OpenVPN

[0001 名無しさん＠お腹いっぱい。 2006/01/02(月) 09:22:15]

どうよ
http://openvpn.net/

[0497 492 2010/02/15(月) 13:16:56]

>>495 >>496
ありがとうございます。
ついに繋がりました。
原因はiptablesでした。br0のforwardを許可していませんでした!

[0498 名無しさん＠お腹いっぱい。 2010/02/15(月) 13:50:31]

　　　　　　　　∧∧
　　　　 　　ヽ(･ω･)/　 　ｽﾞｺｰ
　　　　 　＼(.＼ ノ
　　　　､ﾊ,,､　￣
　　　　￣

まあ、つながってよかったね。

[0499 496 2010/02/16(火) 01:26:59]

ついでなので、皆さんに聞いてみたいのですが496.の設定でWindowsクライアントから
FTPでVPNサーバにアクセスすると、途中で転送が止まってしまうんですが心当たりってあります？

一瞬だけ20Mbpsぐらいでて、それ以後そのFTPセッションだけ通信ができない状況です。
サーバ側のログを見ると、Rwwwwみたいな感じでパケットを送り続けている？状態です。

[0500 名無しさん＠お腹いっぱい。 2010/03/05(金) 15:33:50]

howtoの http://freescitech.net/2/ovpn2_howto_ja.html#dynamic に

OpenVPNサーバーにDynamicDNSでアクセス出来るようにする場合は
ddclientがパブリックIPアドレスの変化を知ったときに，DDNSのIPアドレスの更新＆
OpenVPNサーバーデーモンの再起動

って書いてあるんだけど，これはどういう理由？


OpenVPNサーバーって自身のパブリックIPアドレスを記憶してるの？

[0501 名無しさん＠お腹いっぱい。 2010/03/18(木) 10:38:44]

テストをしていて一つ疑問に思ったんだけど、

サーバが172.25.1.31で
server-bridge 172.25.1.31 255.255.255.0 172.25.1.34 172.25.1.35

クライアントが172.25.1.174
でvpnからもらったアドレスが172.25.1.34

vpnの意味がまったくなくてテストをしてるだけなんだけど、
172.25.1.31から172.25.1.34にpingできないのは正常?

[0502 名無しさん＠お腹いっぱい。 2010/03/18(木) 11:44:21]

ブリッジしたいんだと思うんだけど，なんでクライアントのIPアドレスが2つになってるんだろう？

もしクライアントが本当にVPNにつながってて，172.25.1.0/24のアドレスをもってるならping
が通らないとおかしい

[0503 名無しさん＠お腹いっぱい。 2010/03/22(月) 10:42:23]

LAN内でまともにテストしたいならやはりvpn鯖以外の物理NICの通信を遮断するのは必須かと
めんどうなら2回線用意していきなりインターネット越しにつないでしまったほうが良い

[0504 名無しさん＠お腹いっぱい。 2010/09/26(日) 09:27:09]

>>502
172.16.abc.defじゃなくて？

[0505 名無しさん＠お腹いっぱい。 2010/10/17(日) 02:21:16]

さくらVPSでOpenVPNを使いたいのですが、centossrv.comを参照して、
クライアント−サーバ間は接続できました。が、クライアントから
VPNサーバ経由でインターネットに接続ができません。
centossrv.comの内容はVPNネットワーク内の話なので、VPNサーバ経由で
外界に出るところの説明がありません。
VPNサーバ上で、VPNネットワークからLANネットワークへのroutingが必要
だと思うのですが、これはどのように行えばよいでしょうか？

[0506 505-2 2010/10/17(日) 02:22:22]

さくらサーバ：59.100.100.100
さくらサーバ側gw: 59.100.100.1
VPS側サーバ：10.8.0.1
VPSクライアント：10.8.0.6

server.conf（抜粋）
dev tun
server 10.8.0.0
;push "route ..."の設定は無し
push "dhcp-option DNS 8.8.8.8"

client.ovpn
remote 59.100.100.100 1194

[0507 505-3 2010/10/17(日) 02:25:33]

サーバ側route -n
Destination Gateway Genmask Flags Metric Ref Use Iface
10.8.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
10.8.0.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0
59.100.100.0 0.0.0.0 255.255.254.0 U 0 0 0 eth0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0
0.0.0.0 59.100.100.1 0.0.0.0 UG 0 0 0 eth0

クライアント側ipconfig
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : TAP-Win32 Adapter V9
Dhcp Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IP Address. . . . . . . . . . . . : 10.8.0.6
Subnet Mask . . . . . . . . . . . : 255.255.255.252
Default Gateway . . . . . . . . . : 10.8.0.5
DHCP Server . . . . . . . . . . . : 10.8.0.5
DNS Servers . . . . . . . . . . . : 8.8.8.8

[0508 名無しさん＠お腹いっぱい。 2010/10/17(日) 09:06:43]

>>505
natは？

[0509 名無しさん＠お腹いっぱい。 2010/10/17(日) 11:51:06]

「接続できません」じゃなくて、どうできないのか書こうぜ。VPNに経路が向かないのか、向いてるけど出て行けないのか。

で、push "redirect-gateway" は設定してる？使う場合は注意な。サーバ側configのコメントをよく嫁。

[0510 名無しさん＠お腹いっぱい。 2010/10/22(金) 14:58:43]

異なるLAN（例えば、192.168.1.0/24, 192.168.2.0/24, 192.168.3.0/24のような）から同じOpenVPNサーバを利用したい場合、server.confはどのようにしますか？
MULTI: Bad source address from client[192.168.0.xxx], packet dropped のエラーを回避するために
server.confに
client-config-dir ccd
route 192.168.1.0 255.255.255.0
route 192.168.2.0 255.255.255.0
route 192.168.3.0 255.255.255.0

を追加して、
ccdディレクトリのuserファイルに
iroute 192.168.1.0 255.255.255.0
iroute 192.168.2.0 255.255.255.0
iroute 192.168.3.0 255.255.255.0
と追加してみましたが、これは複数を指定するものではないようです。
logを見たところ、適切に割り当てられていません。

user-1 (user@192.168.1.0/24の意味）, user-2, user-3のようにアカウントを分けるのが適当でしょうか？

[0511 名無しさん＠お腹いっぱい。 2010/10/23(土) 00:39:49]

>>510
異なるネットワークから接続するために、ｓｅｒｖｅｒ.ｃｏｎｆを触る必要はないはず。
そうじゃなきゃ、事前に調査設定済みネットワーク以外からVPN張れないでしょ

同時に複数のクライアントを接続するならば、ユーザを分けないと無理じゃないかな

[0512 名無しさん＠お腹いっぱい。 2010/10/23(土) 09:46:04]

>>511
ありがとうございます。確かにその通りですが、実際にMULTIのエラーが出ます。アクセス元が限定されるのは構わないので、解決策はありませんでしょうか？

[0513 名無しさん＠お腹いっぱい。 2010/10/23(土) 11:22:40]

>>512
とにかく動けばOKならば、OpenVPNの鍵を分けて複数のポートで動作させるとか。
自分は同時にという目的ではないが、複数のポートで待ち受けさせてる。

多分、正しい解決方法は、同時アクセス数分ユーザを作るのだと思う
つttp://w3.doshisha.ac.jp/~kueda/index.php?OpenVPN
これとか見ると失効ユーザとかの処理がある

[0514 名無しさん＠お腹いっぱい。 2010/10/23(土) 13:37:30]

serverが2.09で、クライアントが2.13だと問題ありますか？
接続開始直後はいいのですが、間もなくvpnサーバへのpingが通らなくなります。
もしファイアウォールの問題なら最初から通らないはずだし。openvpnのlogにも何も問題は出ていません。

[0515 514 2010/10/23(土) 13:40:57]

vpnサーバのグローバルipへは通ります。
プライベートipへが通らなくなります。
全く通らないなら、まだ手が付けられるのですが。

[0516 名無しさん＠お腹いっぱい。 2010/10/23(土) 13:53:51]

>>515
それ vpn 通ってないだろ

[0517 514 2010/10/23(土) 15:48:58]

>>516
いや、接続直後の数分間はpingも通るし、下界にも出れます。また、通らなくなって暫くすると、また通ることもあります。が、また通らなくなりますが。

[0518 514 2010/10/23(土) 15:53:49]

あと1194ポートに何らかの操作が入っているかと思い、443に変えたところ、不正なパケット、のようなエラーが出ます。vpnによる通信ではなく、httpsに対する不正アクセスのパケットが干渉していると推測していますが、こういうことはありえますか？

[0519 名無しさん＠お腹いっぱい。 2010/10/23(土) 19:21:58]

UDP、光同士の対向でOpenVPNでVPN張ると黙っちゃうことは経験ある。
VPN張った後、FTPとかでデータ大量に流すと、pingも通らなくなる。
その場合TCPだと大丈夫だった。

[0520 514 2010/10/23(土) 20:05:41]

>>519
Reply window-backtrack occuredというエラーがクライアントログに出たときに、tcpに変更しています。
サーバ側を最新にしてみます。

[0521 514 2010/10/23(土) 20:09:22]

あとtcp-que-limit 128を追加しています。

[0522 名無しさん＠お腹いっぱい。 2010/10/24(日) 00:52:04]

# Set the appropriate level of log
# file verbosity.
#
# 0 is silent, except for fatal errors
# 4 is reasonable for general usage
# 5 and 6 can help to debug connection problems
# 9 is extremely verbose
verb 4

増やしてみるとか。

[0523 名無しさん＠お腹いっぱい。 2010/10/24(日) 05:30:25]

>>524
ありがとうございます。
やってみます。

[0524 名無しさん＠お腹いっぱい。 2010/10/24(日) 05:31:14]

しまった。>>522でした。

[0525 忍法帖【Lv=35,xxxPT】 【東電 51.7 %】 !omikuji!dama 2011/08/04(木) 05:19:09.20]

　　 　, -∧,,∧-- 、
　　　/ (-ω-｀ )　/
　　 r-くっ⌒cソ、 /　ん、起きてるよ？　大丈夫起きてるよ。
　 ノ '、 , 、 _, ' / /　　ちょっと横になるだけ。ちょっと目を瞑るだけ…
.（_,. 　　　 　 ././　　　　
,(.,_ ｀'ー-、_,,..ノ/
　　~`''ー--‐'

[0526 名無しさん＠お腹いっぱい。 2011/08/18(木) 00:41:37.19]

「OpenVPNで構築する超簡単VPN入門」の通りにインストールしましたが
redirect-gateway を設定しようとしてハマり申した。
(openvpn-2.1.4.tar.gz → CentOS Linux 5.6)

インストールされてるwebminには「Linux ファイヤウォール」
という項目があるのでそこから何か設定をするのでしょうか？

[0527 名無しさん＠お腹いっぱい。 2011/08/18(木) 17:55:16.10]

せめて openvpn の config および NW 構成くらいは晒せ

> 「OpenVPNで構築する超簡単VPN入門」

そんな本見ている人はほとんどいないんだし
挙げ句に webmin でなにしているかなんてわからん

[0528 名無しさん＠お腹いっぱい。 2011/12/05(月) 17:09:12.94]

ほす

[0529 名無しさん＠お腹いっぱい。 2011/12/11(日) 11:41:31.09]

ccdで固定アドレス振ろうとして変だなーっと思ったんで
easy-rsaで./build-key clientして
client.crt見たら
Issuer:
Subject:
の2行にそれぞれCN=hogeとCN=geboが書いてあったんだけど
これって固定アドレス振るのに影響あるのかな〜っと
クライアントとしてはSubjectのCNだけ見る筈なんだけど
むー良くわからない