LinuxでVPNルーターは作れるのか？

実際できるのかね？

A Linux L2TP/IPSec server
http://www.jacco2.dds.nl/networking/index.html

接続相手がWindows2000/XPの場合、
IPSecとPPTPのどちらがこなれてるというか無難なんでしょうか？
Linuxはdebian sargeです。

>>36
用途による。
IPsec : 双方向の認証ができる。NAT通すのは少し面倒
PPTP : クライアントの認証のみ。NAT越しが比較的簡単
クライアントがWindows 2000/XPで、外出先から
VPNアクセスする (ロードウォリアー) 場合、一番の
推奨は L2TP (正確には PPP over L2TP over IPsec)。
設定はかなり面倒だが >>35 見ればなんとかなる。

IPsecでnat通すとなるとnat トラバーサル対応ルータ
が無いとね。

>>37
レスありがとう。
>>35を試すことにします。

windowsのnat-tってRFCとちょっと違ってドラフトにそってあるって
聴いたことあるんだけどつながるモンなの？

ごめん。ipsecの話ね、しかもスレちがうし

それぞれ a.b.c.d と w.x.y.z のグローバルアドレスを持った二台の Linux PC があって、
w.x.y.z のほうに a.b.c.v のグルーバルアドレスを持たせて
a.b.c.0/24 のネットワークに参加させたいのですが、
こういうのも VPN で行けるものなのでしょうか？

とりあえず手軽そうな vtun で接続してみようとしたのですが、
アドレスやらルートやら、どう設定したらいいものだか・・。
もしかして iproute2 とか nat とかの設定もいるのかな。

Linux2.6で、racoon, l2tpdでL2TP試しているが、IKEがうまくいかなかった。
日記終わり。

PPP MPPE/MPPC patch for kernel 2.6.10 キター!!
http://www.polbox.com/h/hs001/

VPNルータ作るのにお勧めのディストロってなんですか？
標準でパッケージもってて、カーネルコンパイルしなおさなくてもいいやつ。
クライアントはWindowsで、新たにクライアントソフト入れなくても、
Windows標準のVPNクライアントでいけるやつ。

PPTP動かすまでならSUSE9.1でいけた。poptopのパッケージがあったし。
l2tpも簡単に動かせるやつって、あるんでしょうか。
さがしてみたけど、ipsec対応のカーネル作るためにカーネルの再構築を
自分でしないといけないとか。お気楽なのは見つからなかった。

カーネルのセキュリティパッチも自分でメンテするんでなく、
ディストリ標準のアップデート機能でいけるようなやつを探しています。

だいぶ潜っているスレなので、ageてみることにしました。

>>45
LinuxWorld5月号に載ってたやつ
ttp://www.clarkconnect.com/
どないだ？

>>45
自分はGentoo使ってるけど、L2TP / IPsecの場合は、パッケージインストールより、
設定の面倒くささのほうがはるかに大きいからなぁ・・・

ディストウォッチを見るに、ClarkConnectは3番目。
Top 5 Firewalls
1. Devil-Linux
2. Astaro Security Linux
3. ClarkConnect Broadband Gateway
4. SmoothWall Express
5. IPCop

>>47さんに教えてもらった情報をきっかけに、関連情報をちょっとだけ調べてみました。
以下でVPNのプロトコルが不明のものは評価対象保留としてますが、
サポートしてるプロトコルについて、なんか知ってる人いたら教えて下さい。
評価結果は、またここに書き込みます。

1. Devil-Linux
　HDDレス、VPNs with X.509 support、X.509って証明書の話だよね。
　これのサポートしているVPNのプロトコルがちょっとわかんない。保留。
2. Astaro Security Linux
　有償。よって、今回の評価対象からは外す。
3. ClarkConnect Broadband Gateway
　IPsec VPN、PPTP VPNあり。
　IPSec標準サポートならL2TPも比較的楽に構築可能か？お、期待。
4. SmoothWall Express
　SmoothWall GPL 1.0 VPNって独自のプロトコルか？保留。
5. IPCop
　IPCop同士のVPN接続のみらしい。よって、今回の評価対象からは外す。

L2TPサポートしたやつははないのかなぁ。
RTX1000を使った環境もあるけど、RTX1000でもL2TPは対応してないもんなぁ。
PPTPとIPSecのみ。

L2TPって、普通IPSec使わないの？

PPTPって、NAT越え、簡単にできるけど、GREはTCPじゃないんで、同時１セッションがなぁ・・・・

LinuxでVPNルータ作ろうとしてて、手っ取り早そうなディストリ評価しようとしてたんだけど、
やっぱり、RTX1100とかNetscreenとか買えそう。

Astaro Security Linux を使え。
HomeUserなら無料だ。

openvpn windows版もｱﾙ

NetBSDと繋がんねー。IKEがうまくいかないよ。

hosyu

www.itmedia.co.jp/enterprise/articles/0510/17/news022.html
openvpnﾖｲｼｮｼﾃﾙ

SUSE10.0でPoPToPを導入するためPPPをうｐデートしようと思うのですが
# depmod -a
として依存関係を解析すると

WARNING: Couldn't open directory /lib/modules/2.6.13-15-default: No such file or directory
FATAL: Could not open /lib/modules/2.6.13-15-default/modules.dep.temp for writing: No such file or directory

というメッセージが出てしまい更新できません。
実際に2.6.13-15-defaultというディレクトリはなく、代わりに2.6.13-15.7-defaultというディレクトリが存在しているようです。

フラッシュメモリで駆動するLinuxルータ作ってみた。
どうしてもFreeに使える、壊れにくくてカスタマイズ性の高いのが欲しかったから。
pppd, dnsmasq, iptables, openvpn, ipsec-tools, quagga, snmp, ssh, etc.
UIはbashということで、おそまつだけど、自分のところでは満足に使えてる。
やればできるもんだなー。
やっぱPCルータって、安くて安定してていいよね。そう思わない？

スレの伸びがスローだけどタイトルは興味深い。。。

>>60
教えれ。
P3-533、Mem256MB、CFの512MBまでで動く奴。

>>60
たんたんくれくれ

>>61
CFは最低32MBあれば動くかな？メモリは最低64MB、128あれば半年はノンストップかも（笑）
>>62
こんな寄せ集めがオープンソースと言えるのかどうか微妙だが、基本的にuClibc + Busybox on buildroot
ビルドシステムでRAMディスク駆動のイメージを作った。
インストールはちょっとだけ面倒なんだよね。Linuxの作業環境がひとつ必要。
素のPCにKnoppixでもいけるかもしれないが。

公開して、みんなに使ってもらって、ダメダメなところ直してもらえればうれしいけど、
それらのインフラと人様向けに恥ずかしくないように多少体裁整えないとダメかな。
しばらく検討させて。。。

>>63
乙です。気長に待ってみます。

Bering-uClibc
ttp://leaf.sourceforge.net/bering-uclibc/

まだ出てないようなので貼っとく

WindowsのあのVPNを使うのにカーネルパッチが必要なのが嫌ですねえ。

L2TPなら要らないんじゃないか?

PPTPはWindowsからは楽なんだが、GREを使うから嫌い。
PPP over SSHはsudoでpppd起動するのが気持ち悪い。
てことでOpenVPN使ってる。LinuxでもWIndowsでも使えるし、カーネルパッチもいらないしね。

>>64
多少の修正に加えてwikiでドキュメント書いてます。
過度に期待しないでね。しょせんは素のLinux...
2、3の設定ファイル変更だけでBBルータができるレベルにはなった。
OpenVPNもはじめから入っているので、HOWTO書けば簡単かな？
IPsecは、ツール入っているけど未検証。ipsec-toolsはけっこう設定がとっつきにくい。

Linuxのipsecは漏れそれなりに調べたから (setkeyの設定とiptablesのルール
のどれがどのタイミングで絡むかなど)、Wiki上げてくれたら設定例位は提供するよ。

たんたん期待age

おそまつながら、
とりあえず公開。
ttp://nlx900.ath.cx
公開でもしないと、ドキュメントを書くモチベーションがもたない。

>>72
GJ!
いろいろいじらせて貰いますよ

>>73
どーも。
自分のレベルが知れてしまうので恥ずかしい（*-_-*）

>>72
乙、
勉強させてもらいまつ

>>72
家にもう何年も動かしていないK6-2の下駄履いたFM-Vがあるが、
このWiki見たら利用価値が出てきた。来月の給料でHDD買ってくるべ。

>>76
リサイクルに貢献しちゃった（'−'＊）
老婆心から、8GBとか137GBのBIOSの壁を心配してみる。
IDEフラッシュメモリは、結構安くて省電力なのでおすすめです。\4,000程度。
ttp://shop.transcend.co.jp/product/ItemDetail.asp?ItemID=TS64MDOM40V
出っぱりは23mmくらい。意外と小さくて省スペースデスクトップでも入ってしまう。

ただ、USBに繋げるアタッチメントを探すのに苦労するので、試行錯誤で
何回も抜き差しするようなやり方には向かないね。それはCFのほうがいい。

>>72
�dクス

良スレにつきage

少しづつ設定例も書いてるけど、ドキュメント書くのは骨が折れる。
ドキュメントの完成待ってられない人はOpenVPN 2.0 HOWTO日本語訳お読みくだされ。
http://degas.is.utsunomiya-u.ac.jp/~zhao/freesw/ovpn2_howto_ja.html
この文書すばらしすぎ。自分で似たようなの書くの恥ずかしいくらい。

>>66
同じく。
せめてカーネルの設定を変えてコンパイルし直す程度にして欲しかった。
あれはなんでパッチのままなんだ? 特許とか絡むのか?

花火大会の日は毎年年老いた両親に「彼女と行って来る」と言って外出してる。
そして花火大会とは反対方向の公園に行くんだ。花火の日は人気が少ないからね。
そこでひとりでタバコ吸ったりビール飲んだり。
頃合いを見計らって家に帰るんだ。両親には「あー楽しかった」と言ってるよ。
でも両親は気付いてるかも知れないな。
今年も花火大会がやって来る。

VPNってのはいつくでも方法あるの？
今日見つけた

ttp://www.stackasterisk.jp/tech/systemConstruction/openVpn01_01.jsp

何を今更

LinuxでVPNルータ作って、ハードウェアで暗号化したいのですが、どうすればよいのでしょうか。

何言ってるのこの子は

Linux native IPsecの暗号化をハードウェアで行いたいのです

VIAのPadLockってそういう用途に使えるの？

Intelや3ComからIPSec対応のLANカードが売られてるけど
Windows以外でhardwareアクセラレーション効くって話は聞いたことが無い

Intelのは仕様が公開されてないから動かないけど、
Broadcomので動くのがあったはず。

>>90
情報ありがとう
アドオンのNICとして該当するチップが実装されてるものはないみたいね

>>85
暗号アクセラレータって、基本的にはNDAベースのものが多いから
Linux native IPsec（本当はUSAGI IPsecだけど）を暗号アクセラレータ
対応させたものは世の中に公開されているものはない。
自分でコードを書こうと思えば、PCでなくてもよいなら、
Intel Xscale IXP425のネットワークプロセッサは暗号エンジンのAPIが
公開されている。頑張って書いてみてください。IXP425のネットワーク
プロセッサはSOHOルータ等によく使われているので、入手性はいいはず。

IPSec自体じゃなくても、
CryptoAPI使うならPadlockで高速化できるのかな。

>>92
あるほど、ありがとうございます。
すいません、NDAてなんでしょうか？

ググレカス

VPNルータではないですが、LinuxのIPsecの問題ってことで、ここで
質問させてください。

ttp://www.ussg.iu.edu/hypermail/linux/kernel/0402.3/0075.html

このバグって、未だ(kernel-2.6.17.7)に修正されていないようなの
ですが、LinuxでIPsecのトランスポートモードでracoonを使用されて
いる方、どのように回避されているのでしょう？SAが確立していない
アドレスにセッションを張る場合、かならず最初のconnectが失敗して
しまいます。エラーだったら再connectなんてことをすべてのアプリに
埋め込むのは大変。やっぱりカーネルでちゃんとしてほしい。

随分、古いネタだな

http://www.softether.com/jp/company/press/release/060801.aspx
決別

霊界とのVPN...ええ話や

ヨシカズ「それでお金が必要になったんだけど・・・今から言う口座に振り込んでくれる？
　今は便利になって天国からでもおろせるから」

>>88
最新のOpenSSLもPadLockに対応してるはず。
OpenVPNから利用できるかもしれん。

SDとかUSBメモリに比べたら高いけど、安いなあ。
ttp://www.pasoden.com/goods/ts128mdom40v.html

いいからのり姉ちゃんの抱き枕を出せ

OpenVPNが遅いという話はちょくちょく目にしますが
一般的に何が速いんでしょうか？
実装によるならLinuxかFreeBSDでIPsecかPPTPってことでひとつ。

どれも遅いよ
openvpnは速い方かもよ

自宅のブロードバンドルータで1723/tcpをポートフォワーディングして
自宅LAN内のLinuxサーバに外部のWindowsマシンからPPTPで繋いでます。
Sambaの共有も問題なく使え、大変便利に使っているのですが、
ファイルの転送の速度を計ってみたところ、FTPで直結した場合の５分の１以下しか出ません。
TCPの中でTCP/IPを通して、さらにSMBをしゃべっているのですから
遅いのは当たり前かも知れませんが、少しでもファイル転送の速度を上げるには
何かポイントってありますでしょうか？Debian etch です。

>>107
スレ違い。
あと、PPTPではデータチャネルはGREでカプセル化しており、
TCPを使っていない。そのためTCP/IP over TCPではない。

>>105
OpenVPNのベンチをnetperfでやってみた。
Celeron800のPCルータ対向で、最大25Mbpsくらいだった。aes128。
ショートパケットで9Mbps程度。けっこう粘る。
5万円切るような安いVPNルータ使うよりずっと性能出そう。
IPsecなら、aesで40Mbpsくらいいくかも。試してないけど。
IPsecはカーネルモードだから性能面では有利だと思う。

floppyfwのVPNサーバって速度速いの？
1MB/sぐらいFTPでダイレクト通信したら出る回線で
floppyfw使ったVPNセッションの中FTP通信したらどれくらい出るの？
OpenVPNだと200KB/s程度、つまり5分の1程度の速度しか得られなかったし
不安定で途中で切れたりしてた。

んっふっふ、あげちゃいますよぅ？
人少ないみたいですしねぇ。

たんたんのLinuxルータを、玄箱PRO（ARM）で再現してみるテスｔ

仕事でLinux使っててもルータ用途になると, とたんに*BSDに寝返る俺

>>112
うーむ、これ本当はやってみたかった。x86ベースのPC以外では、テストしていないんだが、
基本的にビルドシステムはアーキテクチャ非依存なので、やってできなくはないかも。
玄箱Proは一応PCIeのスロットも一つ付いてるので、外箱を工夫してうまくやればルータにもなるかも。
ビルドのtipsとか、本当はドキュメント化しないといけないんだけどやってないなぁ。

結局VIAのハードウェアAESが最強

そんなに凄いですか
dm-cryptにも使えますかね？

カーネルに統合されてるからもしかしたら使えるかも

やべ… また物欲が…

>>98
中村 満って今何やってんの？

>>112
>たんたんのLinuxルータ
「FON」 ならぬ 「TAN」 ていう名前は、どうでしょ？

>>120
たしかにtantanと動いてます。
自分の所ではOpenVPN(L2VPN)とOSPFで淡々とVPNしてますが、長いこと更新してないなぁ。
IPsec正式動作確認、IPv6の一応の対応、新しいハードウェアへの対応くらいは
次のリリースでやってみたいな。ドキュメントもちゃんと書かんとだめだぁ。
まったく期待しないでください。モチベーション、時間など先立つものがいる。

Networking with Linux, Experimentalって頭文字でこじつけてNLX
自分にとっての実験的ネットワークだから、リニア実験線の車両MLX01-901にかけてる、
ってのがもっぱらの噂。

>>120
できるよ。
以上。
↓次どうぞ

>>120
思いつきなんだが、
Tiny Arm based Network appliance
で、"TAN" というのは、どう？

玄箱とかたしかarmか。
もっぱら性能と中古の安さ、入手しやすさからx86のPC使いだわヽ(´ー`)ﾉ
ノバテックのixp425ボード見たときは萌えたけど、値段がもう雲の上なんで。┐(´ー｀)┌

ぼちぼち新しいカーネルとビルド環境で虫干ししないとカビそうだわ。
期待してる人もいないだろうけど、ろくにドキュメント更新してないなぁ。
完全に自分のためのチラシの裏プロジェクトだよ。ひとりwikiでもよかったかも（汗）

あんまりVPNに関係ない話ですみません。
自分はぷららーなんだけど、最近PPPのセッション再開で躓く。
切れた後の回復でCHAPが延々拒否される。ちょっとPPPチューニング変わったみたい。

こっちにも原因あるようで、少々おしゃべりなキープアライブの設定なので、
いつまでたってもセッションがリセットされないのかも。

# cat /etc/ppp/peers/primary

...省略...

lcp-echo-interval 10
lcp-echo-failure 4
lcp-max-terminate 25
lcp-restart 10
maxfail 0

ここがちょっとRASサーバからうざいと思われているようなので、もう少し常識的に寡黙なセッティングにしないといけないかも。
繋がりにくいと悩んでる人のヒントになれば。

CentOS 5 を PPTP クライアントとして使っているんですが、
http://pptpclient.sourceforge.net/
からダウンロードしたパッケージだと pptpconfig っていう gtk
ベースの GUI なツールが含まれていてそれでセッションを開始してます。

GUI はほとんど使わないので、コマンドラインからセッションを開始
（そして切れたら永遠にリトライし続ける）したいのですが、
どうすればいいんでしょうか？

Ubuntu GNU/Linux もクライアントとして使っているんですが、
これには pon / poff というコマンドがあります。同様の
コマンドは http://pptpclient.sourceforge.net/ のツール群にも
含まれるんでしょうか？

>>126
Bフレッツハイパーファミリーの拠点で、PPPが繋がらなくなるトラブルだったけど、結局ONUの
問題だったみたいで、ONU交換で直った。
特定の（三菱製で、最新でないモデル）ONUで必ず発生していた。相性問題かもね。

vyattaはどうよ？

endianfirewall,zeroshellは自分には敷居が高すぎた

もうOpenVPNでいいじゃん

pptpdの方が楽でした
でもOpenVPNの方が強固でしょうけどｗ

Openswan+L2TPDでやってます。
でも接続から数分後にいつの間にか切断されている…。

>>127
GUIなツールあったんだ。
いっつも面倒くさいんだよねpppd call すんの

ＶＰＮ重大ニュース　 スレは★20までいく

【国際】 中国 「ＩＴ製品、ソースコード開示せよ」…日本側が撤回求めるも、予定通り実施へ★４
http://tsushima.2ch.net/test/read.cgi/newsplus/1252535413/
「ソースコード開示せよ」…中国が外国企業に要求
http://pc11.2ch.net/test/read.cgi/prog/1221835452
23 ：名無しさん＠十周年：2009/09/10(木) 02:28:25 ID:UeD78g5r0
李鵬が言ってた、２０年後に日本なんてなくなるって、こういう事か。
40 ：名無しさん＠十周年：2009/09/10(木) 02:35:03 ID:BKKfZepB0
トヨタがプリウスで儲けれるのも来年までなんだね。

鳩山幸さんはサイエントロジーというカルトと関係があるという噂があります。
http://an★tikimchi.see★saa.net/art★icle/127578850.html
↑ 日本アンチキムチ団

鳩山幸さんの旧姓が不明だそうですよ。

764 名前：可愛い奥様[] 投稿日：2009/09/06(日) 01:04:07 ID:/WrcABwtO
北海道苫小牧在住の者ですが、老人ホームで暮らす朝鮮人のお婆ちゃんから聞いた話です。
幸夫人のごお父様は中国人ではなく、キム・ジョンウォン（漢字不明）という朝鮮北部出身の貿易商だったようです。
戦後は日本に渡り、幸さんが渡米するまでは神戸の商社に勤めていたようです。
キムさんは幸さんが渡米した直後、北海道室蘭に引っ越し、貿易商を営みながら総連支部の設立に尽力されたと話しておりました。
中国語・英語・ロシア語がお上手だったようですね。
【ﾌｧｰｽﾄﾚﾃﾞｨｰ】鳩山幸をｳｫｯﾁするスレ　２
http://hideyoshi.2ch.net/test/read.cgi/ms/1252279762/