OpenVPNインストール(tunモード)
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
検索
|
最終更新
|
ヘルプ
|
ログイン
]
開始行:
[[CentOS7]]
*OpenVPNインストール(tunモード) [#ve80b5aa]
''OpenVPN'' と ''easy-rsa'' を ''epel''リポジトリからイン...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# yum --enablerepo=epel -y install ope...
*認証局の設置 [#j70832ca]
バージョンアップで設定ファイルや証明書が変更されるのを防...
**認証局の初期化 [#db103a75]
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# mkdir /etc/openvpn|
|[root@localhost ~]# cp /usr/share/easy-rsa/3.0.3/* /etc/...
|[root@localhost ~]# cd /etc/openvpn &color(lime){←ディ...
|[root@localhost openvpn]# ./easyrsa init-pki &color(lim...
**認証局の作成 [#z4d27d64]
|BGCOLOR(black):COLOR(white):|c
|[root@localhost openvpn]# ./easyrsa build-ca|
|Generating a 2048 bit RSA private key &br; ................
-CA証明書(''ca.crt'')およびCA秘密鍵(''ca.key'')が作成され...
-入力したパスフレーズは、CA秘密鍵(''ca.key'')のパスフレー...
**DHパラメータ作成 [#pf8739d3]
|BGCOLOR(black):COLOR(white):|c
|[root@localhost openvpn]# ./easyrsa gen-dh|
|&color(lightpink){時間が掛かる(2分~3分)ので、しばし待...
|DH parameters of size 2048 created at /etc/openvpn/pki/d...
''DH''パラメータ(''dh.pem'')が作成されます。
**ta.key作成 [#m4d82b5f]
''tls-auth''を設定しておくと、VPNセッション開始時のパケッ...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost openvpn]# openvpn --genkey --secret ./ta...
**サーバー用の証明書と秘密鍵の作成 [#qab9f682]
VPNサーバー「hogehoge.com」用の証明書と秘密鍵をパスフレー...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost openvpn]# ./easyrsa build-server-full ho...
|Generating a 2048 bit RSA private key &br; ....+++ &br; ...
サーバー用の証明書(hogehoge.com.crt)および秘密鍵(hogehoge...
**クライアント用の証明書と秘密鍵の作成 [#xf02ccb1]
クライアント「client01」用の証明書と秘密鍵をパスフレーズ...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost openvpn]# ./easyrsa build-client-full cl...
クライアント用の証明書(client01.crt)および秘密鍵(client01...
*OpenVPNの設定 [#ped09565]
**サーバー設定 [#z08362e9]
''証明書のコピー''
|BGCOLOR(black):COLOR(white):|c
|[root@localhost openvpn]# cp /etc/openvpn/pki/ca.crt .|
|[root@localhost openvpn]# cp /etc/openvpn/pki/dh.pem .|
|[root@localhost openvpn]# cp /etc/openvpn/pki/issued/hog...
|[root@localhost openvpn]# cp /etc/openvpn/pki/private/ho...
**サーバーのコンフィグファイルのひな型をコピー [#a61f4d66]
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# cp /usr/share/doc/openvpn*/sample/sa...
**コンフィグファイル(server.conf)の編集 [#b284e7bc]
|BGCOLOR(black):COLOR(white):|c
|port 1194 &color(lime){←使用するポート番号}; &br; proto...
**ipp.txtの記述方法 [#n97f63bd]
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# vi /etc/openvpn/ipp.txt|
|client01,10.8.0.201 &br; client02,10.8.0.202|
ここで固定指定されていないユーザーについては、サーバー設...
*起動テスト [#kd62729e]
**起動テストを実行 [#k5fd4268]
|BGCOLOR(black):COLOR(white):|c
|[root@localhost openvpn]# openvpn server.conf|
**/var/log/openvpn.log にこんな感じのログが出ていればOK [...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# tail /var/log/openvpn.log|
|Sun Apr 1 03:28:46 2018 OpenVPN 2.4.5 x86_64-redhat-lin...
|&color(lime){[''Ctrl'']キー + [''C'']キー で抜ける};|
*IPv4フォワーディングを有効にする [#obd124f8]
**フォワーディング有効化 [#h6f1dea7]
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# vi /etc/sysctl.conf|
|net.ipv4.ip_forward=1 &color(lime){←最下行に追記};|
|[root@localhost ~]# sysctl -p &color(lime){←設定反映};|
*起動 [#h64f9b94]
**サービスとして起動 [#waeb4ba4]
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# systemctl start openvpn@server|
※サービス起動コマンドの''@''以降の''「&color(red){server}...
例:''&color(red){server};.conf'' の場合は openvpn@''&col...
**サービス状態確認 [#r19ccb9a]
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# systemctl starus openvpn@server|
**サービス自動起動 [#r8fd1e9e]
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# systemctl enable openvpn@server|
**サービス停止 [#ycc97625]
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# systemctl stop openvpn@server|
*LAN側デフォルトゲートウェイにスタティックルート追加 [#ne...
LAN側のデフォルトゲートウェイ(ルーター等)に、VPNクライ...
例)下記の構成で構築した場合
-VPNネットワーク:10.8.0.0/24
-LAN側ネットワーク:192.168.0.0/24
-VPNサーバーのLAN側IPアドレス:192.168.0.50
**LAN側デフォルトゲートウェイに下記のスタティックルートを...
|''宛先ネットワーク''|10.8.0.0/24|
|''ゲートウェイ''|192.168.0.50|
*Firewallの設定変更 [#kd85b6b0]
''firewall''へ下記の通信許可を追加
-''TCP 1194''
-LAN側ネットワーク
-VPNネットワーク
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# firewall-cmd --add-port=1194/tcp --z...
|[root@localhost ~]# firewall-cmd --permanent --zone=trus...
|[root@localhost ~]# firewall-cmd --permanent --zone=trus...
|[root@localhost ~]# firewall-cmd --reload &color(lime){←...
|[root@localhost ~]# firewall-cmd --list-all &color(lime)...
|[root@localhost ~]# firewall-cmd --get-active-zones &col...
終了行:
[[CentOS7]]
*OpenVPNインストール(tunモード) [#ve80b5aa]
''OpenVPN'' と ''easy-rsa'' を ''epel''リポジトリからイン...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# yum --enablerepo=epel -y install ope...
*認証局の設置 [#j70832ca]
バージョンアップで設定ファイルや証明書が変更されるのを防...
**認証局の初期化 [#db103a75]
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# mkdir /etc/openvpn|
|[root@localhost ~]# cp /usr/share/easy-rsa/3.0.3/* /etc/...
|[root@localhost ~]# cd /etc/openvpn &color(lime){←ディ...
|[root@localhost openvpn]# ./easyrsa init-pki &color(lim...
**認証局の作成 [#z4d27d64]
|BGCOLOR(black):COLOR(white):|c
|[root@localhost openvpn]# ./easyrsa build-ca|
|Generating a 2048 bit RSA private key &br; ................
-CA証明書(''ca.crt'')およびCA秘密鍵(''ca.key'')が作成され...
-入力したパスフレーズは、CA秘密鍵(''ca.key'')のパスフレー...
**DHパラメータ作成 [#pf8739d3]
|BGCOLOR(black):COLOR(white):|c
|[root@localhost openvpn]# ./easyrsa gen-dh|
|&color(lightpink){時間が掛かる(2分~3分)ので、しばし待...
|DH parameters of size 2048 created at /etc/openvpn/pki/d...
''DH''パラメータ(''dh.pem'')が作成されます。
**ta.key作成 [#m4d82b5f]
''tls-auth''を設定しておくと、VPNセッション開始時のパケッ...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost openvpn]# openvpn --genkey --secret ./ta...
**サーバー用の証明書と秘密鍵の作成 [#qab9f682]
VPNサーバー「hogehoge.com」用の証明書と秘密鍵をパスフレー...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost openvpn]# ./easyrsa build-server-full ho...
|Generating a 2048 bit RSA private key &br; ....+++ &br; ...
サーバー用の証明書(hogehoge.com.crt)および秘密鍵(hogehoge...
**クライアント用の証明書と秘密鍵の作成 [#xf02ccb1]
クライアント「client01」用の証明書と秘密鍵をパスフレーズ...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost openvpn]# ./easyrsa build-client-full cl...
クライアント用の証明書(client01.crt)および秘密鍵(client01...
*OpenVPNの設定 [#ped09565]
**サーバー設定 [#z08362e9]
''証明書のコピー''
|BGCOLOR(black):COLOR(white):|c
|[root@localhost openvpn]# cp /etc/openvpn/pki/ca.crt .|
|[root@localhost openvpn]# cp /etc/openvpn/pki/dh.pem .|
|[root@localhost openvpn]# cp /etc/openvpn/pki/issued/hog...
|[root@localhost openvpn]# cp /etc/openvpn/pki/private/ho...
**サーバーのコンフィグファイルのひな型をコピー [#a61f4d66]
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# cp /usr/share/doc/openvpn*/sample/sa...
**コンフィグファイル(server.conf)の編集 [#b284e7bc]
|BGCOLOR(black):COLOR(white):|c
|port 1194 &color(lime){←使用するポート番号}; &br; proto...
**ipp.txtの記述方法 [#n97f63bd]
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# vi /etc/openvpn/ipp.txt|
|client01,10.8.0.201 &br; client02,10.8.0.202|
ここで固定指定されていないユーザーについては、サーバー設...
*起動テスト [#kd62729e]
**起動テストを実行 [#k5fd4268]
|BGCOLOR(black):COLOR(white):|c
|[root@localhost openvpn]# openvpn server.conf|
**/var/log/openvpn.log にこんな感じのログが出ていればOK [...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# tail /var/log/openvpn.log|
|Sun Apr 1 03:28:46 2018 OpenVPN 2.4.5 x86_64-redhat-lin...
|&color(lime){[''Ctrl'']キー + [''C'']キー で抜ける};|
*IPv4フォワーディングを有効にする [#obd124f8]
**フォワーディング有効化 [#h6f1dea7]
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# vi /etc/sysctl.conf|
|net.ipv4.ip_forward=1 &color(lime){←最下行に追記};|
|[root@localhost ~]# sysctl -p &color(lime){←設定反映};|
*起動 [#h64f9b94]
**サービスとして起動 [#waeb4ba4]
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# systemctl start openvpn@server|
※サービス起動コマンドの''@''以降の''「&color(red){server}...
例:''&color(red){server};.conf'' の場合は openvpn@''&col...
**サービス状態確認 [#r19ccb9a]
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# systemctl starus openvpn@server|
**サービス自動起動 [#r8fd1e9e]
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# systemctl enable openvpn@server|
**サービス停止 [#ycc97625]
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# systemctl stop openvpn@server|
*LAN側デフォルトゲートウェイにスタティックルート追加 [#ne...
LAN側のデフォルトゲートウェイ(ルーター等)に、VPNクライ...
例)下記の構成で構築した場合
-VPNネットワーク:10.8.0.0/24
-LAN側ネットワーク:192.168.0.0/24
-VPNサーバーのLAN側IPアドレス:192.168.0.50
**LAN側デフォルトゲートウェイに下記のスタティックルートを...
|''宛先ネットワーク''|10.8.0.0/24|
|''ゲートウェイ''|192.168.0.50|
*Firewallの設定変更 [#kd85b6b0]
''firewall''へ下記の通信許可を追加
-''TCP 1194''
-LAN側ネットワーク
-VPNネットワーク
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# firewall-cmd --add-port=1194/tcp --z...
|[root@localhost ~]# firewall-cmd --permanent --zone=trus...
|[root@localhost ~]# firewall-cmd --permanent --zone=trus...
|[root@localhost ~]# firewall-cmd --reload &color(lime){←...
|[root@localhost ~]# firewall-cmd --list-all &color(lime)...
|[root@localhost ~]# firewall-cmd --get-active-zones &col...
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
