VPNの実効速度を上げて快適リモートアクセス(SE除外
■ このスレッドは過去ログ倉庫に格納されています
SoftEther以外のVPNソフトウェアのパフォーマンスチューニングについて情報交換するためのスレッド。 現状ではOpenVPNの速度が不満。 もっと高速に通信できるようにして(少なくてもSoftEtherと同等)快適なリモートアクセス環境を 構築しましょう! 前スレ SoftEther→他のVPNシステム 乗り換えスレ http://pc8.2ch.net/test/read.cgi/network/1136813055/ OpenVPN http://openvpn.net/ OpenVPN GUI for Windows http://www.openvpn.se/ OpenVPN 2.0 HOWTO Japanese Translation http://degas.is.utsunomiya-u.ac.jp/ ~zhao/freesw/ovpn2_howto_ja.html 44氏の解説サイト http://maturi.s144.xrea.com/openvpn/index.html TinyVPN http://www.shimousa.com/tv/ ■OpenVPN メリット> 完全にフリー(無料)、マルチプラットフォーム対応(Windows、Linux、etc) デメリット> やや設定が難しく初心者には敷居が高い。現時点では速度が不満。 ■TinyVPN メリット> 非常に簡単。初心者でも大丈夫。速度もそれなりに出る。 デメリット> Proxy超えが不可能、8クライアント以上は有料、Windowsでしか動かない。 では皆さん、有意義で価値のある情報交換をして行きましょう! ftpで、25Mなのに、12Mもでるなんて、 やっぱり国産すごい。 SE1やめて、OPENがんばって導入してみたけど、あまりに遅いんで、 SE2いれてみました ベータ版だけどね VPNの実効速度を上げて快適リモートアクセス(SE除外 VPNの実効速度を上げて快適リモートアクセス(SE正規版除外 OPENVPN動かしてるLINUXマシンを玄箱からPEN4に取り替えたら実測92Mでる回線で36Mbps出るようになった やっぱネックはCPUパワーなんかな? やっぱクリティカルな要素は、 ・UDP ・CPUが高速 の2点なんだろーか? MTUその他は大して効かない 何とも退屈な結論だが 他に工夫はあっても、セキュリティを侵すようなのばかりだからなあ SEみたいに複数VPNを張ってリンクアグリゲーションしたら速くなんねぇかなぁ Windows2000またはXP標準の着信接続をつかったVPNをやってる人はいませんか? このスレでは問題外? >>209-210 オレはPen4の高性能CPU搭載マシンでOpenVPNを組んだ事があるが、それでも 速度は変わらなかった。 大体topコマンドで見てみたら分かるとは思うけど、CPU使用率は全然振り切って無い。 振り切っているならCPUパワーがボトルネックになっている可能性もあるけど 振り切ってないのだからCPUは関係ない。 個人的にはやっぱり高速化を意図したコーディングをしてないから どうしようもないんじゃないかと諦めてる。 バージョンアップしても一向に速度が上がらないからなぁ・・・。 >>212 このスレッドのパート1を建てた>>1 ですが、 単純にファイル共有の操作しかしないならば、 内蔵機能でまったく問題ないでしょう。 かくいう自分も、メルコのリモートアクセス対応ルータを基地に設置し、 ルータの機能として内蔵されているPPTPサーバを常時稼働させる。 クライアントはWindowsのPPTPクライアント機能で落ち着いてます。 回線は光同士で、FTP直繋ぎの実測40Mbit/secの環境で、 VPN経由だと10Mbit/sec(ファイル操作で1MByte/SEC弱)出るので、 とくに不便は感じてません。 メルコのルータは、いまのところ一度も落ちず。当たりロットでした。 当方、利用がモバイルから自宅へのアクセスで、モバイル環境は32Kbpsなんですよ。そこでVPN張ってみたところ、表示された通信速度が4Kbpsだったので仰天。ファイル転送して実測したわけではないのですが、もうすこし速度アップさせる方法はないものか、と。 何故にWindowsの着信接続に、といいますと、自宅の環境がアッカなので、ルータを選べない、モバイルはPDA(PocketPC2003)かノート(WindowsXPPro)である事、が理由です。 サーバ側の着信でログは残せないものでしょうか?(Windows2000ProSP4を使用中)。 215=212です。 >>214 ありがとうございます。 >>215 ACCAのルーターの設定をブリッヂモードにして、 その下に任意のルーターを繋げちゃダメなの? 僕はそれでマイクロ研のルーター使ってるけど・・・ >>210 >MTUその他は大して効かない UDPを使用している場合はかなり効果があるみたいですよ。 fragmentとmssfixを指定していない環境では、200KB/s程度しかでなかったのが、 それらを指定すると5倍の1000KB/s出るようになりました。 TCPの場合は、それらのある無し、特に変わらず、500KB/s程度でしたんで、 大して効かないのかもしれないですが。 >>218 えええ・・・・何その速度羨まし過ぎ・・・・ 環境とか設定とか晒してよ・・・・ ここ、名無しのままだと、リモホでるの忘れてたorz とりあえず、PPTPからの乗り換えで試行錯誤してるんだけど、 環境としては、双方、NTT東の光でプロバイダは別々。 サーバーはLinuxでヘボイの(Cel400)、クライアントはWindows。 サーバー側のCPU使用率は、最大でユーザー時間が20%くらいかな。 速度自体は、netperfとか使ってきちんと調査してなくて申し訳ないけど、 FTPでファイルを転送して適当に調査。 fragmentとmssfixの値に関しては、適当。 まあ、PPPoEのフレームが1450くらいだから、適当にこのくらい小さくすればいいだろと。 設定が少しだけ特殊で、接続元ユーザー毎に決められた固定IPを与えたかったから、 server-brigeを使っていないけど、それは速度にはあまり関係ない。 同一環境で、PPTPも同じくらいのスループットが出ているんで、 ボトルネックは他にあるんだろうな。 設定は下に書くね。 サーバー側設定はこれ。 port XXXX proto udp dev tap0 fragment 1400 mssfix 1400 client-config-dir ccd ca /etc/openvpn/easy-rsa/keys/ca.crt cert /etc/openvpn/easy-rsa/keys/server.crt key /etc/openvpn/easy-rsa/keys/server.key dh /etc/openvpn/easy-rsa/keys/dh1024.pem cipher AES-128-CBC mode server tls-server ifconfig 192.168.XXX.YYY 255.255.255.0 push "route 192.168.XXX.0 255.255.255.0" push "route 192.168.ZZZ.0 255.255.255.0" push "dhcp-option DNS 192.168.XXX.YYY" client-to-client keepalive 10 120 comp-lzo user nobody group nobody persist-key persist-tun status /var/log/openvpn-status.log log /var/log/openvpn.log log-append /var/log/openvpn.log verb 3 management localhost 7505 クライアント側設定はこれ。 client proto udp dev tap fragment 1400 mssfix 1400 remote XXX.XXX.XXX.XXX XXXX route-gateway 192.168.XXX.YYY ca "keys/ca.crt" cert "keys/XXXXXXXXXXXXXXXXX.crt" key "keys/XXXXXXXXXXXXXXXXX.key" resolv-retry infinite nobind comp-lzo persist-key persist-tun verb 3 pull cipher AES-128-CBC keepalive 10 120 float redirect-gateway def1 またやっちまったorz 自分で読み返してみても、適当が多くて申し訳ないけど、参考になれば。 ああ、二つ、忘れてた。 OpenVPNのバージョンは、openvpn-2.0.9。 28-29はmssfixを指定していなかったけど、それは指定した方がいいみたい。 tun-mtuを設定していないのはわざとです。 (自分の構成上、仮想デバイス内をfragmentationが起こることがないと思うので。) ソースはこれね。 http://openvpn.net/archive/openvpn-users/2004-12/msg00037.html あー、連投すまんです。 tun-mtuについてきちんと調べてみたんだけど、 勘違いしてて、fragmentationを抑制するとかじゃなくて、 単純に仮想デバイスのリンクMTUを決定するだけみたいですね。 まあ、どちらにしろ、manでも、 "It's best to use the --fragment and/or --mssfix options to deal with MTU sizing issues." と言ってるし、そもそも、tunじゃなくて、tapを使うイーサネットブリッジでは、やっぱ、いじる必要なさそう。 ちょっと質問。 XPのPPTP鯖機能ってクライアントに範囲指定で複数のIPアドレスを振って あたかも複数のクライアントをつなげられる風だけど、1クライアントしかつながらんのは仕様? 2ユーザー目がつなごうとすると、エラー937で 「この種類の接続が他で使用されているため、着信接続はこの接続要求を受け付けることができません。 」 ってなる orz 速度も良好で圧縮も対応してたりして便利だから何とか使いたいんだけどなー 2000Serverだと複数ユーザーつながるけど、XPで複数つなげさせたいのよね 2003Serverじゃないとダメじゃね? だから、XPその他ユーザな俺らは別のVPNソフトを用意するわけで そっかぁ、 けど2003鯖でPPTP鯖やるとNICが2ついるんだよねー。 今XPでVirtualPC動かして2000Serverを起動してPPTP鯖してるけど どうもスマートじゃないしたまに再起動した時なんか面倒なのよ。 マシンも余ってないし。。 しかし客先とかでもよく速度関係で文句言われたりするけど VPNってほんと奥が深いわ。MTUとかいじるだけで全然違うし。おやすみなさい つか、そもそもXPって複数ユーザーの同時使用ができないのでは。 リモートデスクトップでも1セッションだし。 Edition次第でしょ? Proessionalまでは1セッションまでだと思うけど。 XPはプロとホームとメディアセンターしか無かったと思うが。 メディアセンターならできるのか? OpenVPN接続していると定期的に接続が切れて勝手に再接続になるんだけど、 どうしてこんなに不安定なの・・・ うちのも1時間にいっぺんSSLセッション張りなおしてるけど、 これだとセキュリティのための仕様かと… >>232-233 Cocurrent Loginとかで検索するといいことあるかもよ。 ttp://sig9.com/articles/concurrent-remote-desktop とか読んでも良し。 ネタ投下 http://ci.nii.ac.jp/naid/10016157275/ これなんだなんだなんだ? 地理的に離れた拠点間で仮想的な専用ネットワークを構築するためのVPNという技術 がある.特にSoftEther等のソフトウェアで実現するVPNは特別な機器を必要とせず安価 に導入できるため注目されている.本稿ではソフトウェアのみでVPNを構築可能な GPLソフトウェアであるOpenVPNを対象とし, 通信速度に対するオーバーヘッドを軽減し, 使用者の操作負荷を低減する方法について述べる.設定をサーバに委託し, クライアント側での特別な設定を不要にすることで操作負荷の低減を図っている. そして, ブロック暗号だけをサポートしているOpenVPNに対して高速なストリーム 暗号を適用することにより, 通信全体のオーバーヘッドの軽減を実現している. >>238 OpenVPN自体は、このスレでかなり出てると思うけど。 どのへんが凄いと思ったの? >>239 一瞬ビビった!wPacketiX作った本人光臨かと!w >OpenVPNを対象とし, 通信速度に対するオーバーヘッドを軽減し >使用者の操作負荷を低減する方法について述べる.設定をサーバに委託し, >クライアント側での特別な設定を不要にすることで操作負荷の低減を図っている. >そして, ブロック暗号だけをサポートしているOpenVPNに対して高速なストリーム >暗号を適用することにより, 通信全体のオーバーヘッドの軽減を実現している. だよ?OpenVPNの現状でのネック、使えないところは速度なんだよ! 速度が遅すぎるんだよ!速度とまぁ安定感も無いしね。よく切れたりするし。 後はクライアント側とサーバ側とで設定あわせてないとWarning吐きまくるけど、 このサイトによるとサーバ側に1個設定しておけばクライアント側はそんなに 色々パラメータ書かなくていいみたいだし、標準ではブロック暗号のみしか サポートしてないのに、なんらかの手段を使って(ソフトウェアハッキング?) 高速なストリーミング暗号を使えるようにして〜とか、とにかくこのサイトの 情報を見る事が出来ればOpenVPNが格段に速く、安定して、設定のわずらわしさ からも開放されて使いやすいキラーアプリケーションになると思ったんだけど・・・ だから凄いと思ったんだけど、そうは思わない? でもこのサイトどうやら情報をタダで公開しているわけではないようだ。 http://ci.nii.ac.jp/naid/10016157275/ ←書籍の情報?ということはこういう書籍が存在する? なんかもうOpenVPNダメすぎるので、1FD Linuxルータであるfloppyfwとかに 内蔵されているvpndってのに挑戦してみようかなぁと思っていたんだけど OpenVPNが高速化してくれればコレに勝る事は無い。 現状ではTinyVPNよりも負けてる。 直接転送>1.3MB/s程度 TinyVPN>700KB/s程度 (半分の速度は出ていますね) OpenVPN>200KB/s程度(6分の1以下の速度ですか、そうですか。しかも不安定) ってな状態なので・・・・。 >>241 で書いた.pdf記事によると Celeron等のCPUキャッシュが少ないCPUだと遅いらしい。 Pentium4だとCeleronの8倍のキャッシュ容量があるらしく、その場合はほとんど TCP/IPの通信と速度が変わらないそうな。 本当かよこの実験結果。Pen4のマシンをVPNサーバにしてPen4クライアントで 接続したら速いって言うのかな?このPDFは大体CeleronマシンでCPUが100%になっている が、うちの環境だとCeleronだけどCPU余りまくりなんだが・・・・ 結局高速化するにはPen4のマシンつかえってこと? OpenVPN遅いか? 鯖 P4-2.53GHz CentOS、BフレBasic クライアント PM-1.6GHz WinXP、BフレHF tun使用 クライアント(-11g無線LAN-ルータ-Internet-ルータ-)鯖-ルータ-Internet ()内がOpenVPN 上記の接続でクライアントからスピードテストサイトにつないでみた SPEED 2.5 (speed.rbbtoday.com) 下り(ISP→PC): 8.24Mbps 上り(PC→ISP): 3.8Mbps ちなみにVPNなしだと クライアント-無線LAN-BフレHF-Internet SPEED 2.5 (speed.rbbtoday.com) 下り(ISP→PC): 17.16Mbps 上り(PC→ISP): 7.43Mbps 45%程度出てるんだが。 >>244 OpenVPN遅いですよ? どうやら私が書いたレスの.pdfファイルによると、CPUがPentium4及びPentiumu系列? とにかくCPUのキャッシュが多いマシンがサーバでクライアントも出来ればPentium系列 であれば、速度はかなり速くなるらしい。 貴方の環境はサーバもクライアントもPentium系列みたいだし・・・もしかしたら そのおかげで速いのかも。 それにしたって45%程度しか出ないのは問題がありませんか? TinyVPNだと70%程度は出るんですよ? 私の環境(サーバ Vine Linux 3.2 Celeron 1GHz)<=>(クライアント WindowsXP Pen4 2.4GHz) だと普通に通信して1.3MB/s程度出るのに200KB/s程度しかでなくなるから20%ちょっと 程度しか出てないんですよねぇ・・・・。Celeronのサーバが悪いのかといって Pen4をサーバにしてクライアントをCeleronにするとそれはそれで同じ結果なわけで。 だったらクライアントとサーバが両方ともPentium系列じゃないと速度が出ないのか? って話になりますが2台もPen4のマシン持ってないので検証不能です。 というかそれで速度が出たとしても無条件で70%出るTinyVPNには到底及ばないわけで。 でもLinuxがサーバなのでTinyVPNは使えないわけで。 スピードテストサイトよりSambaとかFTPで接続してNethist使って速度を見た方がいいですよ。 実際の速度が良く分かるので。 OpenVPNの公式サイトに誰か英語で「もっと高速化してくれ」というような要望を 投稿して下さいませんか?当然私が英語の出来る人間なのであれば私がやっています。 でも私は英語が苦手で、翻訳サイトを使って翻訳した英語はかなり分かりにくいものになる はずなので、英語が出来る人が投稿するのが望ましいんですよ。 今OpenVPNがVer 2.0.9なので、次の2.1.0になる境目で、ココで高速化するコードを入れてもらえると なんて勝手に思っています。 OpenVPN info@openvpn.net 現在はこの掲示板死んでるのかな? http://openvpn.net/archive/openvpn-users/2005-02/threads.html >>238 そうか、OpenVPNはブロック暗号なのか、そりゃ、ストリーム暗号にしたくなるわな そうすりゃ、MTUとかの調整しなくても転送のジッタを少なくできるから パフォーマンスでそうだな。 実際にどれくらい出ているかっていう話と、 本家へのフィードバックがどうなっているか誰か雑誌取ってて知ってたら教えて〜 >>243 で私が貼り付けたURL http://almond.cs.uec.ac.jp/theses/paper/2005/undergraduate/kubodera.pdf をたった今全て読破しました。 読むのに時間がかかりそうなので、私が要点だけを書きます。 やはり>>245 で私が書いたような事が正解みたいです。 とにかくクライアントマシンのCPUのL2キャッシュが多くないとパフォーマンスは得られない。 L2キャッシュが1MBもあれば、TCP/IPの通信とほとんど変わらない高速な通信が期待できる。 しかしこの論文ではLAN内で実験をしていたようなので、WANをはさむと当然もっと遅くなる んだろうが、それでもよくまとまっていて、L2キャッシュ容量が多い=高速通信 になるのは間違いないようだった。なので、設定をいじって変更するとかそんなレベルだと 高速化は見込めない。ほとんど変化しません。サーバ側はAthlonXPで実験していた みたいだけど、自宅のCeleron1GHz(L2キャッシュ>256KB)とPen42.4GHz(L2キャッシュ>512KB) で転送テスト(LAN内で)してみましたが、ほぼTCP/IPの速度に近い(ん〜微妙、少し遅いか) 速度が得られました。確かクライアント側がCeleronだった頃はLAN内でさえ劇的に速度が 落ちていたように思います。とにかく Celeronは糞 って事で。サーバ側にCeleronを使っていますが、サーバ側であれば多少は耐えられるみたいですね。 可能な限りサーバ側もPen4がいいんでしょうが、うちの環境だとtopコマンドでCPU負荷を 見ても90%程度までしかいってなかったので、なんとか耐えてるようでした。 これが99%までいくと間違いなくボトルネックになっているんでしょうけど。 解決するにはハードウェアをかえるか、VPNソフトウェアのコーディングの見直し しかないと言うような事が論文で発表されていました。 なので、やはり私が提案したように開発元にその旨を英語で伝える事が出来れば 改良してくれるのではないかと淡い期待を持っているのですが・・・ どなたか英語に強い方いらっしゃいませんか? CoreDuoクライアントを別の場所に持って行ったときに どちらも、光だったけど明らかに速度差が出てたぞ。 片方は、PPPoEタイプで、片方は、直結。 OpenVPN以外の通信では差を意識できなかったけど、 OpenVPNでは明らかな差が出てた。 やっぱ、L2キャッシュだけでは解決せんよ。 サーバ側をリモート側に、クライアントは自分が今使っているマシンでOpenVPN組んだのですが (サーバはDebian GNU Linux Sarge) (クライアントはWindowsXP) サーバ側のログにエラーっぽいのが。 Wed Jan 24 04:44:53 2007 client/xxx.xxx.xxx.xxx:4198 MULTI: bad source address from client [192.168.11.12], packet dropped Wed Jan 24 04:44:53 2007 client/xxx.xxx.xxx.xxx:4198 MULTI: bad source address from client [192.168.11.12], packet dropped Wed Jan 24 04:44:53 2007 client/xxx.xxx.xxx.xxx:4198 MULTI: bad source address from client [192.168.11.12], packet dropped Wed Jan 24 04:44:53 2007 client/xxx.xxx.xxx.xxx:4198 MULTI: bad source address from client [192.168.11.12], packet dropped Wed Jan 24 04:44:59 2007 client/xxx.xxx.xxx.xxx:4198 MULTI: bad source address from client [192.168.11.12], packet dropped サーバから見れば10.8.0.6っていうIPからデータが送られてきた、だからそこに送り返す、みたいな動作を したいんだと思いますが、なぜか私が今使っているパソコンのプライベートIPがOpenVPNサーバ側に 流れていっているようです。(192.168.11.12ってのがそれ)。 だからbad sourceになるんでしょうけど、このエラーの回避方法は?どうすればいいんでしょう? エラー処理で速度が落ちると思いますので、通信は出来ているとはいえ解消しておきたいです。 Wed Jan 24 04:45:02 2007 read UDPv4 [EMSGSIZE Path-MTU=1454]: Message too long (code=90) Wed Jan 24 04:51:25 2007 read UDPv4 [ECONNREFUSED]: Connection refused (code=111) このエラーはさっぱり意味が分かりません。メッセージが長すぎ?コネクション拒否? このエラーも原因や解消方法など教えてください。よろしくお願いします。 open vpn GUI をいくらか日本語化したんだが需要ある? >>250 超ある!UPお願いします! # ついでにOpenVPNのmanページも日本語化してくれたりすると最高・・・ 片手間で作ったのでしょぼいですが一応おいて置きます。 ttp://www.geocities.jp/open_nokorimono/ >>252 ついでってレベルじゃ(ry では消えます。 OpenVPNについて質問です トンネルではなくブリッジです、サーバーの実IP(eth0)が192.168.0.1だとして、vpnクライアントに配布する IPは192.168.100.n、にする場合、# ifconfig eth0:0 192.168.100.1としてサーバーのNICにもうひとつ IPアドレスを追加して、bridge-startの eth="eth0-0" eth_ip="の行に192.168.100.1" として、server.confに server-bridge 192.168.100.1 255.255.255.0 192.168.100.200 192.168.100.230 の記述を・・・・あれ?どこでブリッジしてるんだろ?これじゃvpn出来そうもない・・・・ OpenVPNをVine Linux 3.2にインストール ./build-dh ./build-ca ./build-key server とやった後で ./build-key client を実行してclient用の接続に必要なファイルを作成するじゃないですか? で、このファイルを無効にしたい、廃止したい時は ./revoke-full client のように指定しますよね。そうすると ./build-key client で作成したファイルが 無効になるはずですよね。なのにソレを実行すると [root@vine easy-rsa]# ./revoke-full client Using configuration from /etc/openvpn/easy-rsa/openssl.cnf DEBUG[load_index]: unique_subject = "yes" ERROR:Already revoked, serial number 02 Using configuration from /etc/openvpn/easy-rsa/openssl.cnf DEBUG[load_index]: unique_subject = "yes" client.crt: /C=JP/ST=hoge/O=hoge/CN=client/emailAddress=me@hoge.co.jp error 23 at 0 depth lookup:certificate revoked このようにターミナルに出力されて ( error 23 )権限の剥奪に失敗している模様? で、廃止したはずのファイルが普通に使えちゃうんです。どうやったら廃止できますか? >>253 す、素晴らしい!!凄いですね!日本語化できました! っていうかどうやって作ったんです?こういうパッチ。あり難く使わせて頂きます! IRCに #OpenVPN って言うチャンネル作ってみた。よろしければどうぞ OpenVPNについて質問したいのですが OpenVPN専用スレって別のトコにあります? >259 ttp://pc10.2ch.net/test/read.cgi/unix/1136161335/l50 >>259 ぶっちゃけどこのスレも全然活発じゃない。強いて言うならこのスレが一番OpenVPNに ついて活発に語り合っているように思う。 OpenVPNは情報が少なすぎるね。 WindowsのPPTPサーバー立ち上げて、接続してきたクライアントの グローバルIPって確認する方法はないでしょうか? >>254 anynomasu bridge-start に tap="tapX" って変数 set してるでしょ,そいつと、 eth="ethX" とが bridge されるんでねぇのけ…。私の場合は物理的に NIC が2つあったのでかたっぽを tap="tap0" と bridge させた。NIC 1つのばあいはどうなるんですかね? 正確なことがあまり言えなくてすみませんが・・・, IP-VPN router が入ってて、Client 側で internet が精々 20Mbps ぐらいしか出ないってとこで, 1.OpenVPN Server: AMD K6-266Mhz,64Kb L1,512Kb L2,Linux (こんなん知らんって? 10年前買ったやつだもん….) Client: Pentium 3.0Ghz, 2Mb L2,WindowsXP Windwos の Explorer の copy で 2.5Mbps 程度. 2.OpenVPN Server: Pentium 2.8Ghz, 2Mb L2,WindowsXP Client: Pentium 3.0Ghz, 2Mb L2,WindowsXP Windwos の Explorer の copy で 10Mbps 程度. 1の server 機に Apache で SSL の WEBDAV directory 作って Windows XP の “ネットワーク プレース” ってのの folder を作成,Explorer で転送したら 16Mbps 位 出ました. これまで言われた事の検証(速い PC 使わにゃダメ)ができました.が,Client 側の internet 速度が速くなればもっと早くなるでしょうかねぇ?もうじき電力会社の回線 入るので test したら報告します. ちなみに、Server PC と転送の相手が同一です.違う PC にすればもっと 速くなるんでしょうね,それもこん test してらお知らせしますね. >>266 検証&結果報告お疲れ様です。 スペックと言うかまぁ、CPUの二次キャッシュ(L2キャッシュ)の容量の差が大きいんじゃないでしょうかね? > AMD K6-266Mhz,64Kb L1,512Kb L2,Linux このマシンは512KBですか?L2キャッシュは。対して > Pentium 2.8Ghz, 2Mb L2,WindowsXP このマシンは2MBもありますねぇ?4倍も違うんですね。 それから無視できないもう1つの点が、Server側のOSです。 > Pentium 2.8Ghz, 2Mb L2,WindowsXP のマシンにLinuxインストールしてそのマシンでもOpenVPNサーバ立てて検証は出来ませんか? ひょっとするとLinuxのOpenVPNよりWindowsXPのOpenVPNのほうが速いとかいう事もあるかもしれません。 しかしサーバOSであるLinuxがこの分野でWindowsに劣るはずがないんですけどね。 # SSLで暗号化通信したWebDAVの方がOpenVPN越しのWindowsファイル共有よりも # 高速って言う事ですかねぇ? >>268 L レスありがとう. K6-266 に L2 cache はありませんでした.すみません, えぇと、私も Linux のほうが速そうな気がしています. てより、K6-266 でそこそそ動いてるのは Linux だからな んじゃないかぁ,と妄想してます.(K6-266 では OpenVPN の前に WindowsXP がマトモに動かねぇんでねか….) 今のところ、 「SSL - WebDAV の方OpenVPN越しのWindowsファイル共有よりも高速」 ってのは確か、と思い込んでます。これもキチンとした数字を出 してお知らせします. いずれにしても、電力会社回線が来てからなので,速くても 来月になると思います.宜しく. >>269 >(K6-266 では OpenVPN >の前に WindowsXP がマトモに動かねぇんでねか….) はい、WindowsXPを動かそうなど無謀でしょうね。 そのクラスのマシンだとせいぜいWindows2000・・・。 私が試した限りではWebDAVは非常に遅くて不安定でしたがねぇ・・・。 OpenVPNの転送の方が速かったんですが・・・。 >来月になると思います.宜しく. こちらこそ結果報告楽しみに待っています。宜しくお願いします。 K6みたいなSocket7世代だとL2はマザーボードににあるのが普通だった >>256 ブリッジは諦めました。ブリッジ設定してOpenVPN起動するとなぜかnetworkが死んでしまうし 後でifconfig upしてもクライアントからつながらないからです。 で、トンネルで試したところうまくいきました、ただサブネットが255.255.255.254に指定されて OpenVPNサーバー側のLANと通信できないんですよねVPNクライアント-サーバーはつながってます そこでserver.confとclient.ovpnの dev tun ↓ dev tap に変えたところ振られるサブネットが255.255.255.0になってくれました。 これでようやくサーバー側LANのPCからVPNクライアントに通信できる!と思いきや サーバー側ゲートウエイが光プレミアムのCTUな為、ルートが追加できないんです VPNクライアントからはサーバー側のLANが見えるんですよね(SambaでActiveDirectory組んでます) でも離れてる場所のVPNクライアント同士は通信できるのでとりあえず良しとしてます ↑アンカー間違えました >>256 ではなく >>265 でした >>272 dev tun =トンネル dev tap =ブリッジ だという認識でいたのですが、トンネルなのにdev tapにすると確かに通信可能だし subnetが255.255.255.0 になってくれますね。今までは255.255.255.252で我慢してたんですが。 コレ弊害ないのかな。OpenVPNの日本語解説サイトの情報でもtunとtapは それぞれトンネルとブリッジだと書いてあったような。そういう意味の設定じゃないのかな。 なんか面白い事教えてくれたお礼にブリッジもう一回挑戦したくなる情報を教えます。 ブリッジはbridge-startスクリプトでやっていますよね?OpenVPN付属の。 あれの一番最後に /sbin/route add default gw xxx.xxx.x.x (xxxの部分はデフォルトゲートウェイのIP) を追加して下さい。 # vi bridge-start で普通に編集できます。ただのシェルスクリプトなので。 その状態で # ./bridge-start を実行。そしてOpenVPNサーバ開始。これで上手くいくと思うんですが? それから、終了する時はOpenVPNサーバを停止した後、bridge-stopスクリプトの最後に /etc/init.d/network restart (ネットワークを再起動させます) を追加します。これで./bridge-stopを実行すれば正常にブリッジを終了できます。 どうでしょう? 漏れもtapつかってるよ なんでこっちが普通になんないんだろ… tapがブリッジに使うために後から追加されたせいなのかな >>274 OpenVPN 2.0 HOWTO 日本語訳設定ファイル例/server.conf 引用 # "dev tun" はルーティングIPトンネルを作る. # "dev tap" はイーサネットブリッジを作る. # イーサネットブリッジモードを使いたければ # "dev tap"を使うこと. 確かに、書かれてます。 でもいろいろググッてるうちにふと気づいたんです、デバイスがTAPなのになぜTUNにするのだろう?って そこで試しにやってみたらうまくいった、ただそれだけです。 >コレ弊害ないのかな。 すいませんそこまで考えが及ばなかったです・・・ ブリッジ設定例ありがとうございます。 トンネルではないから OpenVPN 2.0 HOWTO 日本語訳 引用 >最後に,よく忘れがちのことであるが,サーバのLANゲートウェイにおいて, >192.168.4.0/24への経路をOpenVPNサーバボックス経由となるように設定しておく>こと >(OpenVPNサーバボックスがサーバLANのゲートウェイである時には不要). が必要なくなる=CTUでもサーバー内LANからVPNクライアントへの通信は可能になる訳ですね。 ただ OpenVPN 2.0 HOWTO 日本語訳 引用 >ブリッジVPN (dev tap)においてクライアント側のマシンを追加する >これにはもっと複雑な設定が必要である(実際にはそれほど難しくないだろうが,詳細を述べるには上記よりもっと難しい). >クライアントにおいて,TAPインタフェースとLAN接続のNICとブリッジする必要がある. ということですのでWin2000では対応できないですよね XPに変えねば(^_^; >>275 不思議ですね・・ >>276 細かいソースの貼り付けありがとうございます。さぞ面倒だったでしょうw >ということですのでWin2000では対応できないですよね いいえ、Windows2000でもブリッジ出来ますよ。 Ethernet Bridge http://www.ntkernel.com/w&p.php?id=20 ココから落としてもいいかも http://www.altech-ads.com/product/10000435.htm 使い方は非常に簡単(GUIアプリだし)なので、実行してみれば分かると思います。 もし分からなければ教えますけど・・・本当に簡単ですw 今Linuxマシンをクライアントに設定しようとしているのですが、 Windowsマシンがクライアントだと C:\Program Files\OpenVPN\log\以下にログファイルが生成されるし 接続する時の様子は見ることが出来るのですが、Linuxの場合は どこにログが生成されるのでしょうか?ログが見れないので問題解決が出来ない・・・ 凄い。凄すぎる。 dev tun を dev tap に変更したらどのマシンからどのマシンへもお互いに名前解決が完璧に出来るようになった。 IPアドレスが分からなくてもホスト名で簡単にアクセスできる。便利すぎる!w dev tun 捨てます。 速度は相変わらず400KB/s程度ですね・・・ これ、仮にAさんとBさんをうちのネットワークに招待したい。といった場合は AさんとBさんを二人ともOpenVPNネットワークに参加させればいいと思いますが AさんとBさんの二人はお互いに見えないようにしたい って言う場合は OpenVPNサーバを2個起動(違うポートで)して異なるサブネットに接続させるしか 方法は無いのですかねぇ?その場合 # service openvpn start コマンドで/etc/openvpn/*.conf ファイルを読み込みますが、2個設定ファイルが おかれている場合は二つとも読み込まれるのかな?それとも2個あるからってエラー? # ログファイル上書きされないように違うファイル名指定しないとね・・・ あとは強制でDHCPサーバでIP割り振るの止められればGUI以外は完璧にSEと同じ感覚で使えるw たぶん >>280 特定のクライアントに特定のIP割り当てたいなら /etc/openvpn/ipp.txt ファイルに対応表書くとか /etc/openvpn/ccd/ の中に個別設定ファイル書くとか。 でもDHCPそのものを止めるって言うのは確かに分からないなぁ・・・。 http://bakkers.gr.jp/ ~kitani/event/kof/kof2006-stage-kitani.pdf こんなのあった。w面白かった。 push "redirect-gateway" が良く分からない。 確かSoftEtherってVPNサーバのグローバルIPが a.b.c.d だとしたら VPNクライアントのIP関係なしにVPNサーバに接続している時は 診断君とか確認君でIP確認するとクライアントのグローバルIPが見えずに サーバのグローバルIPが見えたりしたような?その辺の設定なのかねぇ?この push "redirect-gateway" は・・・。 ルーティングの知識が全くないから よく分からない・・・・。 >>280 >GUI以外は完璧にSEと同じ感覚で使えるw 書き忘れましたが、OpenVPNとSoftEtherことPacketiXの速度の差を忘れちゃいけませんよ。 速度が段違いみたいですし・・・。悔しいですね・・速度の面ではどうしても勝てない。 WindowsがクライアントだとOpenVPNサーバが再起動したりした時は 自動的に再接続しにきてくれますよね。 しかしLinuxがクライアントの場合は再接続しにきてくれません。 OpenVPNサーバが再起動したときにLinuxクライアントが自動的に再接続するような 設定はありませんか? サーバマシンにログインして # service openvpn restart すればすぐに繋がるのですが・・・。いちいち手動でやるのは面倒ですし、 面倒とか言うレベルじゃなくてもしそのLinuxクライアントに接続する方法が VPN経由の通信だけしかない場合は通信が復旧できなくなってしまいます。 (現場にsshでリモート操作をする事が出来る人間が復旧に必要になります。) client.confファイルになんか上手い事書いてそういうことはできないですかねぇ? >>279 自己レスです。 /etc/openvpn/server.conf /etc/openvpn/server2.conf と二つファイルを置いて設定も適切にして(違うポートや違うログファイル書き出し等) # service openvpn restart をすると2つのポートで2個OpenVPNサーバが動作しました。これが2個インスタンスを 起動するという事だと思いますが、コレを使って AさんとBさんはお互いに見えるようにして、CさんだけはAさんとBさんが見えないようにする ということを実現しようと思い、早速実験してみたのですが、確かにそれは実現できましたが CさんがAさんとBさんが繋がっているポート番号に接続してきた場合、その接続を 拒否する事が出来ず、AさんとBさんのネットワーク内に入る事が出来ます。 具体的には AさんとBさんはserver:1194番に繋いで 192.168.30.0 のネットワークを利用していて、Cさんは server:1200番に繋いで 192.168.50.0 のネットワークを利用している場合に(この状態なら AさんとBさんのグループ、Cさんのグループでお互いに見えない) Cさんがコンフィグファイルを書き換えて「remote server 1194」接続すると勝手に AさんとBさんのネットワーク(192.168.30.0)に入られちゃうし、逆にAさんとBさんも コンフィグファイルを書き換えると(ポート番号書き換えるだけ)Cさんのネットワークに入れちゃう って言う・・・全然セキュリティがダメです。AさんとBさんは見えて、Cさんだけは見えない というような事をOpenVPNで実現するにはどうしたらいいんでしょうか? コレが出来ないと大規模に運用する事が出来ません。知っている方教えてください。お願いします。 >>284 認証もっと調べろ どうせ認証に使ってるファイルが両方とも同じなんだろ なんだこれえ http://www.eonet.ne.jp/ ~s600/hamachi/index.htm >>286 hamachi ・・・ hamachi開発者サイドがVPNサーバを用意してあって、それにユーザは 接続しに行く形で利用するVPNソフト。OpenVPNにはとてもかなわないと思いますけど・・。 >>285 いえ、認証に使っているファイルは1ユーザ(Aさん)に # ./build-key asan Bさんに # ./build-key bsan Cさんに # ./buile-key csan という形で個別に生成しています。 生成していますが、それからどうすれば・・・ duplicate-cnはコメントアウトしています。アドバイス宜しくお願い致します。 >>287 L 質問. ca.crt なんかを複数作成して異なる directory に置く,なんて こたぁ,できなんでしょか? “port nnn” と “ca xxx/ca.crt”なんかが同じ config file 書かれていることしか,client を識別する手掛かり がありませんよね….ダメなら iptables いじる位しか 方法が無いことになる? >>288 >こたぁ,できなんでしょか? それはサーバ側の話ですよね? 出来ますよ。 複数作成して異なるディレクトリに置いた後、2個目configファイルに ca xxx/ca.crt cert xxx/server2.crt key xxx/server2.key dh xxx/dh1024_2.pem のように記述すると分ける事ができ・・・えええ もしかして! ./build-key-server server2 とやって生成したキーと ./buile-key client2 ってやって生成したキーが二つセットでペアなんですか!二つの異なるポートで運用 していたのですが、Keyファイル等は1つしか作っておらず二つのVPNサーバで共有 していました。だからどっちにも接続できると!?ああ、なるほど・・・ 学校から帰ってきたら早速試してみよう!それで完璧に分離する事が出来るかもしれない! 質問されたのにいいヒントをありがとうございました。 # iptablesいじるなんて大変すぎ・・・・ Lです・・・OTL >>289 で考え付いた事実際に検証してみました。 しかし普通に違うポートの違うインスタンスへの接続も簡単に出来てしまい、 ./buile-key-server server2 した鍵ファイルと ./buile-key client2 した鍵ファイルの二つがペアではないということが、、、ペアではないというか ./buile-key-server server した鍵にも繋がってしまうというか。なんていったらわかりませんが、検証失敗。 認証が全く分かりません。知っているなら教えてくださいませ・・・お手上げ・・・OTL >291 L 確かめました. root CA も作って(./build-ca) みて下さい.(当然,DH parameter もね.) 旨くいく筈ですよ. >>292 情報ありがとうございました。 あ、つまり ./buile-key-server server2 だけではなくて ./build-ca ; ./build-dh ; ./build-key-server2 から作成して、生成されたファイルをserver2.confの ca cert key dhに記述すればいいと!。 なるほど、これらが全てセットなわけですね。 で、./build-caの時に、最初に作成したのと名前がかぶらないようにしないといけなさそうですね。 時間のあるときに試してみますが、そうすると1つ疑問が生まれます。 疑問:2回目の./build-ca以下ファイルを生成してその後./buile-key client2すると 2回目に生成したファイルに対応するクライアントの鍵等が生成されると思いますが、 そうなった時に、1回目に生成したファイルと対応するクライアントの鍵を作りたいと 思った場合はどうすれば?2回目(っていうか一番最後に生成した./build-caファイル群) に対応するクライアント鍵しか作成できなくなると言う事?ん〜・・・ >./build-ca ; ./build-dh ; ./build-key-server2 ミス。修正します ./build-ca ; ./build-dh ; ./build-key-server server2 わけもわからず適当をやらかす前に、少しぐらい基本的なことをお勉強すればいいのに… >>293 L 取り敢えずは http://openvpn.net/easyrsa.html 辺りは読んどいた方がよさそうだよね…. 面倒クサ!で全部2つ作っちゃえ,って思ったんですが,メチャカッコ悪…. 一応,,, 1 . ./vars 2 ./clean-all 3 ./build-ca 4 ./build-key-server server 5 ./build-key client1 6 ./build-dh 7 できた directory "keys" を "keys1" に変更. 8 1〜5繰り返す. 9 ./build-key client2 10 ./build-dh 11 できた directory "keys" を "keys2" に変更. 12 でもって,keys1 と keys2 を server.conf と server2.conf それぞれに指定. (>>295-296 あたりに思いきりバァカって言われますね….) まぁ,先ずは OpenSSL をちゃんと勉強しろってことのようです…. ちゃんと解ったらまたお知らせします. あ,念の為・・・ iip とか log もちゃんと分けてね. 本物の認証とるわけじゃないんで,ワタシぁ当分これでいいにします. ちゃんと動くし,何も困らないし…. 「ちゃんと勉強」なんてそうそう簡単に出来るくらいなら,こんなとこ でうろろしとらんよね.当てにしないで気長に待っててね. なんか親切な人が簡単な解説してくれると嬉しいな…. >>297 OpenVPNについて教えあうスレなのに>>295 や>>296 は・・・・。 それに比べてshysterさんは親切なのに・・・。 >取り敢えずは http://openvpn.net/easyrsa.html 辺りは読んどいた方がよさそう 英語ですな・・・OTL 今週の土曜日か日曜日に読んでみます・・・う〜厳しそう。。。 日本語訳は・・ないですよねぇ、わざわざ英語のサイトを貼ってるぐらいですし。 >>297 の手順は非常に参考になります。そうすればとりあえずは出来るんですねぇ。 しかしkeys2を作った後、keys1に対応するクライアント用の鍵ファイル生成が・・・ また1〜5を繰り返したら、今度はkeys1にもkeys2にも該当しない鍵ファイルが出来ちゃうし。 まぁ、OpenSSLの勉強ですか・・・うわー大変そう・・・。 TinyVPNは超簡単に使えるのにOpenVPNはやっぱり大変ですね・・・。 >>298 ご忠告どうもです。 >iip とか log もちゃんと分けてね. iipって言うか、ipp.txt ? >なんか親切な人が簡単な解説してくれると嬉しいな…. 同意です。分かっている方がいらっしゃるなら情報提供して頂けるとこのスレの存在価値 があがるってものです。 >>299 L 英語がダメでも A Guide to basic RSA Key Management に出てる shell file ぐらいはざっと眺めてみると,何となく見えてくるも のがあるような…,気がするだけか….やっぱ OpenSSL が解らん とね…. 兎も角,,,e.c. keys2 を keys に戻して, . ./vars ./build-key client3 でまた keys を keys2 にする.keys2 の中に client3 の key が できてるから,そいつを client3 のとこに持ってばいい「勇俊. あすまん,>>300 の keys2 は keys1 に全置換. ■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる