OpenVPNインストール(tapモード)
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
検索
|
最終更新
|
ヘルプ
|
ログイン
]
開始行:
[[CentOS7]]
*OpenVPNブリッジモード [#rb19f9ab]
&color(red){仮想マシン環境にセットアップする場合について...
**以下の環境が前提 [#da94a5ef]
+''NIC''を1枚しか設定していない(構成していない)
+IPアドレスはプライベートアドレスが1個のみ
+VPNサーバーのインターネットとの通信は、ルーターにNAT(IP...
*仮想マシンにセットアップする場合の注意点 [#l219a438]
仮想マシンに''OpenVPN''をセットアップする場合、仮想''NIC'...
&ref(01.jpg);
**プロミスキャスモードを有効にする [#m59adbc2]
''Hyper-Vの場合''
+仮想化ゲストの設定を開く
+プロミスキャスモードにしたいネットワークアダプターを開き...
+"MACアドレスのスプーフィングを有効にする"にチェックを入...
*OpenVPNインストール [#ve80b5aa]
''OpenVPN''と''easy-rsa''を''epel''リポジトリからインスト...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# yum -y install openssl-devel lzo-dev...
|[root@localhost ~]# wget http://swupdate.openvpn.org/com...
|&color(lightpink){※最新版のURLは[[ダウンロードページ>htt...
|[root@localhost ~]# rpmbuild -tb --clean openvpn-2.4.6.t...
|[root@localhost ~]# yum -y localinstall ~/rpmbuild/RPMS/...
|[root@localhost ~]# rm -f ~/rpmbuild/RPMS/x86_64/openvpn...
|[root@localhost ~]# rm -f openvpn-2.4.6.tar.gz &color(l...
|[root@localhost ~]# wget https://github.com/OpenVPN/easy...
|[root@localhost ~]# unzip master.zip &color(lime){← ea...
|[root@localhost ~]# cp -r easy-rsa-master/easyrsa3/* /et...
|[root@localhost ~]# rm -rf easy-rsa-master/ &color(lime...
|[root@localhost ~]# rm -f master.zip &color(lime){← ダ...
*認証局の設置 [#j70832ca]
バージョンアップで設定ファイルや証明書が変更されるのを防...
**認証局(CA)情報の初期化とディレクトリ作成 [#h6f95cef]
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# cd /etc/openvpn &color(lime){←ディ...
|[root@localhost openvpn]# ./easyrsa init-pki &color(lim...
**認証局(CA)の作成 [#z4d27d64]
|BGCOLOR(black):COLOR(white):|c
|[root@localhost openvpn]# ./easyrsa build-ca &color(lim...
|Enter New CA Key Passphrase: &color(lime){←任意のパスフ...
-CA証明書(''ca.crt'')およびCA秘密鍵(''ca.key'')が作成され...
-入力したパスフレーズは、CA秘密鍵(''ca.key'')のパスフレー...
**DHパラメータ作成 [#pf8739d3]
|BGCOLOR(black):COLOR(white):|c
|[root@localhost openvpn]# ./easyrsa gen-dh|
|&color(lightpink){時間が掛かる(2分~3分)ので、しばし待...
|DH parameters of size 2048 created at /etc/openvpn/pki/d...
DHパラメータ(''dh.pem'')が作成されます。
**ta.key作成 [#m4d82b5f]
''tls-auth''を設定しておくと、VPNセッション開始時のパケッ...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost openvpn]# openvpn --genkey --secret ./ta...
**サーバー用の証明書と秘密鍵の作成 [#qab9f682]
VPNサーバー「hogehoge.com」用の証明書と秘密鍵をパスフレー...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost openvpn]# ./easyrsa build-server-full ho...
|Generating a 2048 bit RSA private key &br; ....+++ &br; ...
サーバー用の証明書(hogehoge.com.crt)および秘密鍵(hogehoge...
**クライアント用の証明書と秘密鍵の作成 [#xf02ccb1]
クライアント「client01」用の証明書と秘密鍵をパスフレーズ...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost openvpn]# ./easyrsa build-client-full cl...
クライアント用の証明書(client01.crt)および秘密鍵(client01...
*OpenVPNの設定 [#ped09565]
***サーバー設定 [#z08362e9]
''証明書のコピー''
|BGCOLOR(black):COLOR(white):|c
|[root@localhost openvpn]# cp /etc/openvpn/pki/ca.crt .|
|[root@localhost openvpn]# cp /etc/openvpn/pki/dh.pem .|
|[root@localhost openvpn]# cp /etc/openvpn/pki/issued/hog...
|[root@localhost openvpn]# cp /etc/openvpn/pki/private/ho...
''サーバーのコンフィグファイルのひな型をコピー''
|BGCOLOR(black):COLOR(white):|c
|[root@localhost openvpn]# cp /usr/share/doc/openvpn*/sam...
''コンフィグファイル(server.conf)の編集''
|BGCOLOR(black):COLOR(white):|c
|[root@localhost openvpn]# vi /etc/openvpn/server.conf|
|port 1194 &color(lime){←使用するポート番号}; &br; proto...
**ipp.txtの記述方法 [#n97f63bd]
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# vi /etc/openvpn/ipp.txt|
|client01,10.8.0.201 &br; client02,10.8.0.202|
ここで固定指定されていないユーザーについては、サーバー設...
*起動テスト [#kd62729e]
''ターミナルで起動テストを実行''
|BGCOLOR(black):COLOR(white):|c
|[root@localhost openvpn]# openvpn server.conf|
**/var/log/openvpn.log にこんな感じのログが出ればOK [#ha7...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# tail /var/log/openvpn.log|
|Sun Apr 1 03:28:46 2018 OpenVPN 2.4.5 x86_64-redhat-lin...
*bridge-utilsパッケージのインストール [#k6d731c9]
''bridge-utils'' がインストールされていなければインストー...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# yum list installed | grep bridge-ut...
''bridge-utils'' インストール
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# yum -y install bridge-utils|
*ブリッジ起動・終了スクリプトの設置 [#gf5df791]
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# cp /usr/share/doc/openvpn-2.4.6/samp...
|[root@localhost ~]# cp /usr/share/doc/openvpn-2.4.6/samp...
|[root@localhost ~]# chmod 755 /etc/openvpn/bridge-start ...
**ブリッジ起動用スクリプトを編集 [#ofcb56e5]
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# vi /etc/openvpn/bridge-start|
|#!/bin/sh &br; &br; ################################# &b...
**ブリッジ停止用スクリプトを編集 [#hc1941fa]
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# vi /etc/openvpn/bridge-stop|
|#!/bin/sh &br; &br; ####################################...
**OpenVPNの起動プロセスにブリッジ起動・停止スクリプトを埋...
起動は「ブリッジの起動→OpenVPNの起動」、停止は「OpenVPNの...
***パターン①「''/etc/init.d/openvpn''」が&color(red){存在...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# vi /etc/init.d/openvpn|
|case “$1″ in &br; start) &br; echo -n $”Starting openvpn...
***パターン②「''/etc/init.d/openvpn''」が&color(red){無い...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# cp /usr/lib/systemd/system/openvpn@....
|[root@localhost ~]# vi /usr/lib/systemd/system/openvpn-b...
|[Unit] &br; Description=OpenVPN Robust And Highly Flexib...
*サービスとして起動 [#h64f9b94]
**パターン①「''/etc/init.d/openvpn''」が&color(red){存在...
''サービスとして起動''
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# systemctl start openvpn@server|
''サービス状態確認''
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# systemctl starus openvpn@server|
''サービス自動起動''
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# systemctl enable openvpn@server|
''サービス停止''
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# systemctl stop openvpn@server|
**パターン②「''/etc/init.d/openvpn''」が&color(red){無い}...
''サービスとして起動''
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# systemctl start openvpn-bridge|
''サービス自動起動''
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# systemctl enable openvpn-bridge|
''サービス状態確認''
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# systemctl starus openvpn-bridge|
''サービス停止''
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# systemctl stop openvpn-bridge|
*Firewallの設定変更 [#kd85b6b0]
''firewall''へ下記の通信許可を追加
-''TCP 1194''
-LAN側ネットワーク
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# firewall-cmd --add-port=1194/tcp --z...
|[root@localhost ~]# firewall-cmd --permanent --zone=trus...
|[root@localhost ~]# firewall-cmd --reload &color(lime){←...
|[root@localhost ~]# firewall-cmd --list-all &color(lime)...
|[root@localhost ~]# firewall-cmd --get-active-zones &col...
終了行:
[[CentOS7]]
*OpenVPNブリッジモード [#rb19f9ab]
&color(red){仮想マシン環境にセットアップする場合について...
**以下の環境が前提 [#da94a5ef]
+''NIC''を1枚しか設定していない(構成していない)
+IPアドレスはプライベートアドレスが1個のみ
+VPNサーバーのインターネットとの通信は、ルーターにNAT(IP...
*仮想マシンにセットアップする場合の注意点 [#l219a438]
仮想マシンに''OpenVPN''をセットアップする場合、仮想''NIC'...
&ref(01.jpg);
**プロミスキャスモードを有効にする [#m59adbc2]
''Hyper-Vの場合''
+仮想化ゲストの設定を開く
+プロミスキャスモードにしたいネットワークアダプターを開き...
+"MACアドレスのスプーフィングを有効にする"にチェックを入...
*OpenVPNインストール [#ve80b5aa]
''OpenVPN''と''easy-rsa''を''epel''リポジトリからインスト...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# yum -y install openssl-devel lzo-dev...
|[root@localhost ~]# wget http://swupdate.openvpn.org/com...
|&color(lightpink){※最新版のURLは[[ダウンロードページ>htt...
|[root@localhost ~]# rpmbuild -tb --clean openvpn-2.4.6.t...
|[root@localhost ~]# yum -y localinstall ~/rpmbuild/RPMS/...
|[root@localhost ~]# rm -f ~/rpmbuild/RPMS/x86_64/openvpn...
|[root@localhost ~]# rm -f openvpn-2.4.6.tar.gz &color(l...
|[root@localhost ~]# wget https://github.com/OpenVPN/easy...
|[root@localhost ~]# unzip master.zip &color(lime){← ea...
|[root@localhost ~]# cp -r easy-rsa-master/easyrsa3/* /et...
|[root@localhost ~]# rm -rf easy-rsa-master/ &color(lime...
|[root@localhost ~]# rm -f master.zip &color(lime){← ダ...
*認証局の設置 [#j70832ca]
バージョンアップで設定ファイルや証明書が変更されるのを防...
**認証局(CA)情報の初期化とディレクトリ作成 [#h6f95cef]
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# cd /etc/openvpn &color(lime){←ディ...
|[root@localhost openvpn]# ./easyrsa init-pki &color(lim...
**認証局(CA)の作成 [#z4d27d64]
|BGCOLOR(black):COLOR(white):|c
|[root@localhost openvpn]# ./easyrsa build-ca &color(lim...
|Enter New CA Key Passphrase: &color(lime){←任意のパスフ...
-CA証明書(''ca.crt'')およびCA秘密鍵(''ca.key'')が作成され...
-入力したパスフレーズは、CA秘密鍵(''ca.key'')のパスフレー...
**DHパラメータ作成 [#pf8739d3]
|BGCOLOR(black):COLOR(white):|c
|[root@localhost openvpn]# ./easyrsa gen-dh|
|&color(lightpink){時間が掛かる(2分~3分)ので、しばし待...
|DH parameters of size 2048 created at /etc/openvpn/pki/d...
DHパラメータ(''dh.pem'')が作成されます。
**ta.key作成 [#m4d82b5f]
''tls-auth''を設定しておくと、VPNセッション開始時のパケッ...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost openvpn]# openvpn --genkey --secret ./ta...
**サーバー用の証明書と秘密鍵の作成 [#qab9f682]
VPNサーバー「hogehoge.com」用の証明書と秘密鍵をパスフレー...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost openvpn]# ./easyrsa build-server-full ho...
|Generating a 2048 bit RSA private key &br; ....+++ &br; ...
サーバー用の証明書(hogehoge.com.crt)および秘密鍵(hogehoge...
**クライアント用の証明書と秘密鍵の作成 [#xf02ccb1]
クライアント「client01」用の証明書と秘密鍵をパスフレーズ...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost openvpn]# ./easyrsa build-client-full cl...
クライアント用の証明書(client01.crt)および秘密鍵(client01...
*OpenVPNの設定 [#ped09565]
***サーバー設定 [#z08362e9]
''証明書のコピー''
|BGCOLOR(black):COLOR(white):|c
|[root@localhost openvpn]# cp /etc/openvpn/pki/ca.crt .|
|[root@localhost openvpn]# cp /etc/openvpn/pki/dh.pem .|
|[root@localhost openvpn]# cp /etc/openvpn/pki/issued/hog...
|[root@localhost openvpn]# cp /etc/openvpn/pki/private/ho...
''サーバーのコンフィグファイルのひな型をコピー''
|BGCOLOR(black):COLOR(white):|c
|[root@localhost openvpn]# cp /usr/share/doc/openvpn*/sam...
''コンフィグファイル(server.conf)の編集''
|BGCOLOR(black):COLOR(white):|c
|[root@localhost openvpn]# vi /etc/openvpn/server.conf|
|port 1194 &color(lime){←使用するポート番号}; &br; proto...
**ipp.txtの記述方法 [#n97f63bd]
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# vi /etc/openvpn/ipp.txt|
|client01,10.8.0.201 &br; client02,10.8.0.202|
ここで固定指定されていないユーザーについては、サーバー設...
*起動テスト [#kd62729e]
''ターミナルで起動テストを実行''
|BGCOLOR(black):COLOR(white):|c
|[root@localhost openvpn]# openvpn server.conf|
**/var/log/openvpn.log にこんな感じのログが出ればOK [#ha7...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# tail /var/log/openvpn.log|
|Sun Apr 1 03:28:46 2018 OpenVPN 2.4.5 x86_64-redhat-lin...
*bridge-utilsパッケージのインストール [#k6d731c9]
''bridge-utils'' がインストールされていなければインストー...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# yum list installed | grep bridge-ut...
''bridge-utils'' インストール
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# yum -y install bridge-utils|
*ブリッジ起動・終了スクリプトの設置 [#gf5df791]
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# cp /usr/share/doc/openvpn-2.4.6/samp...
|[root@localhost ~]# cp /usr/share/doc/openvpn-2.4.6/samp...
|[root@localhost ~]# chmod 755 /etc/openvpn/bridge-start ...
**ブリッジ起動用スクリプトを編集 [#ofcb56e5]
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# vi /etc/openvpn/bridge-start|
|#!/bin/sh &br; &br; ################################# &b...
**ブリッジ停止用スクリプトを編集 [#hc1941fa]
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# vi /etc/openvpn/bridge-stop|
|#!/bin/sh &br; &br; ####################################...
**OpenVPNの起動プロセスにブリッジ起動・停止スクリプトを埋...
起動は「ブリッジの起動→OpenVPNの起動」、停止は「OpenVPNの...
***パターン①「''/etc/init.d/openvpn''」が&color(red){存在...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# vi /etc/init.d/openvpn|
|case “$1″ in &br; start) &br; echo -n $”Starting openvpn...
***パターン②「''/etc/init.d/openvpn''」が&color(red){無い...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# cp /usr/lib/systemd/system/openvpn@....
|[root@localhost ~]# vi /usr/lib/systemd/system/openvpn-b...
|[Unit] &br; Description=OpenVPN Robust And Highly Flexib...
*サービスとして起動 [#h64f9b94]
**パターン①「''/etc/init.d/openvpn''」が&color(red){存在...
''サービスとして起動''
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# systemctl start openvpn@server|
''サービス状態確認''
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# systemctl starus openvpn@server|
''サービス自動起動''
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# systemctl enable openvpn@server|
''サービス停止''
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# systemctl stop openvpn@server|
**パターン②「''/etc/init.d/openvpn''」が&color(red){無い}...
''サービスとして起動''
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# systemctl start openvpn-bridge|
''サービス自動起動''
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# systemctl enable openvpn-bridge|
''サービス状態確認''
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# systemctl starus openvpn-bridge|
''サービス停止''
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# systemctl stop openvpn-bridge|
*Firewallの設定変更 [#kd85b6b0]
''firewall''へ下記の通信許可を追加
-''TCP 1194''
-LAN側ネットワーク
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# firewall-cmd --add-port=1194/tcp --z...
|[root@localhost ~]# firewall-cmd --permanent --zone=trus...
|[root@localhost ~]# firewall-cmd --reload &color(lime){←...
|[root@localhost ~]# firewall-cmd --list-all &color(lime)...
|[root@localhost ~]# firewall-cmd --get-active-zones &col...
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
