vpnuxとOpenVPNの 最大同時接続数テスト方法について

[nis...@gmail.com]

vpnuxを使用し、 OpenVPNサーバに対して最大同時接続数のテスト方法について質問します。

単にリクエストする場合と異なり、vpnuxを使用しテストを実施する場合、クライアント(vpnux)へ証明書のロードが必要、かつ異なる接続元IPアドレスにて接続する必要があるかと思います。

テスト方法について何か良い案があればどなたかご教示いただければと思います。

[山崎 太郎]

こんにちは、やまざきです。

トラフィック、認証処理のキャパシティ検証など、そのテストの目的にもよりますが、極端な例では、クライアントPC 1台でOpenVPNインスタンスをたくさん立ち上げて複数接続の検証を行うこともできますし、同一ユーザーで複数のOpenVPN接続を行うこともできます。

＃ OpenVPNの場合、接続元IPは別々である必要はありません。
＃ ※ 別途接続元制限などをしている場合を除きます。

vpnux Clientは一般ユーザーが使用しやすいように機能を簡略化していますので、もし検証やテストに利用されるようでしたらOpenVPN本体のコマンドで実施されるほうがよいと思います。そのほうがさまざまな設定を柔軟に調整できます。
vpnux Clientも内部的にはOpenVPNをそのまま使用していますので、設定を揃えていただければ検証結果はそのまま有効と考えられます。

> --
> このメールは Google グループのグループ「OpenVPN Japan Users Group」に登録しているユーザーに送られています。
> このグループから退会し、グループからのメールの配信を停止するには openvpn-japan-user...@googlegroups.com <mailto:openvpn-japan-user...@googlegroups.com> にメールを送信してください。
> その他のオプションについては https://groups.google.com/d/optout にアクセスしてください。

--
::: Taro Yamazaki [ ta...@plum-systems.co.jp ]
: <Blog> http://yamatamemo.blogspot.jp/
: <LinkedIn> http://www.linkedin.com/in/yamata
-------------------------------------------------------------
: Plum Systems Inc.
: 2-3-11-2F, Kurihira, Asao-ku,
: Kawasaki, Kanagawa
: http://www.plum-systems.co.jp/

[西崎佑]

ご回答いただきありがとうございます。

トラフィック、認証処理のキャパシティ検証など、そのテストの目的にもよりますが、極端な例では、クライアントPC 1台でOpenVPNインスタンスをたくさん立ち上げて複数接続の検証を行うこともできますし、同一ユーザーで複数のOpenVPN接続を行うこともできます。

⇨一度vpnuxを起動した後に、2つ目のインスタンスの起動を試みると、既にvpnuxが起動しているため、2つ目以降のインスタンス起動は不可の認識です。

したがって、上記はvpnuxを別ディレクトリに追加でインストールし、起動するテスト方法を指しておりますでしょうか。

vpnux Clientは一般ユーザーが使用しやすいように機能を簡略化していますので、もし検証やテストに利用されるようでしたらOpenVPN本体のコマンドで実施されるほうがよいと思います。そのほうがさまざまな設定を柔軟に調整できます。
vpnux Clientも内部的にはOpenVPNをそのまま使用していますので、設定を揃えていただければ検証結果はそのまま有効と考えられます。

⇨上記は、"vpnuxClient.exe [プロファイル名]"を使用する方法を指しておりますでしょうか。

しかし、当該手順も一度接続すると、2回目の接続は不可のように思えますが、具体的な手順をご教示いただければ幸いです。

よろしくお願いします。

2018年11月13日(火) 13:59 山崎 太郎 <ta...@plum-systems.co.jp>:

このメールは Google グループのグループ「OpenVPN Japan Users Group」の登録者に送られています。
このグループから退会し、グループからのメールの配信を停止するには openvpn-japan-user...@googlegroups.com にメールを送信してください。
その他のオプションについては、https://groups.google.com/d/optout にアクセスしてください。

[山崎 太郎]

> ⇨一度vpnuxを起動した後に、2つ目のインスタンスの起動を試みると、既にvpnuxが起動しているため、2つ目以降のインスタンス起動は不可の認識です。
> したがって、上記はvpnuxを別ディレクトリに追加でインストールし、起動するテスト方法を指しておりますでしょうか。

おっしゃるとおり、vpnux Clientは複数インスタンスの同時起動は不可になっています。
同一環境上で複数インスタンスでの検証をされる場合は、vpnux Clientではなく OpenVPN のバイナリを使ってテストしていただく必要があります。

＃ 複数インスタンスを使用する場合、インスタンスの数だけ仮想NICを追加インストールする必要があります。

[西崎佑]

山崎　様

ご回答いただきありがとうございます。

先に申し上げた複数インスタンス起動によるテストの場合、仮想NICをインストールする必要があるとのことですが、可能な限りソフトウェアを追加インストールせずに簡略な手順にて接続数テストを実施したく思います。また、以前のメールにて、「OpenVPNの場合、接続元IPは別々である必要はありません。」とご回答いただいている為、仮想NICを追加インストールせずとも接続数テストは実施可能な認識です。

この点、先にご提案いただいた下記方法が簡易的な為、以下方法にて検討しておりますが、下記ご提案いただいてテストの具体的な手順(具体的な実行コマンド等)をご教示いただければ幸いです。

>vpnux Clientは一般ユーザーが使用しやすいように機能を簡略化していますので、もし検証やテストに利用されるようでしたらOpenVPN本体のコマンドで実施されるほうがよいと思います。そのほうがさまざまな設定
>を柔軟に調整できます。

以上、よろしくお願いいたします。

2018年11月19日(月) 16:20 山崎 太郎 <ta...@plum-systems.co.jp>:

[山崎 太郎]

西崎様

OpenVPNは、1台のPC上でOpenVPNコマンド（インスタンス）を複数起動することで複数のクライアント接続を開始できます。ただし、それぞれのインスタンスは自分の仮想NICを使ってVPN接続を開始します。

つまり、同時接続したいクライアントの数だけ仮想NICが必要です。

したがって、

> 以前のメールにて、「OpenVPNの場合、接続元IPは別々である必要はありません。」とご回答いただいている為、仮想NICを追加インストールせずとも接続数テストは実施可能な認識です。

接続元IP（クライアントPC）は別々である必要はありませんが、仮想NICは複数インストールする必要があります。

On 2018/12/16 21:54, 西崎佑 wrote:
> 山崎　様
>
> ご回答いただきありがとうございます。
>
> 先に申し上げた複数インスタンス起動によるテストの場合、仮想NICをインストールする必要があるとのことですが、可能な限りソフトウェアを追加インストールせずに簡略な手順にて接続数テストを実施したく思います。また、以前のメールにて、「OpenVPNの場合、接続元IPは別々である必要はありません。」とご回答いただいている為、仮想NICを追加インストールせずとも接続数テストは実施可能な認識です。
>
> この点、先にご提案いただいた下記方法が簡易的な為、以下方法にて検討しておりますが、下記ご提案いただいてテストの具体的な手順(具体的な実行コマンド等)をご教示いただければ幸いです。
>

> />vpnux Clientは一般ユーザーが使用しやすいように機能を簡略化し//ていますので、もし検証やテストに利用されるようでしたらOpe//nVPN本体のコマンドで実施されるほうがよいと思います。その//ほうがさまざまな設定
>>を柔軟に調整できます。
>
> /以上、よろしくお願いいたします。/
> /
>
> 2018年11月19日(月) 16:20 山崎 太郎 <ta...@plum-systems.co.jp <mailto:ta...@plum-systems.co.jp>>:

>
>
> > ⇨一度vpnuxを起動した後に、2つ目のインスタンスの起動を試みると、既にvpnuxが起動しているため、2つ目以降のインスタンス起動は不可の認識です。
> > したがって、上記はvpnuxを別ディレクトリに追加でインストールし、起動するテスト方法を指しておりますでしょうか。
>
> おっしゃるとおり、vpnux Clientは複数インスタンスの同時起動は不可になっています。
> 同一環境上で複数インスタンスでの検証をされる場合は、vpnux Clientではなく OpenVPN のバイナリを使ってテストしていただく必要があります。
>
> ＃ 複数インスタンスを使用する場合、インスタンスの数だけ仮想NICを追加インストールする必要があります。
>
>
> --

> ::: Taro Yamazaki [ ta...@plum-systems.co.jp <mailto:ta...@plum-systems.co.jp> ]

> :    <Blog> http://yamatamemo.blogspot.jp/
> :    <LinkedIn> http://www.linkedin.com/in/yamata
> -------------------------------------------------------------
> : Plum Systems Inc.
> : 2-3-11-2F, Kurihira, Asao-ku,
> : Kawasaki, Kanagawa
> : http://www.plum-systems.co.jp/
>
> --
> このメールは Google グループのグループ「OpenVPN Japan Users Group」の登録者に送られています。

> このグループから退会し、グループからのメールの配信を停止するには openvpn-japan-user...@googlegroups.com <mailto:openvpn-japan-users-group%2Bunsu...@googlegroups.com> にメールを送信してください。
> その他のオプションについては、https://groups.google.com/d/optout にアクセスしてください。
>
> --

> このメールは Google グループのグループ「OpenVPN Japan Users Group」に登録しているユーザーに送られています。

> このグループから退会し、グループからのメールの配信を停止するには openvpn-japan-user...@googlegroups.com <mailto:openvpn-japan-user...@googlegroups.com> にメールを送信してください。
> その他のオプションについては https://groups.google.com/d/optout にアクセスしてください。

[西崎佑]

ご回答いただきありがとうございます。

AWS側のEC2(OpenVPNサーバ)に仮想NICの追加を試み(/etc/sysconfig/network-scripts下のifcfg-eth0を元にifcfg-eth1, ifcfg-eth2...と追加)、

当該環境からopenvpnコマンドを使用し(openvpn client.conf)、接続をしたところ、2回目の接続実行時に以下の通り標準出力にてエラーが表示されます。

************************************************************************************

ERROR: Linux route add command failed: external program exited with error status: 2

************************************************************************************

しかし、ifconfigにて割り当てネットワークインターフェースを確認したところ、tunが以下の通り追加で割り当てられております。

これは、追加でネットワークインターフェースに割り当てられているが(=接続数制限には引っかかっていない)、IPアドレスの割り当てに失敗していると理解しております。

原因、及び解決策をご教示いただければと思います。

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 
          inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255
          inet6 addr: fe80::bb6:c1f1:cf1d:6779/64 Scope:Link

tun1      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 
          inet addr:10.8.0.6  P-t-P:10.8.0.5  Mask:255.255.255.255
          inet6 addr: fe80::f07f:8f12:14a4:527b/64 Scope:Link

tun2      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 
          inet addr:10.8.0.6  P-t-P:10.8.0.5  Mask:255.255.255.255
          inet6 addr: fe80::fc26:a9af:f580:4162/64 Scope:Link

tun3      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 
          inet addr:10.8.0.6  P-t-P:10.8.0.5  Mask:255.255.255.255
          inet6 addr: fe80::95ad:5357:6da9:cd6e/64 Scope:Link

tun4      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 
          inet addr:10.8.0.6  P-t-P:10.8.0.5  Mask:255.255.255.255
          inet6 addr: fe80::829:d34d:dbf9:9c41/64 Scope:Link

以上、よろしくお願いします。

2018年12月18日(火) 16:29 山崎 太郎 <ta...@plum-systems.co.jp>:

このグループから退会し、グループからのメールの配信を停止するには openvpn-japan-user...@googlegroups.com にメールを送信してください。
その他のオプションについては、https://groups.google.com/d/optout にアクセスしてください。

[西崎佑]

ご回答いただきありがとうございます。

仮想NICを接続台数分インストールする必要がある旨、承知いたしました。

一点確認させていただきますが、Linux環境に仮想NICをインストールする方法についてご教示いただければと思います。

以上、よろしくお願いいたします。

2018年12月18日(火) 16:29 山崎 太郎 <ta...@plum-systems.co.jp>:

このグループから退会し、グループからのメールの配信を停止するには openvpn-japan-user...@googlegroups.com にメールを送信してください。
その他のオプションについては、https://groups.google.com/d/optout にアクセスしてください。

[西崎佑]

ご回答いただきありがとうございます。

仮想NICの追加が必要な旨、承知いたしました。

ですが、金銭面的な理由により現実的では無い為、シンプルに異なる複数クライアントからのテストを検討いたします。

また、追加で質問させていただきますが、OpenVPNにおけるserver.confの以下パラメータですが、基本的に当該値に応じた同時接続可能という認識でよろしいでしょうか。

※ ネットワーク帯域、RAM容量等のその他条件は除外いたします。

上記認識で問題無いかと思いますが、念の為確認させてください。

# The maximum number of concurrently connected
# clients we want to allow.
max-clients 100

2018年12月18日(火) 16:29 山崎 太郎 <ta...@plum-systems.co.jp>:

このグループから退会し、グループからのメールの配信を停止するには openvpn-japan-user...@googlegroups.com にメールを送信してください。
その他のオプションについては、https://groups.google.com/d/optout にアクセスしてください。

[山崎 太郎]

こんにちは、やまざきです。

OpenVPNサーバー側は、複数接続を受け付けるために仮想NICの追加は必要ありません（1インスタンスで複数クライアントからの接続を受け付けられます）。OpenVPNクライアントは接続ごとにインスタンス＝仮想NICが必要になります。

＃ 要件によってはサーバー側で複数インスタンスを立ち上げることもありますが、例外的な構成です。
＃ その場合には各インスタンスのOpenVPN設定ファイルで、それぞれのインスタンスが使用するデバイスを指定する必要があります。

> また、追加で質問させていただきますが、OpenVPNにおけるserver.confの以下パラメータですが、基本的に当該値に応じた同時接続可能という認識でよろしいでしょうか。

> # The maximum number of concurrently connected
> # clients we want to allow.
> max-clients 100

はい、この数字はクライアントから同時接続を受け付ける「上限数」です。
設定しなくても問題ありません。

On 2018/12/24 13:18, 西崎佑 wrote:
> ご回答いただきありがとうございます。
>
> 仮想NICの追加が必要な旨、承知いたしました。
> ですが、金銭面的な理由により現実的では無い為、シンプルに異なる複数クライアントからのテストを検討いたします。
>
> また、追加で質問させていただきますが、OpenVPNにおけるserver.confの以下パラメータですが、基本的に当該値に応じた同時接続可能という認識でよろしいでしょうか。
> ※ ネットワーク帯域、RAM容量等のその他条件は除外いたします。
> 上記認識で問題無いかと思いますが、念の為確認させてください。
>
>
> # The maximum number of concurrently connected
> # clients we want to allow.
> max-clients 100
>

> 2018年12月18日(火) 16:29 山崎 太郎 <ta...@plum-systems.co.jp <mailto:ta...@plum-systems.co.jp>>:

>
>
> 西崎様
>
> OpenVPNは、1台のPC上でOpenVPNコマンド（インスタンス）を複数起動することで複数のクライアント接続を開始できます。ただし、それぞれのインスタンスは自分の仮想NICを使ってVPN接続を開始します。
>
> つまり、同時接続したいクライアントの数だけ仮想NICが必要です。
>
> したがって、
>
> > 以前のメールにて、「OpenVPNの場合、接続元IPは別々である必要はありません。」とご回答いただいている為、仮想NICを追加インストールせずとも接続数テストは実施可能な認識です。
>
> 接続元IP（クライアントPC）は別々である必要はありませんが、仮想NICは複数インストールする必要があります。
>
>
> On 2018/12/16 21:54, 西崎佑 wrote:
> > 山崎　様
> >
> > ご回答いただきありがとうございます。
> >
> > 先に申し上げた複数インスタンス起動によるテストの場合、仮想NICをインストールする必要があるとのことですが、可能な限りソフトウェアを追加インストールせずに簡略な手順にて接続数テストを実施したく思います。また、以前のメールにて、「OpenVPNの場合、接続元IPは別々である必要はありません。」とご回答いただいている為、仮想NICを追加インストールせずとも接続数テストは実施可能な認識です。
> >
> > この点、先にご提案いただいた下記方法が簡易的な為、以下方法にて検討しておりますが、下記ご提案いただいてテストの具体的な手順(具体的な実行コマンド等)をご教示いただければ幸いです。
> >
> > />vpnux Clientは一般ユーザーが使用しやすいように機能を簡略化し//ていますので、もし検証やテストに利用されるようでしたらOpe//nVPN本体のコマンドで実施されるほうがよいと思います。その//ほうがさまざまな設定
> >>を柔軟に調整できます。
> >
> > /以上、よろしくお願いいたします。/
> > /
> >

> > 2018年11月19日(月) 16:20 山崎 太郎 <ta...@plum-systems.co.jp <mailto:ta...@plum-systems.co.jp> <mailto:ta...@plum-systems.co.jp <mailto:ta...@plum-systems.co.jp>>>:

> >
> >
> >     > ⇨一度vpnuxを起動した後に、2つ目のインスタンスの起動を試みると、既にvpnuxが起動しているため、2つ目以降のインスタンス起動は不可の認識です。
> >     > したがって、上記はvpnuxを別ディレクトリに追加でインストールし、起動するテスト方法を指しておりますでしょうか。
> >
> >     おっしゃるとおり、vpnux Clientは複数インスタンスの同時起動は不可になっています。
> >     同一環境上で複数インスタンスでの検証をされる場合は、vpnux Clientではなく OpenVPN のバイナリを使ってテストしていただく必要があります。
> >
> >     ＃ 複数インスタンスを使用する場合、インスタンスの数だけ仮想NICを追加インストールする必要があります。
> >
> >
> >     --

> >     ::: Taro Yamazaki [ ta...@plum-systems.co.jp <mailto:ta...@plum-systems.co.jp> <mailto:ta...@plum-systems.co.jp <mailto:ta...@plum-systems.co.jp>> ]

> >     :    <Blog> http://yamatamemo.blogspot.jp/
> >     :    <LinkedIn> http://www.linkedin.com/in/yamata
> >     -------------------------------------------------------------
> >     : Plum Systems Inc.
> >     : 2-3-11-2F, Kurihira, Asao-ku,
> >     : Kawasaki, Kanagawa
> >     : http://www.plum-systems.co.jp/
> >
> >     --
> >     このメールは Google グループのグループ「OpenVPN Japan Users Group」の登録者に送られています。

> >     このグループから退会し、グループからのメールの配信を停止するには openvpn-japan-user...@googlegroups.com <mailto:openvpn-japan-users-group%2Bunsu...@googlegroups.com> <mailto:openvpn-japan-users-group%2Bunsu...@googlegroups.com <mailto:openvpn-japan-users-group%252Buns...@googlegroups.com>> にメールを送信してください。

> >     その他のオプションについては、https://groups.google.com/d/optout にアクセスしてください。
> >
> > --
> > このメールは Google グループのグループ「OpenVPN Japan Users Group」に登録しているユーザーに送られています。

> > このグループから退会し、グループからのメールの配信を停止するには openvpn-japan-user...@googlegroups.com <mailto:openvpn-japan-users-group%2Bunsu...@googlegroups.com> <mailto:openvpn-japan-user...@googlegroups.com <mailto:openvpn-japan-users-group%2Bunsu...@googlegroups.com>> にメールを送信してください。