5: 2010-03-14 (日) 22:43:03 maruo[6] [7] | 6: 2010-03-15 (月) 02:28:18 maruo[6] [8] | ||
---|---|---|---|
Line 51: | Line 51: | ||
少々お待ちくださいね… | 少々お待ちくださいね… | ||
**TLSのHMAC認証用共有鍵作成 [#h77443fa] | **TLSのHMAC認証用共有鍵作成 [#h77443fa] | ||
- | 別に作成しなくてもよいのですが、後で述べる暗号強度を強める設定を行う場合は、共有鍵を作成します。 | + | 別に作成しなくてもよいのですが、後で述べる[[暗号強度を強める設定>Gentoo Linuxな生活/OpenVPNで悩む#r6a3b622]]を行う場合は、共有鍵を作成します。 |
openvpn --genkey --secret ta.key | openvpn --genkey --secret ta.key | ||
Line 118: | Line 118: | ||
*OpenVPNを設定してみよう(TAPモード) [#l984cd92] | *OpenVPNを設定してみよう(TAPモード) [#l984cd92] | ||
#ref(TAP.jpg,around,right) | #ref(TAP.jpg,around,right) | ||
- | TAPモードは、アクセス先ネットワークとクライアントが同じアドレスとなります。TAPインタフェースの設定がめんどくさいんだけど、ルーティングなんかは設定しなくていいから楽なんだよね。ただ、アクセスコントロールをしたいときは難しいですわ。 | + | TAPモードは、アクセス先ネットワークとクライアントが同じサブネットとなります。TAPインタフェースの設定がめんどくさいんだけど、ルーティングなんかは設定しなくていいから楽なんだよね。ただ、アクセスコントロールをしたいときは難しいですわ。 |
+ | |||
+ | ちなみに、うちで試してみたら、DRBDとHeartBeatの冗長クラスタがうまく動かなくなっちゃった。なので、うちでは運用してません | ||
#clear | #clear | ||
+ | |||
**サーバ側 [#aa08ed07] | **サーバ側 [#aa08ed07] | ||
:dev|tap指定ね。 | :dev|tap指定ね。 | ||
Line 190: | Line 193: | ||
として再起動。 | として再起動。 | ||
- | こうすると、127.0.0.1のポート444に転送してくれるんですよ。httpを。 | + | こうすると、httpは127.0.0.1のポート444に転送してくれて、VPN接続も443で実行できるってわけです。便利ねー |
+ | |||
+ | **通信速度の高速化 [#v1fac745] | ||
+ | ***通信パケットの圧縮 [#y0196690] | ||
+ | 通信時に、データパケットを通信元で圧縮し、通信先で解凍すると、通信回線の速さよりもCPUが勝っていれば、通信速度が向上します。 | ||
+ | クライアント、サーバ側にcomp-lzoオプションを追加してやって。 | ||
+ | ***インタフェースのMTU長 [#pf891575] | ||
+ | MTU長とは、IPパケット上に載せられるデータサイズの事。ふつーのEthernetは、1500バイトです。これを超えたデータを転送しようとするとパケットを分割しようとします。これをフラグメントと言いますが、ものすごく転送速度が落ちます。 | ||
+ | |||
+ | さて、このVPN、IPトンネルを使用します。IPトンネルもEthernetと同じくデバイスに見えます。このデバイスに入ったパケットは、IPヘッダをつけて、さらにEthernetの1500バイトのIPデータに変換されます。分かりました?IPトンネルは、余計にくっつけるヘッダサイズ分、MTU長が小さくなるのです。なので、これを調整してやると、飛躍的に転送速度が上がります。 | ||
+ | tun-mtu 1280 | ||
+ | こんなオプションを、サーバ側、クライアント側の設定ファイルに追加すると…うちでは転送速度が2倍に向上したよ。 | ||
+ | |||
+ | ゲートウェイのブロードバンドルータレベルで、約100Mbyteほどの転送速度。で、設定前と設定後で、100Mbyte程度のデータをVPN経由して転送してみました。 | ||
+ | :設定前|2.5Mbyte/sec=約20Mbps | ||
+ | :設定後|5.2Mbyte/sec=約41Mbps | ||
+ | |||
+ | これは劇的な変化でしょ!! | ||
**BitLocker to Go [#j8f352de] | **BitLocker to Go [#j8f352de] | ||
Line 205: | Line 225: | ||
+クライアント暗号キーのパスフレーズ入力(パスフレーズ付きのクライアントキー認証) | +クライアント暗号キーのパスフレーズ入力(パスフレーズ付きのクライアントキー認証) | ||
+サーバと接続確立 | +サーバと接続確立 | ||
- | |||
+あとはおうちで使用するのと同じように、サーバにSSHやら、共有ドライブアクセスやら、IMAP使用したりできる | +あとはおうちで使用するのと同じように、サーバにSSHやら、共有ドライブアクセスやら、IMAP使用したりできる | ||
うっふっふ♪こいつぁ便利な上に、SDカードとセットでないとアクセスできない。SDキーをなくしても、暗号化されている上に何のキーかわからないから、安心ってわけね。 | うっふっふ♪こいつぁ便利な上に、SDカードとセットでないとアクセスできない。SDキーをなくしても、暗号化されている上に何のキーかわからないから、安心ってわけね。 |
(This host) = https://femt.ddo.jp