SoftEther によるファイアウォールの突破

このエントリーをはてなブックマークに追加
952あのにまうす:04/03/31 09:53 ID:SEupPaU0
ソフトイーサ株式会社ができるらしい。入社しようかな
ttp://www.itmedia.co.jp/news/articles/0403/30/news049.html
953anon:04/03/31 12:04 ID:???
>>951
確かに良くはわかってないです。
自宅から会社のLANの方は仮想HUBが居るので何となくわかるのですが、
会社から自宅のLANへのルーティングは誰が面倒見るのでしょうか?
954anonymous:04/03/31 12:46 ID:???
仮想HUBはその名のとおり、EthernetのHUBをソフトウェアで実装しただけの物です。
なので、TCP/IP通信のルーティングとかは行ってません。

物理的なネットワーク(インターネット含む)上でTCP/IP通信を利用して、Ethernetの通信をエミュレーションするものだと考えてください。
その上で、ブリッジ接続と言うのは、Ethernetの線をお互いにそのまま繋ぐだけということになります。(おおざっぱかw
Ethernetをエミュレートしているので、TCP/IPでもAppleTalkでも何でも通す事が出来ます。

「自宅と会社をブリッジ接続」という意味が論理的なネットワーク図が無いので、解らないのですが
もちろん自宅側のPCには仮想HUBと少なくても一つの仮想LANが、会社側のPCには少なくても一つの仮想LANがインストールされてますよね。
あとは、ブリッジ接続して仮想LANと物理LANと同一視して使用する場合、仮想HUBのセキュリティオプションを設定していると上手く行かない事もあるようです。

で…漏れも暇だな。なかなかリポートの文章が思いつかない罠。
955anon:04/03/31 13:23 ID:???
>>954
ええ、それはわかります。
ちなみに多分ご想像されてるものとこちらの想定しているのは逆だと思います。

ありがちな例として「自宅と会社をブリッジ接続」としたのですが、
仮想HUBがあるのはこの場合、会社です。
自宅から会社の物理LANにアクセスしようとしているわけです。

この場合、会社側は仮想HUBがあるので仮想LAN→会社側物理LANへの
ルーティングも仮想HUBが面倒みてくれるような気はしますが、
会社側から自宅にアクセスしようとした場合、仮想LAN→自宅側物理LAN
へのルーティングは誰が面倒みてくれるのか、不思議に思ったわけです。

おわかりいただけますでしょうか?
956anonymous:04/03/31 14:02 ID:???
>この場合、会社側は仮想HUBがあるので仮想LAN→会社側物理LANへの
>ルーティングも仮想HUBが面倒みてくれるような気はしますが
仮想HUBは一切ルーティングの面倒はみてくれません。
会社側の仮想LANと物理LANをブリッジして、同一のネットワークセグメントになるように自分でTCP/IPを設定してルーティングを回避したり、
会社側の仮想LANと物理LANをブリッジしているホストでルーティングを別途行わなくてはいけません。

ちなみに、これは自宅側も同じ事なのです。
なので、特に理由が無ければ自宅側と会社側のLANのネットワークセグメントを同一になるようにして、ルーティングを行わなくて良い様にします。
ルーティングの設定をすると自宅側・会社側両方でしなくてはならないので、大変です。

ちなみに、会社から自宅にアクセスしようとした場合であっても、自宅の仮想LANとそれにブリッジされた物理LANにもARPパケットは飛ぶので、直接Ethernetレベルで通信する事が出来ます。
957anon:04/03/31 15:16 ID:???
>>956
あ、そういうことか…。すんません逝ってきます。
958anonymous@ YahooBB218142188077.bbtec.net:04/04/01 23:22 ID:JlXuIVMt
お願いします。教えのてください。LAN内で一台のパソコンがインターネットにずっと接続しているようなんですが
そのパソコンの設定をみてみても、メールもインターネットも起動していなく、ダイアルアップルーターだけが、そのパソコンの
からのIPアドレスをどっかにアクセスさせようとして切断されず、他のパソコンが、メールも
ネットもできません。ウイルスソフトも新しいウイルス情報をダウンロードもできず、スキャンしても
ウイルスが検索できません。どうすればいいでしょうか?
>>958
まずは日本語の勉強から始めたら。
960anonymous:04/04/02 00:16 ID:???
>>959
エイプリルフールのネタだろw
961anonymous:04/04/03 05:42 ID:ob5sxXlD
ここ2〜3日、実験用匿名仮想HUB激しく使えないんだが。
仮想HUBに接続できる事は稀だし、繋がってもDHCP動かないし、IP手動で入れてもNAT使えねぇ。
会社やってる暇あったら、自分の鯖の管理くらいしっかりやれよ。

もしかして、実験用匿名仮想HUBの接続有料化への布石だったりしてなw
962代弁者:04/04/03 06:07 ID:???
>>961
実験用なんだから・・・
あんた何様?
フリーソフトの使用者って、勘違いする
のがよくいるんだよな。
自分でサーバ立てればすむだろうが。
963anonymous:04/04/03 10:43 ID:???
>>962
そういえば、MLでもその話題幾つか流れてたよね。
接続の実験用でもあるわけだから、初めての人は自分のクライアントの設定が悪いのかと思っちゃうかも。。。
まー自分で建てられないひとも多いってことかもしれんが。
964あのnyもうs:04/04/03 12:03 ID:???
>>961は恥ずかしげも無く匿名でMLに初歩的な質問してる奴だろうなw
匿名なら何してもいいのが当たり前の2ch世代かww
965anonymous:04/04/03 14:13 ID:???
>>964
文字は読めても意味が解らないというのが、この世代の特徴です(w。
966anonymous@ 130.90.128.210.bf.2iij.net:04/04/03 23:08 ID:???
ホントただで使わせてもらっておきながら何様なんだろ?
どうしようもないやつだね。
967anonymous:04/04/03 23:34 ID:???
タダなんだからあんま文句言うなよ。
ところで、http://traffic.yagi3.jp/nat.html をみると明らかにNATだけ動いてない?っぽいんだけど、
なんか有ったのかな?

例えば、踏み台にされてどっかからクレームが来たんで、一時停止中とか。
それともただおかしくなったのを気がついて無いだけなのかな…今までこんな長く停止してる事無かったから
悪い事じゃないといいんだけど。
968anonymous:04/04/03 23:57 ID:???
[softether:00981] 学校内でのソフトイーサー使用について って…
最近この手の「SoftEther新規参入しました〜」的なメールが多いけど、
また何かのメジャーな雑誌に載ったのかな?
あんまり、仕組みを解らずに使うのって結構危ない気がするんだけど…どー思う?
969anonymous:04/04/04 03:44 ID:???
わかる管理者はきちんとパケットモニターしてるから
ある日突然SEをブロックされたとしても不思議ではない

大学関連の場合はむしろ内部からのウイルスワーム発射やSMTPの踏み台のほうに頭を抱えるようだが
内部の使用者がアフォだと警告しても直すのに時間がかかったり直さなかったりするらしいからな
970anonymous:04/04/04 20:16 ID:???
今は動いてるようだぞ、DHCP。
971[email protected]:04/04/05 22:07 ID:???
Well Field
コイシのヴァカメールにうだうだと対応してるヤシまとめてアボーンさせたいんですが?
ルーターの設定もわかってないようなヤシがまともな状況説明できるわけないし、
こっちが答えようにも理解しようとも言ったことを試そうともしてないし

なんで放置できないのかね?
972anonymous:04/04/05 22:46 ID:???
>>971
まぁ、対応している人は悪い人では無さそうなので…
質問者がネットワークの知識をもっと溜めてから質問した方が良いかもね。
サポートセンターじゃないんだから、全てをMLで得ようとしてはダメだと思う。

とりあえず、目に余るのは各自脳内あぼーんということでw
973とりあえず:04/04/05 23:03 ID:MgQugoOQ
http://www.amazon.co.jp/exec/obidos/ASIN/4887187599/ceek-22/ref%3Dnosim/250-6701520-3425848
読んだ人居たらレビュー希望。公式webページ以上の内容アリやナシや?
974anonymous@ ikeji.softether.com:04/04/06 00:06 ID:6eGZY+sz
>>973
ceek宣伝ウゼー

こっちな
http://www.amazon.co.jp/exec/obidos/ASIN/4887187599

SoftEtherのwebページを印刷しただけって噂は本当?
975?:04/04/07 00:10 ID:???
どうでもいいんですけど、次スレはソフトウェア板にお願いしますね
976anonymous:04/04/07 06:36 ID:???
>>973
ceekもikejiも宣伝必死ですなw
977 ◆LLLLLLLLL. :04/04/07 15:45 ID:???
SoftEtherってどうなのよ?
http://pc5.2ch.net/test/read.cgi/software/1071651802/
これを使うのはどうですか?>住人の方
978 :04/04/07 21:54 ID:+j6qK9+9
VPNソフトだからここでいいじゃん
Netscreen-Remoteや、VPN3000 Client と同じ扱い
979 :04/04/08 00:03 ID:???
通信は単純にSSLだし、暗号化されてて中身わからんし
せめてソース公開されないとどこにも技術を論じる要素がないのよ
なんでソフト板で頼むよ
あとMLヲチしてるお子様がたはヲチ板に消えてね

980あのnyもうs:04/04/08 00:09 ID:???
そんなくだらない理由で締め出されちゃ、シスコ様の
キカイの操作方法を暗誦しあうだけのスレは全部
この板から消滅しなくてはいかんな。
981anonymous:04/04/08 00:45 ID:???
ソースは公開されないと思うけど、プロトコルの仕様があと少しで公開される。
そしたら、パケットが暗号化されてても技術の議論が出来るでしょ。
このスレでプロトコルが論じられれば、シスコのブラックボックスよりはマシだと思うよ。

ソフト板に行って欲しいといってる人は、ただのSoftEtherをやっかむネットワーク管理者ですかw
982?:04/04/08 02:52 ID:???
クライアントは仮想HUBと名乗るサーバにSSLでつなぎます。
SSLに何かをカプセルしてます。
何かは非公開ですが、多分IPパケットにMACヘッダつけた仮想Etherフレームです。
ここまでは仮想デバイスのドライバとして実装します、ドライバのソースは非公開です。

仮想HUBはクライアントからのSSLに乗ってきたデータから仮想Etherフレームを抜き出して
ローカルの所定のNICにブリッジします(大抵はおそらくSSLの通信が乗ってるNICです)
そのNICに入ってくるフレームはクライントの仮想MAC宛かMcast/BcastならSSLに乗せて流します
仮想HUBのソースは非公開です。

ここまでで通信技術について議論は完全に完結します。

あとは議論できるとすれば、
これをどのように実装してるかっていうマ板/ム板的な技術しか話すことはないでしょ
実際にこのスレでまともな議論になってころはマ板のノリでしたし
でもソース公開されてなければマ板/ム板な議論もなかなかすすまないんですよね

これを純粋にフリーのVPNアプリとして選択して
何らかのソリューションが提供できるかって議論なら成立しえるけど、
認証の仕様がハッキリしないとセキュリティ製品としては使いようがないし、
そもそもMcast/Bcast垂れ流してWAN帯域使うようなVPNは旨みがないよって話になります


>シスコのブラックボックスよりはマシだと思うよ。

意味分かってていってるんでしょかねえ?


>ソフト板に行って欲しいといってる人は、ただのSoftEtherをやっかむネットワーク管理者ソフト板に行って欲しいといってる人は、ただのSoftEtherをやっかむネットワーク管理者

だとしたらこの過疎板でやってもらってた方が嬉しいでしょうね
983!:04/04/08 02:56 ID:???
なんでそんなに必死なんだ?
984?:04/04/08 03:04 ID:???
>>983
いや、なんとなくこの板の伝統的なノリに従ってみて書いただけ
特に深い意味は無い

あとMLヲチがウザイという意見に激しく同意したってのもあります
985yama:04/04/08 06:47 ID:/8B8zjeJ
http://bbs5.cgiboy.com/p/76/01472/
僕が初めて作ったHPです。誰でも良いので、みんな来て下さい。
啓示板も有るよ〜(^ー^)
http://bbs5.cgiboy.com/p/76/01472/
間違ったです。こっちがTAPページでしたww

986anonymous:04/04/08 07:49 ID:???
>>982
MLの話題がいちいち目障りだっていうのには同意するけど、
>認証の仕様がハッキリしないとセキュリティ製品としては使いようがない
これは、開発途上だからこれから何らかの形できちんとセキュアな方法が実装されるとおもうし、
>そもそもMcast/Bcast垂れ流してWAN帯域使うようなVPNは旨みがないよって
これは、作者がユニキャスト以外のパケットは実際の運用で殆んど流れないと言ってたよ。
実験的に運用して殆んど流れないのに、それでもちょっと帯域削られるのが勿体無い?

仕様が解らないと言ってる人は、未踏の成果報告会の報告見た?
暫定的な仕様で変わる可能性があるから、Web上での公開はこれからだけど貴方が推測してたような公開すべきところは公開してたよ。
論文出すって言ってたから、情報処理学会に論文をだしてキチンとした形で発表出来てから、仕様などの詳細はWeb上で見れるようにすると思うけどな。
987:04/04/08 08:48 ID:???
MLの話題とか関係無いだろ。選民意識が抜けないだけ。
うちにもこういうエンジニアいるよ。
頭の悪いイッパン人が簡単に試せるソフトであることが気に入らないんだな。
PC-UNIXが簡単になった頃のUNIX人にもこんな感じの香具師多かったな〜
あ〜醜い
988anonymous:04/04/08 18:24 ID:???
>PC-UNIXが簡単になった頃のUNIX人にもこんな感じの香具師多かったな〜
選民意識嫌だな。恥ずかしい。
989 :04/04/08 20:40 ID:???
MLヲチは、この板では伝説のFW Defendersヲチがあるから、まあいいんじゃないの?
990 :04/04/08 21:38 ID:???
> >そもそもMcast/Bcast垂れ流してWAN帯域使うようなVPNは旨みがないよって >
> これは、作者がユニキャスト以外のパケットは実際の運用で殆んど流れないと言ってたよ。
> 実験的に運用して殆んど流れないのに、それでもちょっと帯域削られるのが勿体無い?

単に↑こういう、明らかに話の意味が理解できてないところがウザがられてるだけだろ
9911000:04/04/08 22:15 ID:???
1000
9921001:04/04/08 22:53 ID:0AT3l5u/
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。
993anonymous:04/04/08 22:56 ID:???
終わらせようと必死ですね
テスコ
995ANONYMOUS:04/04/09 01:00 ID:???
必死だな(笑)
997996:04/04/09 20:12 ID:???
…誤爆
9987777:04/04/09 21:20 ID:sLqeJlQy
ラッキー池田ポート
999千利休:04/04/09 21:22 ID:sLqeJlQy
999?
1000 :04/04/09 21:57 ID:???
尾張
10011001
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。