5: 2010-03-14 (日) 22:43:03 maruo |
6: 2010-03-15 (月) 02:28:18 maruo |
| 少々お待ちくださいね… | | 少々お待ちくださいね… |
| **TLSのHMAC認証用共有鍵作成 [#h77443fa] | | **TLSのHMAC認証用共有鍵作成 [#h77443fa] |
- | 別に作成しなくてもよいのですが、後で述べる暗号強度を強める設定を行う場合は、共有鍵を作成します。 | + | 別に作成しなくてもよいのですが、後で述べる[[暗号強度を強める設定>Gentoo Linuxな生活/OpenVPNで悩む#r6a3b622]]を行う場合は、共有鍵を作成します。 |
| openvpn --genkey --secret ta.key | | openvpn --genkey --secret ta.key |
| | | |
| *OpenVPNを設定してみよう(TAPモード) [#l984cd92] | | *OpenVPNを設定してみよう(TAPモード) [#l984cd92] |
| #ref(TAP.jpg,around,right) | | #ref(TAP.jpg,around,right) |
- | TAPモードは、アクセス先ネットワークとクライアントが同じアドレスとなります。TAPインタフェースの設定がめんどくさいんだけど、ルーティングなんかは設定しなくていいから楽なんだよね。ただ、アクセスコントロールをしたいときは難しいですわ。 | + | TAPモードは、アクセス先ネットワークとクライアントが同じサブネットとなります。TAPインタフェースの設定がめんどくさいんだけど、ルーティングなんかは設定しなくていいから楽なんだよね。ただ、アクセスコントロールをしたいときは難しいですわ。 |
| + | |
| + | ちなみに、うちで試してみたら、DRBDとHeartBeatの冗長クラスタがうまく動かなくなっちゃった。なので、うちでは運用してません |
| | | |
| #clear | | #clear |
| + | |
| **サーバ側 [#aa08ed07] | | **サーバ側 [#aa08ed07] |
| :dev|tap指定ね。 | | :dev|tap指定ね。 |
| | | |
| として再起動。 | | として再起動。 |
- | こうすると、127.0.0.1のポート444に転送してくれるんですよ。httpを。 | + | こうすると、httpは127.0.0.1のポート444に転送してくれて、VPN接続も443で実行できるってわけです。便利ねー |
| + | |
| + | **通信速度の高速化 [#v1fac745] |
| + | ***通信パケットの圧縮 [#y0196690] |
| + | 通信時に、データパケットを通信元で圧縮し、通信先で解凍すると、通信回線の速さよりもCPUが勝っていれば、通信速度が向上します。 |
| + | クライアント、サーバ側にcomp-lzoオプションを追加してやって。 |
| + | ***インタフェースのMTU長 [#pf891575] |
| + | MTU長とは、IPパケット上に載せられるデータサイズの事。ふつーのEthernetは、1500バイトです。これを超えたデータを転送しようとするとパケットを分割しようとします。これをフラグメントと言いますが、ものすごく転送速度が落ちます。 |
| + | |
| + | さて、このVPN、IPトンネルを使用します。IPトンネルもEthernetと同じくデバイスに見えます。このデバイスに入ったパケットは、IPヘッダをつけて、さらにEthernetの1500バイトのIPデータに変換されます。分かりました?IPトンネルは、余計にくっつけるヘッダサイズ分、MTU長が小さくなるのです。なので、これを調整してやると、飛躍的に転送速度が上がります。 |
| + | tun-mtu 1280 |
| + | こんなオプションを、サーバ側、クライアント側の設定ファイルに追加すると…うちでは転送速度が2倍に向上したよ。 |
| + | |
| + | ゲートウェイのブロードバンドルータレベルで、約100Mbyteほどの転送速度。で、設定前と設定後で、100Mbyte程度のデータをVPN経由して転送してみました。 |
| + | :設定前|2.5Mbyte/sec=約20Mbps |
| + | :設定後|5.2Mbyte/sec=約41Mbps |
| + | |
| + | これは劇的な変化でしょ!! |
| | | |
| **BitLocker to Go [#j8f352de] | | **BitLocker to Go [#j8f352de] |
| +クライアント暗号キーのパスフレーズ入力(パスフレーズ付きのクライアントキー認証) | | +クライアント暗号キーのパスフレーズ入力(パスフレーズ付きのクライアントキー認証) |
| +サーバと接続確立 | | +サーバと接続確立 |
- | | |
| +あとはおうちで使用するのと同じように、サーバにSSHやら、共有ドライブアクセスやら、IMAP使用したりできる | | +あとはおうちで使用するのと同じように、サーバにSSHやら、共有ドライブアクセスやら、IMAP使用したりできる |
| | | |
| うっふっふ♪こいつぁ便利な上に、SDカードとセットでないとアクセスできない。SDキーをなくしても、暗号化されている上に何のキーかわからないから、安心ってわけね。 | | うっふっふ♪こいつぁ便利な上に、SDカードとセットでないとアクセスできない。SDキーをなくしても、暗号化されている上に何のキーかわからないから、安心ってわけね。 |