何か決めなきゃ駄目ですか。



俺が決めたら、貴方はどうするんだい。

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

PageTop

愚痴っぽいの

※未解決です。



VPNをL2方式でやろうとする。
(L3方式?SSH-VPN?俺は好きになれない。)
と、L2TP/IPsecとPPTP方式がまず挙げられるだろ。
PPTPはTCP1723とGRE(プロトコル番号47)を使って、
L2TP/IPsecはUDP1701とESP(プロトコル番号50)orAH(プロトコル番号51)を使う。

NATを使ってると、これらをLAN内サーバにルーティングしてやらないとならない。
そうでないなら、VPNサーバとNATを同一Boxにするしか無いんじゃなかろうか。
(※閉域網でも良いなら、Flet'sのIPv6経由で可能だと思うけど試してない。)

ルータの設定画面を見てたんだけど、coregaってプロトコルベースルーティング出来ないんだね。
これだからcoregaは・・・他社製ルータに買い換えるか。
(※俺の持ってる機種だからというよりも、、corega製品全体としてそういう風潮のようだ。)
*追記:しかもポート開放設定の制限数10個って何だ、少なすぎだろボケ。

もういいよ、DMZ使うよ。
(※そしたらLAN内からDomain名使って鯖に接続できなくなる。不便極まりない。
   でも、NECのルータは基本仕様でそうらしい。ニアピンNAT(?正式名無し)とか言うの。
   それもどうかと思うよね。RFCだとニアピンNATしろ、って書いてあるらしいけど。)



想定構成
[coregaルータ]及び[VPNパススルー機能有ルータ]は、内部LANに対して
NAT(特に1:nのNAPT)を利用しているものとする。
ClientはWindowsで、sambaサーバと合わせて使う。

[鯖] ― [coregaルータ] ― [インターネット] ― [VPNパススルー機能有ルータ] ― [Client]



多くの弊害が出ているが・・・それはさておき。
(仮想)DMZとして鯖のアドレスを指定。
Ubuntu8.04(しかもDesktop)の入った鯖ではpptpdを動かす。
Windowsでは標準で実装されているWAN ミニポートを使う。
結果的には、PPTPはあっさり(と言っても紆余曲折あったのだが)VPN出来る。
所詮CelM1.3+512M+100BASE-Tの鯖能力では、動く以上を求めるのは酷だが。


で、似たようにL2TP/IPsecで構成しようとすると、どうも詰まる。
L2TP/IPsecは、racoonとxl2tpdを立ち上げてる。
pppdはxl2tpdがキックするらしいので、放置。(そもそも、xl2tpd -Dで見ても反応無くて凹む)
  ISAKMPは終了まで動作する
  →ESPパケットがクライアントから飛んでくる。
  →シカト。
はいはい、俺の設定が悪いんですね。


WindowsXP HomeはL2TP/IPsecに証明書使えないの?何なの?馬鹿なの?
coregaは何でプロトコル番号を指定できないの?TCPとUDPだけって何なの?
もう一個回線契約するの?んなわけないじゃん。
オタモダチに接続テストしてもらうのもそろそろ心苦しくなった。(いつまでも動かないから


あとな、トランスポートモードとトンネルモードだったら、明らかに簡単なのはトンネルモードだ。
だから、困ったらトンネルモード使います。マジで。
仮に2台の間でテストする場合でも、トンネルデバイスの存在を考えたらトンネルモードの方が
絶対理解も楽です。マジで。
トランスポートモードの方が簡単とか言う奴は・・・俺には信用できん。



おまけ




/etc/pptpd.conf


# TAG: option
# Specifies the location of the PPP options file.
# By default PPP looks in '/etc/ppp/options'
#option /etc/ppp/pptpd-options
option /etc/ppp/options.pptp

# TAG: logwtmp
# Use wtmp(5) to record client connections and disconnections.
logwtmp

localip 192.168.1.100
remoteip 192.168.1.200-220




/etc/ppp/options.pptp

# Lock the port
lock

# We won't do EAP, CHAP, or MSCHAP, but we will accept MSCHAP-V2
refuse-eap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
crtscts
idle 1800
nodefaultroute
debug
lock
connect-delay 2500
novj
novjccomp

logfile /var/log/pptpd_.log

# Compression
# Turn off compression protocols we know won't be used
nobsdcomp
nodeflate
proxyarp




こればっかりは好きに書くしかない。
chap-secret


/etc/racoon/ipsec_policy.conf


#!/usr/sbin/setkey -f
## Flush the SAD and SPD
#
flush;
spdflush;

spdadd 0.0.0.0/0 0.0.0.0/0[1701] udp -P in ipsec esp/transport//require;
spdadd 0.0.0.0/0 0.0.0.0/0[1701] udp -P out ipsec esp/transport//require;

PageTop

コメント


管理者にだけ表示を許可する
 

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。