【初心者から】VPN総合3【上級者まで】
■ このスレッドは過去ログ倉庫に格納されています
VPNに関することなら何でもありのスレです。 どのVPNを使っていいかわからないという人は、筑波大学が開発に関わっている信頼できる無料のSoftEther VPNを使いましょう。 https://www.vpngate.net/ja/ VPNが何たるかを十分理解したうえで、お金を払ってまでVPNを使いたい人は、下記サイトを参考に自分で選びましょう。 https://ja.vpnmentor.com/ 【ノーログ→SoftEther二重VPNのやり方】 1.通常のOSでノーログVPNを設定、仮想OSにSoftEtherを入れて、仮想環境で書き込みやダウンロードをする方法 2.通常のOSでSoftEtherを設定、ルータにノーログVPNを設定して、通常通りの作業をする方法 仮想環境はVMWareやVirtualBoxなどのソフトを使う ルータは仕様にVPN対応と書いてある物を買う(例:ASUSのRT-AC59U、RT-AC68U)、もしくはラズパイをルータにする サイト側はSoftEtherのサーバからアクセスしたように見え、SoftEtherのサーバ側はノーログVPNからアクセスしたように見える 【略称】 SoftEther→筑波 Nord→N Express→E SurfShark→鮫 など 前スレ 【初心者から】VPN総合【上級者まで】 http://mao.5ch.net/test/read.cgi/network/1610003591/ 【初心者から】VPN総合2【上級者まで】 http://mao.5ch.net/test/read.cgi/network/1614602941/ どうもネット民の低脳化がすすんで悪口はだみだ〜で思考停止してるガチの痴呆が増えすぎてるな 俯瞰的にも長期的にも物事が分からんアホは一生悪口はだみだ〜で思考停止してるんだろうな しかも悪口はだみだ〜とか言ってるような奴が>>785 とか言ってるんだからな、自己矛盾してる時点で頭悪いの丸わかり 覚えたてのコマンドプロンプトで最適MTU値をみつけるバッチ書いてみたよ <mtu_search.bat> ================= @echo off chcp 437 set ip="8.8.8.8" set mtu=1000 :LOOP set /A pl = mtu - 28 ping -f -l %pl% -n 1 %ip% | findstr "DF timed" > NUL if %errorlevel% == 0 goto :NG echo MTU=%mtu% OK set /A mtu = mtu + 1 if %mtu% lss 65536 goto LOOP :NG echo MTU=%mtu% NG set /A mtu = mtu - 1 echo -------------- echo Max MTU=%mtu% pause ================= 多重VPNじゃなければ多分こんなんで大丈夫? >>800 敢闘賞 普通の通信だったらこんな感じでOKそう (タイムアウトが1回でも挟まるとアウトなのは気になるけど) でもVPNだと話は違ってきて… フラグメント禁止のパケットを投げても、 カプセル化した時点でフラグメント可能な状態に変化しちゃうので、 多重じゃなくてもこれだけでは最適なMTU値は導き出せないのです でも自分でスクリプト書こうという精神は好きだ MTUは何も考えず1280にしておけという話もある EXPvpn使っているけどキルスイッチ動いていないときがあって困ってたら ルーターやFWの設定でもVPN以外の通信をさせないことが出来るとのことだったけど スキルレスなので今だ設定できず… VPN接続後にデフォルトゲートウェイのIPを消してしまう方法でもキルスイッチ と同様の動作するみたいなんだけど高スキルの皆さんからすると洗練されていない方法なのかな >>801 ご指摘ありがとうございます 実行してみたら思ってたより値が大きいと思きくなってしまったので なぜに?と思ったらそういう事ですか… 参考までに、回線直KのMTUが仮に1500だったらザックリこんな感じ OpenVPN(UDP) … 1419 OpenVPN(TCP) … 1403 OpenVPN(TCP+HTTP Proxy) … 1403 SoftEtherVPN(UDP) … 1407 SoftEtherVPN(TCP) … 1407 SoftEtherVPN(TCP+HTTP Proxy) … 1385 L2TP/IPSec(NAT-T) … 1400 SSTP … 1380 間違いがあったらすまん 単純な引き算とは限らないのがややこしいんよね OpenVPNのリファレンスだとIPv4で28,IPv6で48バイト分大きくなるとあるけど、もっと引いたほうがいいのか https://openvpn.net/community-resources/reference-manual-for-openvpn-2-4/ --mssfix max Resulting packet would be at most 28 bytes larger for IPv4 and 48 bytes for IPv6 (20/40 bytes for IP header and 8 bytes for UDP header). >>803 いくつかやり方があるけど、自分はVPN用環境は仮想マシンで完全に分けてて、 そちらは常に直ではインターネットに出れないようにFWで制限掛けてますね >>800 timeoutの判定は複数回連続で出る事を確認した方がベター >>806 MAXパラメータで指定するカプセル化後のサイズはUDPヘッダとIPヘッダを含んでいない値なので、 実際にはその分を付加したものが最終的なパケットサイズという事ですね 余談 OpenVPNのカプセル化のパケットサイズは16byte単位なのでこんな感じ カプセル化後のパケットが分割されないようにカプセル化前のMTUサイズを調整しませう カプセル前 → カプセル後 OpenVPN(UDP) 1365〜1371 → 1441 1372〜1387 → 1457 1388〜1403 → 1473 1404〜1419 → 1489 1420〜1435 → 1505 OpenVPN(TCP) 1365〜1371 → 1455 1372〜1387 → 1471 1388〜1403 → 1487 1404〜1419 → 1503 1420〜1435 → 1519 >>806 それヘッダだけの話 ペイロードはもっと大きくなる 筑波って鯖の台数が7000とか8000とか聞くけど、これ同時稼働の台数だよね 稼働率50%未満なんだから実際はこの倍は台数ある Wire sharkでiPアドレス漏れた時にわかりやすく通知する設定とかできるんかな >>813 Wireshark単体ではそういう通知機能はないと思う Wiresharkが吐き出すキャプチャログを監視して通知を飛ばすスクリプトを動かすとかなら出来るんじゃないかな >>814 あーやっぱ自力でスクリプト作るしかないんかなぁ 今のVPNの使い方で漏れてないか試したいんだけどWire shark以外で確認できるソフトとかないんかな? >>813 というか根本的に間違えてる 「漏れたことを確認できた時点でアウト」だから「漏れた場合に通信できないようにする」が正しい どういう使い方をしてるのか、どんな環境で使っているのかにもよるけど 例えばWindowsでVPNサーバー以外との通信を拒否したいのならこんな感じで設定できるよ (記事の内容はWebサイトの話だけどVPNでも仕組みは同じ) 【Windows 10】Windowsファイアウォールで特定のWebサイト以外のアクセスを禁止する方法 https://qiita.com/kk_riv/items/2141a69453b4a3bd5fd0 漏れないように出来るだけの設定をしている(筈)のは当然であって、 更にその上で、それが意図通り一切漏れずに通信出来てるかを監視するように しておきたいって話じゃないの 自分だったら検知した時点でインターフェースをシャットダウンするなり、 ルータでも二重にフィルタリングして、飛んでこない筈のパケットがPCから飛んで来たら ブロックするとともにログに記録するとか、そんな仕掛けをするだろうけど キススイッチが信用できない前提で話しているだろうが自作の検知スクリプトも同じようなものじゃないのか 特定のVPNインターフェースしか通信できないようにアプリで設定できるものを使うようにするだけで十分だと思うがな アプリ制御のキルスイッチやスプリットトンネルはマジで信用できない 正常動作しなくて事故った話なんていくつもきいてる おねしょはマンガイチしてしまったら布団が濡れる 対策は漏れる事を検出ではなく 漏れないように防水の材料で布団か全身を覆う事だと思いますよ。 全部覆うと息ができなくなっちゃうので、特定の場所に特定の種類の空気穴を作って、其処だけ十分観察する事だと思います。 防水の材料の何処かが濡れていないかは確認しておこうね。 得体のしれないものを体内に安易に持ち込まないことも重要ですね。 利尿効果がかなり有る物を知らずに飲み食いしたあとは、大人でも心配が増えますよ。 VPNにL3のゲートウェイや防火壁で囲ってやれば制御も楽だよ VPN以外の通信は100%シャットアウトするFW設定ならそうそう漏れないと思うんだけど、 ひとつの環境で両方やろうとするから事故るんだよな 利便性優先で両方できるようにするためにスプリットトンネリングやキルスイッチがある訳だけど、 出来る事なら環境はキッチリ分ける方がやっぱり安全よ windows defenderってノートン入れてると使えなくなるの? そうだよなスレチ申し訳ない、って各スレ覗いてきたらなかなかの地獄で笑った リンクを貼っておいてなんだが、とても残念な気持ちになった… 一応こちらで聞くけどここスレの人たちってセキュリティソフト何使ってる? Torネットワークに参加して他人のセキュリティ環境にただ乗りするといい 不審なパケットは他人が発見してくれる 俺の前と後のやつがチェックしてるから通ってヨシ >>832 暗号化されてるのでチェックできないおじさん「暗号化されてるのでチェックできない」 defenderだけなのかありがとう 設定とか深く勉強するわ 物理NICはパブリックネットワーク VPNの仮想NICはプライベートネットワーク とかに分けて、それぞれ個別にフィルタリングするのが基本よね >>535 のレス見てファイアーウォールの設定してるんだけどこれってファイアーウォールの設定のプロパティで設定するやつで合ってる? ドメインプロファイル、プライベートプロファイル、パブリックプロファイル、IPsecの設定のタブがあるところ >>837 正解 これとは別に、ネットワークインターフェースの設定でもNIC毎にパブリック/プライベートの設定をしておくこと https://comstation.jp/archives/12116/ スクリプト関係は初心者であんま詳しくないんだけど、 5chに書き込み出来る筑波のVPNサーバを自動的に見つけて接続する仕組みをなんとか実現したい サーバに接続する所はなんとなく出来そうな気がするけど、 5chへの書き込みテストをどうやったらいいのかがまだよくわからない curlコマンドとかでなんとかなるんだろーか どこかにひっそりとスレ立てしてやればいいんじゃないかとひとりごと >>838 すまん、ネットワークインターフェースの設定でNIC毎のパブリックとプライベートの設定してるんだがVPNの仮想NICが接続切れるたびにパブリックに戻って困ってる VPNに疎くて申し訳ないんだけどこれって仕様? 使ってるのはMullvad、Power Shellでプライベートパブリック設定してる 俺もMullvadでファイアウォール設定してあるけど 一度プライベートにしたらパブリックにはならないよ 同じくPowerShellでプライベートに設定した 管理者権限でPowerShell立ち上げて Get-NetConnectionProfile | where Name -eq Mullvad | Set-NetConnectionProfile -NetworkCategory Private これでプライベートに固定されてる ひとつのスレッドで5秒切替なら立派なものじゃないの ■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.4 2024/05/19 Walang Kapalit ★ | Donguri System Team 5ちゃんねる