3: 2013-02-20 (水) 01:05:30 maruo[6] [7] | 現: 2017-08-01 (火) 23:56:55 maruo[6] [8] | ||
---|---|---|---|
Line 1: | Line 1: | ||
+ | 2017年6月24日 OpenSwan→LibreSwanへの移行を追記しました♪ | ||
+ | |||
*AndroidとVPN接続をしたい! [#mb57c775] | *AndroidとVPN接続をしたい! [#mb57c775] | ||
時々あるじゃーないですか。あ、なんかサーバの調子が変!ログインして状況確認したい~!!(無いって?)そんな時に、普段持っているスマフォで様子を観察できたら、あら、これは便利!なんてことを考えてました。それを実現するのが、AndroidでVPN接続! | 時々あるじゃーないですか。あ、なんかサーバの調子が変!ログインして状況確認したい~!!(無いって?)そんな時に、普段持っているスマフォで様子を観察できたら、あら、これは便利!なんてことを考えてました。それを実現するのが、AndroidでVPN接続! | ||
Line 24: | Line 26: | ||
さて、ココで問題。Android4.0(ICS)は、OS標準のIPsec-toolにバグがあり、そのままでは繋がってくれないとのこと。ですが、Portageのパッケージ管理内でなんとか事を済ませたい。このためにかなりイリーガルなやり方をしています。Gentooな方の参考になれば… | さて、ココで問題。Android4.0(ICS)は、OS標準のIPsec-toolにバグがあり、そのままでは繋がってくれないとのこと。ですが、Portageのパッケージ管理内でなんとか事を済ませたい。このためにかなりイリーガルなやり方をしています。Gentooな方の参考になれば… | ||
- | まず、OpenSwan2.6.38で、[[Android4.0(ICS)のバグ回避用パッチ>http://code.google.com/p/android/issues/attachmentText?id=23124&aid=231240180000&name=openswan-android-ics-natoa.patch]]をダウンロードしてきます。で、これをPortageパッケージツリーのOpenSwanの下に置いておきます。Portageのパスがデフォルトの/usr/portageだとしますね。 | + | まず、OpenSwan2.6.38をAndroid4.0(ICS)で動作できるようにするために、[[Android4.0(ICS)のバグ回避用パッチ>http://code.google.com/p/android/issues/attachmentText?id=23124&aid=231240180000&name=openswan-android-ics-natoa.patch]]をダウンロードしてきます。で、これをPortageパッケージツリーのOpenSwanの下に置いておきます。Portageのパスがデフォルトの/usr/portageだとしますね。 |
# cp openswan-android-ics-ntoa.patch /usr/portage/net-misc/openswan/files | # cp openswan-android-ics-ntoa.patch /usr/portage/net-misc/openswan/files | ||
Line 37: | Line 39: | ||
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^追加です | ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^追加です | ||
use ms-bad-proposal && epatch "${FILESDIR}"/${PN}-${PV%.*}-allow-ms-bad-proposal.patch | use ms-bad-proposal && epatch "${FILESDIR}"/${PN}-${PV%.*}-allow-ms-bad-proposal.patch | ||
+ | |||
find . -type f -regex '.*[.]\([1-8]\|html\|xml\)' -exec sed -i \ | find . -type f -regex '.*[.]\([1-8]\|html\|xml\)' -exec sed -i \ | ||
-e s:/usr/local:/usr:g '{}' \; || | -e s:/usr/local:/usr:g '{}' \; || | ||
Line 105: | Line 107: | ||
auth file = /etc/ppp/chap-secrets ; * Where our challenge secrets are | auth file = /etc/ppp/chap-secrets ; * Where our challenge secrets are | ||
listen-addr = <HeartBeatのフローティングIPアドレス> | listen-addr = <HeartBeatのフローティングIPアドレス> | ||
+ | |||
[lns default] ; Our fallthrough LNS definition | [lns default] ; Our fallthrough LNS definition | ||
ip range = 端末に割り振るアドレスの範囲 ; * Allocate from this IP range | ip range = 端末に割り振るアドレスの範囲 ; * Allocate from this IP range | ||
Line 195: | Line 197: | ||
**その他 [#jf7b196f] | **その他 [#jf7b196f] | ||
アイディア募集中。VPNつないでも、できることってあんまりないんだよね… | アイディア募集中。VPNつないでも、できることってあんまりないんだよね… | ||
+ | |||
+ | *Atheros AR8161 Ethernetコントローラがイケてない? [#b7745633] | ||
+ | |||
+ | どうも最近の自作マザーに搭載されているEthernetコントローラ [[Atheros AR8161NICドライバがイケてない>http://www.linuxfoundation.org/collaborate/workgroups/networking/alx]]模様で、2013/2/20付の最新ドライバだとIPsecの接続に以下のようなメッセージ出して失敗します。 | ||
+ | |||
+ | packet from XXX.XXX.XXX.XXX:4500: recvfrom XXX.XXX.XXX.XXX:4500 has no Non-ESP marker | ||
+ | |||
+ | 同一カーネルでALXドライバの古いバージョンを使用するとうまくできたりするのですが…この古いバージョン、パケット大量通信するとNICがハングしたりして誤動作したりするので、やっぱりイマイチです…バージョンアップをしばらく待ったほうがいいか… | ||
+ | |||
+ | で、結局ウチでは[[Intel CT Desktop Ethernet Adapter>http://www.amazon.co.jp/%E3%82%A4%E3%83%B3%E3%83%86%E3%83%AB-Gigabit-Desktop-Adapter-EXPI9301CT/dp/B001CXWWBE]]をインスコすることで解決してしまいました。内蔵EtherはOFFで。なんか負けた気分だけど…安定動作が信条のサーバでは致し方なしですかね。 | ||
+ | |||
+ | *OpenSwan→LibreSwanへ移行 [#icb0b361] | ||
+ | |||
+ | OpenSwanは、メンテナンスから外れ、フォークしたLibreSwanに引き継がれました。このため、新たに移行を致します。なお、Android7(Nugart)では、設定変更しないとIPsec/L2TP VPNが接続できませんでしたので、そちらも合わせて。 | ||
+ | |||
+ | **OpenSwanをアンインストール [#l54d9fe3] | ||
+ | # emerge -C openswan | ||
+ | |||
+ | おわりです | ||
+ | |||
+ | **LibreSwanをインストール [#se33a857] | ||
+ | まず、dev-libs/nss にutilsフラグをつけろと要求してきますので、package.useに追加します | ||
+ | dev-libs/nss utils | ||
+ | |||
+ | 続いて、LibreSwanをインストールします。 | ||
+ | |||
+ | # emerge --newuse -vuD libreswan | ||
+ | |||
+ | おしまいです。設定などはそのまま使用できます。 | ||
+ | |||
+ | **Android7用に設定を変更する [#y2451e9d] | ||
+ | Androidで要求してくる暗号化アルゴリズムを指定する必要があるとのことで、ipsec.confを以下の部分を修正及び追加いたします。 | ||
+ | |||
+ | ike=3des-sha1,aes-sha1,aes256-sha2_512-sha2_256,aes256;modp1024 | ||
+ | phase2alg=3des-sha1,aes-sha1,aes256-sha2_512,aes256-sha2_256;modp1024 | ||
+ | sha2-truncbug=yes | ||
+ | |||
+ | **サービス再起動 [#tb45a914] | ||
+ | # /etc/init.d/ipsec restart | ||
+ | # /etc/init.d/xl2tpd restart | ||
+ | |||
+ | これで、スマホからのVPN接続が確立できました♪ |
(This host) = https://femt.ddo.jp