VPNの実効速度を上げて快適リモートアクセス(SE除外
■ このスレッドは過去ログ倉庫に格納されています
SoftEther以外のVPNソフトウェアのパフォーマンスチューニングについて情報交換するためのスレッド。
現状ではOpenVPNの速度が不満。
もっと高速に通信できるようにして(少なくてもSoftEtherと同等)快適なリモートアクセス環境を
構築しましょう!
前スレ
SoftEther→他のVPNシステム 乗り換えスレ
http://pc8.2ch.net/test/read.cgi/network/1136813055/
OpenVPN
http://openvpn.net/
OpenVPN GUI for Windows
http://www.openvpn.se/
OpenVPN 2.0 HOWTO Japanese Translation
http://degas.is.utsunomiya-u.ac.jp/~zhao/freesw/ovpn2_howto_ja.html
44氏の解説サイト
http://maturi.s144.xrea.com/openvpn/index.html
TinyVPN
http://www.shimousa.com/tv/
■OpenVPN
メリット> 完全にフリー(無料)、マルチプラットフォーム対応(Windows、Linux、etc)
デメリット> やや設定が難しく初心者には敷居が高い。現時点では速度が不満。
■TinyVPN
メリット> 非常に簡単。初心者でも大丈夫。速度もそれなりに出る。
デメリット> Proxy超えが不可能、8クライアント以上は有料、Windowsでしか動かない。
では皆さん、有意義で価値のある情報交換をして行きましょう! >>241で書いた.pdf記事によると
Celeron等のCPUキャッシュが少ないCPUだと遅いらしい。
Pentium4だとCeleronの8倍のキャッシュ容量があるらしく、その場合はほとんど
TCP/IPの通信と速度が変わらないそうな。
本当かよこの実験結果。Pen4のマシンをVPNサーバにしてPen4クライアントで
接続したら速いって言うのかな?このPDFは大体CeleronマシンでCPUが100%になっている
が、うちの環境だとCeleronだけどCPU余りまくりなんだが・・・・
結局高速化するにはPen4のマシンつかえってこと? OpenVPN遅いか?
鯖 P4-2.53GHz CentOS、BフレBasic
クライアント PM-1.6GHz WinXP、BフレHF
tun使用
クライアント(-11g無線LAN-ルータ-Internet-ルータ-)鯖-ルータ-Internet
()内がOpenVPN
上記の接続でクライアントからスピードテストサイトにつないでみた
SPEED 2.5 (speed.rbbtoday.com)
下り(ISP→PC): 8.24Mbps
上り(PC→ISP): 3.8Mbps
ちなみにVPNなしだと
クライアント-無線LAN-BフレHF-Internet
SPEED 2.5 (speed.rbbtoday.com)
下り(ISP→PC): 17.16Mbps
上り(PC→ISP): 7.43Mbps
45%程度出てるんだが。
>>244
OpenVPN遅いですよ?
どうやら私が書いたレスの.pdfファイルによると、CPUがPentium4及びPentiumu系列?
とにかくCPUのキャッシュが多いマシンがサーバでクライアントも出来ればPentium系列
であれば、速度はかなり速くなるらしい。
貴方の環境はサーバもクライアントもPentium系列みたいだし・・・もしかしたら
そのおかげで速いのかも。
それにしたって45%程度しか出ないのは問題がありませんか?
TinyVPNだと70%程度は出るんですよ?
私の環境(サーバ Vine Linux 3.2 Celeron 1GHz)<=>(クライアント WindowsXP Pen4 2.4GHz)
だと普通に通信して1.3MB/s程度出るのに200KB/s程度しかでなくなるから20%ちょっと
程度しか出てないんですよねぇ・・・・。Celeronのサーバが悪いのかといって
Pen4をサーバにしてクライアントをCeleronにするとそれはそれで同じ結果なわけで。
だったらクライアントとサーバが両方ともPentium系列じゃないと速度が出ないのか?
って話になりますが2台もPen4のマシン持ってないので検証不能です。
というかそれで速度が出たとしても無条件で70%出るTinyVPNには到底及ばないわけで。
でもLinuxがサーバなのでTinyVPNは使えないわけで。
スピードテストサイトよりSambaとかFTPで接続してNethist使って速度を見た方がいいですよ。
実際の速度が良く分かるので。
OpenVPNの公式サイトに誰か英語で「もっと高速化してくれ」というような要望を
投稿して下さいませんか?当然私が英語の出来る人間なのであれば私がやっています。
でも私は英語が苦手で、翻訳サイトを使って翻訳した英語はかなり分かりにくいものになる
はずなので、英語が出来る人が投稿するのが望ましいんですよ。
今OpenVPNがVer 2.0.9なので、次の2.1.0になる境目で、ココで高速化するコードを入れてもらえると
なんて勝手に思っています。
OpenVPN
info@openvpn.net
現在はこの掲示板死んでるのかな?
http://openvpn.net/archive/openvpn-users/2005-02/threads.html >>238
そうか、OpenVPNはブロック暗号なのか、そりゃ、ストリーム暗号にしたくなるわな
そうすりゃ、MTUとかの調整しなくても転送のジッタを少なくできるから
パフォーマンスでそうだな。
実際にどれくらい出ているかっていう話と、
本家へのフィードバックがどうなっているか誰か雑誌取ってて知ってたら教えて〜 >>243
で私が貼り付けたURL
http://almond.cs.uec.ac.jp/theses/paper/2005/undergraduate/kubodera.pdf
をたった今全て読破しました。
読むのに時間がかかりそうなので、私が要点だけを書きます。
やはり>>245で私が書いたような事が正解みたいです。
とにかくクライアントマシンのCPUのL2キャッシュが多くないとパフォーマンスは得られない。
L2キャッシュが1MBもあれば、TCP/IPの通信とほとんど変わらない高速な通信が期待できる。
しかしこの論文ではLAN内で実験をしていたようなので、WANをはさむと当然もっと遅くなる
んだろうが、それでもよくまとまっていて、L2キャッシュ容量が多い=高速通信
になるのは間違いないようだった。なので、設定をいじって変更するとかそんなレベルだと
高速化は見込めない。ほとんど変化しません。サーバ側はAthlonXPで実験していた
みたいだけど、自宅のCeleron1GHz(L2キャッシュ>256KB)とPen42.4GHz(L2キャッシュ>512KB)
で転送テスト(LAN内で)してみましたが、ほぼTCP/IPの速度に近い(ん〜微妙、少し遅いか)
速度が得られました。確かクライアント側がCeleronだった頃はLAN内でさえ劇的に速度が
落ちていたように思います。とにかく
Celeronは糞
って事で。サーバ側にCeleronを使っていますが、サーバ側であれば多少は耐えられるみたいですね。
可能な限りサーバ側もPen4がいいんでしょうが、うちの環境だとtopコマンドでCPU負荷を
見ても90%程度までしかいってなかったので、なんとか耐えてるようでした。
これが99%までいくと間違いなくボトルネックになっているんでしょうけど。
解決するにはハードウェアをかえるか、VPNソフトウェアのコーディングの見直し
しかないと言うような事が論文で発表されていました。
なので、やはり私が提案したように開発元にその旨を英語で伝える事が出来れば
改良してくれるのではないかと淡い期待を持っているのですが・・・
どなたか英語に強い方いらっしゃいませんか? CoreDuoクライアントを別の場所に持って行ったときに
どちらも、光だったけど明らかに速度差が出てたぞ。
片方は、PPPoEタイプで、片方は、直結。
OpenVPN以外の通信では差を意識できなかったけど、
OpenVPNでは明らかな差が出てた。
やっぱ、L2キャッシュだけでは解決せんよ。 サーバ側をリモート側に、クライアントは自分が今使っているマシンでOpenVPN組んだのですが
(サーバはDebian GNU Linux Sarge) (クライアントはWindowsXP)
サーバ側のログにエラーっぽいのが。
Wed Jan 24 04:44:53 2007 client/xxx.xxx.xxx.xxx:4198 MULTI: bad source address from client [192.168.11.12], packet dropped
Wed Jan 24 04:44:53 2007 client/xxx.xxx.xxx.xxx:4198 MULTI: bad source address from client [192.168.11.12], packet dropped
Wed Jan 24 04:44:53 2007 client/xxx.xxx.xxx.xxx:4198 MULTI: bad source address from client [192.168.11.12], packet dropped
Wed Jan 24 04:44:53 2007 client/xxx.xxx.xxx.xxx:4198 MULTI: bad source address from client [192.168.11.12], packet dropped
Wed Jan 24 04:44:59 2007 client/xxx.xxx.xxx.xxx:4198 MULTI: bad source address from client [192.168.11.12], packet dropped
サーバから見れば10.8.0.6っていうIPからデータが送られてきた、だからそこに送り返す、みたいな動作を
したいんだと思いますが、なぜか私が今使っているパソコンのプライベートIPがOpenVPNサーバ側に
流れていっているようです。(192.168.11.12ってのがそれ)。
だからbad sourceになるんでしょうけど、このエラーの回避方法は?どうすればいいんでしょう?
エラー処理で速度が落ちると思いますので、通信は出来ているとはいえ解消しておきたいです。
Wed Jan 24 04:45:02 2007 read UDPv4 [EMSGSIZE Path-MTU=1454]: Message too long (code=90)
Wed Jan 24 04:51:25 2007 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
このエラーはさっぱり意味が分かりません。メッセージが長すぎ?コネクション拒否?
このエラーも原因や解消方法など教えてください。よろしくお願いします。 open vpn GUI をいくらか日本語化したんだが需要ある? >>250
超ある!UPお願いします!
# ついでにOpenVPNのmanページも日本語化してくれたりすると最高・・・ 片手間で作ったのでしょぼいですが一応おいて置きます。
ttp://www.geocities.jp/open_nokorimono/
>>252
ついでってレベルじゃ(ry
では消えます。 OpenVPNについて質問です
トンネルではなくブリッジです、サーバーの実IP(eth0)が192.168.0.1だとして、vpnクライアントに配布する
IPは192.168.100.n、にする場合、# ifconfig eth0:0 192.168.100.1としてサーバーのNICにもうひとつ
IPアドレスを追加して、bridge-startの
eth="eth0-0"
eth_ip="の行に192.168.100.1"
として、server.confに
server-bridge 192.168.100.1 255.255.255.0 192.168.100.200 192.168.100.230
の記述を・・・・あれ?どこでブリッジしてるんだろ?これじゃvpn出来そうもない・・・・ OpenVPNをVine Linux 3.2にインストール
./build-dh
./build-ca
./build-key server
とやった後で
./build-key client
を実行してclient用の接続に必要なファイルを作成するじゃないですか?
で、このファイルを無効にしたい、廃止したい時は
./revoke-full client
のように指定しますよね。そうすると ./build-key client で作成したファイルが
無効になるはずですよね。なのにソレを実行すると
[root@vine easy-rsa]# ./revoke-full client
Using configuration from /etc/openvpn/easy-rsa/openssl.cnf
DEBUG[load_index]: unique_subject = "yes"
ERROR:Already revoked, serial number 02
Using configuration from /etc/openvpn/easy-rsa/openssl.cnf
DEBUG[load_index]: unique_subject = "yes"
client.crt: /C=JP/ST=hoge/O=hoge/CN=client/emailAddress=me@hoge.co.jp
error 23 at 0 depth lookup:certificate revoked
このようにターミナルに出力されて ( error 23 )権限の剥奪に失敗している模様?
で、廃止したはずのファイルが普通に使えちゃうんです。どうやったら廃止できますか? >>253
す、素晴らしい!!凄いですね!日本語化できました!
っていうかどうやって作ったんです?こういうパッチ。あり難く使わせて頂きます! IRCに
#OpenVPN
って言うチャンネル作ってみた。よろしければどうぞ OpenVPNについて質問したいのですが
OpenVPN専用スレって別のトコにあります? >259
ttp://pc10.2ch.net/test/read.cgi/unix/1136161335/l50 >>259
ぶっちゃけどこのスレも全然活発じゃない。強いて言うならこのスレが一番OpenVPNに
ついて活発に語り合っているように思う。
OpenVPNは情報が少なすぎるね。 WindowsのPPTPサーバー立ち上げて、接続してきたクライアントの
グローバルIPって確認する方法はないでしょうか? >>254 anynomasu
bridge-start に tap="tapX" って変数 set してるでしょ,そいつと、
eth="ethX" とが bridge されるんでねぇのけ…。私の場合は物理的に
NIC が2つあったのでかたっぽを tap="tap0" と bridge させた。NIC
1つのばあいはどうなるんですかね? 正確なことがあまり言えなくてすみませんが・・・,
IP-VPN router が入ってて、Client 側で internet が精々 20Mbps ぐらいしか出ないってとこで,
1.OpenVPN
Server:
AMD K6-266Mhz,64Kb L1,512Kb L2,Linux
(こんなん知らんって? 10年前買ったやつだもん….)
Client:
Pentium 3.0Ghz, 2Mb L2,WindowsXP
Windwos の Explorer の copy で 2.5Mbps 程度.
2.OpenVPN
Server:
Pentium 2.8Ghz, 2Mb L2,WindowsXP
Client:
Pentium 3.0Ghz, 2Mb L2,WindowsXP
Windwos の Explorer の copy で 10Mbps 程度.
1の server 機に Apache で SSL の WEBDAV directory 作って Windows XP の
“ネットワーク プレース” ってのの folder を作成,Explorer で転送したら 16Mbps 位
出ました.
これまで言われた事の検証(速い PC 使わにゃダメ)ができました.が,Client 側の
internet 速度が速くなればもっと早くなるでしょうかねぇ?もうじき電力会社の回線
入るので test したら報告します.
ちなみに、Server PC と転送の相手が同一です.違う PC にすればもっと
速くなるんでしょうね,それもこん test してらお知らせしますね. >>266
検証&結果報告お疲れ様です。
スペックと言うかまぁ、CPUの二次キャッシュ(L2キャッシュ)の容量の差が大きいんじゃないでしょうかね?
> AMD K6-266Mhz,64Kb L1,512Kb L2,Linux
このマシンは512KBですか?L2キャッシュは。対して
> Pentium 2.8Ghz, 2Mb L2,WindowsXP
このマシンは2MBもありますねぇ?4倍も違うんですね。
それから無視できないもう1つの点が、Server側のOSです。
> Pentium 2.8Ghz, 2Mb L2,WindowsXP
のマシンにLinuxインストールしてそのマシンでもOpenVPNサーバ立てて検証は出来ませんか?
ひょっとするとLinuxのOpenVPNよりWindowsXPのOpenVPNのほうが速いとかいう事もあるかもしれません。
しかしサーバOSであるLinuxがこの分野でWindowsに劣るはずがないんですけどね。
# SSLで暗号化通信したWebDAVの方がOpenVPN越しのWindowsファイル共有よりも
# 高速って言う事ですかねぇ? >>268 L レスありがとう.
K6-266 に L2 cache はありませんでした.すみません,
えぇと、私も Linux のほうが速そうな気がしています.
てより、K6-266 でそこそそ動いてるのは Linux だからな
んじゃないかぁ,と妄想してます.(K6-266 では OpenVPN
の前に WindowsXP がマトモに動かねぇんでねか….)
今のところ、
「SSL - WebDAV の方OpenVPN越しのWindowsファイル共有よりも高速」
ってのは確か、と思い込んでます。これもキチンとした数字を出
してお知らせします.
いずれにしても、電力会社回線が来てからなので,速くても
来月になると思います.宜しく. >>269
>(K6-266 では OpenVPN
>の前に WindowsXP がマトモに動かねぇんでねか….)
はい、WindowsXPを動かそうなど無謀でしょうね。
そのクラスのマシンだとせいぜいWindows2000・・・。
私が試した限りではWebDAVは非常に遅くて不安定でしたがねぇ・・・。
OpenVPNの転送の方が速かったんですが・・・。
>来月になると思います.宜しく.
こちらこそ結果報告楽しみに待っています。宜しくお願いします。 K6みたいなSocket7世代だとL2はマザーボードににあるのが普通だった >>256
ブリッジは諦めました。ブリッジ設定してOpenVPN起動するとなぜかnetworkが死んでしまうし
後でifconfig upしてもクライアントからつながらないからです。
で、トンネルで試したところうまくいきました、ただサブネットが255.255.255.254に指定されて
OpenVPNサーバー側のLANと通信できないんですよねVPNクライアント-サーバーはつながってます
そこでserver.confとclient.ovpnの
dev tun
↓
dev tap
に変えたところ振られるサブネットが255.255.255.0になってくれました。
これでようやくサーバー側LANのPCからVPNクライアントに通信できる!と思いきや
サーバー側ゲートウエイが光プレミアムのCTUな為、ルートが追加できないんです
VPNクライアントからはサーバー側のLANが見えるんですよね(SambaでActiveDirectory組んでます)
でも離れてる場所のVPNクライアント同士は通信できるのでとりあえず良しとしてます ↑アンカー間違えました
>>256
ではなく
>>265
でした >>272
dev tun =トンネル
dev tap =ブリッジ
だという認識でいたのですが、トンネルなのにdev tapにすると確かに通信可能だし
subnetが255.255.255.0 になってくれますね。今までは255.255.255.252で我慢してたんですが。
コレ弊害ないのかな。OpenVPNの日本語解説サイトの情報でもtunとtapは
それぞれトンネルとブリッジだと書いてあったような。そういう意味の設定じゃないのかな。
なんか面白い事教えてくれたお礼にブリッジもう一回挑戦したくなる情報を教えます。
ブリッジはbridge-startスクリプトでやっていますよね?OpenVPN付属の。
あれの一番最後に
/sbin/route add default gw xxx.xxx.x.x (xxxの部分はデフォルトゲートウェイのIP)
を追加して下さい。
# vi bridge-start で普通に編集できます。ただのシェルスクリプトなので。
その状態で
# ./bridge-start
を実行。そしてOpenVPNサーバ開始。これで上手くいくと思うんですが?
それから、終了する時はOpenVPNサーバを停止した後、bridge-stopスクリプトの最後に
/etc/init.d/network restart (ネットワークを再起動させます)
を追加します。これで./bridge-stopを実行すれば正常にブリッジを終了できます。
どうでしょう? 漏れもtapつかってるよ
なんでこっちが普通になんないんだろ…
tapがブリッジに使うために後から追加されたせいなのかな >>274
OpenVPN 2.0 HOWTO 日本語訳設定ファイル例/server.conf 引用
# "dev tun" はルーティングIPトンネルを作る.
# "dev tap" はイーサネットブリッジを作る.
# イーサネットブリッジモードを使いたければ
# "dev tap"を使うこと.
確かに、書かれてます。
でもいろいろググッてるうちにふと気づいたんです、デバイスがTAPなのになぜTUNにするのだろう?って
そこで試しにやってみたらうまくいった、ただそれだけです。
>コレ弊害ないのかな。
すいませんそこまで考えが及ばなかったです・・・
ブリッジ設定例ありがとうございます。
トンネルではないから
OpenVPN 2.0 HOWTO 日本語訳 引用
>最後に,よく忘れがちのことであるが,サーバのLANゲートウェイにおいて,
>192.168.4.0/24への経路をOpenVPNサーバボックス経由となるように設定しておく>こと
>(OpenVPNサーバボックスがサーバLANのゲートウェイである時には不要).
が必要なくなる=CTUでもサーバー内LANからVPNクライアントへの通信は可能になる訳ですね。
ただ
OpenVPN 2.0 HOWTO 日本語訳 引用
>ブリッジVPN (dev tap)においてクライアント側のマシンを追加する
>これにはもっと複雑な設定が必要である(実際にはそれほど難しくないだろうが,詳細を述べるには上記よりもっと難しい).
>クライアントにおいて,TAPインタフェースとLAN接続のNICとブリッジする必要がある.
ということですのでWin2000では対応できないですよね
XPに変えねば(^_^; >>275
不思議ですね・・
>>276
細かいソースの貼り付けありがとうございます。さぞ面倒だったでしょうw
>ということですのでWin2000では対応できないですよね
いいえ、Windows2000でもブリッジ出来ますよ。
Ethernet Bridge
http://www.ntkernel.com/w&p.php?id=20
ココから落としてもいいかも
http://www.altech-ads.com/product/10000435.htm
使い方は非常に簡単(GUIアプリだし)なので、実行してみれば分かると思います。
もし分からなければ教えますけど・・・本当に簡単ですw 今Linuxマシンをクライアントに設定しようとしているのですが、
Windowsマシンがクライアントだと
C:\Program Files\OpenVPN\log\以下にログファイルが生成されるし
接続する時の様子は見ることが出来るのですが、Linuxの場合は
どこにログが生成されるのでしょうか?ログが見れないので問題解決が出来ない・・・ 凄い。凄すぎる。
dev tun
を
dev tap
に変更したらどのマシンからどのマシンへもお互いに名前解決が完璧に出来るようになった。
IPアドレスが分からなくてもホスト名で簡単にアクセスできる。便利すぎる!w
dev tun 捨てます。
速度は相変わらず400KB/s程度ですね・・・
これ、仮にAさんとBさんをうちのネットワークに招待したい。といった場合は
AさんとBさんを二人ともOpenVPNネットワークに参加させればいいと思いますが
AさんとBさんの二人はお互いに見えないようにしたい って言う場合は
OpenVPNサーバを2個起動(違うポートで)して異なるサブネットに接続させるしか
方法は無いのですかねぇ?その場合
# service openvpn start
コマンドで/etc/openvpn/*.conf ファイルを読み込みますが、2個設定ファイルが
おかれている場合は二つとも読み込まれるのかな?それとも2個あるからってエラー?
# ログファイル上書きされないように違うファイル名指定しないとね・・・ あとは強制でDHCPサーバでIP割り振るの止められればGUI以外は完璧にSEと同じ感覚で使えるw
たぶん >>280
特定のクライアントに特定のIP割り当てたいなら
/etc/openvpn/ipp.txt ファイルに対応表書くとか
/etc/openvpn/ccd/ の中に個別設定ファイル書くとか。
でもDHCPそのものを止めるって言うのは確かに分からないなぁ・・・。
http://bakkers.gr.jp/~kitani/event/kof/kof2006-stage-kitani.pdf
こんなのあった。w面白かった。
push "redirect-gateway" が良く分からない。
確かSoftEtherってVPNサーバのグローバルIPが a.b.c.d だとしたら
VPNクライアントのIP関係なしにVPNサーバに接続している時は
診断君とか確認君でIP確認するとクライアントのグローバルIPが見えずに
サーバのグローバルIPが見えたりしたような?その辺の設定なのかねぇ?この
push "redirect-gateway" は・・・。 ルーティングの知識が全くないから
よく分からない・・・・。 >>280
>GUI以外は完璧にSEと同じ感覚で使えるw
書き忘れましたが、OpenVPNとSoftEtherことPacketiXの速度の差を忘れちゃいけませんよ。
速度が段違いみたいですし・・・。悔しいですね・・速度の面ではどうしても勝てない。 WindowsがクライアントだとOpenVPNサーバが再起動したりした時は
自動的に再接続しにきてくれますよね。
しかしLinuxがクライアントの場合は再接続しにきてくれません。
OpenVPNサーバが再起動したときにLinuxクライアントが自動的に再接続するような
設定はありませんか?
サーバマシンにログインして
# service openvpn restart
すればすぐに繋がるのですが・・・。いちいち手動でやるのは面倒ですし、
面倒とか言うレベルじゃなくてもしそのLinuxクライアントに接続する方法が
VPN経由の通信だけしかない場合は通信が復旧できなくなってしまいます。
(現場にsshでリモート操作をする事が出来る人間が復旧に必要になります。)
client.confファイルになんか上手い事書いてそういうことはできないですかねぇ? >>279
自己レスです。
/etc/openvpn/server.conf
/etc/openvpn/server2.conf
と二つファイルを置いて設定も適切にして(違うポートや違うログファイル書き出し等)
# service openvpn restart
をすると2つのポートで2個OpenVPNサーバが動作しました。これが2個インスタンスを
起動するという事だと思いますが、コレを使って
AさんとBさんはお互いに見えるようにして、CさんだけはAさんとBさんが見えないようにする
ということを実現しようと思い、早速実験してみたのですが、確かにそれは実現できましたが
CさんがAさんとBさんが繋がっているポート番号に接続してきた場合、その接続を
拒否する事が出来ず、AさんとBさんのネットワーク内に入る事が出来ます。
具体的には AさんとBさんはserver:1194番に繋いで 192.168.30.0 のネットワークを利用していて、Cさんは
server:1200番に繋いで 192.168.50.0 のネットワークを利用している場合に(この状態なら
AさんとBさんのグループ、Cさんのグループでお互いに見えない)
Cさんがコンフィグファイルを書き換えて「remote server 1194」接続すると勝手に
AさんとBさんのネットワーク(192.168.30.0)に入られちゃうし、逆にAさんとBさんも
コンフィグファイルを書き換えると(ポート番号書き換えるだけ)Cさんのネットワークに入れちゃう
って言う・・・全然セキュリティがダメです。AさんとBさんは見えて、Cさんだけは見えない
というような事をOpenVPNで実現するにはどうしたらいいんでしょうか?
コレが出来ないと大規模に運用する事が出来ません。知っている方教えてください。お願いします。 >>284
認証もっと調べろ
どうせ認証に使ってるファイルが両方とも同じなんだろ なんだこれえ
http://www.eonet.ne.jp/~s600/hamachi/index.htm >>286
hamachi ・・・ hamachi開発者サイドがVPNサーバを用意してあって、それにユーザは
接続しに行く形で利用するVPNソフト。OpenVPNにはとてもかなわないと思いますけど・・。
>>285
いえ、認証に使っているファイルは1ユーザ(Aさん)に
# ./build-key asan
Bさんに
# ./build-key bsan
Cさんに
# ./buile-key csan
という形で個別に生成しています。
生成していますが、それからどうすれば・・・
duplicate-cnはコメントアウトしています。アドバイス宜しくお願い致します。 >>287 L
質問.
ca.crt なんかを複数作成して異なる directory に置く,なんて
こたぁ,できなんでしょか?
“port nnn” と “ca xxx/ca.crt”なんかが同じ config
file 書かれていることしか,client を識別する手掛かり
がありませんよね….ダメなら iptables いじる位しか
方法が無いことになる?
>>288
>こたぁ,できなんでしょか?
それはサーバ側の話ですよね?
出来ますよ。
複数作成して異なるディレクトリに置いた後、2個目configファイルに
ca xxx/ca.crt
cert xxx/server2.crt
key xxx/server2.key
dh xxx/dh1024_2.pem
のように記述すると分ける事ができ・・・えええ
もしかして!
./build-key-server server2
とやって生成したキーと
./buile-key client2
ってやって生成したキーが二つセットでペアなんですか!二つの異なるポートで運用
していたのですが、Keyファイル等は1つしか作っておらず二つのVPNサーバで共有
していました。だからどっちにも接続できると!?ああ、なるほど・・・
学校から帰ってきたら早速試してみよう!それで完璧に分離する事が出来るかもしれない!
質問されたのにいいヒントをありがとうございました。
# iptablesいじるなんて大変すぎ・・・・ Lです・・・OTL
>>289で考え付いた事実際に検証してみました。
しかし普通に違うポートの違うインスタンスへの接続も簡単に出来てしまい、
./buile-key-server server2
した鍵ファイルと
./buile-key client2
した鍵ファイルの二つがペアではないということが、、、ペアではないというか
./buile-key-server server
した鍵にも繋がってしまうというか。なんていったらわかりませんが、検証失敗。
認証が全く分かりません。知っているなら教えてくださいませ・・・お手上げ・・・OTL >291 L
確かめました.
root CA も作って(./build-ca) みて下さい.(当然,DH parameter もね.)
旨くいく筈ですよ. >>292
情報ありがとうございました。
あ、つまり
./buile-key-server server2
だけではなくて
./build-ca ; ./build-dh ; ./build-key-server2
から作成して、生成されたファイルをserver2.confの ca cert key dhに記述すればいいと!。
なるほど、これらが全てセットなわけですね。
で、./build-caの時に、最初に作成したのと名前がかぶらないようにしないといけなさそうですね。
時間のあるときに試してみますが、そうすると1つ疑問が生まれます。
疑問:2回目の./build-ca以下ファイルを生成してその後./buile-key client2すると
2回目に生成したファイルに対応するクライアントの鍵等が生成されると思いますが、
そうなった時に、1回目に生成したファイルと対応するクライアントの鍵を作りたいと
思った場合はどうすれば?2回目(っていうか一番最後に生成した./build-caファイル群)
に対応するクライアント鍵しか作成できなくなると言う事?ん〜・・・ >./build-ca ; ./build-dh ; ./build-key-server2
ミス。修正します
./build-ca ; ./build-dh ; ./build-key-server server2 わけもわからず適当をやらかす前に、少しぐらい基本的なことをお勉強すればいいのに… >>293 L
取り敢えずは http://openvpn.net/easyrsa.html 辺りは読んどいた方がよさそうだよね….
面倒クサ!で全部2つ作っちゃえ,って思ったんですが,メチャカッコ悪….
一応,,,
1 . ./vars
2 ./clean-all
3 ./build-ca
4 ./build-key-server server
5 ./build-key client1
6 ./build-dh
7 できた directory "keys" を "keys1" に変更.
8 1〜5繰り返す.
9 ./build-key client2
10 ./build-dh
11 できた directory "keys" を "keys2" に変更.
12 でもって,keys1 と keys2 を server.conf と server2.conf それぞれに指定.
(>>295-296 あたりに思いきりバァカって言われますね….)
まぁ,先ずは OpenSSL をちゃんと勉強しろってことのようです….
ちゃんと解ったらまたお知らせします.
あ,念の為・・・
iip とか log もちゃんと分けてね.
本物の認証とるわけじゃないんで,ワタシぁ当分これでいいにします.
ちゃんと動くし,何も困らないし….
「ちゃんと勉強」なんてそうそう簡単に出来るくらいなら,こんなとこ
でうろろしとらんよね.当てにしないで気長に待っててね.
なんか親切な人が簡単な解説してくれると嬉しいな…. >>297
OpenVPNについて教えあうスレなのに>>295や>>296は・・・・。
それに比べてshysterさんは親切なのに・・・。
>取り敢えずは http://openvpn.net/easyrsa.html 辺りは読んどいた方がよさそう
英語ですな・・・OTL 今週の土曜日か日曜日に読んでみます・・・う〜厳しそう。。。
日本語訳は・・ないですよねぇ、わざわざ英語のサイトを貼ってるぐらいですし。
>>297の手順は非常に参考になります。そうすればとりあえずは出来るんですねぇ。
しかしkeys2を作った後、keys1に対応するクライアント用の鍵ファイル生成が・・・
また1〜5を繰り返したら、今度はkeys1にもkeys2にも該当しない鍵ファイルが出来ちゃうし。
まぁ、OpenSSLの勉強ですか・・・うわー大変そう・・・。
TinyVPNは超簡単に使えるのにOpenVPNはやっぱり大変ですね・・・。
>>298
ご忠告どうもです。
>iip とか log もちゃんと分けてね.
iipって言うか、ipp.txt ?
>なんか親切な人が簡単な解説してくれると嬉しいな….
同意です。分かっている方がいらっしゃるなら情報提供して頂けるとこのスレの存在価値
があがるってものです。 >>299 L
英語がダメでも A Guide to basic RSA Key Management に出てる
shell file ぐらいはざっと眺めてみると,何となく見えてくるも
のがあるような…,気がするだけか….やっぱ OpenSSL が解らん
とね…. 兎も角,,,e.c.
keys2 を keys に戻して,
. ./vars
./build-key client3
でまた keys を keys2 にする.keys2 の中に client3 の key が
できてるから,そいつを client3 のとこに持ってばいい「勇俊.
あすまん,>>300 の keys2 は keys1 に全置換. >>300-301
おおおおお、凄い凄い!なるほどです。そういう風にやればいいのか・・・それにしても
かなり面倒っていうか回りくどいやり方ですね・・・。
まぁやり方が全くわからなかったので、こういう情報提供は本当に本当に助かります。
ありがとうございます。 根本からわかってないヤシに基礎からお勉強すべきだよと指摘しても>>299なんだから、
このバカにつける薬はなさそうだな。 >>303
なぜ皆で情報交換していきましょう!っていう前向きな空気を壊すような書き込みを
するのですか?マイナス方面の書き込みならせずに無視してればいいじゃないですか。
それだけ言うのだから、貴方は相当な情報を持っててかなりOpenVPNをマスター
しているんでしょう?だったら情報提供して下さいよ。
それによってこのスレは本当に価値あるスレになると思いませんか?
皆が皆完璧に分かりきっているわけではないのですから。
掲示板と言うのは情報交換の場なのですから。
私も素人なりに必死にやってるんです。それを分かってくださいよ。
皆が皆貴方みたいなプロじゃない。 >>304
逆に情報交換を阻害していることに気付いたほうがいいよ。 >>302, 304 L
回りくどくない script を作ってみようよ.
根本から解ってる人なんて滅多にいない.寧ろここら辺りのプロは,
如何やりゃ何が出来るって事が解りゃ充分なのでさほど根本にに興味
はないだろう.妙な当てのしかたはしない方が李炳憲.それに所詮
みぃんな人のデッチ上げた代物だ.あまりムキになるな.そもそも
話題が「スレ違い」とかだろって….
自力更生.全ての基本だね.motivation, inquiry, heuristics,
そしてあとは internet があればもう姜棟元.
ううん,「勇俊 でやめときゃよかった….頑張れよ,またな! >>306
李炳憲 motivation, inquiry, heuristics, 姜棟元.「勇俊
等の言葉が意味が分からなくて何を言っているのか分かりませんOTL >>304
あなたのレベルは10のうち2ぐらいは行ってると思う。
だから、レベルゼロの俺たちのために、いまの時点で
わかっている知識を使って「まとめWiki」を作ってください。
あなたは状況を整理できるし、つっこみたい人はWikiを修正するでしょう。
これならあなたもイライラしなくて済むし、間違いを指摘したい人も満足する。
>>307
自分で調べるという事をしない姿勢が表れた秀逸なレスだな プロ素人関係なく、荒らしはスルーするのは基本です。
motivation, inquiry, heuristics
は、分かるな?。英語なんだから。
大事なのは問題を自分で掘り下げるということ。
自分の思考の垂れ流しではなくある程度まとまった内容なら
これだけ突っ込まれてもいない。 >>308
Wikiとか作った事ありませんOTL。
それにまとめページを作るなんて出来ません。
あれは文章力って言うか分かりやすい日本語を書ける人って言うか・・・
# 時間の関係上無理って言うのもありますが・・・。
確かにOpenVPN まとめWikiなんてあれば面白いですね。
>>310
>プロ素人関係なく、荒らしはスルーするのは基本です。
はい。これからは反応せずにスルーします。 >>311
>Wikiとか作った事ありませんOTL。
何をやらしてもネガティブ反応で最低の男だな。
いろんな人が、お前にわざと話し振ってあげてるのに
全部無駄にしてるだろ。いいかげん気づけよ。
スレの雰囲気を一番悪くしているのは実はお前自身だ。
もう死んでくれ。 >>312
まったく同意だね。ここまで厚顔無恥だと釣りかと思ってしまう。
“学校から帰ってきたら” ってある,こんなもんだろ.
L,焦らないでガンバレ,英語も勉強だと思って読め.(あんまり普通っぽくない英語らしいけどな….
実はオレもまだ HOWTO しか読んでないから偉そうな事言えた立場じゃない.)
んで,いろいろやってみたらいい.やってみるやつが一番偉い.
後はOpenVPN Users MLとかもちょくちょく目を通しておくと良いかも。
母国語が英語でない連中もそれなりに居るのでちょいと読みづらいが、質問者と
同じような悩みで投稿している場合もあるので、読んでおいて損はなかろう。 >>312
>何をやらしてもネガティブ反応
すみません。先生からもネガティブ思考だなお前はと言われます。
>>313
すみません。
>>314
>どう見てもドキュメント読む気のない
確かに英語のドキュメントにはほとんど目を通していません。
OpenVPN日本語訳のサイトは全て読みましたけど・・・。
>>316
はい・・・。
春の国家試験が近いから、そっちの勉強しないといけないから焦っていました。
もう少し落ち着いてじっくり取り組んでみますね。
皆さんご迷惑お掛けしましてすみませんでした。 >>317 SSL-Explorer User
ML,登録してみました.ありがとう.
折しも! Mr.L と同様の質問が上がってきたところですね.
最初の回答が ML に上がらず直接送られたようですがなんか・・・
Mr.Boon の会社はデンバーに実在するようですが,
会社というよりは宗教団体に見えます….アメリカにはこんな
“会社” がいっぱいあるんでしょかね? >>300-301
の方法を今日
時間が出来たので実践してみたら完璧に動作しました。ありがとうございました。 で、100KB/s程度しか速度が出ないんですが、
高速化の技法はこのスレで編み出されたんでしょうか? みんな普通に500KB(4Mbps)ぐらいは出てるんだってば。
それ以上出るようになってから書き込んでね。 >>322
んなアフォな・・・そんなに出るの・・・ >>323
うん、おいら、当面の目標は2Mb/sなんだけどね。全然だめ。
とりあえず V2.1 に期待、今の所速度に関する報告はない模様。
ちなみに、どんなハード環境な訳?
あんまりチープなら、ちと整えた方がいいのかもね。
>>324
サーバ
CPU:Celeron 900MHz
メモリ:320MB
Network:100BASE-TX(Realtek)、Gyao光ファイバ(VDSLタイプ){実効速度>UP 1MB/s DL 1MB/s程度}
OS:Debian Sarge
ソフトウェア:OpenVPN 2.0.9
クライアント
CPU:AthlonXP 1.4GHz
メモリ:512MB
Network:100BASE-TX、bbiq光ファイバ{実効速度>UP 1MB/s DL 1MB/s程度}
OS:WindowsXP Pro SP2
ソフトウェア:OpenVPN GUI 2.0.9
OpenVPNなしでFTP転送すれば1MB/s弱出る環境です。
クライアント側はOpenVPN GUIじゃなくて本家のでもいいかと思ったのですが
本家のだと再起動時にサービスでの自動接続が上手く動作しないのでGUI使って無いけど
OpenVPN GUIで動かしています。
>とりあえず V2.1 に期待、今の所速度に関する報告はない模様。
Ver 2.1.0っていつごろ出るか分かりますか?次はメジャーバージョンアップで
大幅に改良が入る可能性があるんですよね? Celeron 900MHz はちとショボいかもね。
上にも出てきているけど、なんでも Celeron と Pentium
じゃえらい違いがあるとかないとか、キャッシュの大きさがどうとかいう話。
ここで速度の話は余りに差がありすぎて実際のところどんなもんなのかが全然見えてこない。 >>327
つ、釣られないぞ(;・∀・)
ところでクライアント側、Vistaで問題なく動いている人いますか? >328
動いてます
ただし細かいところでアクセス権が無いファイル等へのアクセス時
にエラーが返るのが遅い
複数の接続を、仮想的な一本にする方法ってありますか? 実はですね某国とのVPNが異常に遅いんですが、ま、その理由はさておき
トンネル数を増やせば、とりあえず帯域は確保できそうなんです。
じゃ、複数のトンネルを掘って、それを一本として扱えると嬉しいかなぁ、という訳なんですが
どうでしょう? >>336
それって、kernel 2.6 なら fedora でもOK? >>238
誰かコレの行方しらない?
本家にコミットされたりとかしてないのかな?
若しくは論文自体を見た人居ない? >>339
このへんかな。
UDP TCP (Mbps)
SSSM 36 33
RC4 31 26
Blowfish-CBC 29 25
AES-CBC 21 20
None 46 41
暗号化切った場合には敵わんけど、RC4より速い、と。
本家はまだだよね・・・・ ■ このスレッドは過去ログ倉庫に格納されています
