LinuxでVPNルーターは作れるのか？

実際できるのかね？

>>61
CFは最低32MBあれば動くかな？メモリは最低64MB、128あれば半年はノンストップかも（笑）
>>62
こんな寄せ集めがオープンソースと言えるのかどうか微妙だが、基本的にuClibc + Busybox on buildroot
ビルドシステムでRAMディスク駆動のイメージを作った。
インストールはちょっとだけ面倒なんだよね。Linuxの作業環境がひとつ必要。
素のPCにKnoppixでもいけるかもしれないが。

公開して、みんなに使ってもらって、ダメダメなところ直してもらえればうれしいけど、
それらのインフラと人様向けに恥ずかしくないように多少体裁整えないとダメかな。
しばらく検討させて。。。

>>63
乙です。気長に待ってみます。

Bering-uClibc
ttp://leaf.sourceforge.net/bering-uclibc/

まだ出てないようなので貼っとく

WindowsのあのVPNを使うのにカーネルパッチが必要なのが嫌ですねえ。

L2TPなら要らないんじゃないか?

PPTPはWindowsからは楽なんだが、GREを使うから嫌い。
PPP over SSHはsudoでpppd起動するのが気持ち悪い。
てことでOpenVPN使ってる。LinuxでもWIndowsでも使えるし、カーネルパッチもいらないしね。

>>64
多少の修正に加えてwikiでドキュメント書いてます。
過度に期待しないでね。しょせんは素のLinux...
2、3の設定ファイル変更だけでBBルータができるレベルにはなった。
OpenVPNもはじめから入っているので、HOWTO書けば簡単かな？
IPsecは、ツール入っているけど未検証。ipsec-toolsはけっこう設定がとっつきにくい。

Linuxのipsecは漏れそれなりに調べたから (setkeyの設定とiptablesのルール
のどれがどのタイミングで絡むかなど)、Wiki上げてくれたら設定例位は提供するよ。

たんたん期待age

おそまつながら、
とりあえず公開。
ttp://nlx900.ath.cx
公開でもしないと、ドキュメントを書くモチベーションがもたない。

>>72
GJ!
いろいろいじらせて貰いますよ

>>73
どーも。
自分のレベルが知れてしまうので恥ずかしい（*-_-*）

>>72
乙、
勉強させてもらいまつ

>>72
家にもう何年も動かしていないK6-2の下駄履いたFM-Vがあるが、
このWiki見たら利用価値が出てきた。来月の給料でHDD買ってくるべ。

>>76
リサイクルに貢献しちゃった（'−'＊）
老婆心から、8GBとか137GBのBIOSの壁を心配してみる。
IDEフラッシュメモリは、結構安くて省電力なのでおすすめです。\4,000程度。
ttp://shop.transcend.co.jp/product/ItemDetail.asp?ItemID=TS64MDOM40V
出っぱりは23mmくらい。意外と小さくて省スペースデスクトップでも入ってしまう。

ただ、USBに繋げるアタッチメントを探すのに苦労するので、試行錯誤で
何回も抜き差しするようなやり方には向かないね。それはCFのほうがいい。

>>72
�dクス

良スレにつきage

少しづつ設定例も書いてるけど、ドキュメント書くのは骨が折れる。
ドキュメントの完成待ってられない人はOpenVPN 2.0 HOWTO日本語訳お読みくだされ。
http://degas.is.utsunomiya-u.ac.jp/~zhao/freesw/ovpn2_howto_ja.html
この文書すばらしすぎ。自分で似たようなの書くの恥ずかしいくらい。

>>66
同じく。
せめてカーネルの設定を変えてコンパイルし直す程度にして欲しかった。
あれはなんでパッチのままなんだ? 特許とか絡むのか?

花火大会の日は毎年年老いた両親に「彼女と行って来る」と言って外出してる。
そして花火大会とは反対方向の公園に行くんだ。花火の日は人気が少ないからね。
そこでひとりでタバコ吸ったりビール飲んだり。
頃合いを見計らって家に帰るんだ。両親には「あー楽しかった」と言ってるよ。
でも両親は気付いてるかも知れないな。
今年も花火大会がやって来る。

VPNってのはいつくでも方法あるの？
今日見つけた

ttp://www.stackasterisk.jp/tech/systemConstruction/openVpn01_01.jsp

何を今更

LinuxでVPNルータ作って、ハードウェアで暗号化したいのですが、どうすればよいのでしょうか。

何言ってるのこの子は

Linux native IPsecの暗号化をハードウェアで行いたいのです

VIAのPadLockってそういう用途に使えるの？

Intelや3ComからIPSec対応のLANカードが売られてるけど
Windows以外でhardwareアクセラレーション効くって話は聞いたことが無い

Intelのは仕様が公開されてないから動かないけど、
Broadcomので動くのがあったはず。

>>90
情報ありがとう
アドオンのNICとして該当するチップが実装されてるものはないみたいね

>>85
暗号アクセラレータって、基本的にはNDAベースのものが多いから
Linux native IPsec（本当はUSAGI IPsecだけど）を暗号アクセラレータ
対応させたものは世の中に公開されているものはない。
自分でコードを書こうと思えば、PCでなくてもよいなら、
Intel Xscale IXP425のネットワークプロセッサは暗号エンジンのAPIが
公開されている。頑張って書いてみてください。IXP425のネットワーク
プロセッサはSOHOルータ等によく使われているので、入手性はいいはず。

IPSec自体じゃなくても、
CryptoAPI使うならPadlockで高速化できるのかな。

>>92
あるほど、ありがとうございます。
すいません、NDAてなんでしょうか？

ググレカス

VPNルータではないですが、LinuxのIPsecの問題ってことで、ここで
質問させてください。

ttp://www.ussg.iu.edu/hypermail/linux/kernel/0402.3/0075.html

このバグって、未だ(kernel-2.6.17.7)に修正されていないようなの
ですが、LinuxでIPsecのトランスポートモードでracoonを使用されて
いる方、どのように回避されているのでしょう？SAが確立していない
アドレスにセッションを張る場合、かならず最初のconnectが失敗して
しまいます。エラーだったら再connectなんてことをすべてのアプリに
埋め込むのは大変。やっぱりカーネルでちゃんとしてほしい。

随分、古いネタだな

http://www.softether.com/jp/company/press/release/060801.aspx
決別

霊界とのVPN...ええ話や

ヨシカズ「それでお金が必要になったんだけど・・・今から言う口座に振り込んでくれる？
　今は便利になって天国からでもおろせるから」

>>88
最新のOpenSSLもPadLockに対応してるはず。
OpenVPNから利用できるかもしれん。

SDとかUSBメモリに比べたら高いけど、安いなあ。
ttp://www.pasoden.com/goods/ts128mdom40v.html

いいからのり姉ちゃんの抱き枕を出せ

OpenVPNが遅いという話はちょくちょく目にしますが
一般的に何が速いんでしょうか？
実装によるならLinuxかFreeBSDでIPsecかPPTPってことでひとつ。

どれも遅いよ
openvpnは速い方かもよ

自宅のブロードバンドルータで1723/tcpをポートフォワーディングして
自宅LAN内のLinuxサーバに外部のWindowsマシンからPPTPで繋いでます。
Sambaの共有も問題なく使え、大変便利に使っているのですが、
ファイルの転送の速度を計ってみたところ、FTPで直結した場合の５分の１以下しか出ません。
TCPの中でTCP/IPを通して、さらにSMBをしゃべっているのですから
遅いのは当たり前かも知れませんが、少しでもファイル転送の速度を上げるには
何かポイントってありますでしょうか？Debian etch です。

>>107
スレ違い。
あと、PPTPではデータチャネルはGREでカプセル化しており、
TCPを使っていない。そのためTCP/IP over TCPではない。

>>105
OpenVPNのベンチをnetperfでやってみた。
Celeron800のPCルータ対向で、最大25Mbpsくらいだった。aes128。
ショートパケットで9Mbps程度。けっこう粘る。
5万円切るような安いVPNルータ使うよりずっと性能出そう。
IPsecなら、aesで40Mbpsくらいいくかも。試してないけど。
IPsecはカーネルモードだから性能面では有利だと思う。

floppyfwのVPNサーバって速度速いの？
1MB/sぐらいFTPでダイレクト通信したら出る回線で
floppyfw使ったVPNセッションの中FTP通信したらどれくらい出るの？
OpenVPNだと200KB/s程度、つまり5分の1程度の速度しか得られなかったし
不安定で途中で切れたりしてた。

んっふっふ、あげちゃいますよぅ？
人少ないみたいですしねぇ。

たんたんのLinuxルータを、玄箱PRO（ARM）で再現してみるテスｔ

仕事でLinux使っててもルータ用途になると, とたんに*BSDに寝返る俺

>>112
うーむ、これ本当はやってみたかった。x86ベースのPC以外では、テストしていないんだが、
基本的にビルドシステムはアーキテクチャ非依存なので、やってできなくはないかも。
玄箱Proは一応PCIeのスロットも一つ付いてるので、外箱を工夫してうまくやればルータにもなるかも。
ビルドのtipsとか、本当はドキュメント化しないといけないんだけどやってないなぁ。

結局VIAのハードウェアAESが最強

そんなに凄いですか
dm-cryptにも使えますかね？

カーネルに統合されてるからもしかしたら使えるかも

やべ… また物欲が…

>>98
中村 満って今何やってんの？

>>112
>たんたんのLinuxルータ
「FON」 ならぬ 「TAN」 ていう名前は、どうでしょ？

>>120
たしかにtantanと動いてます。
自分の所ではOpenVPN(L2VPN)とOSPFで淡々とVPNしてますが、長いこと更新してないなぁ。
IPsec正式動作確認、IPv6の一応の対応、新しいハードウェアへの対応くらいは
次のリリースでやってみたいな。ドキュメントもちゃんと書かんとだめだぁ。
まったく期待しないでください。モチベーション、時間など先立つものがいる。

Networking with Linux, Experimentalって頭文字でこじつけてNLX
自分にとっての実験的ネットワークだから、リニア実験線の車両MLX01-901にかけてる、
ってのがもっぱらの噂。

>>120
できるよ。
以上。
↓次どうぞ

>>120
思いつきなんだが、
Tiny Arm based Network appliance
で、"TAN" というのは、どう？

玄箱とかたしかarmか。
もっぱら性能と中古の安さ、入手しやすさからx86のPC使いだわヽ(´ー`)ﾉ
ノバテックのixp425ボード見たときは萌えたけど、値段がもう雲の上なんで。┐(´ー｀)┌

ぼちぼち新しいカーネルとビルド環境で虫干ししないとカビそうだわ。
期待してる人もいないだろうけど、ろくにドキュメント更新してないなぁ。
完全に自分のためのチラシの裏プロジェクトだよ。ひとりwikiでもよかったかも（汗）

あんまりVPNに関係ない話ですみません。
自分はぷららーなんだけど、最近PPPのセッション再開で躓く。
切れた後の回復でCHAPが延々拒否される。ちょっとPPPチューニング変わったみたい。

こっちにも原因あるようで、少々おしゃべりなキープアライブの設定なので、
いつまでたってもセッションがリセットされないのかも。

# cat /etc/ppp/peers/primary

...省略...

lcp-echo-interval 10
lcp-echo-failure 4
lcp-max-terminate 25
lcp-restart 10
maxfail 0

ここがちょっとRASサーバからうざいと思われているようなので、もう少し常識的に寡黙なセッティングにしないといけないかも。
繋がりにくいと悩んでる人のヒントになれば。

CentOS 5 を PPTP クライアントとして使っているんですが、
http://pptpclient.sourceforge.net/
からダウンロードしたパッケージだと pptpconfig っていう gtk
ベースの GUI なツールが含まれていてそれでセッションを開始してます。

GUI はほとんど使わないので、コマンドラインからセッションを開始
（そして切れたら永遠にリトライし続ける）したいのですが、
どうすればいいんでしょうか？

Ubuntu GNU/Linux もクライアントとして使っているんですが、
これには pon / poff というコマンドがあります。同様の
コマンドは http://pptpclient.sourceforge.net/ のツール群にも
含まれるんでしょうか？

>>126
Bフレッツハイパーファミリーの拠点で、PPPが繋がらなくなるトラブルだったけど、結局ONUの
問題だったみたいで、ONU交換で直った。
特定の（三菱製で、最新でないモデル）ONUで必ず発生していた。相性問題かもね。

vyattaはどうよ？

endianfirewall,zeroshellは自分には敷居が高すぎた

もうOpenVPNでいいじゃん

pptpdの方が楽でした
でもOpenVPNの方が強固でしょうけどｗ

Openswan+L2TPDでやってます。
でも接続から数分後にいつの間にか切断されている…。

>>127
GUIなツールあったんだ。
いっつも面倒くさいんだよねpppd call すんの

ＶＰＮ重大ニュース　 スレは★20までいく

【国際】 中国 「ＩＴ製品、ソースコード開示せよ」…日本側が撤回求めるも、予定通り実施へ★４
http://tsushima.2ch.net/test/read.cgi/newsplus/1252535413/
「ソースコード開示せよ」…中国が外国企業に要求
http://pc11.2ch.net/test/read.cgi/prog/1221835452
23 ：名無しさん＠十周年：2009/09/10(木) 02:28:25 ID:UeD78g5r0
李鵬が言ってた、２０年後に日本なんてなくなるって、こういう事か。
40 ：名無しさん＠十周年：2009/09/10(木) 02:35:03 ID:BKKfZepB0
トヨタがプリウスで儲けれるのも来年までなんだね。

鳩山幸さんはサイエントロジーというカルトと関係があるという噂があります。
http://an★tikimchi.see★saa.net/art★icle/127578850.html
↑ 日本アンチキムチ団

鳩山幸さんの旧姓が不明だそうですよ。

764 名前：可愛い奥様[] 投稿日：2009/09/06(日) 01:04:07 ID:/WrcABwtO
北海道苫小牧在住の者ですが、老人ホームで暮らす朝鮮人のお婆ちゃんから聞いた話です。
幸夫人のごお父様は中国人ではなく、キム・ジョンウォン（漢字不明）という朝鮮北部出身の貿易商だったようです。
戦後は日本に渡り、幸さんが渡米するまでは神戸の商社に勤めていたようです。
キムさんは幸さんが渡米した直後、北海道室蘭に引っ越し、貿易商を営みながら総連支部の設立に尽力されたと話しておりました。
中国語・英語・ロシア語がお上手だったようですね。
【ﾌｧｰｽﾄﾚﾃﾞｨｰ】鳩山幸をｳｫｯﾁするスレ　２
http://hideyoshi.2ch.net/test/read.cgi/ms/1252279762/

>>135
ネトウヨの空気の読めなさは異常。

レッテル貼りしかできないのか？

右翼とか左翼とか関係無しにミーハーなだけじゃね？

iphoneからPPTPでサーバーにつないでるんだけど、
そこから内側のパソコンにアクセスできないんだけど・・・
ルーティングって必要？

なぜ不要だと思えるんだ？

前にテストしたときは何もしなくてもつながったんだ。

解決しますた。

openwrtのx86用のイメージをコンパクトフラッシュに書いて、CF-IDEの変換
に刺してPen!!!-1GHzぐらいのマシンに刺して使ってみることを薦める。多
分、良さを知るだけなら一度で十分。
十分なRAMと、ちゃんとしたメーカー
のNICさえ刺さってれば、FTTHで回線速度目一杯のトラフィックを内側にあ
る複数クライアントから発生させながらVPNを外部から十数本張っても、ヘ
コタレやしない。個人使用なら、Cel-300でお釣りが来そうだ。

squidを入れてキャッシュ用のHDDを増設すれば、透過串もできそうな予感。
X-wrtも入れると、さらに美味いかも。

openvpnでデマンドダイヤルってできないかな

仕事でOpteron246HEでメモリ1GってPCでルータしたことある。
性能は…測りきれないw
2005年頃netperfで軽くテストしたけど、1Mppsに限りなく迫ってるかも。

テスト

OpenVPN(TCP+TAP+SSL)を使ってるんだが、良く接続が切れる。
瞬断レベルだと1日に数十回、1分間以上は1日に数回ある。
SSHでの接続でも同じ用に切れるから、ISPとかのネット環境が悪いのかとあきらめてるんだが
何か対処法あったら教えてくれ。

SSHの切断対策をまねて、ping vpn-client し続けてるんだが、やっぱり時々切れてるみたいだ。

最終的には、実家(グローバルIP持ち)と下宿先(NAT監獄)を相互接続したいんだが
ルーティングとかブリッジとかちょっと自信ないから教えてくれ

[eth0: 192.168 .0.2] PC-B(VPN-Client)[tap0: 192.168.1.4] <--(internet)--
--> [tap0: 192.168 .1.8] VPN-Server[eth0: 192.168.2.16] <---
(<-- [eth0: 192.168 .2.1] router -->)
--> [eth0: 192.168 .2.32] PC-A(複数台)
というように、PC-B とPC-Aを相互通信させようと思った場合
PC-B
route add -net 192.168.2.0 gw 192.168.1.8(VPN-Server) dev tap0
route add -net 192.168.1.0 gw 192.168.1.8(VPN-Server) dev tap0

VPN-Serverに
route add -net 192.168.0.0 gw 192.168.1.4(PC-B)

routerに
route add -net 192.168.1.0 gw 192.168.2.16(VPN-Server)
route add -net 192.168.0.0 gw 192.168.2.16(VPN-Server)

PC-Aに
route add default gw 192.168.2.1(router)
で良いと思うんですが、pingが通りません。…何か決定的な勘違いをしている気もします。
routerでping 192.168.1.4　(VPN-server)すると問題ないんですが
PC-Aでping 192.168.1.4 (ry)はうまくいきません。

PC-Aにroute add -net 192.168.1.0 gw 192.168.2.16(VPN-Server)するとうまくいきますが
そんなことをしなくても、PC-Aは、デフォルトゲートウェイのrouterに丸投げして
routerはVPN-Serverに丸投げ、VPN-ServerはそのIPが自身だと知っているので
それで解決できそうな気がするのですが…

いくら実験しても、この時点で転けますorz

それよりVPN鯖がルーティング許可してるかを調べといたほうが良いな
デフォルトで許可されてないのが結構多い

>>147
安定しない回線では、OpenVPNのトランスポートにTCPではなくUDPを使うべき。
TCP over TCPは再送が起きるような不安定な回線だとマズいことになる。

SCTPでえぇやん。
DL限度をtcで絞ったらましにはなるかも。
同じ親回線にDL厨がいるってだけかもしれんが

DebianでPPTPサーバを立てたんだが、
The remote system is required to authenticate itself
but I couldn't find any suitable secret (password) for it to use to do so.
って言うメッセージが出てiPhoneが蹴られてしまう。
色々よんでnoauthとかoptionsに書いたんだけどやっぱり駄目。
なんか確認することある？

っ「wireshark」
コマンドラインなら、tsharkか。

http://vpn.anime-festa.com/

訳あって、ルーターの設定変更（転送設定）ができない環境で
VPNを構築したいんですが、そんな方法ありますか？
WindowsではHamachiというソフトを使ったら出来たんですが・・

あるけど、かなり色々としないと無理なんでは、
ハマチみたいに、グローバル上にVPNサーバを置いて
そこで各拠点からアクセスして、ブリッジネットワーク
を構築するとできると思うが、ネットワークの構成や
パフォーマンスで色々と艱難辛苦があると思う。

でも乗り越えたら技術力がつくからやってみたら。

iPhone用にopenswan+xl2tp環境構築中です。
景気づけに上げます。

openswanてバグバグじゃないの？
一回切れたらぜんぜんつながらないしｗ

test

これとかVPNルーター作るのに面白そう
ethernetがもう一つかminiPCIeがあればベストなんだが
ttp://japanese.engadget.com/2012/03/01/35-linux-pc-raspberry-pi-hdmi-sd-usb-la/

VPNがぶつぶつと切れる。
何が悪いのだろうか？
特に設定変更していません。

packet from 124.147.70.xxx:500: Informational Exchange is for an unknown (expired?) SA

ignoring Delete SA payload: IPSEC SA not found (maybe expired)