気流の彼方 このページをアンテナに追加 RSSフィード

2007-04-29

[] Debian/GNU Linux + VPN over ssh  Debian/GNU Linux + VPN over sshを含むブックマーク  Debian/GNU Linux + VPN over sshのブックマークコメント

次のURL(no title)を参照。

ここでは、ssh と、カーネルの tun モジュールを利用して VPN を張るようだ。ただし、 ssh のバージョンが古いと -w など tunneling の機能が使えない。少なくとも、4.3 以上(Debian なら etch 以上)ならば良さそうである。

[] Debian/GNU Linux + PPP over ssh (参照)  Debian/GNU Linux + PPP over ssh (参照)を含むブックマーク  Debian/GNU Linux + PPP over ssh (参照)のブックマークコメント

Computing Memo of 2002/02/01

404 Not Found

TCP over TCP は評判が悪い。しかし、ある程度の安定した通信環境で、それなりに動いている場合には許してもらおう。

[] Debian/GNU Linux + PPP over ssh  Debian/GNU Linux + PPP over sshを含むブックマーク  Debian/GNU Linux + PPP over sshのブックマークコメント

  1. リモート(待ち受け側)
    1. vpn 用ユーザー(vpn)を作る。vpndip グループにエントリーする(結局、sudo で実現するので不用かも)。
  sudo adduser vpn 
  sudo vigr 
    1. ユーザ vpn が /usr/sbin/pppd をパスワードなしに sudo で実行できるようにする。
  sudo visudo 
  で 
       vpn	ALL=NOPASSWD: /usr/sbin/pppd 
  を追加。 
  1. ローカル(発信側)
    1. rootssh の空パスフレーズを作成する(dsa じゃない方がいいのかも)。
  ssh-keygen -t dsa 
  ※ このとき、ファイル名を id_dsa とは別にしておく。vpn 専用にするため。 
     例えば、id_dsa_forvpn 
    1. 公開鍵(id_dsa_forvpn.pub)をリモートに送信する。~
  scp -p ~/.ssh/id_dsa_forvpn.pub -l vpn remote.domain.name 
  1. リモート(待ち受け側)
    1. vpn 用ユーザーの .ssh/authorized_keys に、ローカル(発信側)で作った公開鍵を置く。
  su vpn 
  mkdir ~/.ssh 
  cat id_dsa_forvpn.pub >> ~/.ssh/authorized_keys 
  1. ローカル(発信側)
    1. pppd をリモートに実行するスクリプトを用意する。例えば、/root/bin/remotepppd に
#!/bin/sh 
exec ssh -2 -i /root/.ssh/id_dsa_forvpn -l vpn remote.domain.name 'sudo /usr/sbin/pppd file /usr/share/doc/ppp/examples/scripts/options-ssh-rem' 
    1. ローカルで pppd を起動する。root で次のようにして実行
  pppd pty /root/bin/remotepppd noauth 192.168.234.1:192.168.234.2 file /usr/share/doc/ppp/examples/scripts/options-ssh-loc 

[] Debian/GNU Linux ルータの簡単設定  Debian/GNU Linux ルータの簡単設定を含むブックマーク  Debian/GNU Linux ルータの簡単設定のブックマークコメント

いろいろなネットワークをスカスカにつなぐと、クラック天国状態になることは容易に想像できる。そこで、いろいろと敷居を高くしている。しかし、まあ、ローカルなプライベート空間同士ぐらいは、スカスカに繋ぎたいものである。

おそらく、初期値は、それをできなくしている。つまり、route add しても、パケットは通らない。カーネルの設定がきちんとできている前提で書くと、

 echo 1 > /proc/sys/net/ipv4/ip_forward 

としなければならない。ルーティングについては、

 route add -net 192.168.remote.subnet gw 192.168.234.1

などとすればよいはず。更に細かい制御をする場合には、iptables を用いるはず。


…なのだが、まだうまくいっていない…。

トラックバック - http://d.hatena.ne.jp/atm/20070429