さて、OpenVPNですが、サーバーに入ってみたら過去に設定済みだったOpenVPNが残っていたので、インストールのログを並べて軽く説明ってのも毎度の毎度の事なので、設定済みのものを弄りながら説明を加えながら進めたいと思います。
OpenVPNのデフォルトのポート番号は1194番です。OpenVPNはHTTPプロキシ経由での接続も可能なので、「良い串作ろうOpenVPN」と覚えてもいいかもね。勘違いしそうだけれど。
サーバーの設定は/etc/openvpn/server.confで行います。だいたい/usr/share/doc/openvpn-2.2.2/sample-config-files/server.confのサンプルをコピーして設定を進めていきます。
現在のconfファイルを見ながら進めましょう。以下のコマンドの結果を並べて行きます。
# cat /etc/openvpn/server.conf | egrep -v "^#|^\s*$"
デフォルトポートで問題なければこのままで。
port 1194
UDPがデフォですが、TCPが良ければTCPに変更すればOKです。
IptablesなどFWの設定に気を付けるべし。
;proto tcp proto udp
VPNインターフェースとしてtapかtunのどちらを使うか。でぶたんと見ると何となくかわいいですが、トンネリングデバイスの事を指してます。
ここではtunを使っていますが、tunはL3通信でPoint-to-Point。
tapはL2通信です。
;dev tap dev tun
ifconfigを見ると分かります。
tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet addr:192.168.2.1 P-t-P:192.168.2.2 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
peer to peer とは違いますよ。
続いては暗号化関連が続いていますね。証明書や暗号鍵の生成などはVPNというよりSSL通信の範疇になるかと思うのでざっくり進めます。
/etc/openvpn/easy-rsa/2.0/varsファイルを修正して鍵情報を入力します。
/etc/openvpn/easy-rsa/2.0ディレクトリ内に生成スクリプトが入っているので、スクリプトで出来上がった鍵や証明書を/etc/openvpn/easy-rsa/2.0/keys/ディレクトリに置いておきます。
server.confに記述すれば完了です。
ca ca.crt cert server.crt key server.key # This file should be kept secret dh dh1024.pem
続いてはDHCPとしての記述で、クライアントに渡すIPの範囲ですな。
server 192.168.2.0 255.255.255.0
10秒で1回の死活監視です。120秒応答がなければセッションが切れます。
keepalive 10 120
共通暗号化鍵を使用してする場合は、指定する。
tls-auth ta.key 0 # This file is secret
LZO圧縮を利用するか。
comp-lzo
おなじみのあれですが、最大同時接続数です。
max-clients 2
ユーザー権限の実行となるので、Unix系OSを使用している場合はセキュアになります。
user nobody group nobody
不意に切断した時に、再接続時に記憶しておくか。
persist-key persist-tun
この3行はログ関連です。
上から接続中のクライアントリスト。VPNのログ。ログレベル。でし!!
status openvpn-status.log log-append /var/log/openvpn.log verb 3
後の4行は楽に使えるようにどこかでググってきた設定です。
デフォルトでは push “route 192.168.10.0 255.255.255.0” のような記述で、クライアントのデフォルトゲートウェイをVPN経由にするようにルーティングテーブルを設定します。
一番下のは同じ鍵が使えるようになります。
ご覧のようにセキュアにしたいならやらない方がいいかな?
push "redirect-gateway def1" push "dhcp-option DNS 8.8.8.8" push "dhcp-option DNS 8.8.4.4" duplicate-cn
参考サイト
unixuser.orgのページ OpenSSHを使った簡易VPNの構築
毎月進化する490円/月のVPS「ServersMan@VPS」をオンラインストレージやVPNで活用しよう
眠い・・|д゚)
次回につづく!!
