zebedee - maximilianの日記

SSHが重い時に暗号化をBlowfishにすると若干早くなる。大きなものを持ってきたり、固めたり広げたりするときに便利。zlibとBlowfishで軽量の暗号通信で鍵が使えるものを探してみる。
ごにょごにょ、、、ありました。zebedee。早速トライしてみる。
結構めんどくさいので備忘録for自分。

zebedeeはクライアントで持ってもいいけど、拠点間に向いている。（と思う。）拠点のlinuxBOXに常時張らせておいてそこから使う。windows端末でやってもいいけどその場合はSMBは飛ばせない。（でも後で検証してみたらOpenVPNより若干早いので好みで使うとよい。）

インストールは基本的にtarボールからする。rpmだとモジュールの入れ替えではまる。
http://www.winton.org.uk/zebedee/download.html
zlib,blowfish,bzipはすでに持っていてもソースを展開する。（インクルードするだけなので環境は汚れない。御安心あれ。）Zebedeeももって来て展開する。
持ってきたものを全て解凍する。インクルードするだけなので tar zxvf ++,cd ++ ,makeまででよい。
Zebedeeのコンパイルは
make OS=linux
でOK。./configureはいらない。make installもいらない。
出来上がったバイナリのzebedeeをパスの通ったところにcpする。
cp -pr zebedee /usr/local/bin
これでインストールは完了。
設定ファイルを作る
mkdir /etc/zebedee
cd /etc/zebedee
鍵を作る
zebedee -p > zebedee.key
zebedee -P -f zebedee.key > server.id
IDがサーバー鍵・keyが秘密鍵
 秘密鍵をSCPなんかでクライアント側にもってくる。IDはサーバー側に残す。

サーバー側の設定ファイル(兼起動スクリプト zebedeed)を作る。（本店）中身はこんな感じ。
cat /etc/zebedee/zebedeed

#!/usr/local/bin/zebedee -f
verbosity 2
server true
#detached true
udpmode false
logfile '/var/log/zebedee-server.log'
checkidfile '/path/to/server.id'
keygenlevel 2
minkeylength 256
compression zlib:9
keylength 256
keylifetime 36000
maxbufsize 16383
target target1:80
target target2:80
target target3:80
target localhost:445

ターゲットは御自由に。４４５はSMBしたい相手に。

クライアント側の設定兼接続スクリプトを作る。（支店）中身はこんな感じ。
（鍵は相対で置いてあるので、この場合/etc/zebedee/zebedee.keyにSCPしておいてclient.logをtouchしておく）
cat /etc/zebedee/zebedee-client

#!/usr/local/bin/zebedee -f
verbosity 2
server false
detached true
udpmode false
logfile 'client.log'
include 'zebedee.key'
serverhost your-server(DDNS / fix IP etc...)
keygenlevel 2
compression zlib:9
keylength 256
keylifetime 36000
maxbufsize 16383
tunnel 81:target1:80
tunnel 82:target2:80
tunnel 83:target3:80
tunnel 445:localhost:445

これで設定は完了。サーバー側のルーターのフォワード（デフォルトではポート11965）しておいて
serverにて
/etc/zebedee/zebedeed
clientにて
/etc/zebedee/zebedee-client
で起動完了。ps -Aしてzebedee-client（クライアント側）/zebedeed（サーバー側）があればOK。

支店のwindows端末から
http://shiten-no-linux-box:81
http://shiten-no-linux-box:82
http://shiten-no-linux-box:83
なんかで本店のサーバーがみえたり
「ファイル名を指定して実行」「\\shiten-no-linux-box」で本店のSMBが見えれば成功。（いや、ここは大成功としておこう。(^_^;)）

拠点間は継ぎっぱなしであれば支店のwindows端末は暗号接続まわりの設定からは自由になれます。（支店のクライアントサーバーに接続すれば本店のサーバーが見えるので。）

逆もsameでOK。

速度はUSEN光とBフレッツ光で平均10から15Mぐらい。乗っている時だと20M弱はいけそう。httpでもOpenVPNと同等かそれ以上な印象。本店のVOBファイルが見れました。(^_^;)いや、すばらしい。（しまった。仕事せねば）
鍵がひとつしか登録できない。鍵が短いなど気になる人は自由に変更すればよし。

結構いい感じなのでこれってもしかしてPPTPなルーターやヤマハのルーターいらなくない？
、、、あー、このめんどくささ＝ルーター代か。納得。

出展はここらへん。
http://wiki.spc.gr.jp/tunnel/?DigByZebedee
http://www.linux.or.jp/JM/html/zebedee/zebedee.pod.html
http://homepage1.nifty.com/glass/tom_neko/web/web_zebedee.html
http://w3.itoh.net/zebedee.html
http://w3.itoh.net/zebedee2.html

おまけ
各拠点の管理にSSHは必須。鍵管理でないと心配ですのでそこは鍵で。
業務限定（http）の場合もSSHがデフォでお勧め。（putty iniがあるので）ただしスキルがあるクライアントではOpenVPNもいい感じ。
外に出ているときのちょこっと作業にはSSHまたはOpenVPNがよい感じ。
がっつり速度を出すときは端末windowsでzebedeeかOpenVPNがよい感じ。
どっしり腰をすえてSMBも使いたい時は玄箱（デビアン化かVine化）にzebedeeで常時接続させてクライアント（モニタ２面）足す音声認識PC（synergy）でほぼ満足。
って感じかしら。
zebedeeの最大で唯一の欠点は鍵が細くてひとつしかないところかしら。拠点間・管理者用としても多クライアント用ではないな。（でも十分満足。）