2020-07-20
VPN サービスは怪しげなものが多い
最近、ログを取得しないといっていた香港の UFO VPN から 2,000 万件もの顧客情報が漏洩した、というニュースがありました。
詳細は ここに 報告されおり、UFO VPN、FAST VPN、Free VPN、Super VPN、Flash VPN、Secure VPN、Rabitt VPN の7つの VPN サービスですが、すべて同じ運営だそうで、UFO VPN に代表されるようです。
これは氷山の一角で、VPN サービスについては有料・無料を問わず、怪しげなものが多い。
「ログを取得しない」という中身は「アプリでは取得しない」が「サーバーには取得しているかも知れない」と読み解く必要がありそうです。
リモートワークで企業ネットに VPN 接続することも多いと思います。
企業ネットの場合は、その企業のセキュリティ対策に依存しますので仕方ありませんが、個人で VPN サービスを利用する場合は大いに注意しなくてはなりません。
フリー WiFi 利用時は VPN が必須ですが、VPN によってはそこからあなたの情報が抜かれていることも少なくありません。
Mopera VPN を一時期使ったことがありましたが、C 国の企業に買収されてからは怖くて使用を止めました。
Cloudflare(1.1.1.1 DNS サービスしている企業)の WARP や Ookla VPN は少しはマシだと思われますが、とにかく VPN サービスは安心して使えない、と考える方がいいと思います。
ですので、フリー WiFi も安全な VPN が前提でないならば、安易にギガ減り対策のためといって使うのは危険だということです。
どうしても VPN を使う必要性があるならば、自家ネットワークに VPN 構築して、その VPN を通してインターネットアクセスするのが確実に安全な方法です。
VPN も PPTP、IPsec/L2TP、OpenVPN、Wireguard などいくつかの方式がありますが、中でも Wireguard は次世代型といわれていて、現時点では軽快ながら非常に優れた方式です。
自家ネットワークに Wireguard を構築して、スマホや PC の Wireguard から VPN 接続して使うと数千円の投資で安全・確実な VPN を利用可能です。
このブログでも Raasberry Pi 上の Wireguard と、スマホ上の Wireguard で 構築した事例を載せています。
Wireguard は サーバー/クライアント 型の VPN ではなく、相互に P2P で VPN 接続する方式で、 PPTP、IPsec/L2TP、OpenVPN などとはこの点が大きく異なります。
つまり、Raspberyy Pi 上の Wireguard と スマホ上の Wireguard はどちらもサーバーでもクライアントでもなく対等な関係です。
接続しにいった方を便宜上クライアントとすると、接続された側がサーバーということになりますが、実は Raspberry Pi 側からスマホに接続にいくことができるのです。
普通の使い方としては Raspberry Pi 上の Wireguard にスマホ側から接続にいくのが多いパターンですが、例えば拠点間を VPN で接続の場合「拠点 A」と「拠点 B」のどちらからでも接続操作が可能なのです。
登録:
コメントの投稿 (Atom)
38 件のコメント:
バイク野郎さん、こんばんは。
実のところ、VPNのサーバに関してはあまり構築した経験がありません。バイク野郎さんのWireguardの記事を読むと面白そうで、少しやってみたい気になるのですが、よくよく考えてみると、私には、外部から家庭内のLANに入りたいというニーズがなく、なかなかモチベーションが上がらないみたいです。
普段使っているPCやスマホについては、通信を暗号化したいという気持ちはありますので、今のところは、NordVPNを使っています。セール中にクーポンを使うと、3年間で$100くらい、PCでも何でも6台まで使えます。海外サーバに接続すると、プロキシ的に使えて、(全てではありませんが)海外のコンテンツを見ることもできますし、公共のWiFiも多少安心して使えます。いろいろできてコスパは悪くないんじゃないかと思いますが、年間3,000円強を高いと思うかどうかですね。
ちょうどこちらは、Ubuntu TouchでOpenVPNをクライアントにして、NordVPNとの暗号化通信ができるようになったところです。OpenVPN以外、クライアントツールに選択肢がないのですが、それでも通信の暗号化ができるようになって、1つ安心しています。VPNツールは確かに怪しいですね。それでも、きちんと働いてくれれば、スマホ向けのアンチウイルスアプリよりは、よほど有用だと思います。
いや、結局カーネルレベルで何か仕掛けられていたら、もう情報漏えいを防ぐ手段はないのでは・・・そこまで気にするなら、GoogleからもAppleからもフリーなUbuntu Touchです。抜かれて困る情報もないのですけれど。
田舎の人さん、おはようございます。
VPN サービスは掃いて捨てるほどあるのですが、本当に信頼が置けるものは極めて少ない、というのが実情です。
有料でも安心できません。
中にはセキュリティポリシーで、アカウント情報は第三者には渡しません、とかログは取得しません、とか、いっているサイトも多いのですが、これが本当かどうかが非常に疑わしいのです。
これらを判断できるすべもありません。
NordVPN は使ったことはありませんのでよくはわかりません。
本当に信頼が置けるかどうかの判断もできません。
それで有料・無料を問わず、著名企業のサービスかどうかを問わず VPN サービスは使わない、と決めています。
田舎の人さんがおっしゃるとおり、スマホを使う以上は Android や iOS で何をされているか、あるいはスマホメーカーが何をしているかはわかりませんが、仕方がないことだと思っています。
アプリやサービスは Linux ディストリビューションではできないことが多いからです。
アプリによっては問題があるでしょうし。
ガラケーもいまや Android 機になっているようですし。
ただ、C 国製スマホはいくら性能やコスパがよくても使わないようにしました。
一時期使ったことがありますが、フィルター設定して Baidu あたりにアクセスできないようにしていました。
-----
以前にひかり電話を使っていたときは、外でもイエデン発着信のために Asterisk を構築して OpenVPN で入れるようにしていましたが、イエデンをブラステルに替えてからはその必要が無くなり Asterisk も停止しています。
OpenVPN は結構速度低下が著しく、快適とはいい難い。
Wireguard は非常に軽快で殆ど速度低下を感じません。
いまは 7Spot などの フリー Wifi を使うときのために Wireguard を使っています。
スマホで フリー WiFi から Woregurad で自宅ネットに入って、そこを経由して外に出るわけです。
安心して フリー WiFi を使うことができます。
自宅ネット内のほかの機能を使うことは殆どありません。
NAS アクセスもできますし、Mac にもアクセスできますが殆どその必要性はありませんから、フリー WiFi 時のスマホ保護が殆どです。
バイク野郎さん、こんにちは。
あ、なるほど、商用のVPNサーバも信用ならないので、VPNサーバを自宅に構築し、そこ経由でネットに出るというお話でしたか。いつものように少し読み違えていたようですが、そういう用途で自宅LANへの接続というのは有効ですね。ログが取ってあっても、他人に見られることはないですし。
NordVPNのサブスクリプションが、まだ1年以上残っていますが、構築は割合簡単そうですので、とりあえずやってみるかもしれません。情報、ありがとうございました。
VPN は外から中に入る手段ですが、いまの主たる利用は自宅ネット経由で外に出るために自宅ネットにつなぐという使い方です。
これならば、セキュリティ問題は自分で構築したネットワークにローカライズできます。
バイク野郎さん、こんばんは。
バイク野郎さんのVPNのお話に触発されたものと思っているのですが、以前から一度使ってみたかったこともあり、たまっていた楽天のポイントを使って、ラズパイ4を注文しました。
とりあえず、VPNサーバの構築をしたいので、使い慣れたUbuntuサーバをインストールすると思います。お薦めのWireguardを使いたいのはやまやまなのですが、Ubuntu TouchがOpwnVPNにしか対応していないので、OpenVPNサーバからやってみるつもりです。Wireguardは、先のお楽しみに取っておきます。
ラズパイ4は、インストールが終わったら、キーボードもマウスもモニタもなしで、SSH接続で使うと思うつもりですが、VPNサーバだけではもったいないと思ったら、軽量のGUI環境入れて、RDP接続して使ったりするかもしれません。
バイク野郎さんのブログからは、いろいろと情報をもらって、感謝しています。
ありがとうございました。
田舎の人さん、おはようございます。
Linux であれば Wireguard を導入できると思うのですが、Ubuntu Touch は何か特殊なのでしょうか。
ラズパイに導入する前に Lubuntu でインストールして確認しました。
その後で Debian(ラズパイ)に改めてインストールして現在に至っています。
apt でインストールできませんか。
できなければソースからコンパイルしてやる方法もあります。
OpenVPN は結構重くて速度性能がガタ落ちしますよね。
Wireguard は非常に軽くて VPN 張っても速度性能はわずかしか低下しません。
使ってみると常時接続性の安定度(4G から WiFi またはその逆の場合の自動再接続の確実性)や速度性能など、その差は歴然としていてもはや OpenVPN に戻る気はしません。
Cloudflare の WARP や Ookla の VPN サービスもこの Wireguard と思います。
ラズパイに Debian 入れてでも一度試されてみて、OpenVPN と比較検証されてみてはいかがでしょうか。
-----
当ブログがお役に立てたのなら嬉しく思います。
いま、乏しい資料を漁って 4G/5G の RAN(Radio Access Netwaork)などを勉強し直しているところです。
i-mode インフラや CDMA2000 のパケットサービスなどはよく理解していたのですが、その後引退し、4G 時代に入ってからは知識レベルが止まっていますので改めて再勉強です。
ドコモジャーナルなどはいい教科書(?)になります。
au にも同様のものはありますが、手に入りません。
SB は不明ですが、多分あると思っています。
楽天もこういう技術ジャーナルを出してくれるといいのですが。
Mavenir の仮想サーバーだから公開はできないのでしょうか。
バイク野郎さん、こんにちは。
> Linux であれば Wireguard を導入できると思うのですが、
> Ubuntu Touch は何か特殊なのでしょうか。
Ubuntu touchでは、セキュリティ上の観点から、システムの安定性を求めてrootファイルシステムがリードオンリーになっています。このため、aptコマンドも/etcへの書き込みに失敗して動作しません。
sudo mount -o rw,remount /
で、一時的にリードライトモードに切り替えれば、aptを使うことはできますが、互換性を破壊する恐れがあるということで、推奨されていません。コミュニティのフォーラムを見ると、 ”ご法度” 扱いです。aptは開発に必要なために組み入れてあるという位置づけみたいです。
実際、/etcディレクトリにある、主だった設定ファイルは、他の(rwな)ディレクトリへのシンボリックリンクになっていて、そういうものは書き換えても良いようです。私も把握しきれていません。
AndoroidのGooglePlay、IOSのAppStoreに該当する、OpenStoreというアプリがあり、一般ユーザーは、これ経由でインストールを行ってくださいということになっています。ライブラリが揃っていれば、ソースからコンパイルするのはユーザディレクトリで行えるのでOKな気がしますが、まだ試していません。
Wireguardは、バイク野郎さんの記事を拝見していますので、是非とも試したいのです。Ubuntu Serverにはインスール可能なことは確認していますので、その気になればいつでもできます。Ubuntu Touchで何ができるかを試すのが、研究のメインターゲットですので、ラズパイが学習目的の機材であるということも踏まえて(笑)、まずはOpenVPNで研究成果を出したいと考えています。
> 当ブログがお役に立てたのなら嬉しく思います。
試してみようかなと考えていることを、先にやってくださっているので、大変役に立ちます。
ありがとうございます。
田舎の人さん、こんにちは。
Ubuntu Touch が root への書き込み保護されていたのを以前にお聞きしていたのに忘れていました。
現時点では OpenVPN はすでにパッケージされているということなのでしょうね。
そういうことでしたら Wireguard もバージョンアップで実装されるかも知れませんね。
よくわかりました。
OpenWrtにはWireguardが実装できるようです。市販のルーターでWireguardを実装しているものをご存知でしょうか。
市販ルーターではまだ見つけていません。
どこが最初に実装するか興味はあるのですが。
最初に実装したメーカーは信頼が置けると思うほどですが。
GL.iNet GL-MT300N-V2 という製品がありますね。OpenWrtベースでWireguardも実装しているようです。数年前から販売しているようです。
tohmath さん、情報をありがとうございます。
モバイルルーターですね。
v6プラスなどに対応した普通のルーターはまだないのでしょうか。
ヤマハあたりが実装してくるのではないかと期待しているのですが。
このルーターはOpenWrtへのインターフェースを持っているのでV6プラスなどにも対応可能かと思われます。サイズ的にもRaspberyy Piの半分程度の大きさで価格も半分強です。個人使用には十分な性能を持っているようです。
tohmath さん、おはようございます。
確かに、コンパクトで安価で Openwrt ということですね。
技適も取得しているようですから、個人利用では十分かも知れません。
バイク野郎さん、こんにちは。
tohmathさん、はじめまして。
この間からラズパイ4の構築を行っていますので、このブログからも足が遠のいています。
Wireguard関連の情報が飛び交っていますが、私はOpenWrtなるものを知りませんでした。
GL.iNet GL-MT300N-V2は面白い製品ですね。紹介していただいてありがとうございました。
まだ、よく理解できていないのですが、これに接続すれば、PCでもスマホでも複数台を自宅のOpenVPNやWireguardのサーバと暗号化通信ができそうなことは判りました。
Ubuntu TouchがWireguardに対応していないので、自宅サーバを構築しても接続不能かなと思っていたのですが、これも一つの有効な手段ですね。技適も通っていますし何より安価なのがいいです。1つ購入してみようかと思いました。
ラズパイ4の購入も、そもそもOpenvpnサーバの構築が目的だったのですが、やっぱりいろいろ試してみたくなります。インストールしたUbuntu Serverに軽量デスクトップ(LXQt)を加えて、Window10や他のLinuxからリモートデスクトップで利用しようとしたら問題が次々と出てきました。
改めて、何でも簡単にできてしまうGnome-desktopの出来の良さを思い知らされました。Ubuntu Serverのみにして、コマンドだけでやり通せば問題ないんですけれど。
目下かなりの部分が解決して、この文章はノートPCのUbuntuからRDPで接続したラズパイ4から書いています。
こうした格闘の日々が、Linux使いにとっての幸福なんですね。
田舎の人さん、こんにちは。
tohmath さん、こんにちは。
tohmath さんからのコメントで GL.iNet GL-MT300N-V2 なる商品を知りました。
安価なのがいいですね。
ただ、深センの企業というのは若干引っかかりますが。
昨今の C 国の振る舞いと、これに対する欧米豪各国の関係見直し機運は気になってはいます。
バックドアなどなければいいのですが。
バイク野郎さん、こんばんは。(今夜もラズパイから)
VPNの話をしていて思うのは、こんなこと(通信が覗き見られるかもしれない)を気にしている人がいるのかということです。
ほとんどの人は無自覚で、VPNという言葉とは無縁に暮らしているかように思います。そういう人から見ると、バイク野郎さんも私もパラノイアなのでしょう。私はこの製品の存在を、
・アメリカでは情報漏洩を気にかけている人がたくさんいる
・C国の人が、政府からの情報管制を逃れるために必要としている
と解釈しています。香港情勢もそうですが、おそらく後者のニーズのほうが高いのではないでしょうか。情報統制でがんじがらめな状況から逃れたいという思いは、もしかしたらC国の人たちのほうが強いのかもしれません。私がC国民なら、この機材を切実に希求すると思います。
オープンソースであることがどこまで信頼できるか、という問題かもしれませんが、少なくとも私は、この製品がオープンソースであることに多少の安心感を得ています。まあ、この書き込みは独り言です。聞き流してください。(笑)
田舎の人さん、おはようございます。
おっしゃるとおりパラノイアなのかも知れません。
ただ、C国〇〇党は非常に危ない組織ですから、収集情報を出せといわれれば彼の国民はそれに従わざるを得ないので、その点が問題です。
C国民は気の毒だと思う以外にはないのですが。
オープンソースには信頼を置いていますが、それがC国となるとちょっと気になる、ということです。
情報収集に関して Google と何が違うかというと、例え政府が開示要求しても頑として反対する、反対できる、これに尽きると思います。
私のVPNへの主なニーズはリモートアクセスです。TeamViewerの方が便利な時もありますが単独で作業するときはVPNを通してリモートデスクトップを使います。グローバルIPアドレスが付与されていない環境でリモートデスクトップを使う環境を構築する必要があったときに巡り合ったのがSoftEtherVPNでした。WindowsSeverにSoftEtherVPNAzureを動かして対応しています。SoftEtherVPNはOpenWrtにも実装できます。BuffaloのRouterに入れて確認もしました。それとWireGuardはLinuxカーネルに追加されたそうです。ということはDistributionに煩わされることは無くなった、ということだと思います。
tohmath さん、おはようございます。
現役の頃は自宅サーバーに外から PC でアクセスするのに VPN 張っていました。
その後、ひかり電話を外でも使えるようにと、OpenVPN+Asterisk でスマホから使っていました。
最近はもっぱら フリー WiFi 利用時に一旦自宅ネットに入ってから外に出ていくという使い方になっていました。
現在は楽天 UN-LIMIT を使っていて、近隣は殆どがパートナーエリアですが、5GB/月 あれば フリーー WiFi を使わなくても足りています。
Wireguard は元々カーネルに実装する仕組みなので、標準的にカーネルに実装されればディストリビューションに依存しなくなりますね。
みなさま、こんにちは。
WireGuardがLinuxカーネルに組み込まれたのは朗報ですね。
コンピューターからの情報漏洩については、VPNまで駆使して情報を守っている方々にはアレですが、実際には、外部からのアクセスで情報が漏洩するということはまずなくて、内部やメンテナンス委託先の人間から、物理的にメディア等を通じて抜かれることが圧倒的に多いと聞いています。
それは企業の話ではあるのですが、こういうところから個人情報が漏れるのが圧倒的多数だと思います。そういったところを狙う大規模なハッカー集団が、個人のデータを直接入手しようとするとも思えません。
ネットからクレジットカードやパスワード等の情報が漏れたと言っても、
・推測可能な安易なパスワードを付与している
・フィッシングサイトを見抜く方法を知らない
・HTTP://とHTTPS://の違いを知らない
人がほとんどだと思いながらも、私はVPNを使っています。(笑)
職場のネットとの接続は仕方ないのですけれど。
ラズパイにUbuntuServerの20.04を入れてみると、NetworkManager周りの動作が変っていて、GnomeのNetworkManagerから会社のVPNに接続できることに気づきました。それで ”これはいい!!” と思い、その勢いのまま、ノートPCのUbuntuを18.04→20.04にアップグレードしようとしました。
しかし、このノートPC、CPUの能力も低く発熱も多いので、過度に負荷をかけると落ちることを忘れていました。途中でそれを思い出し、祈るような気持ちで見守っていたのですが、嫌な予感が的中。
急に画面が真っ暗になり再起動しましたが、システムは完全に逝ってしまったようです。これから20.04をクリーンインストールして、構築し直します。今となっては、ラズパイがバックアップとなってくれていて助かりました。泣けてきます。
田舎の人さん、こんばんは。
おっしゃるとおり情報漏洩は中から外への漏洩が圧倒的に多いと思います、
ただ、C 国はバックドアを仕掛けてくることがありますので、その点が危惧されます。
ファーウェイスマホも当初は Baido との通信があったそうです。
いまでは GPS 情報を基に C国内は Baido と通信しているようです。
位置が日本国内の場合は Baido との通信はしていないようですが。
バイク野郎さん、こんにちは。
暑い日が続きますが、お元気なようで何よりです。
いろいろとスッタモンダがあって、どうにかラズパイとノートPCと2台のUbuntuの構築ができました。
それで、ラズパイのOpenVPNサーバ化をと思ったのですが、CA認証用に常時稼働しているマシンがないことに気づき、着手に躊躇しておりました。ノートPCもUbuntuなので電源入れっぱなしにしておいてもいいのですが、それほど利用頻度があるとも思えないので。
あれこれ悩みながらふと、先にtohmathさんからお教えいただいたGL.iNETの製品をネットでじっくり調べてみると、
https://docs.gl-inet.com/en/3/app/wireguard/#wireguard-server
https://docs.gl-inet.com/en/3/app/openvpn/#openvpn-server
Wireguardとopenvpnの両方のサーバ機能を持っているようです。
ブロードバンドルーターのWAN側のポートとポートフォワードしてやれば、こいつをLANの内部に置いてサーバーとして使えるのではと思いました。これだけでVPNサーバの構築ができるのであれば、簡単なものです。
本当は、エッジコンピューティング用として位置づけられているGL-MV1000という製品が、こういう使い方のために用意されていて、SDストレージのためのスロットまで準備されているみたいですが、ネット上の説明を読む限り、機能的には同じものをGL-MT300N-V2も持っているようです。
もう少し調べてみたいと思います。
田舎の人さん、こんにちは。
GLiNet GL-MT300N-V2 は安価なのでラズパイを使うよりも安くて済みそうですね。
わたしはいまのラズパイが元気なうちはそのまま使いますので、いまのところ購入予定はありませんが。
バイク野郎さん、こんばんは。
そうですね。
Ubuntu Touchで使えることにこだわっていましたが、この際バッサリ切り捨てて、ラズパイにWireguardを入れたほうが、メリットが大きいことに気づきました。
これからの休み期間に、構築してみます。
また、わからない点が出てきたらお教えください。
田舎の人さん、おはようございます。
格好のサーバーがあるのですから活用しない手はないですよね。
確かにルートの書き込み禁止は一つのセキュリティ対策でしょうけど、
外からルートに書き込みに来るって、まずないですよね。
怪しげなプログラムでも入れていれば、内側で何をするかはわかりませんが、
そこは気をつけていらっしゃると思いますので、問題ないですよね。
バイク野郎さん、こんにちは。
Wireguard、昨夜の書き込み後にトライしてみたところ、あっさり完了。確かに設定は他のVPNサーバと比べれば非常に簡単でした。
バイク野郎さんの記事も参考にさせていただいたのですが、最新版では事情が変わっていることもあると思い、Ubuntu20.04版のこちらの記事をメインにしました(同じ方が書いておられます)。
https://www.cyberciti.biz/faq/ubuntu-20-04-set-up-wireguard-vpn-server/
https://www.cyberciti.biz/faq/how-to-set-up-wireguard-firewall-rules-in-linux/
構築と接続は、Ubuntuノート(Un-Limitテザリング)+自宅LANのラズパイで行いました。
クライアント側の設定で、AllowedIPsに0.0.0.0/0を指定したので、すべてのパケットがVPN側に流れていたはずでしたが、非力なUnlimitパートナー回線+非力なラズパイが処理しているにしては、あまりに普通にアクセスができてしまっていて、信じられない気分です。自宅LANのファイルサーバにも入れましたので間違いないと思います。
Linuxのカーネルにマージされていて、特にLinux上では処理速度が速いとは聞いていましたが、おそらくこれで、あえてOpenvpnを試してみる必要はなくなりました。
速度面のことはもちろんですが、CAサーバや証明書が一切不要で、構築に時間がかからないのは素晴らしいと思います。
恐らくUbuntu16.04ベースのUbuntu Touchでは、makeしてもインストールは困難と思われます。それを捨てても、他のノートPCや外出先のスマホから、自宅LAN経由で接続できるのは確かに良いですね。スムーズすぎて、イマイチちゃんと接続できている実感が湧きませんので、もう少し弄ってみます。
うーーん、Wireguard大ヒットですね。最初から素直にバイク野郎さんのお勧めに従っていれば良かったと実感しております。ありがとうございました。大感謝です。
田舎の人さん、こんにちは。
でしょう?
Wireguard は非常に軽いので、OpenVPN にはもう戻ろうとは思いませんよね。
商用サービスでも 1.1.1.1 の WARP や Ookla の VPN が採用しています。
個人使用でも非常に軽いのでラズパイで十分でしょ?
ご満足いただけてよかったです。
バイク野郎さん、こんにちは。
遅れてきた夏が体にこたえます。
Wireguardはその後、すべてのスマホにインストールされました。快適です。
Linux上のワークフォルダでキーを作成してから、QRコードにして読み取らせればいいだけなので、とても簡単です。こういうところも優れていますね。
クライアントがLinuxの場合、設定方法は、ssh-keygenとauthorized_keysで設定するsshの公開鍵認証とそっくりです。慣れ親しんだ方法に近く、シンプルでとても良いです。
直接Wireguardとは関係ないのですが、一つだけ困ったのは、ブロードバンドルーターのDDNS化でした。
Ubuntu Touchは、割り当てられているグローバルIPを自分で知ることができたのですが、我が家のルーターはBaffaloの安物で、DDNSは本体WEB画面からの操作のみ、しかも有料のDDNSにしか対応していません。コマンドもないので、割り当てられているグローバルIPもWEB画面からしかわからず、どうしようかと思案していました。
https://www.cman.jp/network/support/go_access.cgi
それで、このページを利用することにしました。
このページには、アクセス元のアドレスが示されますので、ここにwgetでアクセスして、アドレス部分だけ抜き取ってNO-IPに登録するという方法です。ラズパイから1日1回見回りに行かせて更新させることで、自動登録化も完了です。
あとはNordVPNをやめるかどうかだけです。海外のサーバを使えるメリットは結構大きいので悩みます。
田舎の人さん、こんにちは。
NoIP は登録するアドレスは NoIP のマイアカウントサイトで自由に設定できます。
更新はクライアントが必要ですが、cron で定期的に更新すればいいでしょう。
NordVPN は評判はいいようですから、安心して使えるようです。
VPN サービスを使う必要性がある場合はこういう安心できるサービスを使えばいいかと思います。
バイク野郎さん、こんにちは。
すみませんでした。少し思い違いをしていたようです。
通常、DDNSのアドレス更新に関しては、普通にやれば、アクセス元のアドレスで更新されるので、ルーターのWAN側のアドレスを意識することはありません。このところ、Wireguardでいろいろ試していまして、
スマホ --> || Wireguard || --> ラズパイ --> || OpenVPN || --> NordVPNサーバ --> 目的地
みたいな接続にしている場合、そのまま普通に更新してしまうと、NordVPNサーバの出口側のアドレスが登録されてしまいます。
それであれこれ考えていたわけですが、途中でどういうわけか、更新には、ルーターのWAN側のアドレスの情報が必要と思いこんでいたようです。
スマホからラズパイまでの通信は暗号化通信ですが、ラズパイから目的地まではダイレクトに流れてしまうのかと思い、NordVPNサーバを経由させてみようかと考えた次第です。
田舎の人さん、おはようございます。
>スマホ --> || Wireguard || --> ラズパイ --> || OpenVPN || --> NordVPNサーバ --> 目的地
これは スマホの OpenVPN クライアントから NordVPN に接続するのではダメなのでしょうか。間にWireguard を通す意味がないと思いますけど。
我が家のネットは出口が2つあります。
一つはv6プラスで WiFi はこちらのネットワーク、もう一つが PPPoE です。
PPPoE はWireguard 専用入り口です(もちろんインターネットに出ることも可)。
この状態で WiFi 下にあるスマホ(v6プラス側)から外に出て、PPPoE 側のWireguard で再び中に入ることができます。
なぜこうしたかといいますと、Wireguard を常時オンにしておいて、4G下でも、フリーWiFi 下でも自宅 WiFi でもスマホの設定をイジらなくても常にWireguard 経由でつながるからです。
ネット環境ごとにスマホの設定をイジるのは使い勝手が落ちますから。
ただ、いまはスマホのWireguard は殆どオフです。
なぜかといいますとフリーWiFi の利用をヤメたからです。
Wireguard はフリーWiFi 時のセキュリティ確保が目的でした。
なぜフリーWiFi をヤメたかといいますと、楽天モバイルに換えて近隣はパートナーエリアが殆どですが「5GB+1Mbps無制限」になって必要なくなったのです。
バイク野郎さん、こんにちは。
> 間にWireguard を通す意味がないと思いますけど。
おっしゃる通りです、私もやっていてそう思いました。
狙い通り動作してくれましたが、これは単に、VPNをハシゴさせる技術実験に過ぎなかったようです。スマホなら 1.1.1.1 WARP を利用すれば、WireguardどころかNordVPNも必要ありませんね。
> 「5GB+1Mbps無制限」になって必要なくなったのです。
そうなんです。
私も1Mbps無制限(MVNOもUn-Limitも)なので、公衆WiFiをあえて使うシーンがなくなってしまいました。しかし優れた良い技術ですので、活用方法を考えていきたいと思います。
速度が早くてIPSecより格段に設定が楽ですので、セキュリティ面で本当に信頼できることがわかれば(まだまだこれについて懐疑的な意見も数なくないようです)、今後は、ビジネス拠点のゲートウェイ同士をこれでつなぐなど、活用範囲が広がるかもしれませんね。
いろいろとありがとうございました。
田舎の人さん、同じような状況ですね。
VPN の新たな活用法でも見つかりましたらぜひ教えてください。
WireGuard便利ですが、グローバルIPアドレスが必要だとかブリッジができないだとかあと一歩欲しい感じです。
私はRaspberryPi 3B+のRaspbian BusterをWireGuardサーバー,Softether VPN Server(Softether,L2TP/IPsec,OpenVPN,MS-SSTP)を共存させて使っています。
SoftetherのDDNSを使ってドメインでアクセスできるようにしたり、ブリッジが欲しい時,ポートフォワーディングができない時はSoftetherを使ったりと短所を補って使っています。
私にはSoftether VPN ServerよりもWireGuardの方が初期設定が難しく感じられました。
aptをDebian対応にするだとかaptablesの設定だとか。
pingやtracerouteは通るのにnslookupやブラウジングができない症状が出ると何を対処すればいいのか苦労しました。
以下のサイトの通りにiptablesの設定をしたら解決しました。
LinuxでWireGuardファイアウォールルールを設定する方法
WireGuard便利ですが、グローバルIPアドレスが必要だとかブリッジができないだとかあと一歩欲しい感じです。
私はRaspberryPi 3B+のRaspbian BusterをWireGuardサーバー,Softether VPN Server(Softether,L2TP/IPsec,OpenVPN,MS-SSTP)を共存させて使っています。
SoftetherのDDNSを使ってドメインでアクセスできるようにしたり、ブリッジが欲しい時,ポートフォワーディングができない時はSoftetherを使ったりと短所を補って使っています。
私にはSoftether VPN ServerよりもWireGuardの方が初期設定が難しく感じられました。
aptをDebian対応にするだとかaptablesの設定だとか。
pingやtracerouteは通るのにnslookupやブラウジングができない症状が出ると何を対処すればいいのか苦労しました。
以下のサイトの通りにiptablesの設定をしたら解決しました。
LinuxでWireGuardファイアウォールルールを設定する方法
WireGuard便利ですが、グローバルIPアドレスが必要だとかブリッジができないだとかあと一歩欲しい感じです。
私はRaspberryPi 3B+のRaspbian BusterをWireGuardサーバー,Softether VPN Server(Softether,L2TP/IPsec,OpenVPN,MS-SSTP)を共存させて使っています。
SoftetherのDDNSを使ってドメインでアクセスできるようにしたり、ブリッジが欲しい時,ポートフォワーディングができない時はSoftetherを使ったりと短所を補って使っています。
私にはSoftether VPN ServerよりもWireGuardの方が初期設定が難しく感じられました。
aptをDebian対応にするだとかaptablesの設定だとか。
pingやtracerouteは通るのにnslookupやブラウジングができない症状が出ると何を対処すればいいのか苦労しました。
以下のサイトの通りにiptablesの設定をしたら解決しました。
LinuxでWireGuardファイアウォールルールを設定する方法
https://www.cyberciti.biz/faq/how-to-set-up-wireguard-firewall-rules-in-linux/
ごどうささん、おはようございます。
3通のコメントが同じ内容でしたが、3通とも公開しています。
当ブログで Wireguard 導入記事をかいています。ファイヤウォールの設定なども記載していますので、ご覧になっでみてください。
https://bike8615.blogspot.com/2019/04/vpn-wireguard_8.html?m=1
の記事です。
参考にしたサイトの HP アドレスも記載しています(英文サイトですが)。
iptables や port forwarding についても記載されています。
ブリッジができない、とありますが拠点間接続のことをおっしゃっているのなら問題なくできますよ。
グローバル IP でなくプライベート IP を使われる意味は何でしょうか?
プライベート IP 空間同士ならば単なるルーターでいいと思いますが。
またポートフォワーディングは VPN の問題ではないと思いますが。
どうも難しくお考えのようですが、Softether に比べれば極めて簡素でむしろ使いやすいと思います。
コメントを投稿