【VPNで】FONセキュリティ要望スレ【安全に】
■ このスレッドは過去ログ倉庫に格納されています
せっかくのスレなのでポインタ
LaFoneraの中身
http://www.kwmr.co.uk/blog/archives/2006/09/fonaccton.html
LaFoneraのファームのベース
http://openwrt.org/
LaFoneraへのVPN実装 すっげぇ簡単
LaFoneraVPNのキモ
LaFonera自体の安定性
LaFonera間通信の安定性
セキュリティリスク
外部からのVPN接続を受け入れる分低下
課題
接続先・接続元が正しいかどうかをどうやって確認するか
そもそもFoneraユーザーの正当性をどうやって確認するか
ID・パスワードベースの認証だけでいいのか
IDはメールアドレスになっているゾ ルーターの内側に設置されたLaFonera間でどうやって
トンネル張るのかが大きな課題 DDNSってアドレスわかっただけじゃしょうがねーだろ
初心者が多いLaFoneraユーザーが既存ルーターに
LaFonera公開設定できるとは思えん
ポートが一つしかないLaFoneraを既存ルーターと
置き換えるのも無理があるし
そうなるとP2Pを実装するしかねえか 一番簡単なのはFONサーバー経由で
LaFonera同士が繋がるっていう
スタイルだが、当然FONサーバーに負荷集中
FONサーバーダウンで世界中のLaFoneraが
タダの箱になる 元祖VPN厨の姿が見えねえが
どこ行きやがった
ちっとはその素晴らしい提案を
披露しやがれ FONにそれだけの鯖を用意する力はなさそうだし
・ある程度普及したらGoogleがちょっかいを出し始める
・有志が解決策をみつける
どっちが早いだろうね。 FONのポリシーっていうかこれまでの経緯でいくと
・有志が解決策をみつける
ということになるかもだが
そもそもワイヤレスネットワーク自体が脆弱なので
ここまで神経質な反応をしてるのは
ニッポン人だけのようだ
このあたりは輸入牛肉問題とオーバーラップする まあ俺は自分は守るけどね。アルミホイルは使わないがw とりあえず当面はセキュリティを考えたら自分のはアルミホイル
外で使えたらVPN等でトンネル作ってアクセスという形かな。 >>967
前スレの返事です。
Public Wifi (FON_AP)はWEP等の暗号化は設定できないようです。というかできちゃ駄目な気がする。 つか、実際問題として開放された無線LANアクセスポイントを使った
犯罪の検挙実績ってあるん?犯罪実績でもいいんだが…
公開APになってたYBBとかどうなってるのかと さっきのNHKの番組でも言ってたけど、ネット犯罪で捕まるようなやつは素人だけだって。 しかし今の世代は生まれた時からネットに接しているわけだからなぁ 自宅LaFonera上位のルータには、UPnPで穴を開ける。
LaFoneraは、定期的にFONサーバにアクセスしてるから、FONサーバに問い合わせれば
自宅LaFoneraのIPアドレスが分かる。
これで外部の接続先LaFoneraから自宅のLaFoneraへVPN接続できませんか? できる。だがFONが中央鯖を用意できるか疑問というのが今までの流れ。 まったく伸びない・・・
VPN厨のみんな!
あの情熱はどこへ行っちまったんだよ〜っ!!! >>35
w
伸びないっていうか方向から対策まであらかた話題出尽くしただろうが
あとはFONの中の人にどうやって提案するかを考えればいいさ 本当にクレクレ厨なんだね。
俺はVPNなんてなくても困らないが、自分たちで作ろうって言うんなら、テストぐらいなら
手伝ってもいいかなと思っていたんだが。 VPN案使えば、プロバイダによっては規約問題が解決するんじゃない?
FON利用者(第三者)にサービスを提供するのではなく、FON提供者(AP)が帯域を使う。 FONのAP間でVPNを張る方法はファームウェアを修正する必要があるから、
すぐには出来ないかもしれないけど。
どっかにPPTPサーバを立てて、FONのAPでWAN側の接続をPPTPにすれば、
とりあえずAP提供者のIPアドレスは使われなくなるよね。
FON利用がOKだと思われる、BB.exciteあたりを使ってPPTPサーバ立てれば良さそうな感じもするけど。
まぁ、問題はPPTPサーバを誰が用意するかって言う問題かな。
自分がやってみても良いとは思ってるけど、まだ5日に注文したFONのAPが届かないので検証することも出来ないので
なんとも言えない感じ。 >>40
ちなみになんでPPTPなの?
こっちはまったりしてていいなぁ・・・。 >>41
FONのAPが標準でWAN側の接続方式としてサポートしてるのが、静的割り当て、DHCP、PPPoE、PPTPだからかな。
PPTPなら今使ってる、FONのAPでそのままサポートが可能だからって言う理由ですね。 >>42
PPTPだとGREを通すのが大変だと思う。
UPNPで上位ルータからフォワードできるのか?
うちはBフレでルータはRT-200KIだが、WAN -> LAN は、LAN側IPを指定して通すことは可能、
でも、これを普通のユーザに設定させるのは難しいと思う。
らふぉねらのIPを固定しなきゃならんし。
認証に関しては、楽観的に考えてよいのでは?
接続時にID(メアド)とパスワードで認証するのだから、RADIUSくらいは用意できそう。
>>40
ZOOT(INTERLINK)の「マイIPサービス」がPPTPサーバのサービスとして存在しますね。
ふぉん使用を認めてくれるかは知らんけど。
でも、フレッツなら、BB.excite へ PPPoEするほうが現実的かも。
セッションプラスと合わせてもこちらのほうが安い。
個人的には、とりあえず、BB.excite を契約して、らふぉねらは PPPoEさせようと考えている。
フレッツスクエアは使わない人なので、セッションプラス必要ないし。
しかーし、私も5日に注文したのに、らふぉねら来ねーの。
年末年始はあまり時間取れそうもない... >>44
最近、売られているブロードバンドルータなら、PPTPパススルーは出来ると思うんだけどどうなんだろう。
たしかに、上位ルータがいる場合はその点が問題になりますね。
RT-200KIは調べてみた感じだと、PPTPパススルーが出来るようなのですが、PPTPを通すには設定が必要だったと言う事でしょうか?
フレッツユーザはPPPoEでセッションを分けられるけど、それ以外のユーザが問題ですよね。 >>45
PPTPパススルーは、LAN -> WAN方向が一般的に対応しているものですね。
(自宅から会社へPPTPする場合など)
RT-200KIも、LAN -> WAN方向は、設定の必要なしです。
WAN -> LAN方向は設定が必要。
(たぶん、TCPポート1723とGREをスタティックにフォワードする設定)
人のらふぉねらから自分のらふぉねらへPPTPするとすれば、この設定が必要。
つーことで、12の言う通り、トンネルの張り方が大きな課題。
まあ、当面は自分のらふぉねらを分離運用するくらいでしょ。
フレッツでない人は、ZOOTでPPTPかな。
この用途なら、一般のPPTPパススルー対応ルータでOKだから。 >>46
なんか微妙に話がかみ合ってない感じ。
>>40で書いたとおり、FONのAP同士でVPNを張ることは難しいだろうから、
「FONのAP -> どっかのPPTPサーバ」でVPNを張るのはどうだろう。と言う気持ちで書いたつもりだったんだけど、
伝わりにくかったかな・・・
それだと、LAN側->WAN側へのコネクションになるから一般的なPPTPパススルーで対応できますよね。
そうすれば、総合スレッドで前に話になった自分のIPアドレスで掲示板に書き込みをされるとかって言う問題はなるなるかなぁ。と。
もし自分がPPTPサーバ立てるなら、そこで一括なりFONのAPごとにでもSquidとかで透過Proxyして2chへの
書き込みを出来ないようにとかも一応出来るかなぁ。なんて思っては居るんだけど。 つか、このスレではとりあえず
1.自前認証サーバを立てる
2.LaFoneraの認証先を自前認証サーバへ向ける
3.自前認証サーバログイン後、VPN接続先をもらう
(VPNはPPTPでもIPSECでもL2TPでもイイ 一番軽いヤツ)
4.接続元LaFoneraから接続先LaFoneraへVPN接続
(LaFoneraにはVPNサーバ、クライアントを実装する)
5.以降、接続先LaFonera経由でインターネット利用
とこの辺りまで検証してから
オモムロにFONボードかなんかに提案汁ていう感じじゃないか
>>47
>>もし自分がPPTPサーバ立てるなら、そこで一括なりFONのAPごとにでもSquidとかで透過Proxyして2chへの
書き込みを出来ないようにとかも一応出来るかなぁ。
2ch書込み禁止ってのはインターネット道にはずれる
目的は他人のAPのソースアドレスじゃなくてFON登録者APのソースアドレスで
アクセスさせることだと思われ よくわからんが自分めも
pptpとかそう言う暗号化はend to endで解決してもらう
LaFonera間は単純に暗号化も何も無いトンネル掘るだけでよい
トンネルの先のIPアドレスはfonのサーバが持ってる筈?
トンネル接続の許可のとこだけ認証ほしい。そこだけSSHで暗号化すればおk
こんな感じならすぐできんじゃね? >48
実際に変なことされて、アク禁くらったり、警察沙汰になって、困るのはAPを公開している人なんだから
安全に公開できるようになるまでは、2ch書き込み禁止というのは、アリな選択だと思う。
道を外れているのは、APを公開するといって入手しながら、公開してない奴ら。
もし、>40 さんがPPTPサーバを公開してくれるなら、是非接続させてもらいたいです。
しかし、FONルータは、本当に届くのか? >>49
勘違いしてるぞ pptpは暗号化方式ではない 他もみんなプロトコルだ
とりあえずこのあたりから読んで勉強汁
http://dictionary.rbbtoday.com/Details/term1827.html
>>50
どうして2chだけに拘るのか理解できん
ってゆうかFONルータ手元にないのかYO! >勘違いしてるぞ pptpは暗号化方式ではない
そんな事はもちろん知ってるよ。
LaFoneraにpptpサーバを組み入れる余裕があるなら好きにドゾー >>53
そんなにムキになるな
>LaFoneraにpptpサーバを組み入れる余裕があるなら好きにドゾー
既にopenwrtが用意してくれてるよpptpd
Flashも4Mあるようだし、余裕がないとは思えんが何が心配なんだ? >>48
たしかにそんな感じの流れにはなると思うんだけど、FONの認証サーバで認証しないと既存のユーザは使えなくなっちゃいますよね。
上手いこと、自前の認証サーバからFONの認証サーバに認証を投げられればいいんだろうけど、
RADIUSでそう言うことが出来るかはちょっとわからないな。
それが出来たとして、あとはLaFoneraの性能と上位ルータの問題かな。
性能次第でどれぐらい実用的なVPNセッション数が決まってくるだろうし、上位ルータで使えるVPNの種類も制限されちゃうよね。
上位ルータからLaFoneraに対するポートフォワーディングとかも絡んでくるし。
と、いろいろ考えているときに >>40 の後半の方法が浮かんだんだけど単に自分の使っているIPアドレスで
変なことをされちゃうのが怖いなら、どっかにPPTPサーバ立ててやればとりあえずはOKかなぁ。って思った感じ。
LaFoneraが届いてみないとなんとも言えないけど、 >>40 の方法ならそれなりにすぐ環境を作れそうです。 別にムキになったりはしてないよ。
やりたい奴が勝手にやれば?って言う程度の話だ。
pptpdだろうが何だろうが、LaFoneraに組み込めなかったら意味ねーな。
それよりも先にNAT越えの問題もあるし、プロトコルがどうとかって言う
前に考えるべき事があるんじゃね? >>57
本スレで見てみたけどそれでも自分のLaFonera経由で外に出て行けるね。
ただ、提供する側で行う対策じゃなくて利用者側で行う対策だから、ちょっとここで考えている物とは違うかな。
>55
FONの認証がRADIUSならproxyRADIUSで解決出来そう。
FreeRADIUSで中継出来なかったかな。
VPN要望していているのって、FONで用意する設備のコストって考えていないのかな?
FONの設備に集中させる方式だと今のモデルは崩れるよ。 >>59
FONの認証は前から変わってなければRADIUSのままだと思う。
さっき、自分もFreeRadiusを触ってたんだけどProxy出来るみたいだからやろうと思えば出来そうな感じですね。
一応、>>40で自分が提案した形でのPPTPサーバは提供できそうな感じ。
>>50さんみたいに使ってみたい人って居ますでしょうか? はい、使って見たいと思います。
難しい話は理解できないけれど、陰ながら応援しています。
がんばってくだない。 VPN派は
Linus/Bills→自宅AP経由
Alien→FON経由
じゃん?最初っから。
Alienがカード決済でそれなりに身元把握出来てれば直で出てってもいいと思うけどな。 >>59
>>60
勘違いしてるぞ
FreeRadiusのproxyはradiusのproxy >>62
やっぱり何かあったときに、家に乗り込まれるのは避けたい。
なので、既出だが、
Alien -> FONが用意したVPNサーバ
というのが理想。
いっそ、認証のやりとりとVPNしか通さない設定にしてしまおうか、とも思う。
そもそも Linus なら、Alienに使わせてやる必要はないと思うのだが。(乱暴か?)
# 購入プロセス完了メールが来て少し真剣に考え始めてる >そもそも Linus なら、Alienに使わせてやる必要はないと思うのだが。(乱暴か?)
Alienからの収益がなければFONはどこから儲けを出せばいいの? >>66
うん、どっかの記事にそう書いてあったね。
ところでVPN云々の話はどうなったのかな。
議論だけで実装なしでもいいからやりたいな。 自分の所にも15日にようやくLa Foneraが届いて、今日やっといじる時間が出来たので
いろいろと触ってみていますが、自分が考えた方法でもとりあえず接続は出来そうな感じ。
La Fonera -- (VPN/PPTP) -- PPTP Server -- Internet
って言う感じなんだけど、とりあえずこれでAP提供者のIPアドレスを使わなくて済みますよね。
もし使ってみたい方が居たら、ちゃんとした環境ができ次第使えるようにしたいと思います。
ちなみに一番初めに出てた、La Fonera同士でVPNを張ってって言う方法もいろいろ考えてみてるけど、
とりあえず試せるのはもう1台、La Foneraを確保してからかなぁ。 >68
使ってみたいのはやまやまですが、自分は最終日の夜の申し込みで、いつ届くのか全く分からない状況です。
ここは見ている人が少なそうなので、テストの協力者がすぐ必要なら、他のスレで宣伝した方が良いと思います。 VPN方式対応に反対派
┣━VPN対応されると困るよ派
┃ ┣━他人のIPを使えないと犯罪がやりにくくなるよ派
┃ ┃ ┗━犯罪者
┃ ┣━アクセスポイント設置者が他人の通信傍受できなくなるよ派
┃ ┃ ┗━盗聴者
┃ ┗━安全で無料な無線LAN網を作られたら困るよ派
┃ ┣━既存の有料無線LAN網サービス業者
┃ ┗━携帯電話会社
┗━現在のままで大丈夫だよ派
┣━自分だけ複雑な設定をして安全にするよ派
┃ ┗━マニア
┣━巻き込まれて家宅捜査をくらっても問題ないよ派
┃ ┗━奇特者
┗━なにも考えてないよ派
┗━無知者 待ちきれないので、ツクモで買ってきてちょっと実験してみました。
PPTPサーバ:XP (標準で付いている機能。ただし、つながるクライアントは1つだけ)
FONルータの接続モードをPPTPに設定して、再起動であっさり接続。
ノートPCから無線で接続すると、MyPlace では問題なくインターネットにアクセスできるが、
FON_AP だとログイン画面やGoogle等、何も表示できなかった。
ファイアウォールのパブリック -> WAN を許可にしてもダメなので、あきらめました。
という訳で、>>40 さん、テストをするときは声をかけてください。 >>71
あれからいろいろと試してるんですが、実は自分もまだ成功してない感じです・・
LANの中で試すと上手く行くのですが、WANを経由するとすぐに切断されてしまうんですよね・・
接続自体は確立出来ているので、設定がおかしい訳じゃないと思うのですが。
>>71さんが試してくれるようであれば、また検証できる環境を作ってみたいと思います。
サーバのIPアドレスとかユーザアカウント情報をお知らせしないとならないので、もしよければ
fon.pptp at_mark gmail.coom にメールを頂けないでしょうか?
今日中には環境を作れると思いますので。 >40
今、メールしました。
よろしくおねがいします。 >>71さんに試してもらったのですが、やはり自分が検証したときと同じ現象が発生してしまいました。
接続は出来、一度はIPアドレスなどが割り当てられるのですがすぐに切断されてしまいます。
サーバ側はFreeBSDで、PPTPサーバはmpdを使っています。
WindowsXPのマシンからは問題なく接続できているので微妙な設定の違いなどだとは思うのですが、
FONのWAN側としてPPTPを正常に使用できている方はいますでしょうか?
板違いなのは承知なのですが、もしなにかアドバイスを頂けるようなら、設定とログをココに張ろうと思うのですが。 XPのPPTPサーバ相手でも同じ現象がでました。
LAN内では問題なく接続できるのに、ルータを越えると接続/切断の繰り返しループになってしまいます。
FONルータのPPTPってLAN内専用? >>75
原因はなんだろうなぁ・・と、考えてみたのですが簡単なことでした。原因はルーティングです。
La Fonera側の動作の問題ですが、PPTP接続が完了した段階で、デフォルトルートをPPTP側のI/Fに向けます。
そうすると、PPTPのパケットもそちらに流れてしまうので、最終的には切断されてしまうようです。
なので、単に「route add PPTPサーバのIPアドレス/32 gw 元々のデフォルトルート」とコマンドをたたいて、
PPTPサーバとの経路をスタティックで書いてやることで解決出来ます。
きっと、PPTPなんか使う人が居なかったから今まで表に出てこなかったのでしょうが、これって
FONのファームウェアのバグ何じゃないですかねぇ・・
FON Japanに報告したら修正してもらえるかなぁ・・
これさえ治れば、PPTPサーバに普通に接続できると思います。 うちは佐川の手違いで届くのが大晦日の予定。これだから田舎は。
ここの板ってユニークユーザどれぐらいいるんだろ。
わしも参加したいな。 >>76
>>40さんの言う通り PPTP接続後、route add コマンドを実行することで、切断されなくなりました。
言われてみれば納得なんですが、私じゃ絶対気付きませんでした。
MyPlace, FON_AP への接続も >>40さんのPPTPサーバ経由で外に出られることを確認しました。
ありがとうございました。これですっきり眠れます。 >>78
上手く行ったようでよかったです。とりあえず、これで問題点ははっきりしたので同対策をするか。って言う問題ですかね。
ファームウェアはきっと、本国のFONが作ってるだろうからこのことをFON Japanにフィードバックしても対応が
すぐされるようには思えないですね・・・ただ、自分でファームウェアを作ってもWeb I/Fからのファームウェア更新は
軒並み失敗しているようですからやっぱり、FON Japanに託すしか無い感じですかね。
もし、他にもPPTPサーバ経由で使ってみたい方がいらっしゃいましたら、 fon.pptp at_mark gmail.com まで
連絡を頂ければアカウントをお作りします。ただ、まだ実験段階なのでサーバのIPアドレスは非固定ですし、
ログもすべて取っているわけではないので、常用は勘弁していただきたいところですが。。 >>79
さっきFON Japanにメールしてみました。Webページ上のお問い合わせでは「24時間以内に返信するように・・・」とか
書いてあったけど、まぁそんなにすぐには対応できないとは思いますが・・・
使っていただける方が複数居るようでしたら、ちゃんとしたサービスとして提供できるように準備したいと思うので
この場でも教えてもらえるとうれしいです。 >80
バグ報告メールありがとうございます。
ただもうFON Japanはお休みモードに入ってしまっているようなので、回答が来るのは年明けでしょうか。
バグが直ってアップデートされるといいですね。
PPTPの実験も人が集まってサービスが開始されるといいなぁ。 この板だけだとどうかな?
自前でPPTPサーバくらいもってるでしょ。 代替ファームのDD-WRTのVPNバージョンなんかどう?
現役ルータにPPTPサーバ機能が無料で付与出来っぞ
って事FONルータ待ちの間にVPN環境整えてしまったがさてどうしませう この辺見てると、FONでPPTPD動かせそう
ttp://blog.gcd.org/archives/50849644.html
ttp://blog.gcd.org/archives/50855588.html
ttp://wiki.openwrt.org/PPTPDHowto >>84
動くと思いますよ。でも、問題はその先です。
うちにあるルータでは、外部にPPTPサーバを公開できませんでした。 >85
DMZにしても駄目ならGRE通せるルーターに買い換えるしか手はない。 >86
ですよね。
でもsshからrootで入れるfonルータを、DMZでインターネットにさらす勇気はありません。
また、このためだけに既存のルータを買い換えるのもちょっと無理です。
そうするとここで終了となってしまうわけです。 >>87
OpenVPNじゃだめなの?
port 1194をフォワードすることは大抵のルータで可能だと思うけど。 >>88
TCP/UDPのポート1つで済むなら、大抵の人ができますよね。
UPnPでの自動設定もできるだろうし。
昨日寝る前にルータでsshのポートを開けておいたら、今朝起きたら
ブルートフォースアタックされてました。 >87
fonera宛のsshをフィルタすれば良いだけでは?
fonera側でフィルタしても良いけど。 まだsshで繋いでみてもないで聞くのもなんだけどさ、公開鍵認証とかできんの? >90
うちのボロルータでは、DMZにしてもPPTPサーバにはつながなかったので
今はsshポートは開けていません。
>91
出来そうな雰囲気はあるんですけど、やり方はわかりません。 なんだ、来てみたら1月から過疎ってたのか
Packetix使えた人いますか? >>97
>>79です。
結局、La Fonera側のファームウェアにいくつか問題があるのでPPTPサーバに接続する方法が
現実的では無い状態です。まともに使うには、SSHでLa Foneraにログインして設定を書き換える必要があります。
その部分が改善されれば、とりあえずPPTPサーバに接続してLa Foneraを設置しているユーザの
IPアドレスを表に出さずに済むようには出来ると思います。
その問題さえ解決されれば上手くいけると思います。
最近のファームウェアでは直ってるかもしれないのでちょっと時間を見て、確認してみます。 >>79だけど、ファームウェア 0.7.1 rev.3でも問題は直ってないみたいですね。
WebインターフェイスでPPTPサーバを指定するときIPアドレスしか入力できないのはまぁいいとしても、
ルーティングの問題は直してもらわないとどうにもならないですしねぇ・・・ ユーザが恐れているセキュリティの対策として、PPTP鯖を経由させる方法は有効だと思いますね。
私も試してみよう。 滋賀・青木悠君リンチ殺人
http://yabusaka.moo.jp/outu01.htm
被害者の母 「息子が死んで犯人が1、2年で出てきてのうのうと
暮らしてるのが納得できない」
民主党平岡秀夫「死の恐怖を味あわせたい?」
民主党平岡秀夫「彼等にも犯罪を冒す事情があったんですよ」
被害者の母 「事情って何ですか?」
民主党平岡秀夫「くぇrちゅいおpあsdf#あsdfghjkl。
そ、それは置いといてですね・・・」
高田まゆこ(涙を流して)「被害者の気持ちは全く無視ですか?」
郡和子「あなたの子も加害者になることを忘れてるんですか?ハンッ」
動画1
http://jp.youtube.com/watch?v=ScJkZJYwbE0
動画2
http://jp.youtube.com/watch?v=qmjLPH9CKGA
平岡秀夫 比例中国ブロック(山口2区)
http://www.urban.ne.jp/home/hideoh29/
朝鮮大学校創立50周年記念祝賀宴に仕事さぼって出席
http://www1.korea-np.co.jp/sinboj/j-2006/03/0603j1115-00001.htm
郡和子 比例東北ブロック(宮城1区)
http://www.koorikazuko.jp/
民主平岡秀夫と郡和子 、放送終了後竹山を恫喝。
http://web-davinci.jp/contents/takeyama/contents/20070621.php
これが民主党の正体 このスレをどうしても落としたいならレス数を980以上にすることだ
この板じゃ1年書き込み無くても落ちないからな >>106
まあ、正直1年放置で落ちる板って実は少数派なんだよなw
実況の名が付くネ実ですらよく見ると数年前のスレがそのまま残ってるw
逆に落ちる板はものすごい勢いで落ちるけど スレ立てからn日で強制的に落とす設定が入っている鯖もあるので
板の勢いだけでは判断できないのがまた面白い ■ このスレッドは過去ログ倉庫に格納されています
