13/11/06 19:01:54.05 zaKAUkAL0
前スレも、ひかり電話スレも落ちていたので後継スレを建てました。
※ 前スレ
スレリンク(iPhone板)
このスレの主旨:
クラウドサービスはたしかに便利。
でもVPNでしか出来ないことがある。
- 自宅のNAS, PC, 情報家電へのアクセス
- ひかり電話ルータへの接続
- 2ch.netへの書き込み規制の回避
など
このスレでは、
- VPNの環境作り
- VPNで活きるアプリ
- 便利な使い方
- ひかり電話関連
- DDNSも含む?
などを、模索・報告・質問・相談・解答していきましょう。
※ 脱獄前提の話は無し、キャリアが違っても煽らず仲良く
1) iPhoneで対応できるVPNの種類(プロファイルを入れる以外)
PPTP
L2TP/IPSec
Cisco IPSec
※ 不明: 各社SSL VPN, OpenVPN, PacketiXなどの独自実装
2) キャリアの対応状況
・au(完全プライベートネットワーク)
3G: PPTP ng, L2TP/IPSec ok, Cisco IPSec ?
LTE: PPTP ok, L2TP/IPSec ok, Cisco IPSec ?
・SoftBank(パブリック・プライベート混在ネットワーク)
3G: ?
LTE: PPTP ok, L2TP/IPSec ok, Cisco IPSec ?
・docomo(?)
3G: PPTP ng, L2TP/IPSec ?, Cisco IPSec ?
LTE: PPTP ng, L2TP/IPSec ?, Cisco IPSec ?
※ LTEはspモード
2:iPhone774G
13/11/06 19:02:54.08 zaKAUkAL0
3) PPTP, L2TP/IPSec...
・PPTP
- 比較的構築しやすい
- 安価なルータにサーバ機能が実装されているので手軽
- MSCHAPv2に脆弱性が出たが、現状FPGAやGPUをぶん回して解析できるレベル、あと数年は保つ?
※注意※
2ch に書き込む際に、PPTPサーバで使うポートをスキャンされる
⇒ 2chのサーバからのアクセスをdeny,rejectしておく必要がある
設定するための環境:
- バッファローのルータ
- アイオーデータのルータ
- Windowsの着信接続
- Linuxのpptpd
- MacOS X
- 各種UN*X
など
・L2TP/IPsec
- 構築の難易度が上がる
- 安全で、業務に使われており、PPTPのような脆弱性は今のところ見つかっていない
- IPSecによりL2TP(非暗号化)をカプセル化し、AESで暗号化して通信
- ひかり電話のルータ PR-400NE には実装されている ⇒ 簡単に構築可能(但し事前共有鍵を自分で設定できない)
設定できる環境:
- Ciscoルータ
- YAMAHAルータ
- アライドテレシスルータ
- Windowsのファイアーウォール(Vista以降)
※ XPだと暗号化が3DESだけらしい
詳細は
URLリンク(app.m-cocolog.jp)
- PacketiX VPN 4.0以降
- Linux OpenSwan/xl2tpd
- MacOS X
- 各種UN*X
など
4) VPNサービス事業者
- 自宅回線が無い場合に、VPNサービスを提供している事業者を使うことも可能
- アメリカに多い
- 事業者の国でしか展開していないサービスを利用できる
- 普通は速度が遅いし、従量課金
・事業者の例(アメリカ、85円/月から、お試し有り)
Hotspot Shield
VPN Express
など
3:iPhone774G
13/11/06 19:04:23.04 zaKAUkAL0
5) ひかり電話
ひかり電話ルータは、
- PPPoE終端
- ルーティング
- SIPサーバ
の機能がある。
加えてPR-400NEは、
- L2TP/IPSecサーバ
も付いている。
これらを上手く分離して使えば、自宅のひかり電話をiPhoneから使うことができる。
・構築例(PoE=ひかり電話ルータ)
1段目 ひかり電話ルータ ファイバーなど終端部(ONU)
2段目 ひかり電話ルータ PPPoE終端・ルーティング部
- VPNパススルー ⇒ VPNは終端せず後段に任せる
- PPPoEパススルー ⇒ PPPoEは終端せず後段に任せる
- SIPパススルー(ひかり電話ならIPv6パススルーか)
要するに何もしない。
3段目 各種PPPoE終端部
- PPPoEを終端
- VPNパススルー
- SIPパススルー(ひかり電話ならIPv6パススルーか)
4段目 各種VPN終端部
- VPNを終端
- SIPパススルー(ひかり電話ならIPv6パススルーか)
5段目 SIPサーバ
- ひかり電話ルータのSIPサーバ機能 ※他のSIPサーバは?
1~5段目までは、1台の機器で複数まとめることが出来る。
PR-400NEの場合は、短いケーブルで繋がっているSIPサーバ部を分離して使えるので、ケーブルを差し替えて、
例) PR-400NE ==> バッファロールータ PPPoE終端・PPTP VPN終端 ==L2同セグメント==> PR-400NE SIPサーバ
とすればok。L2TP/IPSec VPNの場合は一台で済むかもしれないが未検証。
ちょっとしくじるとループするので、各パススルーは最初はoffで徐々にonにしていくのを推奨。但しARPキャッシュなどには要注意。
6) 固定IPアドレス、DDNS
外部から自宅などのルータにアクセスするには、その外部IPアドレスをiPhoneが知っている必要がある。
- ISPの固定IPアドレスサービス
- DDNSサービスからIPアドレスをリゾルブ
- 各種ルータメーカの独自サービス
- NAS, 情報家電などの独自サービス
などを用いる。
以上、取り急ぎテンプレもどき。
不足分・誤りを訂正・補足してください。
4:iPhone774G
13/11/06 23:09:15.42 +kPyKP4Pi
いちょつ
5:1
13/11/07 01:33:38.37 njOJlLtK0
申し訳ない、うちのはPR-400KIだった。
6:1
13/11/07 01:54:03.48 rlQkn6Bg0
>>2
うちのルータの設定を読めるようになったので補足。
> ・PPTP
> ※注意※
> 2ch に書き込む際に、PPTPサーバで使うポートをスキャンされる
> ⇒ 2chのサーバからのアクセスをdeny,rejectしておく必要がある
うちでは以下をdenyしていて書き込めている。
- ソースアドレス ⇒ 206.223.144.0/20, 207.29.224.0/19
- 対象プロトコル: GRE(プロトコル番号 47), 1723/TCP, 443/TCP, 995/TCP
一部では 443/TCP, 995/TCP を省いても書き込めたとの報告もあるが、2chのサーバがapacheのモジュールを使っているようだし、運営のポリシーが一貫していないっぽいので、全部閉じていたほうが安全。
今現在だと 443/TCP ⇒ 995/TCP ⇒ 1723/TCP の順でポートスキャンが来ていた。
ポートスキャンで飛んできているのはTCPのSYNなのでRESETを送るようにした方が早く書き込めるかもしれない。TCP SYNの後にすぐにFIN-ACKが飛んでくる。
7:iPhone774G
13/11/08 10:59:25.02 zjBnGF9fi
いちもつ