10/05/22 08:01:12 CtlRGPP8
>>785
> つうことはxまわりのやりとり(ポートの開放とか)はデバイスとしては
> openvpnのくくりつけられた、自宅鯖から仮想デバイスに割り振られたIPアドレス上の話となるのでは?
バインドするアドレスを指定するわけではないので、仮想デバイスの当該ポートだけを
開放できるならいいけど、放っておくとインターネット側のデバイスのポートも開放されて
しまいます。そしてバインドするアドレスの指定を環境の変わるクライアントでやるのは
面倒です。
> ルータからパススルーして直接鯖を晒すのが嫌なら、
> IPsecなYamahaルーターの中古(15000円)くらいで、接続するとかの方法を取るとかかな。
> 少なくとも、この使い方してる限りは、外部からvpn内で開いたポートは見えてない。
openvpnにはudpポートを使わせていて、ルータはWAN側のアドレスの当該ポート通信を
LAN側のopenvpn鯖に転送しているだけです。
この通信で認証されるとIPsec同様の暗号化されたトンネリング通信が可能になります。
なのでopenvpn鯖の当該ポートは直接晒されていてそれは嫌ではありません。
> ただ、出先からルータ越しの場合は見えるけど、イモバのUSB接続のpppoeのデバイスとは異なるから、
> 心配する必要はないのでは?
多分バインドするアドレスを指定する前提なんですね。
これは接続環境が変わりやすいクライアントでは面倒だと思います。
例えばある自宅でないLANにイーサネットで繋いだときも必要であればXDMCPでその
LAN内のサーバに設定変更なしに繋いだりしたいです。逆に別のLANにイーサネットで
繋いだときは、そこからトンネルデバイス(そのLANから繋がるインターネットを経由して
自宅LANにトンネル)に対してだけポートを開きたいのです(開くなら)。
だから心配する必要があると思います。
なお同様にパケットフィルタリングも面倒です。