オープンソース版
CentOS release 6.5(Final)へインストールする。このサーバに接続できればよい、他のオプションは一切不要。
yum install openvpn
でインストール(epelリポジトリの追加が必要だったかも)。
現在のバージョンはopenvpn-2.3.12。 /usr/share/doc/openvpn-2.3.12/にドキュメント、サンプルファイルが格納される。
認証方式の選択
とりあえず一人で使うので認証方法は静的キーにしようと思ったのだが、この方式ではクライアントがただ一つしか接続できないとのこと。しかし、どうも試してみると、「クライアント」ではなく対等な関係の1対1のようである。 つまり、サーバ・クライアントの区別は無く、クライアント側も通信ポートのTCPあるいはUDPの1194を開けておく必要がある模様(定かではない)。これでは役に立たないので静的キーはやめた。 ちなみに、設定ファイルには1対1の記述しかできないが、複数の設定ファイルを作成して(おそらくポートやIPアドレスは異なっている必要がある)、複数のインスタンスを作成できるので、一つのサーバマシンに対して1つのクライアントしか接続できないということは無い模様。つまり、認証方式n一つとして静的キーという選択があるのではなく、クライアント・サーバという動作ではなくなってしまうものと思われる。 検証するのも面倒なので以上は単なる推測。
やりたいこととしては
- ただ一つのキーファイルを作成すればよく。
- そのキーファイルを持つクライアントが複数同時に接続できる。
- Windowsクライアントのファイアウォール設定をいじる必要は無い。
- サーバからクライアントに対して何らかの操作をすることはない(sサーバ側からクライアントにあるウェブページを見るなど)。
- キーファイルのみで、余計なユーザ/パスワード入力は不要にしたい。
- サーバは特にいわゆるクラウドでも無いので、そのサブネットにアクセスする必要はない。
参考としてあげたURLを参照してID/パスワード認証とする。
ID/パスワード認証によるサーバ側設定
opensslをアップデートしておく。
yum update openssl
既に/etc/openvpnディレクトリがあるので(空のはず)、そこに以下のスクリプトを作成。
echo generating CA openssl genrsa 2048 > ca.key 2> /dev/null openssl req -utf8 -new -key ca.key -out ca.csr 2> /dev/null << EOT JP EOT openssl x509 -in ca.csr -out ca.crt -req -signkey ca.key -days 3650 -sha256 2> /dev/null echo generating server certificate openssl genrsa 2048 > server.key 2> /dev/null openssl rsa -in server.key -out server.key 2> /dev/null openssl req -utf8 -new -key server.key -out server.csr 2> /dev/null << EOT JP EOT openssl x509 -in server.csr -out server.crt -req -CA ca.crt -CAkey ca.key -days 3650 -sha256 -CAcreateserial 2> /dev/null chmod 400 *.key echo generating dh2048.pem openssl dhparam -out dh2048.pem 2048 2> /dev/null echo generating ta.key openvpn --genkey --secret ta.key 2> /dev/null echo done!