[FreeBSD-users-jp 93962] Re: poptop にて複数ユーザ接続時のルーティングについて

[もじもじ]

返答ありがとうございました。

実は、Windows 関連は TinyVPN(http://www.shimousa.com/tv/)
にて実現しております。これも非常に優秀です。

問題は iPhone 等 PPTP や IPsec しか持っていないクライア
ントでして・・・

色々実装方法はあるでしょうが、今までルータの PPTP サーバ
を使用していましたので、そのクライアントたちの使用環境を
変えること無く実装するには Poptop(with pptpd) が現実解だっ
たというわけです。

それと、今回は GRE の問題ではなく、サーバ側のパケットの帰
りルートであると思っています。

そもそも mask 255.255.255.255 なのに、そのクライアント宛の
データが別のトンネルを通ろうとしているのが頂けません。

というか、PPTP が接続された時点で netstat -rn を見ると、
どちらも tun2 を通ろうとしています。
なぜこうなるのか・・・
# tcpdump でも確認済みです。

# netstat -rn | grep 192.168.13
192.168.13.64      192.168.13.1       UGH         0      103   tun2
192.168.13.247     192.168.13.1       UGH         0     1007   tun2
# ifconfig -a
     :
tun2: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1398
        inet 192.168.13.1 --> 192.168.13.64 netmask 0xffffffff
        Opened by PID 39629
tun3: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1498
        inet 192.168.13.1 --> 192.168.13.247 netmask 0xffffffff
        inet6 fe80::230:48ff:fe2d:ee28%tun3 prefixlen 64 scopeid 0x8
        Opened by PID 46179

これは頂けません。
192.168.13.247 行きのデータが192.168.13.64(tun2)に転送さ
れてしまいます。

を。よく見ると inet6 は tun3 を通ろうとしているのでしょうか。
ますますわけがわかりません（笑）

そろそろソースを覗かないといかんのか、、、と。。。

Tue, 31 Jul 2012 15:44:10 +0900 に、
Yoshihiro Hanahara <hanah...@meiko.co.jp> さんは書きました:

> 花原@明宏です。
> 
> あんまり詳しくはないけど、同じようなことではまったことあるので、コメント
> します。いまは、OpenVPNに乗り換えてるんで、記憶が定かではなく、あいまい
> なことをいってるかもしれませんが、ご参考までに。
> 
> 
> On Mon, 30 Jul 2012 16:43:55 +0900
> もじもじ <mojimoji...@yahoo.co.jp> wrote:
> 
> > ところが・・・
> > 複数ユーザが接続するととたんにダメです。
> > 
> > 理由は簡単。
> > 現在、使用出来る tun デバイスは tun2 〜なのですが、まず、
> > １つ目の端末が tun2 に接続。
> > 次の端末が tun3 に接続。
> > 
> > ２つ目の端末の戻りパケットが tun2 デバイスへ・・・(T_T)
> 
> 私も1台はつながるけど、同じブロードバンドルータの下のもう一つ別のマシン
> からは接続できないということを経験しています。
> 
> いま、PopTopのサーバーは、グローバルな固定IPアドレスに接続されていて、そ
> れを別の場所のNAT(NAPT)ブロードバンドルータから接続するという場合を考え
> ます。
> 
> PPTPがパケットのカプセル化につかうのはGREパケット(IPのプロトコル番号47番)
> で、TCPでもUDPでもありません。この為、いちおうPPTPパススルーとかいうので、
> 1台がつながる分には問題なくつながっても、2台目がつながるような場合、どこ
> にパケットを返していいのかポート番号のようなものがないので判らないのかも
> しれません。
> サーバー側もGREにはIPアドレスしか識別できるものがないので、NAT配下にある
> 2台目が接続してきても、1台目とIPアドレスが同じところからきてるので区別が
> つかなくなってるのかもしれません。
> 
> この当りを、いろいろいじくり回して、あーでもない、こーでもないと、いろい
> ろやってみましたが、結局、自分の環境ではうまく動かすことはできず、PPTPで
> VPNする事をあきらめてしまいました。
> 
> 
> その後、OpenVPNを試してみたところ、わりとうまくいったので、今はそれをつ
> かってます。WindowsやMacOSXにも対応してますし、パケットはTCPもしくはUDP
> でカプセル化するので、NATルータとの相性も良好です。
> 
> NATブロードバンドルータの内側にありポート転送しているような、FreeBSDの
> OpenVPNサーバーに接続しても特に問題ありません。DDNSと組み合わせれば、外
> 部から、おうちサーバーに接続するというのも、特に問題なくできると思います。
> 
> ---
> Yoshihiro Hanahara <hanahara ＠ meiko . co . jp>
> 
> 

-- 
もじもじ <mojimoji...@yahoo.co.jp>