ページへ戻る

− Links

 印刷 

Gentoo Linuxな生活​/OpenVPNで悩む のバックアップ差分(No.6) :: Nest Of Hawk

xpwiki:Gentoo Linuxな生活/OpenVPNで悩む のバックアップ差分(No.6)

« Prev[4]  Next »[5]
5: 2010-03-14 (日) 22:43:03 maruo[6] ソース[7] 6: 2010-03-15 (月) 02:28:18 maruo[6] ソース[8]
Line 51: Line 51:
少々お待ちくださいね… 少々お待ちくださいね…
**TLSのHMAC認証用共有鍵作成 [#h77443fa] **TLSのHMAC認証用共有鍵作成 [#h77443fa]
-別に作成しなくてもよいのですが、後で述べる暗号強度を強める設定を行う場合は、共有鍵を作成します。+別に作成しなくてもよいのですが、後で述べる[[暗号強度を強める設定>Gentoo Linuxな生活/OpenVPNで悩む#r6a3b622]]を行う場合は、共有鍵を作成します。
 openvpn --genkey --secret ta.key  openvpn --genkey --secret ta.key
Line 118: Line 118:
*OpenVPNを設定してみよう(TAPモード) [#l984cd92] *OpenVPNを設定してみよう(TAPモード) [#l984cd92]
#ref(TAP.jpg,around,right) #ref(TAP.jpg,around,right)
-TAPモードは、アクセス先ネットワークとクライアントが同じアドレスとなります。TAPインタフェースの設定がめんどくさいんだけど、ルーティングなんかは設定しなくていいから楽なんだよね。ただ、アクセスコントロールをしたいときは難しいですわ。+TAPモードは、アクセス先ネットワークとクライアントが同じサブネットとなります。TAPインタフェースの設定がめんどくさいんだけど、ルーティングなんかは設定しなくていいから楽なんだよね。ただ、アクセスコントロールをしたいときは難しいですわ。 
 + 
 +ちなみに、うちで試してみたら、DRBDとHeartBeatの冗長クラスタがうまく動かなくなっちゃった。なので、うちでは運用してません
#clear #clear
 +
**サーバ側 [#aa08ed07] **サーバ側 [#aa08ed07]
:dev|tap指定ね。 :dev|tap指定ね。
Line 190: Line 193:
として再起動。 として再起動。
-こうすると、127.0.0.1のポート444に転送してくれるんですよ。httpを。+こうすると、httpは127.0.0.1のポート444に転送してくれて、VPN接続も443で実行できるってわけです。便利ねー 
 + 
 +**通信速度の高速化 [#v1fac745] 
 +***通信パケットの圧縮 [#y0196690] 
 +通信時に、データパケットを通信元で圧縮し、通信先で解凍すると、通信回線の速さよりもCPUが勝っていれば、通信速度が向上します。 
 +クライアント、サーバ側にcomp-lzoオプションを追加してやって。 
 +***インタフェースのMTU長 [#pf891575] 
 +MTU長とは、IPパケット上に載せられるデータサイズの事。ふつーのEthernetは、1500バイトです。これを超えたデータを転送しようとするとパケットを分割しようとします。これをフラグメントと言いますが、ものすごく転送速度が落ちます。 
 + 
 +さて、このVPN、IPトンネルを使用します。IPトンネルもEthernetと同じくデバイスに見えます。このデバイスに入ったパケットは、IPヘッダをつけて、さらにEthernetの1500バイトのIPデータに変換されます。分かりました?IPトンネルは、余計にくっつけるヘッダサイズ分、MTU長が小さくなるのです。なので、これを調整してやると、飛躍的に転送速度が上がります。 
 + tun-mtu 1280 
 +こんなオプションを、サーバ側、クライアント側の設定ファイルに追加すると…うちでは転送速度が2倍に向上したよ。 
 + 
 +ゲートウェイのブロードバンドルータレベルで、約100Mbyteほどの転送速度。で、設定前と設定後で、100Mbyte程度のデータをVPN経由して転送してみました。 
 +:設定前|2.5Mbyte/sec=約20Mbps 
 +:設定後|5.2Mbyte/sec=約41Mbps 
 + 
 +これは劇的な変化でしょ!!
**BitLocker to Go [#j8f352de] **BitLocker to Go [#j8f352de]
Line 205: Line 225:
+クライアント暗号キーのパスフレーズ入力(パスフレーズ付きのクライアントキー認証) +クライアント暗号キーのパスフレーズ入力(パスフレーズ付きのクライアントキー認証)
+サーバと接続確立 +サーバと接続確立
- 
+あとはおうちで使用するのと同じように、サーバにSSHやら、共有ドライブアクセスやら、IMAP使用したりできる +あとはおうちで使用するのと同じように、サーバにSSHやら、共有ドライブアクセスやら、IMAP使用したりできる
うっふっふ♪こいつぁ便利な上に、SDカードとセットでないとアクセスできない。SDキーをなくしても、暗号化されている上に何のキーかわからないから、安心ってわけね。 うっふっふ♪こいつぁ便利な上に、SDカードとセットでないとアクセスできない。SDキーをなくしても、暗号化されている上に何のキーかわからないから、安心ってわけね。
« Prev[4]  Next »[5]