vpn のバックアップ(No.9)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• vpn へ行く。
  • 1 (2018-10-22 (月) 18:12:40)
  • 2 (2019-02-23 (土) 14:58:05)
  • 3 (2019-04-07 (日) 09:48:09)
  • 4 (2021-03-17 (水) 19:53:16)
  • 5 (2021-08-27 (金) 17:58:55)
  • 6 (2021-12-02 (木) 20:46:09)
  • 7 (2023-07-09 (日) 06:28:34)
  • 8 (2025-02-25 (火) 18:02:45)
  • 9 (2025-02-27 (木) 20:58:20)

---

Linux

VPN Centos

vpn 比較 †

• こちらのサイト参照
  • openVPN を初めにインストールしましたが、
    ios へ対応していないのでボツ
  • 次に pptp をインストールしましたが、
    emobile に対応していないのでボツ
  • 最後に L2TP をインストール

pptp サーバー構築 (CentOS 5) †

• ppp のインストール
  • yum install ppp
• download
  • http://sourceforge.net/projects/poptop/files/
• rpm build のためファイルを下記ディレクトリへコピー
  • cp ./pptpd-1.3.4.tar.gz /usr/src/redhat/SOURCES/
• rpm を build
  • rpmbuild -ta pptpd-1.3.4.tar.gz
• rpm からインストール
  • cd /usr/src/redhat/RPMS/i386/
  • rpm -ivh pptpd-1.3.4-1.i386.rpm
• /etc/pptpd.conf 編集
  • vi /etc/pptpd.conf
  • 最後に下記を追加

    ppp /usr/sbin/pppd
    localip 192.168.1.101-110
    remoteip 192.168.2.111-120
    
    #logwtmp < logwtmp をコメントアウト

• ppp の設定
  • vi /etc/ppp/options.pptpd

    name pptpd
    domain tar3.net
    
    # localip と remoteip が LAN 側サブネットに含まれる場合は proxyarp を有効にします。
    proxyarp
    
    auth
    lock
    
    refuse-pap
    refuse-chap
    refuse-mschap
    
    require-mschap-v2
    require-mppe-128
    
    ms-dns 192.168.1.37
    ms-dns 192.168.1.1
    ms-wins 192.168.1.37
    
    nobsdcomp
    
    novj
    novjcomp
    
    nologfd
    
    mtu 1200
    mru 1200
    
    debug

  • vi /etc/ppp/chap-secrets

    hoge pptpd password  *

• ルーティング機能を有効にする
  • echo 1 > /proc/sys/net/ipv4/ip_forward
  • vi /etc/sysctl.conf

    net.ipv4.ip_forward = 1

• ファイアウォールの 1723 と 47 のポートを開ける(iptables)
  • vi /etc/sysconfig/iptables

    -A FORWARD -i ppp+ -j ACCEPT
    -A FORWARD -o ppp+ -j ACCEPT
    -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
    
    -A INPUT -p gre -j ACCEPT
    -A INPUT -p tcp -m state --state NEW -m tcp --dport 1723 -j ACCEPT

• 外とのルーターポートをNATで開ける
  • 1723 と 47 ポート
• Windowsのネットワークコンピュータで LAN内部の別コンピュータのが見えるように
  
  • /etc/samba/smb.conf を編集

    [root@sv22 ~]# vi /etc/samba/smb.conf
    ; domain master = yes
    　↓
    domain master = yes
    
    ; local master = no
    　↓
    local master = yes
    
    ; preferred master = yes
    　↓
    preferred master = yes
    
    ; os level = 33
    　↓
    os level = 65
    
    ; wins support = yes
    　↓
    wins support = yes

• Samba再起動

  [root@sv22 ~]# /etc/rc.d/init.d/smb restart
  SMB サービスを停止中: [ OK ]
  NMB サービスを停止中: [ OK ]
  SMB サービスを起動中: [ OK ]
  NMB サービスを起動中: [ OK ]

L2TP サーバー構築(centos 5) †

参考サイト †

• 参考外部サイト

CentOS に epel レポジトリのインストール †

• 参考URL
  
  • 32bit版CentOS 6の場合は
  • 64bit版CentOS 6の場合は
  • 32bit版CentOS 5の場合は
  • 64bit版CentOS 5の場合は
• CentOS 5.5 に EPEL リポジトリを追加する
  • cd /etc/pki/rpm-gpg/
  • wget http://mirrors.ustc.edu.cn/fedora/epel/RPM-GPG-KEY-EPEL
  • rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL
  • rpm -ivh http://mirrors.ustc.edu.cn/fedora/epel/5/i386/epel-release-5-
• CentOS 6(32bit) に EPEL リポジトリを追加

  rpm -Uvh http://ftp-srv2.kddilabs.jp/Linux/distributions/fedora/epel/6/i386/epel-release-6-8.noarch.rpm
  vi /etc/yum.repos.d/epel.repo

• EPEL リポジトリの利用準備が整ったら、L2TP を実現するためのパッケージ "xl2tpd" をインストール
  • yum install xl2tpd

編集ファイル一覧 †

• /etc/xl2tpd/xl2tpd.conf
• /etc/ppp/options.xl2tpd
• /etc/strongswan/ipsec.conf
• /etc/strongswan/ipsec.d/l2tp-psk.conf
• /etc/strongswan/ipsec.secrets
• /etc/sysctl.conf
• /etc/ppp/chap-secrets
• /etc/sysconfig/selinux
• /etc/sysconfig/iptables

/etc/xl2tpd/xl2tpd.conf の編集 †

• vi /etc/xl2tpd/xl2tpd.conf

  [global]
  [lns default]
  ip range = 192.168.1.128-192.168.1.254
  local ip = 192.168.1.99
  require chap = yes
  refuse pap = yes
  require authentication = yes
  name = VPNserver
  ppp debug = yes
  pppoptfile = /etc/ppp/options.xl2tpd
  length bit = yes

/etc/ppp/options.xl2tpdの編集 †

• vi /etc/ppp/options.xl2tpd

  auth
  crtscts
  debug
  lock
  proxyarp
  
  refuse-pap
  refuse-chap
  refuse-mschap
  require-mschap-v2
  
  logfile /var/log/xl2tpd.log 
  
  ms-dns  192.168.1.1
  ms-dns  192.168.1.2
  
  ipcp-accept-local
  ipcp-accept-remote

IPSec のインストール †

strongswan のインストール(yum) †

openswan にiPhoneからつながらない不具合が有り、
strongswan に変更

yum install strongswan

/etc/strongswan/ipsec.conf の編集 †

• vi /etc/strongswan/ipsec.conf

  version 2.0
  
  config setup
   protostack=netkey
   nat_traversal=yes
  include /etc/strongswan/ipsec.d/*.conf

/etc/strongswan/ipsec.d/l2tp-psk.conf ファイルの作成 †

• vi /etc/strongswan/ipsec.d/l2tp-psk.conf

  conn L2TP-PSK-NAT
         rightsubnet=0.0.0.0/0
         #rightsubnet=vhost:%priv
         forceencaps=yes
         dpddelay=10
         dpdtimeout=30
         dpdaction=clear
         also=L2TP-PSK-noNAT
  conn L2TP-PSK-noNAT
  #conn L2TP-PSK
  #
  # Configuration for one user with any type of IPsec/L2TP client
  # including the updated Windows 2000/XP (MS KB Q818043), but
  # excluding the non-updated Windows 2000/XP.
  #
  #
  # Use a Preshared Key. Disable Perfect Forward Secrecy.
  #
  # PreSharedSecret needs to be specified in /etc/ipsec.secrets as
  # YourIPAddress  %any: "sharedsecret"
          authby=secret
          pfs=no
          auto=add
          keyingtries=3
          
          # we cannot rekey for %any, let client rekey
          rekey=no
   
          # Apple iOS doesn't send delete notify so we need dead peer detection
          # to detect vanishing clients
          #dpddelay=5
          #dpdtimeout=10
          #dpdaction=clear
   
          # Set ikelifetime and keylife to same defaults windows has
          ikelifetime=8h
          keylife=1h
          
          # l2tp-over-ipsec is transport mode
          type=transport
   
          left=192.168.1.3
          leftnexthop=%defaultroute
          #leftsubnet=192.168.1.0/24 
          
          # For updated Windows 2000/XP clients,
          # to support old clients as well, use leftprotoport=17/%any
          leftprotoport=17/1701
          
          # The remote user.
          right=%any
          
          # Using the magic port of "%any" means "any one single port". This is
          # a work around required for Apple OSX clients that use a randomly
          # high port.
          
          rightprotoport=17/%any
          #rightprotoport=17/0
          
          #ike=3des-md5
          #esp=3des-md5
          #forceencaps=yes
          
          

/etc/strongswan/ipsec.secrets の編集 †

• vi /etc/strongswan/ipsec.secrets

  : PSK "password"
  
  include /etc/strongswan/ipsec.d/*.secrets

• root 以外の参照禁止
  • chmod go-rwx /etc/strongswan/ipsec.secrets

(参考) Log levelの変更 †

sudo vi /etc/strongswan/strongswan.d/charon-logging.conf

1. 2個所(fileとrsyslog)

              # Default loglevel.
              # default = 1
              default = 2

起動 †

• service strongswan start
• service xl2tpd start

自動起動の設定 †

• chkconfig strongswan on
• chkconfig xl2tpd on

NETKEY detected, testing for disabled ICMP send_redirects [FAILED] 対策 †

• vi /etc/sysctl.conf

  net.ipv4.conf.all.send_redirects = 0
  net.ipv4.conf.all.accept_redirects = 0
  net.ipv4.conf.default.send_redirects = 0
  net.ipv4.conf.default.accept_redirects = 0
  net.ipv4.conf.lo.send_redirects = 0
  net.ipv4.conf.lo.accept_redirects = 0
  net.ipv4.conf.eth0.send_redirects = 0
  net.ipv4.conf.eth0.accept_redirects = 0
  net.ipv4.conf.eth1.send_redirects = 0
  net.ipv4.conf.eth1.accept_redirects = 0
  
  net.ipv4.ip_forward = 1

反映 †

• sysctl -p

Pluto listening for IKE on udp 500 Pluto listening for NAT-T on udp 4500 [FAILED] 対応 †

yum install lsof

libpcap-devel のインストール †

yum install libpcap-devel ppp

selinux 無効化 †

• vi /etc/sysconfig/selinux

  SELINUX=disabled

サーバーの再起動 †

iptables 編集 †

• vi /etc/sysconfig/iptables
  • 追加

    -A FORWARD -i ppp+ -j ACCEPT
    -A FORWARD -o ppp+ -j ACCEPT
    -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
    
    -A INPUT -p esp -j ACCEPT
    -A INPUT -p udp -m udp --dport 50 -j ACCEPT
    -A INPUT -p udp -m udp --dport 500 -j ACCEPT
    -A INPUT -p udp -m udp --dport 4500 -j ACCEPT
    -A INPUT -p udp -m udp --dport 1701 -j ACCEPT

/etc/ppp/chap-secrets の編集 †

• vi /etc/ppp/chap-secrets

  # アカウント    接続名    パスワード    IPアドレス
  "vpn-account"    *    "vpn-password"    *

log ファイル、ひな形の作成 †

touch /var/log/xl2tpd.log

ルーターのポート開放 †

• udp 500
• udp 4500
• 50
• 1701

Client の設定 †

Windows †

1. レジストリの変更 [#k194a06b]
   • regedit
     • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
     • 新規 「DWORD値」[AssumeUDPEncapsulationContextOnSendRule ]
     • 値 2
2. Windows,エラー,1 [#gd104903]

• 指定したユーザー名またはパスワードが認識されないか、選択した認証プロトコルがリモート アクセス サーバーで許可されていないため、リモート接続が拒否されました。」
  • 本当にパスワードが間違えてる。
  • コピペでなく手打ちすると直った。

iPhone †

1. iPhone の設定で気をつけること [#cd5fd356] 「全ての全ての通信を送信」のチェックがOnだと AU wifi につなげた状態では
   VPN に繋がりませんでした。チェックをオフにすると繋がります。

Linux(Ubuntu) †

• 関連ソフトのインストール

  sudo apt install network-manager-openvpn network-manager-l2tp

• 以下,KDEでの設定
  1. 「設定」-「接続」
  2. 「+」 -> 「レイヤ2トンネリング プロトコル(L2TP)」を選択
     1. 接続名：適当に決める
     2. 「VPN(l2tp)」タブを選択
     3. Gateway : 接続先URL 例) vpn.hoge.net
     4. User name : ユーザー名
     5. Password : パスワード
  3. 「IPSec Settings...」ボタン
     1. チェックオン「Enable IPsec tunnel to L2TP host」
     2. 「Pre-shared key」を入力

OpenVPN †

• 参考サイト

設定関連図(構成図) †

Client1 -> Internet - udp -> キャリアルーター -> VPN サーバ　-> Internet(全ての通信がVPNサーバ経由を目標とする)
※tcp は重い。server.conf に tcp-nodelay オプションを記入することにより改善されるが重い。
※tcp にするには、server.conf で udp を無効化しtcp を有効化。 同様に client 設定ファイルも行う。

OpenVPN Install †

必要なパッケージのインストール †

sudo yum -y install openssl-devel lzo-devel pam-devel gcc

OpenVPN のインストール †

mkdir temp
wget http://swupdate.openvpn.org/community/releases/openvpn-2.3.12.tar.gz

• rpm-buildのインストール
  • このリンク先を参照(サイト内)
• RPM パッケージの生成

  sudo rpmbuild -tb --clean openvpn-2.3.12.tar.gz

• RPM パッケージからインストール

  sudo yum -y localinstall ~/rpmbuild/RPMS/x86_64/openvpn-2.3.12-1.x86_64.rpm

easy-rsa のインストール †

cd ~/temp
wget https://github.com/OpenVPN/easy-rsa/archive/master.zip
unzip master.zip

• easy-rsa をコピー

  sudo cp -r easy-rsa-master/easyrsa3/ /etc/openvpn/

証明書の作成とファイルのコピー †

※以下 su - で実行

最初の1回のみ初期化 †

cd /etc/openvpn/easyrsa3/
./easyrsa init-pki

CA証明書・秘密鍵作成 †

• CA証明書は認証局サーバで認証するための証明書 参考(認証局)(外部サイト)

  ./easyrsa build-ca
  ～
  Enter PEM pass phrase: (任意のパスワード)
  Verifying - Enter PEM pass phrase: (任意のパスワード)(確認)
  ～
  Common Name (eg: your user, host, or server name) [Easy-RSA CA]:(サイト名) 例) tar3.net
  ～
  CA creation complete and you may now import and sign cert requests.
  Your new CA certificate file for publishing is at:
  /root/easy-rsa-master/easyrsa3/pki/ca.crt

• CA証明書のコピー

  cp pki/ca.crt /etc/openvpn/

サーバ証明書の作成 †

./easyrsa build-server-full server nopass
Enter pass phrase for /etc/openvpn/easyrsa3/pki/private/ca.key: (CA秘密鍵のパスワード)(上記で入力)
～
Data Base Updated

• ファイルのコピー

  cp pki/issued/server.crt /etc/openvpn/
  cp pki/private/server.key /etc/openvpn/

DH(Diffie Hellman)パラメータ作成 †

• DH(Diffie Hellman)パラメータとは？
  • [[参考 外部サイト：http://devillinuxvpn.eksd.jp/appendix_dhkeyexchange.html]]
  • 以下抜粋

    (セキュリティー確保のため共有キーを直接やりとりしないために)登場するのが、
    DH鍵交換方式。
    DH鍵交換方式では、共通鍵そのものを送受信せず、
    共通鍵を作り出す材料となる数のみを互いに交換する。
    共通鍵そのものを送受信していないのに、同じ共通鍵を持つことができ
    セキュリティーを確保することができる。

• DH(Diffie Hellman)パラメータ作成

  ./easyrsa gen-dh
  (少し時間がかかるので終わるまで待つ(数分？)

• ファイルのコピー

  cp pki/dh.pem /etc/openvpn/

証明書廃止リスト作成 †

./easyrsa build-client-full dmy nopass
～
Enter pass phrase for /etc/openvpn/easyrsa3/pki/private/ca.key:(CA秘密鍵のパスワード)(上記で入力)
～
Write out database with 1 new entries
Data Base Updated

• 廃止

  ./easyrsa revoke dmy
  ～
  Continue with revocation: yes   (Enter)
  ～
  IMPORTANT!!!
  
  Revocation was successful. You must run gen-crl and upload a CRL to your
  infrastructure in order to prevent the revoked cert from being accepted.

• 作成

  ./easyrsa gen-crl
  ～
  Enter pass phrase for /etc/openvpn/easyrsa3/pki/private/ca.key:(CA秘密鍵のパスワード)(上記で入力)
  
  An updated CRL has been created.
  CRL file: /etc/openvpn/easyrsa3/pki/crl.pem

• ファイルのコピー

  cp ./pki/crl.pem /etc/openvpn/

• アクセス権の変更

  chmod o+r /etc/openvpn/crl.pem

OpenVPN の設定(server.conf) †

※以下 su - で実行

• TLS認証キーの作成

  openvpn --genkey --secret /etc/openvpn/ta.key

• サンプル設定ファイルのコピー

  cp /usr/share/doc/openvpn-*/sample/sample-config-files/server.conf /etc/openvpn/

• server.conf の編集
  参考(OpenVPN日本語サイト)内
  「クライアントのすべてのトラフィック（Webトラフィックを含む）をVPN経由にルーティングする」
  • vi /etc/openvpn/server.conf

    port 1194
    ～
    proto udp
     ※tcp は重い。server.conf に tcp-nodelay オプションを記入することにより改善されるが重い。
     ※tcp にするには、server.conf で udp を無効化しtcp を有効化。 同様に client 設定ファイルも行う。
    ～
    dev tun　← 確認するだけ。デフォルトで設定済み
    ～
    ca ca.crt
    cert server.crt
    key server.key  # This file should be kept secret
    ～
    dh dh.pem　←　左記のように変更する。DHパラメータ ファイル名
    ～
    server 10.8.0.0 255.255.255.0　←　VPNクライアント割当てアドレス範囲(デフォルト)
    ～
    ifconfig-pool-persist ipp.txt
    ～
    ;push "route 192.168.10.0 255.255.255.0"
    ;push "route 192.168.20.0 255.255.255.0"
    push "route 192.168.3.0 255.255.255.0"　←　追加(LAN(例:192.168.3.0/24)へのルートをVPNサーバー経由にする)
    ～
    push "redirect-gateway def1"     <- インターネットへのアクセスをVPN経由で行う
    ～
    push "dhcp-option DNS 192.168.1.1"     <- インターネットアクセス時に使用するDNSサーバ
    ～
    tls-auth ta.key 0 # This file is secret　←　行頭の;を削除してコメント解除(TLS認証有効化)
    ～
    comp-lzo
    ～
    user nobody　←　行頭の;を削除してコメント解除(OpenVPN実行権限を下げる)
    group nobody　←　行頭の;を削除してコメント解除(OpenVPN実行権限を下げる)
    ～
    persist-key
    persist-tun
    ～
    status openvpn-status.log
    ～
    log-append  /var/log/openvpn.log　←　行頭の;を削除してコメント解除(ログを/var/log/openvpn.logに記録する)
    ～
    verb 3
    ～
    management localhost 7505　←　最終行へ追加(管理インタフェースの有効化※後述)
    ～
    crl-verify crl.pem　←　最終行へ追加(証明書廃止リストの有効化)
    ～
    最終行へ以下を追加(OpenVPN経由でSambaへのアクセスがエラーになる場合)
    fragment 1280
    mssfix 1280
    link-mtu 1400
    
    cipher AES-128-CBC

ファイアウォール設定 (省略) †

ログ ローテーション †

※以下 su - で実行

• vi /etc/logrotate.d/openvpn

  /var/log/openvpn.log {
      missingok
      notifempty
      sharedscripts
      postrotate
          systemctl restart openvpn 2>&1 > /dev/null || true
      endscript
  }

OpenVPN の起動 †

※以下 su - で実行

OpenVPN 起動スクリプトの編集 †

• vi /etc/rc.d/init.d/openvpn
  • 行頭の # を削除してコメント解除

    echo 1 > /proc/sys/net/ipv4/ip_forward

OpenVPN の起動 †

service openvpn start

自動起動の設定 †

chkconfig openvpn on

ファイアウォール設定 †

設定関連図(構成図)
Client1 -> Internet -> キャリアルーター -> VPN サーバ　-> Internet(全ての通信がVPNサーバ経由を目標とする)

キャリアルーターの設定 †

1. 1194ポートをVPNサーバへ転送(tcp の場合は tcp ポートを。udp の場合はUDPポートを)
2. 10.8 系へのルートの追加 10.8.0.0 のゲートウェイを VPNサーバへ

VPNサーバのファイアウォール設定(省略) †

クライアント証明書の秘密キー作成 †

※以下 su - で実行

クライアント証明書・秘密鍵作成(パスフレーズ認証なし) †

cd /etc/openvpn/easyrsa3/
./easyrsa build-client-full client1 nopass

Enter pass phrase for /etc/openvpn/easyrsa3/pki/private/ca.key:　(CA秘密鍵のパスワード入力)

Write out database with 1 new entries
Data Base Updated

クライアントの設定 †

Windows(iPhoneの場合も設定ファイルを作るのでこちらから) †

1. 共通
   1. OpenVPN クライアントのダウンロード
      • OpenVPN
   2. OpenVPN のインストール
2. 新(2019/2/5)
   • (設定ファイルがある前提でスタート)
   1. OpenVPNソフトを起動
   2. タスクトレイにあるOpenVPNアイコンを右クリック、「Import File」を選択
   3. *.ovpn ファイルを選択
   4. タスクトレイにあるOpenVPNアイコンを右クリック、「設定」を選択
   5. 「Advanced」タブを選択
   6. 「設定ファイル」の場所を確認し、「ディレクトリ」のPATHをコピーする。
   7. エクスプローラーで上記のコピーしたPATHを開く
   8. 以下のファイルをコピーする。
      1. ca.crt (/etc/openvpn/easyrsa3/pki/ca.crt)
      2. ta.key (/etc/openvpn/ta.key)
      3. 接続名.crt 例) clientConnect.crt (/etc/openvpn/easyrsa3/pki/issued/clientConnect.crt)
      4. 接続名.key 例) clientConnect.key (/etc/openvpn/easyrsa3/pki/private/clientConnect.key)
   9. 接続の確認
      1. タスクトレイにあるOpenVPNアイコンを右クリック、「接続」を選択
3. 旧
   1. サンプルファイルのコピー
      • コピー元

        C:\Program Files\OpenVPN\sample-config\client.ovpn

      • コピー先

        C:\Program Files\OpenVPN\config

   2. client.ovpn の編集
      • 外からクライアントで接続する先を設定

        remote tar3.net 1194

      • クライアント証明書、秘密鍵の指定

        ca ca.crt
        cert client1.crt
        key client1.key

      • 中間者攻撃(Man-in-the-Middle)対策。※中間者攻撃についてはこちら(wikipedia)から

        remote-cert-tls server

      • TLS 認証の有効化

        tls-auth ta.key 1

      • (参考) Samba アクセス対策(追加)

        fragment 1280
        mssfix 1280
        link-mtu 1400

   3. 必要ファイルをクライアントへコピー(※必ずセキュアな接続で行うこと)
      • コピー元

        1. CA証明書

           /etc/openvpn/ca.crt

        2. クライアント証明書

           /etc/openvpn/easyrsa3/pki/issued/client1.crt

        3. クライアント秘密鍵

           /etc/openvpn/easyrsa3/pki/private/client1.key

        4. TLS認証鍵

           /etc/openvpn/ta.key

      • コピー先

        • C:\Program Files\OpenVPN\config

iPhone(Windows の場合が終わってから) †

• OpenVPN のインストール
• iTunes 経由で iPhone へファイルを送り込む。
  • iTunes -> iPhone -> アプリ -> 下に画面をスクロールすると、ファイルを入れられる機能がある

接続確認 †

Windows †

• OpenVPN を起動し、タスクトレイにあるアイコンを右クリック、接続を選択
  • Windows のネットワークは、インターネット経由(テザリング)などにしておくほうが望ましい。
    自宅LANからだと名前解決、認証解決ができない場合が多い。
    また本当の意味でのテストにならない。
  • 「確認くん」というグローバルIPをチェックするサイトがある(これで接続の状況がわかる。)
  • CMAN(Global address 確認)

iPhone †

• OpenVPN アプリの起動。
• 緑色の + ボタンを押す。
• あとは○をスライドし接続する。
  • iPhone の場合も、無線LAN環境ではなく、4G回線などインターネット経由が望ましい。
    理由は上記の Windows の場合と同様。
    無線LAN環境をやめるためには、現在接続設定がある全ての無線LANの接続を切断し、
    どこの無線LANにも繋がっていない環境を作ることにより可能。

疎通確認 †

Ping による疎通確認が可能だが、通らない場合は大抵ルートの問題。
キャリアルーターにきちんと静的ルートが書いてあるか。また間違えてないか、など
OpenVPN サーバの Push "Route ..." は関係ない場合が多く、そこをいじっても解決しない時が多い。

VPNクライアントの削除 †

※以下 su - で実行

• クライアント証明書廃止

  cd /etc/openvpn/easyrsa3/
  ./easyrsa revoke client1
  ～
  Continue with revocation: yes    を入力
  ～
  Enter pass phrase for /etc/openvpn/easyrsa3/pki/private/ca.key    <-CA秘密鍵のパスワードを入力

• 証明書類の削除

  rm -f ./pki/issued/client1.crt　←　client1証明書類削除
  rm -f ./pki/private/client1.key　←　client1証明書類削除
  rm -f ./pki/reqs/client1.req　←　client1証明書類削除
  ./easyrsa gen-crl　←　証明書廃止リストを作成
  ～
  Enter pass phrase for /etc/openvpn/easyrsa3/pki/private/ca.key:   <-CA秘密鍵のパスワードを入力 
  ～
  CRL file: /etc/openvpn/easyrsa3/pki/crl.pem

• 廃止証明書のコピー

  cp ./pki/crl.pem /etc/openvpn/

• 廃止証明書への権限付与

  chmod o+r /etc/openvpn/crl.pem

接続中クライアントの強制切断 †

※以下 su - で実行

• telnet のインストール

  yum install telnet

• OpenVPN の管理インターフェースへアクセス

  telnet localhost 7505

• status の確認

  status
   client1,124.211.3.180:1617,6882,7144,Tue Nov 28 19:26:53 2006　←　client1が接続中

• client1 の強制切断

  kill client1

• status の再確認

  status

• OpenVPN管理インタフェース終了

  exit

トラブル †

Server:Version2.4, Client:Version2.6,繋がらない †

• エラーメッセージ
  • OpenSSL: error:0308010C:digital envelope routines::unsupported Cipher algorithm 'BF-CBC' not found Unsupported cipher in --data-ciphers: BF-CBC
• 採用されなくなったcipher(サイファー)が原因

1. サーバー側
   1. sudo vim /etc/openvpn/server.conf
      • 末尾に以下を追加

        cipher AES-128-CBC

2. クライアントの.ovpnファイルの末尾へ追加
   1. Version2.6

      data-ciphers AES-128-CBC

   2. Version2.4

      cipher AES-128-CBC

WireGuard †

参考リンク †

1. WireGuardは良き 〜インストールから導入まで〜
2. 【Ubuntu】WireGuardで簡単VPN環境を構築

構成 †

1. 「クライアント(PC,スマホなど)」 <- インターネット -> LAN
   1. 「WireGuard server」(LAN IP address) 192.168.1.0/24 (ルーターで51820ポートを通すのはこっち)
   2. 「WireGuard server」(VPN用 IP address) 192.168.2.0/24 (クライアントがVPNに繋った時、このレンジのIPアドレスが割り当たる)
2. WireGuard server : Ubuntu 24.04 server
3. WireGuard : 1.0.20210914-1ubuntu4

事前準備 †

forwardの有効化 †

sudo vi /etc/sysctl.conf

• 以下のコメントアウトを削除(有効化)

  # Uncomment the next line to enable packet forwarding for IPv4
  net.ipv4.ip_forward=1

• 反映

  sudo sysctl -p

install(Ubuntuのセットアップは省略) †

1. sudo apt update
2. sudo apt upgrade
3. sudo apt install

鍵の作成 †

1. Server鍵の作成(秘密鍵、公開鍵)
   わかりやすいように /etc/wireguard/wg0/ ディレクトリ配下に作ります。
   (wireguardディレクトリ配下だと煩雑になるので。。。)

   sudo mkdir /etc/wireguard/wg0
   sudo wg genkey | sudo tee /etc/wireguard/wg0/server.key
   sudo chmod 600 /etc/wireguard/wg0/server.key

   • server.keyから公開鍵の作成

     sudo cat /etc/wireguard/wg0/server.key | sudo wg pubkey | sudo tee /etc/wireguard/wg0/server.pub
     sudo chmod 600 /etc/wireguard/wg0/server.pub

2. クライアント1用の鍵の作成(秘密鍵、公開鍵、事前共有鍵)

   sudo wg genkey | sudo tee /etc/wireguard/wg0/client0.key
   sudo cat /etc/wireguard/wg0/client0.key | sudo wg pubkey | sudo tee /etc/wireguard/wg0/client0.pub
   sudo wg genkey | sudo tee /etc/wireguard/wg0/client0-preshared.key
   sudo chmod 600 /etc/wireguard/wg0/client0.key
   sudo chmod 600 /etc/wireguard/wg0/client0.pub
   sudo chmod 600 /etc/wireguard/wg0/client0-preshared.key

   1. クライアント2用の鍵の作成(秘密鍵、公開鍵、事前共有鍵)

      sudo wg genkey | sudo tee /etc/wireguard/wg0/client2.key
      sudo cat /etc/wireguard/wg0/client2.key | sudo wg pubkey | sudo tee /etc/wireguard/wg0/client2.pub
      sudo wg genkey | sudo tee /etc/wireguard/wg0/client2-preshared.key
      sudo chmod 600 /etc/wireguard/wg0/client2.key
      sudo chmod 600 /etc/wireguard/wg0/client2.pub
      sudo chmod 600 /etc/wireguard/wg0/client2-preshared.key

   2. 以下、クライアントの数だけ繰り返し。
      自分は6つの携帯やPCがあったので6個作りました。
      ちなみに同時接続できるのは 1 peer あたり1つの端末です。
      端末が複数ある場合は peer を分けて複数IPで運用する方が良さそうです。

server側の設定ファイルを作成 †

sudo vi /etc/wireguard/wg0.conf

[Interface]
#ClientがVPNに接続した時に割り当てられるIP。serverのLAN内のIPレンジとは別にする。
Address = 192.168.2.0/24

#自分の場合、変なルートになってLANに繋らなかったので入れました。
Table = off 

#設定ファイルのコメントなどが消えてしまうのでfalseとしてコメントアウト
#SaveConfig = true 

#iptablesだけではなんか通らなかったので、ufwの設定も追加
#「ens18」は各自の環境に合わせて書き換え必要。 ip addr show コマンドで確認できる。
PostUp = ufw route allow in on wg0 out on ens18
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o ens18 -j MASQUERADE
PreDown = ufw route delete allow in on wg0 out on ens18
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o ens18 -j MASQUERADE
ListenPort = 51820

#上記の server.key の中身を記載
PrivateKey = abcdefg=

#iPhone(1台目)
[Peer]

#上記の client0.pub の内容を記載
PublicKey = abcdefg=

#上記の client0-preshared.key の内容を記載
PresharedKey = abcdefg=

#クライアントがVPNへ接続した際、割り当てられる仮想IPを記載
#(今回は192.168.2.0/24の中のIPを設定する)
AllowedIPs = 192.168.2.201/32

#Android(2台目)
[Peer]

#上記の client2.pub の内容を記載
PublicKey = abcdefg=

#上記の client2-preshared.key の内容を記載
PresharedKey = abcdefg=

#クライアントがVPNへ接続した際、割り当てられる仮想IPを記載
#(今回は192.168.2.0/24の中のIPを設定する)
AllowedIPs = 192.168.2.202/32

client側の設定ファイルを作成 †

sudo vi /etc/wireguard/wg0/client0.conf

[Interface]

#上記の client0.key の値を設定
PrivateKey = abcdef=

#クライアントがVPNで接続した際、VPNサーバから割り当てられるIPアドレスを記載。
#上記の peer の設定を合わせておく必要がある
Address = 192.168.2.201/32

#DNSの設定とsearch domainの設定。カンマ区切り。自分の好みに書き換えて設定しましょう
DNS = 8.8.8.8, 8.8.4.4, searchDomain.com

[Peer]
#上記の server.pub の内容を記載
PublicKey = abcdef=

#client0-preshared.key の内容を記載
PresharedKey = abcdef=
AllowedIPs = 0.0.0.0/0

#接続先のサーバー名を入れましょう
#(インターネット越しでアクセスするので、変動IPの場合はDDNSなどのドメイン名を入れます)
Endpoint = serverName.domain.com:51820

WireGuardの起動と再起動時の自動起動 †

sudo wg-quick up wg0
sudo systemctl enable wg-quick@wg0

(参考) 停止と無効化、再起動前の実行 †

sudo wg-quick down wg0
sudo systemctl disable wg-quick@wg0

QRコードでのクライアント設定準備(QRコード表示準備) †

1. qrencode のインストール

   sudo apt install qrencode

2. QRコードの表示

   qrencode -t ansiutf8 < [作成したスマートフォン用設定ファイル名]

   • 他の方法

     sudo qrencode -t ansiutf8 -r /etc/wireguard/wg0/client1.conf

   • 画像で保存

     sudo qrencode -o client1.png -d 350 -r /etc/wireguard/wg0/client1.conf 

ログの出力 †

• 参考サイト(WireGuardの接続・切断のログをファイルに出力させる手順)

  modprobe wireguard && echo module wireguard +p > /sys/kernel/debug/dynamic_debug/control

  • crontab

    @reboot /usr/sbin/modprobe wireguard && echo module wireguard +p > /sys/kernel/debug/dynamic_debug/control

• rsyslogにて/var/log/messagesに出力させる
  • vi /etc/rsyslog.conf

    *.info;mail.none;authpriv.none;cron.none;kern.debug     /var/log/messages

clientの設定 †

iPhone, iPad †

1. 「App Store」から「wireguard」で検索、ダウンロード
2. 「WireGuard」アプリを起動し「+」を押す
   1. ファイルから
      • セキュアなファイルサービスを使いましょう。
        自分は自前のNextCloudサーバを使いました。
      • NextCloud -> ファイル -> 共有 -> WireGuardで設定ファイルをインポートできます
   2. QRコードから
      • 上記のQRコードを読み込ませると設定は入るのですが、
        設定名は手打ちしないといけないです。。。
3. 確認
   • 「Network Ping Lite」というアプリでLAN内の他のコンピュータへping確認しました。
   • IP address は、192.168.2.0/24 のIPになりますが、192.168.1.0/24のサブネットのコンピュータにpingが通るはずです。
     通らない時は、「sudo vi /etc/wireguard/wg0.conf」、「table = off」をチェック。

Android †

1. 「Play ストア」から「wireguard」で検索。インストール。
2. 自分はNextCloudからファイルを読み込みます。
   wireguardのアプリから「+」->「ファイル、アーカイブからインポート」->「NextCloud」の中のファイルを選択してインポート。
3. VPNの設定名は15文字位までなので注意

Windows †

1. ダウンロードリンク:(公式)Installation
2. 「トンネルの追加」->「空のトンネルを追加」
3. 「名前」の入力。クライアント設定の文言(クライアント側の設定ファイルの内容)を記載して「保存」ボタンを押す。
4. テザリングなどでインターネット回線にする。
5. 接続してLAN(192.168.1.0/24)の他のコンピュータにpingが通ることを確認

Linux(Ubuntu) †

1. WireGuard のインストール

   sudo apt install wireguard

2. クライアント設定ファイルの作成
   • sudo vi /etc/wireguard/wg0.conf

     [Interface]
     
     #上記の client0.key の値を設定
     PrivateKey = abcdef=
     
     #クライアントがVPNで接続した際、VPNサーバから割り当てられるIPアドレスを記載。
     #上記の peer の設定を合わせておく必要がある
     Address = 192.168.2.201/32
     
     #DNSの設定とsearch domainの設定。カンマ区切り。自分の好みに書き換えて設定しましょう
     DNS = 8.8.8.8, 8.8.4.4, searchDomain.com
     
     [Peer]
     #上記の server.pub の内容を記載
     PublicKey = abcdef=
     
     #client0-preshared.key の内容を記載
     PresharedKey = abcdef=
     AllowedIPs = 0.0.0.0/0
     
     #接続先のサーバー名を入れましょう
     #(インターネット越しでアクセスするので、変動IPの場合はDDNSなどのドメイン名を入れます)
     Endpoint = serverName.domain.com:51820

3. 接続スクリプトの作成
   • vi ~/wgup.sh

     sudo /usr/bin/wg-quick up wg0

     • 実行権限の付与

       sudo chmod +x ~/wgup.sh

4. 切断スクリプトの作成
   • vi ~/wgdown.sh

     sudo /usr/bin/wg-quick down wg0

     • 実行権限の付与

       sudo chmod +x ~/wgup.sh

5. 接続

   ~/wgup.sh

6. 切断

   ~/wgdown.sh

過去ログ †

ipsec の確認 ipsec verify †

• ipsec verify
• うちの結果はこんな感じです(^^)

  Verifying installed system and configuration files
  
  Version check and ipsec on-path                         [OK]
  Libreswan 3.7 (netkey) on 2.6.32-431.3.1.el6.i686
  Checking for IPsec support in kernel                    [OK]
   NETKEY: Testing XFRM related proc values
           ICMP default/send_redirects                    [OK]
           ICMP default/accept_redirects                  [OK]
           XFRM larval drop                               [OK]
  Pluto ipsec.conf syntax                                 [OK]
  Hardware random device                                  [N/A]
  Two or more interfaces found, checking IP forwarding    [OK]
  Checking rp_filter                                      [ENABLED]
   /proc/sys/net/ipv4/conf/default/rp_filter              [ENABLED]
   /proc/sys/net/ipv4/conf/lo/rp_filter                   [ENABLED]
   /proc/sys/net/ipv4/conf/eth0/rp_filter                 [ENABLED]
   /proc/sys/net/ipv4/conf/ppp0/rp_filter                 [ENABLED]
    rp_filter is not fully aware of IPsec and should be disabled
  Checking that pluto is running                          [OK]
   Pluto listening for IKE on udp 500                     [OK]
   Pluto listening for IKE/NAT-T on udp 4500              [OK]
   Pluto ipsec.secret syntax                              [OK]
  Checking NAT and MASQUERADEing                          [TEST INCOMPLETE]
  Checking 'ip' command                                   [OK]
  Checking 'iptables' command                             [OK]
  Checking 'prelink' command does not interfere with FIPSChecking for obsolete ipsec.conf options                 [OK]
  Opportunistic Encryption                                [DISABLED]
  
  ipsec verify: encountered 9 errors - see 'man ipsec_verify' for help

• うちの結果はこんな感じ(^^)

  Verifying installed system and configuration files
  
  Version check and ipsec on-path                         [OK]
  Libreswan 3.7 (netkey) on 2.6.32-431.3.1.el6.i686
  Checking for IPsec support in kernel                    [OK]
   NETKEY: Testing XFRM related proc values
           ICMP default/send_redirects                    [OK]
           ICMP default/accept_redirects                  [OK]
           XFRM larval drop                               [OK]
  Pluto ipsec.conf syntax                                 [OK]
  Hardware random device                                  [N/A]
  Two or more interfaces found, checking IP forwarding    [OK]
  Checking rp_filter                                      [ENABLED]
   /proc/sys/net/ipv4/conf/default/rp_filter              [ENABLED]
   /proc/sys/net/ipv4/conf/lo/rp_filter                   [ENABLED]
   /proc/sys/net/ipv4/conf/eth0/rp_filter                 [ENABLED]
   /proc/sys/net/ipv4/conf/ppp0/rp_filter                 [ENABLED]
    rp_filter is not fully aware of IPsec and should be disabled
  Checking that pluto is running                          [OK]
   Pluto listening for IKE on udp 500                     [OK]
   Pluto listening for IKE/NAT-T on udp 4500              [OK]
   Pluto ipsec.secret syntax                              [OK]
  Checking NAT and MASQUERADEing                          [TEST INCOMPLETE]
  Checking 'ip' command                                   [OK]
  Checking 'iptables' command                             [OK]
  Checking 'prelink' command does not interfere with FIPSChecking for obsolete ipsec.conf options                 [OK]
  Opportunistic Encryption                                [DISABLED]
  
  ipsec verify: encountered 9 errors - see 'man ipsec_verify' for help

     

Site admin: anonymous

PukiWiki 1.5.1 © 2001-2016 PukiWiki Development Team. Powered by PHP 7.4.33. HTML convert time: 0.098 sec.