネック、使えないところは速度なんだよ！
速度が遅すぎるんだよ！速度とまぁ安定感も無いしね。よく切れたりするし。
後はクライアント側とサーバ側とで設定あわせてないとWarning吐きまくるけど、
このサイトによるとサーバ側に1個設定しておけばクライアント側はそんなに
色々パラメータ書かなくていいみたいだし、標準ではブロック暗号のみしか
サポートしてないのに、なんらかの手段を使って(ソフトウェアハッキング？）
高速なストリーミング暗号を使えるようにして～とか、とにかくこのサイトの
情報を見る事が出来ればOpenVPNが格段に速く、安定して、設定のわずらわしさ
からも開放されて使いやすいキラーアプリケーションになると思ったんだけど・・・
だから凄いと思ったんだけど、そうは思わない？

でもこのサイトどうやら情報をタダで公開しているわけではないようだ。
http://ci.nii.ac.jp/naid/10016157275/　←書籍の情報？ということはこういう書籍が存在する？
なんかもうOpenVPNダメすぎるので、1FD Linuxルータであるfloppyfwとかに
内蔵されているvpndってのに挑戦してみようかなぁと思っていたんだけど
OpenVPNが高速化してくれればコレに勝る事は無い。
現状ではTinyVPNよりも負けてる。
直接転送＞1.3MB/s程度
TinyVPN＞700KB/s程度　(半分の速度は出ていますね)
OpenVPN＞200KB/s程度(6分の1以下の速度ですか、そうですか。しかも不安定)
ってな状態なので・・・・。

**anonymous** · 2007/01/23(火) 00:54:25

http://almond.cs.uec.ac.jp/papers/pdf/2006/kubo_dicomo.pdf

**anonymous** · 2007/01/23(火) 01:06:05

>>241で書いた.pdf記事によると
Celeron等のCPUキャッシュが少ないCPUだと遅いらしい。
Pentium4だとCeleronの8倍のキャッシュ容量があるらしく、その場合はほとんど
TCP/IPの通信と速度が変わらないそうな。
本当かよこの実験結果。Pen4のマシンをVPNサーバにしてPen4クライアントで
接続したら速いって言うのかな？このPDFは大体CeleronマシンでCPUが100％になっている
が、うちの環境だとCeleronだけどCPU余りまくりなんだが・・・・
結局高速化するにはPen4のマシンつかえってこと？

**anonymous** · 2007/01/23(火) 01:07:09

もう1個長そうなの見つけた。これも面白そう

http://almond.cs.uec.ac.jp/theses/paper/2005/undergraduate/kubodera.pdf

**hoge** · 2007/01/23(火) 11:25:39

OpenVPN遅いか？

鯖 P4-2.53GHz CentOS、BフレBasic
クライアント PM-1.6GHz WinXP、BフレHF
tun使用

クライアント(-11g無線LAN-ルータ-Internet-ルータ-)鯖-ルータ-Internet
()内がOpenVPN
上記の接続でクライアントからスピードテストサイトにつないでみた

SPEED 2.5 (speed.rbbtoday.com)
下り（ISP→PC）: 8.24Mbps
上り（PC→ISP）: 3.8Mbps

ちなみにVPNなしだと
クライアント-無線LAN-BフレHF-Internet

SPEED 2.5 (speed.rbbtoday.com)
下り（ISP→PC）: 17.16Mbps
上り（PC→ISP）: 7.43Mbps

45%程度出てるんだが。

**anonymous** · 2007/01/23(火) 17:46:31

>>244
OpenVPN遅いですよ？

どうやら私が書いたレスの.pdfファイルによると、CPUがPentium4及びPentiumu系列？
とにかくCPUのキャッシュが多いマシンがサーバでクライアントも出来ればPentium系列
であれば、速度はかなり速くなるらしい。
貴方の環境はサーバもクライアントもPentium系列みたいだし・・・もしかしたら
そのおかげで速いのかも。
それにしたって45％程度しか出ないのは問題がありませんか？
TinyVPNだと70％程度は出るんですよ？
私の環境（サーバ Vine Linux 3.2 Celeron 1GHz)＜＝＞（クライアント　WindowsXP Pen4 2.4GHz)
だと普通に通信して1.3MB/s程度出るのに200KB/s程度しかでなくなるから20％ちょっと
程度しか出てないんですよねぇ・・・・。Celeronのサーバが悪いのかといって
Pen4をサーバにしてクライアントをCeleronにするとそれはそれで同じ結果なわけで。
だったらクライアントとサーバが両方ともPentium系列じゃないと速度が出ないのか？
って話になりますが2台もPen4のマシン持ってないので検証不能です。
というかそれで速度が出たとしても無条件で70％出るTinyVPNには到底及ばないわけで。
でもLinuxがサーバなのでTinyVPNは使えないわけで。
スピードテストサイトよりSambaとかFTPで接続してNethist使って速度を見た方がいいですよ。
実際の速度が良く分かるので。
OpenVPNの公式サイトに誰か英語で「もっと高速化してくれ」というような要望を
投稿して下さいませんか？当然私が英語の出来る人間なのであれば私がやっています。
でも私は英語が苦手で、翻訳サイトを使って翻訳した英語はかなり分かりにくいものになる
はずなので、英語が出来る人が投稿するのが望ましいんですよ。
今OpenVPNがVer 2.0.9なので、次の2.1.0になる境目で、ココで高速化するコードを入れてもらえると
なんて勝手に思っています。
OpenVPN
info@openvpn.net

現在はこの掲示板死んでるのかな？
http://openvpn.net/archive/openvpn-users/2005-02/threads.html

**anonymous** · 2007/01/23(火) 20:20:36

>>238
そうか、OpenVPNはブロック暗号なのか、そりゃ、ストリーム暗号にしたくなるわな
そうすりゃ、MTUとかの調整しなくても転送のジッタを少なくできるから
パフォーマンスでそうだな。

実際にどれくらい出ているかっていう話と、
本家へのフィードバックがどうなっているか誰か雑誌取ってて知ってたら教えて～

**anonymous** · 2007/01/23(火) 21:14:34

>>243
で私が貼り付けたURL
http://almond.cs.uec.ac.jp/theses/paper/2005/undergraduate/kubodera.pdf
をたった今全て読破しました。
読むのに時間がかかりそうなので、私が要点だけを書きます。

やはり>>245で私が書いたような事が正解みたいです。
とにかくクライアントマシンのCPUのL2キャッシュが多くないとパフォーマンスは得られない。
L2キャッシュが1MBもあれば、TCP/IPの通信とほとんど変わらない高速な通信が期待できる。
しかしこの論文ではLAN内で実験をしていたようなので、WANをはさむと当然もっと遅くなる
んだろうが、それでもよくまとまっていて、L2キャッシュ容量が多い＝高速通信
になるのは間違いないようだった。なので、設定をいじって変更するとかそんなレベルだと
高速化は見込めない。ほとんど変化しません。サーバ側はAthlonXPで実験していた
みたいだけど、自宅のCeleron1GHz（L2キャッシュ＞256KB)とPen42.4GHz(L2キャッシュ＞512KB)
で転送テスト(LAN内で）してみましたが、ほぼTCP/IPの速度に近い(ん～微妙、少し遅いか）
速度が得られました。確かクライアント側がCeleronだった頃はLAN内でさえ劇的に速度が
落ちていたように思います。とにかく
Celeronは糞
って事で。サーバ側にCeleronを使っていますが、サーバ側であれば多少は耐えられるみたいですね。
可能な限りサーバ側もPen4がいいんでしょうが、うちの環境だとtopコマンドでCPU負荷を
見ても90％程度までしかいってなかったので、なんとか耐えてるようでした。
これが99％までいくと間違いなくボトルネックになっているんでしょうけど。
解決するにはハードウェアをかえるか、VPNソフトウェアのコーディングの見直し
しかないと言うような事が論文で発表されていました。
なので、やはり私が提案したように開発元にその旨を英語で伝える事が出来れば
改良してくれるのではないかと淡い期待を持っているのですが・・・
どなたか英語に強い方いらっしゃいませんか？

**anonymous** · 2007/01/23(火) 21:42:35

CoreDuoクライアントを別の場所に持って行ったときに
どちらも、光だったけど明らかに速度差が出てたぞ。
片方は、PPPoEタイプで、片方は、直結。
OpenVPN以外の通信では差を意識できなかったけど、
OpenVPNでは明らかな差が出てた。
やっぱ、L2キャッシュだけでは解決せんよ。

**anonymous** · 2007/01/24(水) 08:24:19

サーバ側をリモート側に、クライアントは自分が今使っているマシンでOpenVPN組んだのですが
(サーバはDebian GNU Linux Sarge) (クライアントはWindowsXP)

サーバ側のログにエラーっぽいのが。

Wed Jan 24 04:44:53 2007 client/xxx.xxx.xxx.xxx:4198 MULTI: bad source address from client [192.168.11.12], packet dropped
Wed Jan 24 04:44:53 2007 client/xxx.xxx.xxx.xxx:4198 MULTI: bad source address from client [192.168.11.12], packet dropped
Wed Jan 24 04:44:53 2007 client/xxx.xxx.xxx.xxx:4198 MULTI: bad source address from client [192.168.11.12], packet dropped
Wed Jan 24 04:44:53 2007 client/xxx.xxx.xxx.xxx:4198 MULTI: bad source address from client [192.168.11.12], packet dropped
Wed Jan 24 04:44:59 2007 client/xxx.xxx.xxx.xxx:4198 MULTI: bad source address from client [192.168.11.12], packet dropped

サーバから見れば10.8.0.6っていうIPからデータが送られてきた、だからそこに送り返す、みたいな動作を
したいんだと思いますが、なぜか私が今使っているパソコンのプライベートIPがOpenVPNサーバ側に
流れていっているようです。（192.168.11.12ってのがそれ）。
だからbad sourceになるんでしょうけど、このエラーの回避方法は？どうすればいいんでしょう？
エラー処理で速度が落ちると思いますので、通信は出来ているとはいえ解消しておきたいです。

Wed Jan 24 04:45:02 2007 read UDPv4 [EMSGSIZE Path-MTU=1454]: Message too long (code=90)
Wed Jan 24 04:51:25 2007 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)

このエラーはさっぱり意味が分かりません。メッセージが長すぎ？コネクション拒否？
このエラーも原因や解消方法など教えてください。よろしくお願いします。

**anonymous@** surfing.icraft.ne.jp · 2007/02/02(金) 15:03:05

open vpn GUI をいくらか日本語化したんだが需要ある？

_ · 2007/02/02(金) 17:39:19

あるんじゃね？
俺はどうでもいいけど

**anonymous** · 2007/02/02(金) 18:54:53

>>250
超ある！UPお願いします！

# ついでにOpenVPNのmanページも日本語化してくれたりすると最高・・・

**250** · 2007/02/02(金) 23:54:48

片手間で作ったのでしょぼいですが一応おいて置きます。
ttp://www.geocities.jp/open_nokorimono/

>>252
ついでってレベルじゃ（ｒｙ

では消えます。

**anynomasu** · 2007/02/03(土) 00:45:41

OpenVPNについて質問です
トンネルではなくブリッジです、サーバーの実IP(eth0)が192.168.0.1だとして、vpnクライアントに配布する
IPは192.168.100.n、にする場合、# ifconfig eth0:0 192.168.100.1としてサーバーのNICにもうひとつ
IPアドレスを追加して、bridge-startの
eth="eth0-0"
eth_ip="の行に192.168.100.1"
として、server.confに
server-bridge 192.168.100.1 255.255.255.0 192.168.100.200 192.168.100.230
の記述を・・・・あれ？どこでブリッジしてるんだろ？これじゃvpn出来そうもない・・・・

**revoke** · 2007/02/03(土) 01:55:12

OpenVPNをVine Linux 3.2にインストール
./build-dh
./build-ca
./build-key server
とやった後で
./build-key client
を実行してclient用の接続に必要なファイルを作成するじゃないですか？
で、このファイルを無効にしたい、廃止したい時は
./revoke-full client
のように指定しますよね。そうすると ./build-key client で作成したファイルが
無効になるはずですよね。なのにソレを実行すると

[root@vine easy-rsa]# ./revoke-full client
Using configuration from /etc/openvpn/easy-rsa/openssl.cnf
DEBUG[load_index]: unique_subject = "yes"
ERROR:Already revoked, serial number 02
Using configuration from /etc/openvpn/easy-rsa/openssl.cnf
DEBUG[load_index]: unique_subject = "yes"
client.crt: /C=JP/ST=hoge/O=hoge/CN=client/emailAddress=me@hoge.co.jp
error 23 at 0 depth lookup:certificate revoked

このようにターミナルに出力されて ( error 23 )権限の剥奪に失敗している模様？
で、廃止したはずのファイルが普通に使えちゃうんです。どうやったら廃止できますか？

**anonymous** · 2007/02/03(土) 02:00:26

>>253
す、素晴らしい！！凄いですね！日本語化できました！
っていうかどうやって作ったんです？こういうパッチ。あり難く使わせて頂きます！

**sirase** · 2007/02/04(日) 00:09:28

IRCに
#OpenVPN
って言うチャンネル作ってみた。よろしければどうぞ

**sirase** · 2007/02/04(日) 00:35:21

irc.nara.wide.ad.jp

**anynomasu** · 2007/02/09(金) 00:38:17

OpenVPNについて質問したいのですが
OpenVPN専用スレって別のトコにあります？

**sage** · 2007/02/09(金) 05:15:16

>259
ttp://pc10.2ch.net/test/read.cgi/unix/1136161335/l50

**マウマウ** · 2007/02/09(金) 08:08:17

>>259
ぶっちゃけどこのスレも全然活発じゃない。強いて言うならこのスレが一番OpenVPNに
ついて活発に語り合っているように思う。
OpenVPNは情報が少なすぎるね。

**anonymous@** p4103-ipbf710souka.saitama.ocn.ne.jp · 2007/02/09(金) 22:21:17

WindowsのPPTPサーバー立ち上げて、接続してきたクライアントの
グローバルIPって確認する方法はないでしょうか?

**マウマウ** · 2007/02/09(金) 23:10:12

>>262
netstat

**anonymous** · 2007/02/10(土) 18:51:17

>>263
できました。ありがとうございます。

**shyster** · 2007/02/11(日) 15:02:16

>>254 anynomasu
bridge-start に tap="tapX" って変数 set してるでしょ，そいつと、
eth="ethX" とが bridge されるんでねぇのけ…。私の場合は物理的に
NIC が２つあったのでかたっぽを tap="tap0" と bridge させた。NIC
１つのばあいはどうなるんですかね？

**shyster** · 2007/02/15(木) 18:53:36

正確なことがあまり言えなくてすみませんが・・・，
IP-VPN router が入ってて、Client 側で internet が精々 20Mbps ぐらいしか出ないってとこで，

１．OpenVPN
　　Server：
　　　AMD K6-266Mhz，64Kb L1，512Kb L2，Linux
　　　（こんなん知らんって？ 10年前買ったやつだもん…．)
　　Client：
　　　Pentium 3.0Ghz, 2Mb L2，WindowsXP

Windwos の Explorer の copy で２．５Mbps 程度．

２．OpenVPN
　　Server：
　　　Pentium 2.8Ghz, 2Mb L2，WindowsXP
　　Client：
　　　Pentium 3.0Ghz, 2Mb L2，WindowsXP

Windwos の Explorer の copy で１０Mbps 程度．

１の server 機に Apache で SSL の WEBDAV directory 作って Windows XP の
“ネットワークプレース” ってのの folder を作成，Explorer で転送したら 16Mbps 位
出ました．

これまで言われた事の検証（速いＰＣ使わにゃダメ）ができました．が，Client 側の
internet 速度が速くなればもっと早くなるでしょうかねぇ？もうじき電力会社の回線
入るので test したら報告します．

**shyster** · 2007/02/15(木) 18:57:01

ちなみに、Server PC と転送の相手が同一です．違う PC にすればもっと
速くなるんでしょうね，それもこん test してらお知らせしますね．

L · 2007/02/15(木) 20:18:13

>>266
検証＆結果報告お疲れ様です。

スペックと言うかまぁ、CPUの二次キャッシュ(L2キャッシュ)の容量の差が大きいんじゃないでしょうかね？

＞　　　AMD K6-266Mhz，64Kb L1，512Kb L2，Linux
このマシンは512KBですか？L2キャッシュは。対して

＞　　　Pentium 2.8Ghz, 2Mb L2，WindowsXP
このマシンは2MBもありますねぇ？4倍も違うんですね。

それから無視できないもう1つの点が、Server側のOSです。
＞　　　Pentium 2.8Ghz, 2Mb L2，WindowsXP
のマシンにLinuxインストールしてそのマシンでもOpenVPNサーバ立てて検証は出来ませんか？
ひょっとするとLinuxのOpenVPNよりWindowsXPのOpenVPNのほうが速いとかいう事もあるかもしれません。
しかしサーバOSであるLinuxがこの分野でWindowsに劣るはずがないんですけどね。

# SSLで暗号化通信したWebDAVの方がOpenVPN越しのWindowsファイル共有よりも
# 高速って言う事ですかねぇ？

**shyster** · 2007/02/16(金) 08:59:29

>>268 L レスありがとう．
K6-266 に L2 cache はありませんでした．すみません，

えぇと、私も Linux のほうが速そうな気がしています．
てより、K6-266 でそこそそ動いてるのは Linux だからな
んじゃないかぁ，と妄想してます．(K6-266 では OpenVPN
の前に WindowsXP がマトモに動かねぇんでねか…．)

今のところ、
「SSL - WebDAV の方OpenVPN越しのWindowsファイル共有よりも高速」
ってのは確か、と思い込んでます。これもキチンとした数字を出
してお知らせします．

いずれにしても、電力会社回線が来てからなので，速くても
来月になると思います．宜しく．

L · 2007/02/16(金) 13:47:00

>>269
＞(K6-266 では OpenVPN
＞の前に WindowsXP がマトモに動かねぇんでねか…．)

はい、WindowsXPを動かそうなど無謀でしょうね。
そのクラスのマシンだとせいぜいWindows2000・・・。

私が試した限りではWebDAVは非常に遅くて不安定でしたがねぇ・・・。
OpenVPNの転送の方が速かったんですが・・・。

＞来月になると思います．宜しく．
こちらこそ結果報告楽しみに待っています。宜しくお願いします。

**anonymous** · 2007/02/16(金) 19:00:05

K6みたいなSocket7世代だとL2はマザーボードににあるのが普通だった

**anynomasu** · 2007/02/16(金) 20:08:25

>>256
ブリッジは諦めました。ブリッジ設定してOpenVPN起動するとなぜかnetworkが死んでしまうし
後でifconfig upしてもクライアントからつながらないからです。
で、トンネルで試したところうまくいきました、ただサブネットが255.255.255.254に指定されて
OpenVPNサーバー側のLANと通信できないんですよねVPNクライアント-サーバーはつながってます
そこでserver.confとclient.ovpnの
dev tun
↓
dev tap
に変えたところ振られるサブネットが255.255.255.0になってくれました。
これでようやくサーバー側LANのPCからVPNクライアントに通信できる！と思いきや
サーバー側ゲートウエイが光プレミアムのCTUな為、ルートが追加できないんです
VPNクライアントからはサーバー側のLANが見えるんですよね(SambaでActiveDirectory組んでます)
でも離れてる場所のVPNクライアント同士は通信できるのでとりあえず良しとしてます

**anynomasu** · 2007/02/16(金) 20:09:53

↑アンカー間違えました
>>256
ではなく
>>265
でした

L · 2007/02/16(金) 23:56:23

>>272
dev tun ＝トンネル
dev tap ＝ブリッジ
だという認識でいたのですが、トンネルなのにdev tapにすると確かに通信可能だし
subnetが255.255.255.0　になってくれますね。今までは255.255.255.252で我慢してたんですが。
コレ弊害ないのかな。OpenVPNの日本語解説サイトの情報でもtunとtapは
それぞれトンネルとブリッジだと書いてあったような。そういう意味の設定じゃないのかな。

なんか面白い事教えてくれたお礼にブリッジもう一回挑戦したくなる情報を教えます。

ブリッジはbridge-startスクリプトでやっていますよね？OpenVPN付属の。
あれの一番最後に
/sbin/route add default gw xxx.xxx.x.x　(xxxの部分はデフォルトゲートウェイのIP)
を追加して下さい。
# vi bridge-start で普通に編集できます。ただのシェルスクリプトなので。
その状態で
# ./bridge-start
を実行。そしてOpenVPNサーバ開始。これで上手くいくと思うんですが？
それから、終了する時はOpenVPNサーバを停止した後、bridge-stopスクリプトの最後に
/etc/init.d/network restart　(ネットワークを再起動させます)
を追加します。これで./bridge-stopを実行すれば正常にブリッジを終了できます。
どうでしょう？

**anonymous** · 2007/02/17(土) 00:05:45

漏れもtapつかってるよ
なんでこっちが普通になんないんだろ…
tapがブリッジに使うために後から追加されたせいなのかな

**anynomasu** · 2007/02/17(土) 01:39:47

>>274
OpenVPN 2.0 HOWTO 日本語訳設定ファイル例/server.conf　引用
# "dev tun" はルーティングIPトンネルを作る．
# "dev tap" はイーサネットブリッジを作る．
# イーサネットブリッジモードを使いたければ
# "dev tap"を使うこと．

確かに、書かれてます。
でもいろいろググッてるうちにふと気づいたんです、デバイスがTAPなのになぜTUNにするのだろう？って
そこで試しにやってみたらうまくいった、ただそれだけです。

>コレ弊害ないのかな。
すいませんそこまで考えが及ばなかったです・・・

ブリッジ設定例ありがとうございます。
トンネルではないから
OpenVPN 2.0 HOWTO 日本語訳　引用
>最後に，よく忘れがちのことであるが，サーバのLANゲートウェイにおいて，
>192.168.4.0/24への経路をOpenVPNサーバボックス経由となるように設定しておく>こと
>（OpenVPNサーバボックスがサーバLANのゲートウェイである時には不要）．
が必要なくなる＝CTUでもサーバー内LANからVPNクライアントへの通信は可能になる訳ですね。

ただ
OpenVPN 2.0 HOWTO 日本語訳　引用
>ブリッジVPN (dev tap)においてクライアント側のマシンを追加する
>これにはもっと複雑な設定が必要である（実際にはそれほど難しくないだろうが，詳細を述べるには上記よりもっと難しい）．
>クライアントにおいて，TAPインタフェースとLAN接続のNICとブリッジする必要がある．
ということですのでWin2000では対応できないですよね
XPに変えねば(^_^;

L · 2007/02/17(土) 11:59:23

>>275
不思議ですね・・

>>276
細かいソースの貼り付けありがとうございます。さぞ面倒だったでしょうｗ

＞ということですのでWin2000では対応できないですよね
いいえ、Windows2000でもブリッジ出来ますよ。

Ethernet Bridge
http://www.ntkernel.com/w&p.php?id=20

ココから落としてもいいかも
http://www.altech-ads.com/product/10000435.htm

使い方は非常に簡単(GUIアプリだし)なので、実行してみれば分かると思います。
もし分からなければ教えますけど・・・本当に簡単ですｗ