OpenVPN構築の参考
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
検索
|
最終更新
|
ヘルプ
|
ログイン
]
開始行:
[[CentOS7]]
*OpenVPN構築の参考 [#x3de8686]
''構成図''
#ref(sample.png)
PCmは、社外にあるパソコンです。例えば、自宅にある個人用の...
この例における事業所は、2.0.0.8/29のグローバルIPアドレス...
Ex.RTは、ISPに接続する為の外部ルーターです。IPSとはアンナ...
In.RTは、外部に公開するネットワーク(2.0.0.8/29)と外部に公...
VPNは、VPNサーバーです。VPNとIn.RTは一つのホストの上で実...
PCoは、社内ネットワークの中にあるパソコンです。
FTPは、社内でファイルを共有するためのファイルサーバーです...
**静的鍵と電子証明書 [#md3a75f5]
OpenVPNでは、接続相手を認証したり暗号鍵を生成したりすると...
***静的鍵 [#eeb39f10]
静的鍵とはVPNサーバーとVPNクライアントが共通で使用する1つ...
静的鍵を用いる場合の長所はVPNを容易に構築できることです。...
その反面、拡張性が低いという短所があります。この方法では1...
もし、VPNクライアントが1台しかなく、とにかくOpenVPNを使っ...
とはいえ、この記事では静的鍵を用いた具体的な構築方法につ...
***電子証明書 [#r7ee29d7]
電子証明書を利用する場合は、基本的に、個々のホストがそれ...
電子証明書を用いる場合の利点は複数のVPNクライアントを同時...
その反面、電子証明書を発行する認証局を必要としますので、...
公に利用できる(パブリック)電子証明書を運用しようとすると...
**ルーティングとブリッジング [#t43969cc]
社外にあるパソコンをVPNを通じて社内ネットワークに接続する...
VPNは、インターネットの中にあたかも二地点間だけを結ぶ仮想...
+--------------+ ############## +--...
| VPN Client | # Internet # | ...
| | # # | ...
| tun/tap +---------- ----------+ ...
| ===|====================================|=...
| +---------- Tunnel ----------+ ...
| PPP | # # | r...
| | # # | ...
+--------------+ ############## +--...
CENTER:【図4-1】トンネルの概念
TUN/TAPはトンネルインターフェースのデバイス名です。
VPNサーバーの社内ネットワーク側のインターフェースrl0のIP...
***ルーティング [#jc5b787a]
トンネルインターフェースに割り当てるIPアドレスを社内ネッ...
+--------------+ ############## +--...
| VPN Client | # Internet # | ...
| | # # | ...
| tun/tap +---------- ----------+ ...
| ===|====================================|=...
| +---------- (10.8.0.0/24) ----------+ ...
| PPP | # # | r...
| | # # | ...
+--------------+ ############## +--...
CENTER:【図4-2】ルーティングの概念
ルーティング接続するときは、TUNデバイスを使用します。
以下にインターフェースの状態とルーティングテーブルがどの...
''VPNサーバーのインターフェース''
先ず、VPNサーバーのインターフェースについて、VPNサーバー(...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# ifconfig|
|rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> ...
CENTER:【図4-3】実行前のVPNサーバーのインターフェース(ル...
-----
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# ifconfig|
|rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> ...
CENTER:【図4-4】実行中のVPNサーバーのインターフェース(ル...
実行中のVPNサーバーにはインターフェースtun0が生成されてい...
''VPNサーバーのルーティングテーブル''
次は、VPNサーバーのルーティングテーブルについて、VPNサー...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# netstat -r|
|Routing tables &br; &br; Internet: &br; Destination ...
CENTER:【図4-5】実行前のVPNサーバーのルーティングテーブル...
-----
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# netstat -r|
|Routing tables &br; &br; Internet: &br; Destination ...
CENTER:【図4-6】実行中のVPNサーバーのルーティングテーブル...
実行中のVPNサーバーのルーティングテーブルには、1つのネッ...
このエントリーは少し混乱するかもしれませんので注意してく...
''VPNクライアントのインターフェース''
次は、VPNクライアントのインターフェースの状態について接続...
|BGCOLOR(black):COLOR(white):|c
|C:\>ipconfig|
|PPP アダプタ isp.domain: &br; &br; 接続固有の DNS サフィ...
CENTER:【図4-7】接続前のVPNクライアントのインターフェース...
-----
|BGCOLOR(black):COLOR(white):|c
|C:\>ipconfig|
|PPP アダプタ isp.domain: &br; &br; 接続固有の DNS サフィ...
CENTER:【図4-8】接続後のVPNクライアントのインターフェース...
VPNサーバーに接続した結果、VPNクライアントのトンネルイン...
''VPNクライアントのルーティングテーブル''
最後に、VPNクライアントのルーティングテーブルについて接続...
|BGCOLOR(black):COLOR(white):|c
|C:\>netstat -r &br; &br; IPv4 ルート テーブル &br; =====...
CENTER:【図4-9】接続前のVPNクライアントのルーティングテー...
-----
|BGCOLOR(black):COLOR(white):|c
|C:\>netstat -r|
|IPv4 ルート テーブル &br; ==============================...
CENTER:【図4-10】接続後のVPNクライアントのルーティングテ...
OpenVPNのクライアントはVPNサーバーとは違うアドレスを持っ...
そのIPネットワークアドレスは10.8.0.4/30、自分(VPNクライア...
注目する点は、192.168.0.0/24のネットワークのエントリーが...
***ブリッジング [#j6ffd674]
トンネルのインターフェースに割り当てるIPアドレスを社内ネ...
+--------------+ ############## +--...
| VPN Client | # Internet # | ...
| | # # | ...
| tun/tap +---------- ----------+ ...
| ===|====================================|=...
| +--------- (192.168.0.0/24) ---------+ ...
| PPP | # # | r...
| | # # | ...
+--------------+ ############## +--...
CENTER:【図4-11】ブリッジングの概念
ブリッジング接続するときは、TAPデバイスを使用します。
このとき、VPNサーバーの社内ネットワーク側のインターフェー...
一連の流れは次のようになります。
-ブリッジの作成
-OpenVPNの実行
-OpenVPNの停止
-ブリッジの削除
以下にインターフェースの状態とルーティングテーブルがどの...
''VPNサーバーのインターフェース''
先ず、VPNサーバーのインターフェースについて、VPNサーバー(...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# ifconfig|
|rl0: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mt...
CENTER【図4-12】実行前のVPNサーバーのインターフェース(ブ...
----
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# ifconfig|
|rl0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MUL...
CENTER:【図4-13】実行中のVPNサーバーのインターフェース(...
実行中のVPNサーバーにはブリッジインターフェースbridge0と...
注目する点は、bridge0にIPアドレスが割り当てられており、rl...
''VPNサーバーのルーティングテーブル''
次は、VPNサーバーのルーティングテーブルについて、VPNサー...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# netstat -r|
|Routing tables &br; &br; Internet: &br; Destination ...
CENTER:【図4-14】実行前のVPNサーバーのルーティングテーブ...
-----
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# netstat -r|
|Routing tables &br; &br; Internet: &br; Destination ...
CENTER:【図4-15】実行中のVPNサーバーのルーティングテーブ...
VPNサーバーを実行すると、bridgeに割り当てたIPホストアドレ...
''VPNクライアントのインターフェース''
次は、VPNクライアントのインターフェースの状態について接続...
|BGCOLOR(black):COLOR(white):|c
|C:\>ipconfig &br; &br; PPP アダプタ isp.domain: &br; &br...
CENTER:【図4-16】接続前のVPNクライアントのインターフェー...
-----
|BGCOLOR(black):COLOR(white):|c
|C:\>ipconfig &br; &br; PPP アダプタ isp.domain: &br; &br...
CENTER:【図4-17】接続後のVPNクライアントのインターフェー...
VPNサーバーに接続した結果、VPNクライアントのトンネルイン...
''VPNクライアントのルーティングテーブル''
最後に、VPNクライアントのルーティングテーブルについて接続...
|BGCOLOR(black):COLOR(white):|c
|C:\>netstat -r &br; &br; IPv4 ルート テーブル &br; =====...
CENTER:【図4-18】接続前のVPNクライアントのルーティングテ...
-----
|BGCOLOR(black):COLOR(white):|c
|C:\>netstat -r &br; &br; IPv4 ルート テーブル &br; =====...
CENTER:【図4-19】接続後のVPNクライアントのルーティングテ...
VPNクライアントには192.168.0.240が割り当てられましたので...
***サーバーのインストール [#wd791dfd]
VPNサーバーを設置するためには、まず、必要なファイルをホス...
VPNサーバーにインストールするファイルは2種類あります。一...
***サーバーのソフトウェア [#o7a2d391]
OpenVPNのソフトウェアをインストールすること自体は難しい作...
この記事では、FreeBSD 8.0-RELEASEにopenvpn-2.0.6をインス...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# pkg_add -r openvpn|
また、PORTコレクションを使って、make installする方法もあ...
Linuxにインストールする場合は、dpkgやaptitudeあるいはrpm...
もちろん、OpenVPNのウェブサイトからソースコードをダウンロ...
***サーバーの電子証明書 [#l0c227b9]
''認証局(CA)の証明書と秘密鍵''
OpenVPNをインストールすると、ディレクトリー/usr/local/sha...
OpenVPNのHOWTOには、認証局(Certificate Authority: CA)の証...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# ./build-ca|
ですが、必ずしもこのスクリプトを使う必要はありません。例...
スクリプトbuild-caは、スクリプトpkitoolを実行します。
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# pkitool --interact --initca|
pkitoolは、同じディレクトリの中にあるスクリプトです。pkit...
|BGCOLOR(black):COLOR(white):|c
|$OPENSSL req $BATCH -days $CA_EXPIRE $NODES_REQ -new -x5...
$OPENSSLはスクリプトの中でopensslと定義されています。上の...
|BGCOLOR(black):COLOR(white):|c
|openssl req -days 3650 -nodes -new -x509 -keyout ca.key ...
なお、OpenSSLのウェブサイトにある"HOWTO certificates <DRA...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# ./CA.pl -newca|
このコマンドを実行し質問に答えていけば、2つのファイルが出...
|BGCOLOR(black):COLOR(white):|c
|cacert.pem cakey.pem|
cacert.pemはCAの証明書、cakey.pemはCAの秘密鍵です。
''VPNサーバーの証明書と秘密鍵''
CAの証明書が出来たら、VPNサーバーの証明書と秘密鍵を作成し...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# ./build-key-server server|
スクリプトbuild-key-serverはスクリプトpkitoolを実行します。
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# pkitool --interact --server|
スクリプトpkitoolの中でサーバーの証明書と秘密鍵を生成する...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# $OPENSSL req $BATCH -days $KEY_EXPIR...
-----
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# $OPENSSL ca $BATCH -days $KEY_EXPIRE...
大まかに述べると、"openssl req"コマンドで証明書のリクエス...
OpenSSLのパッケージに含まれているCA.plを使用する場合は、...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# ./CA.pl -newreq-nodes|
|[root@localhost ~]# ./CA.pl -sign|
直接opensslを実行するなら、次のようにします。
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# openssl req -new -nodes -keyout newk...
|[root@localhost ~]# openssl ca -policy policy_anything -...
このコマンドを実行し質問に答えていけば、次の3つのファイル...
|BGCOLOR(black):COLOR(white):|c
|newcert.pem newkey.pem newreq.pem|
このうち、2つのファイルの名前を変更し、1つのファイルを捨...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# mv ./newcert.pem ./vpncert.pem|
|[root@localhost ~]# mv ./newkey.pem ./vpnkey.pem|
|[root@localhost ~]# rm ./newreq.pem|
vpncert.pemはVPNサーバーの証明書、vpnkey.pemはVPNサーバー...
./build-key-serverを使うと証明書の有効期間が3650日(約10年...
|BGCOLOR(black):COLOR(white):|c
|$DAYS="-days 1095"; # 3 year|
|$CADAYS="-days 3650"; # 10 years|
CAとVPNの証明書ができたら、VPNサーバー証明書とVPNサーバー...
ただし、ディレクトリがどこであれ、VPNサーバーの秘密鍵は所...
それからもう一つ、Diffie Hellman(DH)パラメータを作成して...
-DHパラメータ: dh1024.pem
DHパラメータはOpenVPNのパッケージに含まれているスクリプト...
opensslコマンドを使う場合は次のようにします。
|BGCOLOR(black):COLOR(white):|c
|openssl dhparam -out dh1024.pem 1024|
**クライアントのインストール [#wfa4109e]
VPNクライアントもVPNサーバーと同じように、ソフトウェアと...
***クライアントのソフトウェア [#pdee4b87]
自宅にあるパソコンや社外に持ち出すパソコンは、多くの場合...
インストール用パッケージはOpenVPN GUI for WIndowsのウェブ...
また、OpenVPN 2.1.1からはWindows用インストーラーの中にOpe...
インストールは、ダウンロードした.exeファイルを実行し、画...
***クライアントの電子証明書 [#faed5107]
OpenVPNのクライアントに電子証明書をインストールするには、...
OpenVPNのHOWTOには、クライアントの証明書と秘密鍵を生成す...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# ./build-key client1|
スクリプトbuild-keyは、スクリプトpkitoolを実行します。
|BGCOLOR(black):COLOR(white):|c
|pkitool --interact|
OpenSSLのパッケージに含まれているCA.plを使用する場合は、...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# ./CA.pl -newreq-nodes|
|[root@localhost ~]# ./CA.pl -sign|
|[root@localhost ~]# mv ./newcert.pem ./pc01cert.pem|
|[root@localhost ~]# mv ./newkey.pem ./pc01key.pem|
|[root@localhost ~]# rm ./newreq.pem|
pc01cert.pemはVPNクライアントの証明書、pc01key.pemはVPNク...
CAの証明書、VPNクライアントの証明書、VPNクライアントの秘...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# ./CA.pl -newreq-nodes|
|[root@localhost ~]# ./CA.pl -sign|
|[root@localhost ~]# ./CA.pl -pkcs12|
|[root@localhost ~]# mv ./newcert.pem ./pc01cert.pem|
|[root@localhost ~]# mv ./newkey.pem ./pc01key.pem|
|[root@localhost ~]# mv ./newcert.p12 ./pc01cert.p12|
|[root@localhost ~]# rm ./newreq.pem|
拡張子.p12を持ったファイルがPKCS#12形式のファイルです。
OpenVPNのパッケージに含まれているスクリプトを使うときは次...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# ./build-key-pkcs12 client1|
この結果、次の4つのファイルができます。
|BGCOLOR(black):COLOR(white):|c
|client1.csr client1.key client1.crt client1.p12|
client1.csrはVPNクライアントの証明書要求、client1.keyはVP...
作成した証明書などをOpenVPNのためだけに使うのであれば、3...
**サーバーの設定 [#s95057db]
サーバーでの設定は、OSの設定とOpenVPNの設定の2つに大別で...
***ルーターサーバーの設定 [#cfc6b002]
ルーターサーバーとして設定する場合は、次に示す4つの設定を...
-外部側インターフェースにIPアドレスを割り当てる。
-内部側インターフェースにIPアドレスを割り当てる。
-デフォルトルーターを外部ルーターを指定する。
-フォワーディング機能を有効にする。
具体的にはOSの設定ファイルを編集します。FreeBSDの場合は/e...
|BGCOLOR(black):COLOR(white):|c
|ifconfig_re0="inet 2.0.0.12 netmask 255.255.255.248" &br...
CENTER:【図7-1】ルーティングの場合の/etc/rc.conf
***ブリッジサーバーの設定 [#ae4331d0]
ブリッジサーバーとして設定する場合は、内部側インターフェ...
フォワーディング機能を有効にするコマンドがあれば、それも...
|BGCOLOR(black):COLOR(white):|c
|ifconfig_re0="inet 2.0.0.12 netmask 255.255.255.248" &br...
CENTER:【図7-2】ブリッジングの場合の/etc/rc.conf
OSの設定ファイルの編集が終わったら、ブリッジを生成してメ...
FreeBSDの場合は、次のように編集します。
|BGCOLOR(black):COLOR(white):|c
|br="bridge0" &br; br_ip="192.168.0.253" &br; br_netmask=...
CENTER:【図7-3】bridge-start
bridge-startと対をなすもう一つのスクリプトbridge-stopは、...
FreeBSDの場合は、次のように編集します。
|BGCOLOR(black):COLOR(white):|c
|br="bridge0" &br; &br; tap="tap0" &br; # &br; ifconfig $...
CENTER:【図7-4】bridge-stop
OpenVPNをブリッジングで実行するときは、まずスクリプトbrid...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# cd /usr/local/etc/openvpn|
|[root@localhost ~]# sh ./bridge-start|
|[root@localhost ~]# /usr/local/sbin/openvpn ./openvpn.co...
|[root@localhost ~]# ^C|
|[root@localhost ~]# sh ./bridge-stop|
***起動用スクリプトの準備 [#n2f7fd34]
OpenVPNをインストールすると、ディレクトリ/usr/local/share...
FreeBSDの場合、ディレクトリ/usr/local/etc/rc.dの中に起動...
ブリッジルーターの場合、openvpnが実行される前にスクリプト...
|BGCOLOR(black):COLOR(white):|c
|openvpn_precmd() &br; { &br; if [ -f /usr/local/...
CENTER:【図7-5】ブリッジルーターの為の起動用スクリプト
FreeBSDの場合、/etc/rc.confにopenvpn_enableの設定を追加す...
|BGCOLOR(black):COLOR(white):|c
|openvpn_enable="YES" &br; openvpn_if="tap"|
CENTER:【図7-6】ブート時に自動実行させる為の/etc/rc.conf
***server.confの設定 [#c3f3e286]
ディレクトリ/usr/local/share/doc/openvpn/sample-config-fi...
server.confをコピーするときファイル名を変えても構いません...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# cd /usr/local/share/doc/openvpn/samp...
|[root@localhost ~]# cp ./server.conf /usr/local/etc/open...
設定ファイルをコピーしたら、編集します。
-----
''port(ポート番号)''
VPNサーバーのプロセスが接続要求を待ち受けるポート番号です...
|BGCOLOR(black):COLOR(white):|c
|port 1194|
-----
''proto(プロトコル)''
IPの上位プロトコルを指定します。行の先頭にセミコロン";"を...
|BGCOLOR(black):COLOR(white):|c
|;proto tcp &br; proto udp|
-----
''dev(デバイス)''
ルーターサーバーの場合は、TUNデバイスを生成するために"dev...
|BGCOLOR(black):COLOR(white):|c
|;dev tap &br; dev tun|
ブリッジサーバーの場合で、事前にトンネルインターフェースt...
|BGCOLOR(black):COLOR(white):|c
|dev tap0|
-----
''ca, cert, key(電子証明書と秘密鍵)''
CAの証明書、VPNサーバーの証明書、それとVPNサーバーの秘密...
|BGCOLOR(black):COLOR(white):|c
|ca /etc/ssl/cacert.pem &br; cert /etc/ssl/vpncert.pem ...
PKCS#12形式のファイルを指定する方法は次節の「クライアント...
-----
''crl-verify(失効リスト)''
電子証明書を保存したモバイルパソコンを紛失してしまった場...
|BGCOLOR(black):COLOR(white):|c
|crl-verify /etc/ssl/crl.pem|
-----
''dh(DHパラメータ)''
DHパラメータを指定します。ファイルがディレクトリー/etc/ss...
|BGCOLOR(black):COLOR(white):|c
|dh /etc/ssl/dh1024.pem|
-----
''server(サーバー)''
ルーターサーバーの場合、生成するVPNのIPネットワークアドレ...
|BGCOLOR(black):COLOR(white):|c
|server 10.8.0.0 255.255.255.0|
もし、社内ネットワークのIPネットワークアドレスが10.8.0.0/...
|BGCOLOR(black):COLOR(white):|c
|server 172.16.0.0 255.255.255.0|
ブリッジサーバーの場合はこのディレクティブをコメントにし...
|BGCOLOR(black):COLOR(white):|c
|;server 10.8.0.0 255.255.255.0|
-----
''server-bridge(ブリッジサーバー)''
ブリッジサーバーの場合、VPNクライアントに割り当てるIPアド...
|BGCOLOR(black):COLOR(white):|c
|server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100|
上の設定は、ブリッジサーバーのIPアドレスを10.8.0.4とし、V...
|BGCOLOR(black):COLOR(white):|c
|server-bridge 192.168.0.253 255.255.255.0 192.168.0.240 ...
このディレクティブはデフォルトではコメントになっています...
|BGCOLOR(black):COLOR(white):|c
|;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.1...
-----
''push(経路情報の告知)''
ルーターサーバーの場合、VPNクライアントにはローカルネット...
例えば、VPNクライアントにIPネットワークアドレス"192.168.0...
|BGCOLOR(black):COLOR(white):|c
|push "route 192.168.0.0 255.255.255.0"|
この結果、VPNクライアントのから見て、自ホストのトンネルイ...
ブリッジサーバーの場合は基本的には必要ありませんが、社内...
マイクロソフト社のWindows VistaのVPNクライアントで経路情...
-----
''nobody(プロセスのUID)''
FreeBSDやLinuxなどでopenvpnをデーモンとして実行するとき、...
|BGCOLOR(black):COLOR(white):|c
|user nobody &br; group nobody|
-----
''log''
OpenVPNの動作を記録したいときは、"log"か"log-append"のど...
|BGCOLOR(black):COLOR(white):|c
|log openvpn.log &br; ;log-append openvpn.log|
**クライアントの設定 [#f4ed543b]
VPNクライアントがモバイルパソコンの場合、インストールが終...
***client.ovpnの設定 [#zd280864]
OpenVPN GUI for Windowsの場合、設定ファイルの雛型がディレ...
client.ovpnをコピーしたら編集します。
''dev(デバイス)''
クライアントのデバイスの設定は、接続するサーバーの設定と...
|BGCOLOR(black):COLOR(white):|c
|;dev tap &br; dev tun|
-----
''proto(プロトコル)''
クライアントのプロトコルの設定は、接続するサーバーの設定...
|BGCOLOR(black):COLOR(white):|c
|;proto tcp &br; proto udp|
-----
''remote(サーバー)''
接続するVPNサーバーのグローバルアドレスとTCP/UDPポート番...
|BGCOLOR(black):COLOR(white):|c
|remote 2.0.0.12 1194|
-----
''ca, cert, key(電子証明書と秘密鍵)''
CAの証明書、VPNクライアントの証明書、それとVPNクライアン...
|BGCOLOR(black):COLOR(white):|c
|ca /Cert/cacert.pem &br; cert /Cert/pc01cert.pem &br; ...
PKCS#12形式のファイルを使う場合は、次のように指定します。
|BGCOLOR(black):COLOR(white):|c
|pkcs12 /Cert/pc01cert.p12|
**注意事項 [#ma36b5b5]
***ルーティングのリダイレクト [#ye10bea1]
VPNをローカルネットワークにルーティング接続した場合、ロー...
例えば、構成例においてVPNクライアントPCmのトンネルインタ...
このような事態を避けるため、デフォルトゲートウェイのルー...
***wrappedサービス [#j5eeffd7]
構成例では、FTPは社内ネットワークからのみ利用ができるよう...
-----
http://www.rissi.co.jp/OpenVPN.html
終了行:
[[CentOS7]]
*OpenVPN構築の参考 [#x3de8686]
''構成図''
#ref(sample.png)
PCmは、社外にあるパソコンです。例えば、自宅にある個人用の...
この例における事業所は、2.0.0.8/29のグローバルIPアドレス...
Ex.RTは、ISPに接続する為の外部ルーターです。IPSとはアンナ...
In.RTは、外部に公開するネットワーク(2.0.0.8/29)と外部に公...
VPNは、VPNサーバーです。VPNとIn.RTは一つのホストの上で実...
PCoは、社内ネットワークの中にあるパソコンです。
FTPは、社内でファイルを共有するためのファイルサーバーです...
**静的鍵と電子証明書 [#md3a75f5]
OpenVPNでは、接続相手を認証したり暗号鍵を生成したりすると...
***静的鍵 [#eeb39f10]
静的鍵とはVPNサーバーとVPNクライアントが共通で使用する1つ...
静的鍵を用いる場合の長所はVPNを容易に構築できることです。...
その反面、拡張性が低いという短所があります。この方法では1...
もし、VPNクライアントが1台しかなく、とにかくOpenVPNを使っ...
とはいえ、この記事では静的鍵を用いた具体的な構築方法につ...
***電子証明書 [#r7ee29d7]
電子証明書を利用する場合は、基本的に、個々のホストがそれ...
電子証明書を用いる場合の利点は複数のVPNクライアントを同時...
その反面、電子証明書を発行する認証局を必要としますので、...
公に利用できる(パブリック)電子証明書を運用しようとすると...
**ルーティングとブリッジング [#t43969cc]
社外にあるパソコンをVPNを通じて社内ネットワークに接続する...
VPNは、インターネットの中にあたかも二地点間だけを結ぶ仮想...
+--------------+ ############## +--...
| VPN Client | # Internet # | ...
| | # # | ...
| tun/tap +---------- ----------+ ...
| ===|====================================|=...
| +---------- Tunnel ----------+ ...
| PPP | # # | r...
| | # # | ...
+--------------+ ############## +--...
CENTER:【図4-1】トンネルの概念
TUN/TAPはトンネルインターフェースのデバイス名です。
VPNサーバーの社内ネットワーク側のインターフェースrl0のIP...
***ルーティング [#jc5b787a]
トンネルインターフェースに割り当てるIPアドレスを社内ネッ...
+--------------+ ############## +--...
| VPN Client | # Internet # | ...
| | # # | ...
| tun/tap +---------- ----------+ ...
| ===|====================================|=...
| +---------- (10.8.0.0/24) ----------+ ...
| PPP | # # | r...
| | # # | ...
+--------------+ ############## +--...
CENTER:【図4-2】ルーティングの概念
ルーティング接続するときは、TUNデバイスを使用します。
以下にインターフェースの状態とルーティングテーブルがどの...
''VPNサーバーのインターフェース''
先ず、VPNサーバーのインターフェースについて、VPNサーバー(...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# ifconfig|
|rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> ...
CENTER:【図4-3】実行前のVPNサーバーのインターフェース(ル...
-----
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# ifconfig|
|rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> ...
CENTER:【図4-4】実行中のVPNサーバーのインターフェース(ル...
実行中のVPNサーバーにはインターフェースtun0が生成されてい...
''VPNサーバーのルーティングテーブル''
次は、VPNサーバーのルーティングテーブルについて、VPNサー...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# netstat -r|
|Routing tables &br; &br; Internet: &br; Destination ...
CENTER:【図4-5】実行前のVPNサーバーのルーティングテーブル...
-----
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# netstat -r|
|Routing tables &br; &br; Internet: &br; Destination ...
CENTER:【図4-6】実行中のVPNサーバーのルーティングテーブル...
実行中のVPNサーバーのルーティングテーブルには、1つのネッ...
このエントリーは少し混乱するかもしれませんので注意してく...
''VPNクライアントのインターフェース''
次は、VPNクライアントのインターフェースの状態について接続...
|BGCOLOR(black):COLOR(white):|c
|C:\>ipconfig|
|PPP アダプタ isp.domain: &br; &br; 接続固有の DNS サフィ...
CENTER:【図4-7】接続前のVPNクライアントのインターフェース...
-----
|BGCOLOR(black):COLOR(white):|c
|C:\>ipconfig|
|PPP アダプタ isp.domain: &br; &br; 接続固有の DNS サフィ...
CENTER:【図4-8】接続後のVPNクライアントのインターフェース...
VPNサーバーに接続した結果、VPNクライアントのトンネルイン...
''VPNクライアントのルーティングテーブル''
最後に、VPNクライアントのルーティングテーブルについて接続...
|BGCOLOR(black):COLOR(white):|c
|C:\>netstat -r &br; &br; IPv4 ルート テーブル &br; =====...
CENTER:【図4-9】接続前のVPNクライアントのルーティングテー...
-----
|BGCOLOR(black):COLOR(white):|c
|C:\>netstat -r|
|IPv4 ルート テーブル &br; ==============================...
CENTER:【図4-10】接続後のVPNクライアントのルーティングテ...
OpenVPNのクライアントはVPNサーバーとは違うアドレスを持っ...
そのIPネットワークアドレスは10.8.0.4/30、自分(VPNクライア...
注目する点は、192.168.0.0/24のネットワークのエントリーが...
***ブリッジング [#j6ffd674]
トンネルのインターフェースに割り当てるIPアドレスを社内ネ...
+--------------+ ############## +--...
| VPN Client | # Internet # | ...
| | # # | ...
| tun/tap +---------- ----------+ ...
| ===|====================================|=...
| +--------- (192.168.0.0/24) ---------+ ...
| PPP | # # | r...
| | # # | ...
+--------------+ ############## +--...
CENTER:【図4-11】ブリッジングの概念
ブリッジング接続するときは、TAPデバイスを使用します。
このとき、VPNサーバーの社内ネットワーク側のインターフェー...
一連の流れは次のようになります。
-ブリッジの作成
-OpenVPNの実行
-OpenVPNの停止
-ブリッジの削除
以下にインターフェースの状態とルーティングテーブルがどの...
''VPNサーバーのインターフェース''
先ず、VPNサーバーのインターフェースについて、VPNサーバー(...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# ifconfig|
|rl0: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mt...
CENTER【図4-12】実行前のVPNサーバーのインターフェース(ブ...
----
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# ifconfig|
|rl0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MUL...
CENTER:【図4-13】実行中のVPNサーバーのインターフェース(...
実行中のVPNサーバーにはブリッジインターフェースbridge0と...
注目する点は、bridge0にIPアドレスが割り当てられており、rl...
''VPNサーバーのルーティングテーブル''
次は、VPNサーバーのルーティングテーブルについて、VPNサー...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# netstat -r|
|Routing tables &br; &br; Internet: &br; Destination ...
CENTER:【図4-14】実行前のVPNサーバーのルーティングテーブ...
-----
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# netstat -r|
|Routing tables &br; &br; Internet: &br; Destination ...
CENTER:【図4-15】実行中のVPNサーバーのルーティングテーブ...
VPNサーバーを実行すると、bridgeに割り当てたIPホストアドレ...
''VPNクライアントのインターフェース''
次は、VPNクライアントのインターフェースの状態について接続...
|BGCOLOR(black):COLOR(white):|c
|C:\>ipconfig &br; &br; PPP アダプタ isp.domain: &br; &br...
CENTER:【図4-16】接続前のVPNクライアントのインターフェー...
-----
|BGCOLOR(black):COLOR(white):|c
|C:\>ipconfig &br; &br; PPP アダプタ isp.domain: &br; &br...
CENTER:【図4-17】接続後のVPNクライアントのインターフェー...
VPNサーバーに接続した結果、VPNクライアントのトンネルイン...
''VPNクライアントのルーティングテーブル''
最後に、VPNクライアントのルーティングテーブルについて接続...
|BGCOLOR(black):COLOR(white):|c
|C:\>netstat -r &br; &br; IPv4 ルート テーブル &br; =====...
CENTER:【図4-18】接続前のVPNクライアントのルーティングテ...
-----
|BGCOLOR(black):COLOR(white):|c
|C:\>netstat -r &br; &br; IPv4 ルート テーブル &br; =====...
CENTER:【図4-19】接続後のVPNクライアントのルーティングテ...
VPNクライアントには192.168.0.240が割り当てられましたので...
***サーバーのインストール [#wd791dfd]
VPNサーバーを設置するためには、まず、必要なファイルをホス...
VPNサーバーにインストールするファイルは2種類あります。一...
***サーバーのソフトウェア [#o7a2d391]
OpenVPNのソフトウェアをインストールすること自体は難しい作...
この記事では、FreeBSD 8.0-RELEASEにopenvpn-2.0.6をインス...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# pkg_add -r openvpn|
また、PORTコレクションを使って、make installする方法もあ...
Linuxにインストールする場合は、dpkgやaptitudeあるいはrpm...
もちろん、OpenVPNのウェブサイトからソースコードをダウンロ...
***サーバーの電子証明書 [#l0c227b9]
''認証局(CA)の証明書と秘密鍵''
OpenVPNをインストールすると、ディレクトリー/usr/local/sha...
OpenVPNのHOWTOには、認証局(Certificate Authority: CA)の証...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# ./build-ca|
ですが、必ずしもこのスクリプトを使う必要はありません。例...
スクリプトbuild-caは、スクリプトpkitoolを実行します。
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# pkitool --interact --initca|
pkitoolは、同じディレクトリの中にあるスクリプトです。pkit...
|BGCOLOR(black):COLOR(white):|c
|$OPENSSL req $BATCH -days $CA_EXPIRE $NODES_REQ -new -x5...
$OPENSSLはスクリプトの中でopensslと定義されています。上の...
|BGCOLOR(black):COLOR(white):|c
|openssl req -days 3650 -nodes -new -x509 -keyout ca.key ...
なお、OpenSSLのウェブサイトにある"HOWTO certificates <DRA...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# ./CA.pl -newca|
このコマンドを実行し質問に答えていけば、2つのファイルが出...
|BGCOLOR(black):COLOR(white):|c
|cacert.pem cakey.pem|
cacert.pemはCAの証明書、cakey.pemはCAの秘密鍵です。
''VPNサーバーの証明書と秘密鍵''
CAの証明書が出来たら、VPNサーバーの証明書と秘密鍵を作成し...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# ./build-key-server server|
スクリプトbuild-key-serverはスクリプトpkitoolを実行します。
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# pkitool --interact --server|
スクリプトpkitoolの中でサーバーの証明書と秘密鍵を生成する...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# $OPENSSL req $BATCH -days $KEY_EXPIR...
-----
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# $OPENSSL ca $BATCH -days $KEY_EXPIRE...
大まかに述べると、"openssl req"コマンドで証明書のリクエス...
OpenSSLのパッケージに含まれているCA.plを使用する場合は、...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# ./CA.pl -newreq-nodes|
|[root@localhost ~]# ./CA.pl -sign|
直接opensslを実行するなら、次のようにします。
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# openssl req -new -nodes -keyout newk...
|[root@localhost ~]# openssl ca -policy policy_anything -...
このコマンドを実行し質問に答えていけば、次の3つのファイル...
|BGCOLOR(black):COLOR(white):|c
|newcert.pem newkey.pem newreq.pem|
このうち、2つのファイルの名前を変更し、1つのファイルを捨...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# mv ./newcert.pem ./vpncert.pem|
|[root@localhost ~]# mv ./newkey.pem ./vpnkey.pem|
|[root@localhost ~]# rm ./newreq.pem|
vpncert.pemはVPNサーバーの証明書、vpnkey.pemはVPNサーバー...
./build-key-serverを使うと証明書の有効期間が3650日(約10年...
|BGCOLOR(black):COLOR(white):|c
|$DAYS="-days 1095"; # 3 year|
|$CADAYS="-days 3650"; # 10 years|
CAとVPNの証明書ができたら、VPNサーバー証明書とVPNサーバー...
ただし、ディレクトリがどこであれ、VPNサーバーの秘密鍵は所...
それからもう一つ、Diffie Hellman(DH)パラメータを作成して...
-DHパラメータ: dh1024.pem
DHパラメータはOpenVPNのパッケージに含まれているスクリプト...
opensslコマンドを使う場合は次のようにします。
|BGCOLOR(black):COLOR(white):|c
|openssl dhparam -out dh1024.pem 1024|
**クライアントのインストール [#wfa4109e]
VPNクライアントもVPNサーバーと同じように、ソフトウェアと...
***クライアントのソフトウェア [#pdee4b87]
自宅にあるパソコンや社外に持ち出すパソコンは、多くの場合...
インストール用パッケージはOpenVPN GUI for WIndowsのウェブ...
また、OpenVPN 2.1.1からはWindows用インストーラーの中にOpe...
インストールは、ダウンロードした.exeファイルを実行し、画...
***クライアントの電子証明書 [#faed5107]
OpenVPNのクライアントに電子証明書をインストールするには、...
OpenVPNのHOWTOには、クライアントの証明書と秘密鍵を生成す...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# ./build-key client1|
スクリプトbuild-keyは、スクリプトpkitoolを実行します。
|BGCOLOR(black):COLOR(white):|c
|pkitool --interact|
OpenSSLのパッケージに含まれているCA.plを使用する場合は、...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# ./CA.pl -newreq-nodes|
|[root@localhost ~]# ./CA.pl -sign|
|[root@localhost ~]# mv ./newcert.pem ./pc01cert.pem|
|[root@localhost ~]# mv ./newkey.pem ./pc01key.pem|
|[root@localhost ~]# rm ./newreq.pem|
pc01cert.pemはVPNクライアントの証明書、pc01key.pemはVPNク...
CAの証明書、VPNクライアントの証明書、VPNクライアントの秘...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# ./CA.pl -newreq-nodes|
|[root@localhost ~]# ./CA.pl -sign|
|[root@localhost ~]# ./CA.pl -pkcs12|
|[root@localhost ~]# mv ./newcert.pem ./pc01cert.pem|
|[root@localhost ~]# mv ./newkey.pem ./pc01key.pem|
|[root@localhost ~]# mv ./newcert.p12 ./pc01cert.p12|
|[root@localhost ~]# rm ./newreq.pem|
拡張子.p12を持ったファイルがPKCS#12形式のファイルです。
OpenVPNのパッケージに含まれているスクリプトを使うときは次...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# ./build-key-pkcs12 client1|
この結果、次の4つのファイルができます。
|BGCOLOR(black):COLOR(white):|c
|client1.csr client1.key client1.crt client1.p12|
client1.csrはVPNクライアントの証明書要求、client1.keyはVP...
作成した証明書などをOpenVPNのためだけに使うのであれば、3...
**サーバーの設定 [#s95057db]
サーバーでの設定は、OSの設定とOpenVPNの設定の2つに大別で...
***ルーターサーバーの設定 [#cfc6b002]
ルーターサーバーとして設定する場合は、次に示す4つの設定を...
-外部側インターフェースにIPアドレスを割り当てる。
-内部側インターフェースにIPアドレスを割り当てる。
-デフォルトルーターを外部ルーターを指定する。
-フォワーディング機能を有効にする。
具体的にはOSの設定ファイルを編集します。FreeBSDの場合は/e...
|BGCOLOR(black):COLOR(white):|c
|ifconfig_re0="inet 2.0.0.12 netmask 255.255.255.248" &br...
CENTER:【図7-1】ルーティングの場合の/etc/rc.conf
***ブリッジサーバーの設定 [#ae4331d0]
ブリッジサーバーとして設定する場合は、内部側インターフェ...
フォワーディング機能を有効にするコマンドがあれば、それも...
|BGCOLOR(black):COLOR(white):|c
|ifconfig_re0="inet 2.0.0.12 netmask 255.255.255.248" &br...
CENTER:【図7-2】ブリッジングの場合の/etc/rc.conf
OSの設定ファイルの編集が終わったら、ブリッジを生成してメ...
FreeBSDの場合は、次のように編集します。
|BGCOLOR(black):COLOR(white):|c
|br="bridge0" &br; br_ip="192.168.0.253" &br; br_netmask=...
CENTER:【図7-3】bridge-start
bridge-startと対をなすもう一つのスクリプトbridge-stopは、...
FreeBSDの場合は、次のように編集します。
|BGCOLOR(black):COLOR(white):|c
|br="bridge0" &br; &br; tap="tap0" &br; # &br; ifconfig $...
CENTER:【図7-4】bridge-stop
OpenVPNをブリッジングで実行するときは、まずスクリプトbrid...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# cd /usr/local/etc/openvpn|
|[root@localhost ~]# sh ./bridge-start|
|[root@localhost ~]# /usr/local/sbin/openvpn ./openvpn.co...
|[root@localhost ~]# ^C|
|[root@localhost ~]# sh ./bridge-stop|
***起動用スクリプトの準備 [#n2f7fd34]
OpenVPNをインストールすると、ディレクトリ/usr/local/share...
FreeBSDの場合、ディレクトリ/usr/local/etc/rc.dの中に起動...
ブリッジルーターの場合、openvpnが実行される前にスクリプト...
|BGCOLOR(black):COLOR(white):|c
|openvpn_precmd() &br; { &br; if [ -f /usr/local/...
CENTER:【図7-5】ブリッジルーターの為の起動用スクリプト
FreeBSDの場合、/etc/rc.confにopenvpn_enableの設定を追加す...
|BGCOLOR(black):COLOR(white):|c
|openvpn_enable="YES" &br; openvpn_if="tap"|
CENTER:【図7-6】ブート時に自動実行させる為の/etc/rc.conf
***server.confの設定 [#c3f3e286]
ディレクトリ/usr/local/share/doc/openvpn/sample-config-fi...
server.confをコピーするときファイル名を変えても構いません...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# cd /usr/local/share/doc/openvpn/samp...
|[root@localhost ~]# cp ./server.conf /usr/local/etc/open...
設定ファイルをコピーしたら、編集します。
-----
''port(ポート番号)''
VPNサーバーのプロセスが接続要求を待ち受けるポート番号です...
|BGCOLOR(black):COLOR(white):|c
|port 1194|
-----
''proto(プロトコル)''
IPの上位プロトコルを指定します。行の先頭にセミコロン";"を...
|BGCOLOR(black):COLOR(white):|c
|;proto tcp &br; proto udp|
-----
''dev(デバイス)''
ルーターサーバーの場合は、TUNデバイスを生成するために"dev...
|BGCOLOR(black):COLOR(white):|c
|;dev tap &br; dev tun|
ブリッジサーバーの場合で、事前にトンネルインターフェースt...
|BGCOLOR(black):COLOR(white):|c
|dev tap0|
-----
''ca, cert, key(電子証明書と秘密鍵)''
CAの証明書、VPNサーバーの証明書、それとVPNサーバーの秘密...
|BGCOLOR(black):COLOR(white):|c
|ca /etc/ssl/cacert.pem &br; cert /etc/ssl/vpncert.pem ...
PKCS#12形式のファイルを指定する方法は次節の「クライアント...
-----
''crl-verify(失効リスト)''
電子証明書を保存したモバイルパソコンを紛失してしまった場...
|BGCOLOR(black):COLOR(white):|c
|crl-verify /etc/ssl/crl.pem|
-----
''dh(DHパラメータ)''
DHパラメータを指定します。ファイルがディレクトリー/etc/ss...
|BGCOLOR(black):COLOR(white):|c
|dh /etc/ssl/dh1024.pem|
-----
''server(サーバー)''
ルーターサーバーの場合、生成するVPNのIPネットワークアドレ...
|BGCOLOR(black):COLOR(white):|c
|server 10.8.0.0 255.255.255.0|
もし、社内ネットワークのIPネットワークアドレスが10.8.0.0/...
|BGCOLOR(black):COLOR(white):|c
|server 172.16.0.0 255.255.255.0|
ブリッジサーバーの場合はこのディレクティブをコメントにし...
|BGCOLOR(black):COLOR(white):|c
|;server 10.8.0.0 255.255.255.0|
-----
''server-bridge(ブリッジサーバー)''
ブリッジサーバーの場合、VPNクライアントに割り当てるIPアド...
|BGCOLOR(black):COLOR(white):|c
|server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100|
上の設定は、ブリッジサーバーのIPアドレスを10.8.0.4とし、V...
|BGCOLOR(black):COLOR(white):|c
|server-bridge 192.168.0.253 255.255.255.0 192.168.0.240 ...
このディレクティブはデフォルトではコメントになっています...
|BGCOLOR(black):COLOR(white):|c
|;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.1...
-----
''push(経路情報の告知)''
ルーターサーバーの場合、VPNクライアントにはローカルネット...
例えば、VPNクライアントにIPネットワークアドレス"192.168.0...
|BGCOLOR(black):COLOR(white):|c
|push "route 192.168.0.0 255.255.255.0"|
この結果、VPNクライアントのから見て、自ホストのトンネルイ...
ブリッジサーバーの場合は基本的には必要ありませんが、社内...
マイクロソフト社のWindows VistaのVPNクライアントで経路情...
-----
''nobody(プロセスのUID)''
FreeBSDやLinuxなどでopenvpnをデーモンとして実行するとき、...
|BGCOLOR(black):COLOR(white):|c
|user nobody &br; group nobody|
-----
''log''
OpenVPNの動作を記録したいときは、"log"か"log-append"のど...
|BGCOLOR(black):COLOR(white):|c
|log openvpn.log &br; ;log-append openvpn.log|
**クライアントの設定 [#f4ed543b]
VPNクライアントがモバイルパソコンの場合、インストールが終...
***client.ovpnの設定 [#zd280864]
OpenVPN GUI for Windowsの場合、設定ファイルの雛型がディレ...
client.ovpnをコピーしたら編集します。
''dev(デバイス)''
クライアントのデバイスの設定は、接続するサーバーの設定と...
|BGCOLOR(black):COLOR(white):|c
|;dev tap &br; dev tun|
-----
''proto(プロトコル)''
クライアントのプロトコルの設定は、接続するサーバーの設定...
|BGCOLOR(black):COLOR(white):|c
|;proto tcp &br; proto udp|
-----
''remote(サーバー)''
接続するVPNサーバーのグローバルアドレスとTCP/UDPポート番...
|BGCOLOR(black):COLOR(white):|c
|remote 2.0.0.12 1194|
-----
''ca, cert, key(電子証明書と秘密鍵)''
CAの証明書、VPNクライアントの証明書、それとVPNクライアン...
|BGCOLOR(black):COLOR(white):|c
|ca /Cert/cacert.pem &br; cert /Cert/pc01cert.pem &br; ...
PKCS#12形式のファイルを使う場合は、次のように指定します。
|BGCOLOR(black):COLOR(white):|c
|pkcs12 /Cert/pc01cert.p12|
**注意事項 [#ma36b5b5]
***ルーティングのリダイレクト [#ye10bea1]
VPNをローカルネットワークにルーティング接続した場合、ロー...
例えば、構成例においてVPNクライアントPCmのトンネルインタ...
このような事態を避けるため、デフォルトゲートウェイのルー...
***wrappedサービス [#j5eeffd7]
構成例では、FTPは社内ネットワークからのみ利用ができるよう...
-----
http://www.rissi.co.jp/OpenVPN.html
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
