Diff for "OpenVPN/OpenSource"

Deletions are marked like this.

Additions are marked like this.

= オープンソース版 =

この内容は以下に移転しました。

CentOS release 6.5(Final)へインストールする。
{{{
yum install openvpn
}}}
でインストール（epelリポジトリの追加が必要だったかも）。

現在のバージョンはopenvpn-2.3.12。
/usr/share/doc/openvpn-2.3.12/にドキュメント、サンプルファイルが格納される。

== 認証方式の選択 ==

とりあえず一人で使うので認証方法は静的キーにしようと思ったのだが、この方式ではクライアントがただ一つしか接続できないとのこと。しかし、どうも試してみると、「クライアント」ではなく対等な関係の１対１のようである。
つまり、サーバ・クライアントの区別は無く、クライアント側も通信ポートのTCPあるいはUDPの1194を開けておく必要がある模様（定かではない）。これでは役に立たないので静的キーはやめた。
ちなみに、設定ファイルには１対１の記述しかできないが、複数の設定ファイルを作成して（おそらくポートやIPアドレスは異なっている必要がある）、複数のインスタンスを作成できるので、一つのサーバマシンに対して１つのクライアントしか接続できないということは無い模様。つまり、認証方式ｎ一つとして静的キーという選択があるのではなく、クライアント・サーバという動作ではなくなってしまうものと思われる。

検証するのも面倒なので以上は単なる推測。

やりたいこととしては

* ただ一つのキーファイルあるいはただ一つのユーザアカウントを複数クライアントに配れば、それらクライアントが同時に接続できる。
* Windowsクライアントのファイアウォール設定をいじる必要は無い。
* サーバからクライアントに対して何らかの操作をすることはない（sサーバ側からクライアントにあるウェブページを見るなど）。
* サーバは特にいわゆるクラウドでも無いので、そのサブネットにアクセスする必要はない。
* クライアント側からの一般的なネット接続（一般のウェブサイト閲覧など）はサーバを経由する必要はない（させたくない）。
* クライアントどうしがやりとりする必要はない。
* サーバの機能（全ポート）には、特に設定することもなく自由にアクセスできる。

要するに、LANの中にファイアウォールを全解放したサーバがあるかのように扱えればよい。

== ID/パスワード認証によるサーバ側設定 ==

参考としてあげたURLを参照してID/パスワード認証とする。ただし、そのままではない。いろいろと不都合な点があるのでそれは適宜変更してある。

この方式では、
* キーファイルや証明書が必要になるが、opensslがあれば簡単に作成できる。
* それらの証明書等は、複数クライアントで同じものを配っておけばよい。
* 対象サーバの中のユーザアカウント情報を、そのままクライアントの認証情報として使用できる。

この方式で使用するソフトは以下。
* もちろんopenvpnであるが、サーバ側はyumでインストールしたもの。クライアント側はvpnux clientを使う。クライアント用のopenvpnよりも楽ができる。
* openssl
* サーバのファイアウォールをいじるためにopensslを使う。

opensslをアップデートしておく。
{{{
yum update openssl
}}}

=== サーバ側：キーファイルの作成 ===

openvpnをインストールすると、/etc/openvpnディレクトリが作成されるので（空のはず）、そこに以下のスクリプトを、例えばcreatekeysとして作成、「sh createkeys」で実行してキーファイルを作る。

{{{
echo generating CA
openssl genrsa 2048 > ca.key 2> /dev/null
openssl req -utf8 -new -key ca.key -out ca.csr 2> /dev/null << EOT
JP
Sample
Sample
Sample
Sample
Sample

EOT
openssl x509 -in ca.csr -out ca.crt -req -signkey ca.key -days 3650 -sha256 2> /dev/null
echo generating server certificate
openssl genrsa 2048 > server.key 2> /dev/null
openssl rsa -in server.key -out server.key 2> /dev/null
openssl req -utf8 -new -key server.key -out server.csr 2> /dev/null << EOT
JP
Sample
Sample
Sample
Sample
Sample

EOT
openssl x509 -in server.csr -out server.crt -req -CA ca.crt -CAkey ca.key -days 3650 -sha256 -CAcreateserial 2> /dev/null
chmod 400 *.key

echo generating dh2048.pem
openssl dhparam -out dh2048.pem 2048 2> /dev/null

#echo generating ta.key
#openvpn --genkey --secret ta.key 2> /dev/null
#echo done!
}}}

これを行うと、/etc/openvpnディレクトリ中に、ca.crt,ca.csr,ca.key,ca.srl,dh2048.pem,server.crt,server.csr,server.keyというファイルが作成される。
二つのファイル、server.crtをクライアントに転送しておく。

=== サーバ側：設定ファイルの作成 ===

/etc/openvpnディレクトリに、openvpn.confファイルを作成する。拡張子が.confであれば、名前は何でもよい。openvpnを起動すると、/etc/openvpnディレクトリ中のすべての.confファイルが設定ファイルとして用いられる。

少々汚いが、動いているものをそのまま示す。ネットワークアドレスは10.8.92.0になっている。
{{{
log-append /var/log/openvpn.log
port 1194
proto udp

ca ca.crt
cert server.crt
key server.key
dh dh2048.pem

dev tun
topology subnet
server 10.8.92.0 255.255.255.0

#tls-auth ta.key 0

user nobody
group nobody
log-append /var/log/openvpn.log

plugin /usr/lib64/openvpn/plugin/lib/openvpn-auth-pam.so login
client-cert-not-required
username-as-common-name

persist-key
persist-tun
keepalive 10 120
comp-lzo

fragment 1280
mssfix 1280
link-mtu 1400
}}}

これでOK。あとは「service openvpn start」とすれば良いが、ただし普通にグローバルIPを割り当てられているサーバではiptablesの設定を行う必要がある。

=== サーバ側：iptablesの設定 ===

iptablesmodとして作成し、「sh iptablesmod」を実行。service iptables saveとでもして設定をセーブする。ネットワークアドレスは10.8.92.0になっている。

{{{
iptables -A INPUT -i eth0 -m state --state NEW -p udp --dport 1194 -j ACCEPT
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
ptables -A FORWARD -i eth0 -o tun+ -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.92.0/24 -o eth0 -j MASQUERADE
iptables -A OUTPUT -o tun+ -j ACCEPT
}}}

これでサーバ側は終了。

=== クライアント側：vpnux clientのインストールと設定、起動 ===

基本的に参考(3)の通りで良いのだが、ただしここには間違い（と思われる）があり、CA証明書に入れるものは、ca.crtではなくserver.crtと思われる。ta.keyについては正しい。
だから、サーバからとってくるものは、ca.crtとta.keyではなく、server.crtとta.key。

--> ta.keyは使わないことにしたので不要になった。詳細設定画面では何も入れなくて良い。どうもta.keyを使用すると接続に問題が出てくる。このキーの用途は「DoS attacks and UDP port flooding」の回避なので、有名なサイトでも無い限り必要はない。

また、参考(5)のように、詳細設定の中のLink MTU、フラグメントmssfixをいじっておく。

== 参考 ==

* (1) http://vogel.at.webry.info/201503/article_5.html
* (2) http://vogel.at.webry.info/201504/article_2.html
* (3) http://vogel.at.webry.info/201504/article_3.html
* (4) https://arashmilani.com/post?id=53
* (5) http://vogel.at.webry.info/201504/article_10.html

https://www.gwtcenter.com/how-to-use-openvpn-1

-Deletions are marked like this.
+Additions are marked like this.
 Line 1:
-= オープンソース版 =
+この内容は以下に移転しました。
 Line 3:
-CentOS release 6.5(Final)へインストールする。

{{{

yum install openvpn

}}}

でインストール（epelリポジトリの追加が必要だったかも）。



現在のバージョンはopenvpn-2.3.12。

/usr/share/doc/openvpn-2.3.12/にドキュメント、サンプルファイルが格納される。



== 認証方式の選択 ==



とりあえず一人で使うので認証方法は静的キーにしようと思ったのだが、この方式ではクライアントがただ一つしか接続できないとのこと。しかし、どうも試してみると、「クライアント」ではなく対等な関係の１対１のようである。

つまり、サーバ・クライアントの区別は無く、クライアント側も通信ポートのTCPあるいはUDPの1194を開けておく必要がある模様（定かではない）。これでは役に立たないので静的キーはやめた。

ちなみに、設定ファイルには１対１の記述しかできないが、複数の設定ファイルを作成して（おそらくポートやIPアドレスは異なっている必要がある）、複数のインスタンスを作成できるので、一つのサーバマシンに対して１つのクライアントしか接続できないということは無い模様。つまり、認証方式ｎ一つとして静的キーという選択があるのではなく、クライアント・サーバという動作ではなくなってしまうものと思われる。



検証するのも面倒なので以上は単なる推測。



やりたいこととしては



 * ただ一つのキーファイルあるいはただ一つのユーザアカウントを複数クライアントに配れば、それらクライアントが同時に接続できる。

 * Windowsクライアントのファイアウォール設定をいじる必要は無い。

 * サーバからクライアントに対して何らかの操作をすることはない（sサーバ側からクライアントにあるウェブページを見るなど）。

 * サーバは特にいわゆるクラウドでも無いので、そのサブネットにアクセスする必要はない。

 * クライアント側からの一般的なネット接続（一般のウェブサイト閲覧など）はサーバを経由する必要はない（させたくない）。

 * クライアントどうしがやりとりする必要はない。

 * サーバの機能（全ポート）には、特に設定することもなく自由にアクセスできる。



要するに、LANの中にファイアウォールを全解放したサーバがあるかのように扱えればよい。



== ID/パスワード認証によるサーバ側設定 ==



参考としてあげたURLを参照してID/パスワード認証とする。ただし、そのままではない。いろいろと不都合な点があるのでそれは適宜変更してある。



この方式では、

 * キーファイルや証明書が必要になるが、opensslがあれば簡単に作成できる。

 * それらの証明書等は、複数クライアントで同じものを配っておけばよい。

 * 対象サーバの中のユーザアカウント情報を、そのままクライアントの認証情報として使用できる。



この方式で使用するソフトは以下。

 * もちろんopenvpnであるが、サーバ側はyumでインストールしたもの。クライアント側はvpnux clientを使う。クライアント用のopenvpnよりも楽ができる。

 * openssl

 * サーバのファイアウォールをいじるためにopensslを使う。



opensslをアップデートしておく。

{{{

yum update openssl

}}}





=== サーバ側：キーファイルの作成 ===



openvpnをインストールすると、/etc/openvpnディレクトリが作成されるので（空のはず）、そこに以下のスクリプトを、例えばcreatekeysとして作成、「sh createkeys」で実行してキーファイルを作る。



{{{

echo generating CA

openssl genrsa 2048 > ca.key 2> /dev/null

openssl req -utf8 -new -key ca.key -out ca.csr 2> /dev/null << EOT

JP

Sample

Sample

Sample

Sample

Sample









EOT

openssl x509 -in ca.csr -out ca.crt -req -signkey ca.key -days 3650 -sha256 2> /dev/null

echo generating server certificate

openssl genrsa 2048 > server.key 2> /dev/null

openssl rsa -in server.key -out server.key 2> /dev/null

openssl req -utf8 -new -key server.key -out server.csr 2> /dev/null << EOT

JP

Sample

Sample

Sample

Sample

Sample









EOT

openssl x509 -in server.csr -out server.crt -req -CA ca.crt -CAkey ca.key -days 3650 -sha256 -CAcreateserial 2> /dev/null

chmod 400 *.key



echo generating dh2048.pem

openssl dhparam -out dh2048.pem 2048 2> /dev/null



#echo generating ta.key

#openvpn --genkey --secret ta.key 2> /dev/null

#echo done!

}}}



これを行うと、/etc/openvpnディレクトリ中に、ca.crt,ca.csr,ca.key,ca.srl,dh2048.pem,server.crt,server.csr,server.keyというファイルが作成される。

二つのファイル、server.crtをクライアントに転送しておく。



=== サーバ側：設定ファイルの作成 ===



/etc/openvpnディレクトリに、openvpn.confファイルを作成する。拡張子が.confであれば、名前は何でもよい。openvpnを起動すると、/etc/openvpnディレクトリ中のすべての.confファイルが設定ファイルとして用いられる。



少々汚いが、動いているものをそのまま示す。ネットワークアドレスは10.8.92.0になっている。

{{{

log-append /var/log/openvpn.log

port 1194

proto udp



ca ca.crt

cert server.crt

key server.key

dh dh2048.pem



dev tun

topology subnet

server 10.8.92.0 255.255.255.0





#tls-auth ta.key 0



user nobody

group nobody

log-append /var/log/openvpn.log



plugin /usr/lib64/openvpn/plugin/lib/openvpn-auth-pam.so login

client-cert-not-required

username-as-common-name





persist-key

persist-tun

keepalive 10 120

comp-lzo



fragment 1280

mssfix 1280

link-mtu 1400

}}}





これでOK。あとは「service openvpn start」とすれば良いが、ただし普通にグローバルIPを割り当てられているサーバではiptablesの設定を行う必要がある。



=== サーバ側：iptablesの設定 ===



iptablesmodとして作成し、「sh iptablesmod」を実行。service iptables saveとでもして設定をセーブする。ネットワークアドレスは10.8.92.0になっている。



{{{

iptables -A INPUT -i eth0 -m state --state NEW -p udp --dport 1194 -j ACCEPT

iptables -A INPUT -i tun+ -j ACCEPT

iptables -A FORWARD -i tun+ -j ACCEPT

iptables -A FORWARD -i tun+ -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT

ptables -A FORWARD -i eth0 -o tun+ -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -t nat -A POSTROUTING -s 10.8.92.0/24 -o eth0 -j MASQUERADE

iptables -A OUTPUT -o tun+ -j ACCEPT

}}}



これでサーバ側は終了。



=== クライアント側：vpnux clientのインストールと設定、起動 ===



基本的に参考(3)の通りで良いのだが、ただしここには間違い（と思われる）があり、CA証明書に入れるものは、ca.crtではなくserver.crtと思われる。ta.keyについては正しい。

だから、サーバからとってくるものは、ca.crtとta.keyではなく、server.crtとta.key。



--> ta.keyは使わないことにしたので不要になった。詳細設定画面では何も入れなくて良い。どうもta.keyを使用すると接続に問題が出てくる。このキーの用途は「DoS attacks and UDP port flooding」の回避なので、有名なサイトでも無い限り必要はない。





また、参考(5)のように、詳細設定の中のLink MTU、フラグメントmssfixをいじっておく。





== 参考 ==



 * (1) http://vogel.at.webry.info/201503/article_5.html

 * (2) http://vogel.at.webry.info/201504/article_2.html

 * (3) http://vogel.at.webry.info/201504/article_3.html

 * (4) https://arashmilani.com/post?id=53

 * (5) http://vogel.at.webry.info/201504/article_10.html
+https://www.gwtcenter.com/how-to-use-openvpn-1