vpn
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
開始行:
[[Linux]]
#shadowheader(1,VPN Centos);
#Contents
*vpn 比較 [#q1af3335]
-[[こちら:http://jp.giganews.com/vyprvpn/compare-vpn-prot...
-- openVPN を初めにインストールしましたが、~
ios へ対応していないのでボツ
-- 次に pptp をインストールしましたが、~
emobile に対応していないのでボツ
-- 最後に L2TP をインストール
*pptp サーバー構築 (CentOS 5) [#jd2be6ab]
- ppp のインストール
-- yum install ppp
- download
-- [[http://sourceforge.net/projects/poptop/files/:http:/...
- rpm build のためファイルを下記ディレクトリへコピー
-- cp ./pptpd-1.3.4.tar.gz /usr/src/redhat/SOURCES/
- rpm を build
-- rpmbuild -ta pptpd-1.3.4.tar.gz
- rpm からインストール
-- cd /usr/src/redhat/RPMS/i386/
-- rpm -ivh pptpd-1.3.4-1.i386.rpm
- /etc/pptpd.conf 編集
-- vi /etc/pptpd.conf
-- 最後に下記を追加
ppp /usr/sbin/pppd
localip 192.168.1.101-110
remoteip 192.168.2.111-120
#logwtmp < logwtmp をコメントアウト
- ppp の設定
-- vi /etc/ppp/options.pptpd
name pptpd
domain tar3.net
# localip と remoteip が LAN 側サブネットに含まれる場合...
proxyarp
auth
lock
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
ms-dns 192.168.1.37
ms-dns 192.168.1.1
ms-wins 192.168.1.37
nobsdcomp
novj
novjcomp
nologfd
mtu 1200
mru 1200
debug
-- vi /etc/ppp/chap-secrets
hoge pptpd password *
- ルーティング機能を有効にする
-- echo 1 > /proc/sys/net/ipv4/ip_forward
-- vi /etc/sysctl.conf
net.ipv4.ip_forward = 1
- ファイアウォールの 1723 と 47 のポートを開ける(iptables)
-- vi /etc/sysconfig/iptables
-A FORWARD -i ppp+ -j ACCEPT
-A FORWARD -o ppp+ -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 1723...
- 外とのルーターポートをNATで開ける
-- 1723 と 47 ポート
- Windowsのネットワークコンピュータで LAN内部の別コンピュ...
-- /etc/samba/smb.conf を編集
[root@sv22 ~]# vi /etc/samba/smb.conf
; domain master = yes
↓
domain master = yes
; local master = no
↓
local master = yes
; preferred master = yes
↓
preferred master = yes
; os level = 33
↓
os level = 65
; wins support = yes
↓
wins support = yes
-Samba再起動
[root@sv22 ~]# /etc/rc.d/init.d/smb restart
SMB サービスを停止中: [ OK ]
NMB サービスを停止中: [ OK ]
SMB サービスを起動中: [ OK ]
NMB サービスを起動中: [ OK ]
*L2TP サーバー構築(centos 5) [#j22d5570]
**参考サイト [#zb999906]
-[[参考外部サイト:http://sig9.hatenablog.com/entry/2015/0...
**CentOS に epel レポジトリのインストール [#n91c6a50]
- 参考URL~
--[[32bit版CentOS 6の場合は:http://ftp-srv2.kddilabs.jp/L...
--[[64bit版CentOS 6の場合は:http://ftp-srv2.kddilabs.jp/L...
--[[32bit版CentOS 5の場合は:http://ftp-srv2.kddilabs.jp/L...
--[[64bit版CentOS 5の場合は:http://ftp-srv2.kddilabs.jp/L...
-CentOS 5.5 に EPEL リポジトリを追加する
--cd /etc/pki/rpm-gpg/
--wget http://mirrors.ustc.edu.cn/fedora/epel/RPM-GPG-KEY...
--rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL
--rpm -ivh http://mirrors.ustc.edu.cn/fedora/epel/5/i386/...
-CentOS 6(32bit) に EPEL リポジトリを追加
rpm -Uvh http://ftp-srv2.kddilabs.jp/Linux/distributions...
vi /etc/yum.repos.d/epel.repo
-EPEL リポジトリの利用準備が整ったら、L2TP を実現するため...
--yum install xl2tpd
** 編集ファイル一覧 [#n17a162c]
- /etc/xl2tpd/xl2tpd.conf
- /etc/ppp/options.xl2tpd
- /etc/strongswan/ipsec.conf
- /etc/strongswan/ipsec.d/l2tp-psk.conf
- /etc/strongswan/ipsec.secrets
- /etc/sysctl.conf
- /etc/ppp/chap-secrets
- /etc/sysconfig/selinux
- /etc/sysconfig/iptables
** /etc/xl2tpd/xl2tpd.conf の編集 [#u3f05004]
-- vi /etc/xl2tpd/xl2tpd.conf
[global]
[lns default]
ip range = 192.168.1.128-192.168.1.254
local ip = 192.168.1.99
require chap = yes
refuse pap = yes
require authentication = yes
name = VPNserver
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes
** /etc/ppp/options.xl2tpdの編集 [#ya1c1e82]
-- vi /etc/ppp/options.xl2tpd
auth
crtscts
debug
lock
proxyarp
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
logfile /var/log/xl2tpd.log
ms-dns 192.168.1.1
ms-dns 192.168.1.2
ipcp-accept-local
ipcp-accept-remote
** IPSec のインストール [#xd64f958]
*** strongswan のインストール(yum) [#c8a76e5c]
openswan にiPhoneからつながらない不具合が有り、~
strongswan に変更
yum install strongswan
*** /etc/strongswan/ipsec.conf の編集 [#j93d9be0]
- vi /etc/strongswan/ipsec.conf
version 2.0
config setup
protostack=netkey
nat_traversal=yes
include /etc/strongswan/ipsec.d/*.conf
*** /etc/strongswan/ipsec.d/l2tp-psk.conf ファイルの作成 ...
- vi /etc/strongswan/ipsec.d/l2tp-psk.conf
conn L2TP-PSK-NAT
rightsubnet=0.0.0.0/0
#rightsubnet=vhost:%priv
forceencaps=yes
dpddelay=10
dpdtimeout=30
dpdaction=clear
also=L2TP-PSK-noNAT
conn L2TP-PSK-noNAT
#conn L2TP-PSK
#
# Configuration for one user with any type of IPsec/L2TP...
# including the updated Windows 2000/XP (MS KB Q818043),...
# excluding the non-updated Windows 2000/XP.
#
#
# Use a Preshared Key. Disable Perfect Forward Secrecy.
#
# PreSharedSecret needs to be specified in /etc/ipsec.se...
# YourIPAddress %any: "sharedsecret"
authby=secret
pfs=no
auto=add
keyingtries=3
# we cannot rekey for %any, let client rekey
rekey=no
# Apple iOS doesn't send delete notify so we nee...
# to detect vanishing clients
#dpddelay=5
#dpdtimeout=10
#dpdaction=clear
# Set ikelifetime and keylife to same defaults w...
ikelifetime=8h
keylife=1h
# l2tp-over-ipsec is transport mode
type=transport
left=192.168.1.3
leftnexthop=%defaultroute
#leftsubnet=192.168.1.0/24
# For updated Windows 2000/XP clients,
# to support old clients as well, use leftprotop...
leftprotoport=17/1701
# The remote user.
right=%any
# Using the magic port of "%any" means "any one ...
# a work around required for Apple OSX clients t...
# high port.
rightprotoport=17/%any
#rightprotoport=17/0
#ike=3des-md5
#esp=3des-md5
#forceencaps=yes
*** /etc/strongswan/ipsec.secrets の編集 [#cb93133f]
- vi /etc/strongswan/ipsec.secrets
: PSK "password"
include /etc/strongswan/ipsec.d/*.secrets
- root 以外の参照禁止
--chmod go-rwx /etc/strongswan/ipsec.secrets
*** (参考) Log levelの変更 [#f65e6acc]
sudo vi /etc/strongswan/strongswan.d/charon-logging.conf
+2個所(fileとrsyslog)
# Default loglevel.
# default = 1
default = 2
** 起動 [#b26bc26a]
- service strongswan start
- service xl2tpd start
** 自動起動の設定 [#fcf48df3]
-chkconfig strongswan on
-chkconfig xl2tpd on
**NETKEY detected, testing for disabled ICMP send_redirec...
- vi /etc/sysctl.conf
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.lo.send_redirects = 0
net.ipv4.conf.lo.accept_redirects = 0
net.ipv4.conf.eth0.send_redirects = 0
net.ipv4.conf.eth0.accept_redirects = 0
net.ipv4.conf.eth1.send_redirects = 0
net.ipv4.conf.eth1.accept_redirects = 0
net.ipv4.ip_forward = 1
**反映 [#j7a75f4b]
- sysctl -p
**Pluto listening for IKE on udp 500 Pluto listening for ...
yum install lsof
**libpcap-devel のインストール [#n440e100]
yum install libpcap-devel ppp
** selinux 無効化 [#z2663064]
- vi /etc/sysconfig/selinux
SELINUX=disabled
** サーバーの再起動 [#u6a717ae]
** iptables 編集 [#t47573ec]
- vi /etc/sysconfig/iptables
-- 追加
-A FORWARD -i ppp+ -j ACCEPT
-A FORWARD -o ppp+ -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p esp -j ACCEPT
-A INPUT -p udp -m udp --dport 50 -j ACCEPT
-A INPUT -p udp -m udp --dport 500 -j ACCEPT
-A INPUT -p udp -m udp --dport 4500 -j ACCEPT
-A INPUT -p udp -m udp --dport 1701 -j ACCEPT
** /etc/ppp/chap-secrets の編集 [#f3e9a6dc]
- vi /etc/ppp/chap-secrets
# アカウント 接続名 パスワード IPアドレス
"vpn-account" * "vpn-password" *
** log ファイル、ひな形の作成 [#y61f1ddf]
touch /var/log/xl2tpd.log
** ルーターのポート開放 [#r22a8dec]
- udp 500
- udp 4500
- 50
- 1701
** Client の設定 [#f328d2b5]
*** Windows [#h58ac449]
+レジストリの変更 [#k194a06b]
-- regedit
--- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\...
--- 新規 「DWORD値」[AssumeUDPEncapsulationContextOnSendR...
--- 値 2
+ Windows,エラー,1 [#gd104903]
-指定したユーザー名またはパスワードが認識されないか、選択...
--本当にパスワードが間違えてる。
--コピペでなく手打ちすると直った。
*** iPhone [#y23e04af]
+iPhone の設定で気をつけること [#cd5fd356]
「全ての全ての通信を送信」のチェックがOnだと AU wifi につ...
VPN に繋がりませんでした。チェックをオフにすると繋がりま...
*** Linux(Ubuntu) [#r3218d82]
-関連ソフトのインストール
sudo apt install network-manager-openvpn network-manager...
-以下,KDEでの設定
++ 「設定」-「接続」
++ 「+」 -> 「レイヤ2トンネリング プロトコル(L2TP)」を選択
+++ 接続名:適当に決める
+++ 「VPN(l2tp)」タブを選択
+++ Gateway : 接続先URL 例) vpn.hoge.net
+++ User name : ユーザー名
+++ Password : パスワード
++ 「IPSec Settings...」ボタン
+++ チェックオン「Enable IPsec tunnel to L2TP host」
+++ 「Pre-shared key」を入力
* OpenVPN [#md0d17c9]
-[[参考サイト:https://centossrv.com/openvpn.shtml]]
** 設定関連図(構成図) [#k4621803]
Client1 -> Internet - udp -> キャリアルーター -> VPN サー...
※tcp は重い。server.conf に tcp-nodelay オプションを記入...
※tcp にするには、server.conf で udp を無効化しtcp を有効...
** OpenVPN Install [#v02e754c]
*** 必要なパッケージのインストール [#e05fe3f7]
sudo yum -y install openssl-devel lzo-devel pam-devel gcc
*** OpenVPN のインストール [#i36f5d11]
mkdir temp
wget http://swupdate.openvpn.org/community/releases/open...
- rpm-buildのインストール
--[[このリンク先を参照(サイト内)>Linux#y2790b50]]
- RPM パッケージの生成
sudo rpmbuild -tb --clean openvpn-2.3.12.tar.gz
- RPM パッケージからインストール
sudo yum -y localinstall ~/rpmbuild/RPMS/x86_64/openvpn-...
*** easy-rsa のインストール [#ld9dbc80]
cd ~/temp
wget https://github.com/OpenVPN/easy-rsa/archive/master....
unzip master.zip
- easy-rsa をコピー
sudo cp -r easy-rsa-master/easyrsa3/ /etc/openvpn/
** 証明書の作成とファイルのコピー [#r543789a]
※以下 su - で実行
*** 最初の1回のみ初期化 [#v215f57c]
cd /etc/openvpn/easyrsa3/
./easyrsa init-pki
*** CA証明書・秘密鍵作成 [#z08e40b7]
- CA証明書は認証局サーバで認証するための証明書 [[参考(認...
./easyrsa build-ca
~
Enter PEM pass phrase: (任意のパスワード)
Verifying - Enter PEM pass phrase: (任意のパスワード)(確...
~
Common Name (eg: your user, host, or server name) [Easy-...
~
CA creation complete and you may now import and sign cer...
Your new CA certificate file for publishing is at:
/root/easy-rsa-master/easyrsa3/pki/ca.crt
- CA証明書のコピー
cp pki/ca.crt /etc/openvpn/
*** サーバ証明書の作成 [#h3722ce5]
./easyrsa build-server-full server nopass
Enter pass phrase for /etc/openvpn/easyrsa3/pki/private/...
~
Data Base Updated
- ファイルのコピー
cp pki/issued/server.crt /etc/openvpn/
cp pki/private/server.key /etc/openvpn/
*** DH(Diffie Hellman)パラメータ作成 [#e40aa37e]
-DH(Diffie Hellman)パラメータとは?
-- [[参考 外部サイト:http://devillinuxvpn.eksd.jp/append...
-- 以下抜粋
(セキュリティー確保のため共有キーを直接やりとりしないた...
DH鍵交換方式。
DH鍵交換方式では、共通鍵そのものを送受信せず、
共通鍵を作り出す材料となる数のみを互いに交換する。
共通鍵そのものを送受信していないのに、同じ共通鍵を持つこ...
セキュリティーを確保することができる。
-DH(Diffie Hellman)パラメータ作成
./easyrsa gen-dh
(少し時間がかかるので終わるまで待つ(数分?)
-ファイルのコピー
cp pki/dh.pem /etc/openvpn/
*** 証明書廃止リスト作成 [#i6c69c89]
./easyrsa build-client-full dmy nopass
~
Enter pass phrase for /etc/openvpn/easyrsa3/pki/private/...
~
Write out database with 1 new entries
Data Base Updated
- 廃止
./easyrsa revoke dmy
~
Continue with revocation: yes (Enter)
~
IMPORTANT!!!
Revocation was successful. You must run gen-crl and uplo...
infrastructure in order to prevent the revoked cert from...
- 作成
./easyrsa gen-crl
~
Enter pass phrase for /etc/openvpn/easyrsa3/pki/private/...
An updated CRL has been created.
CRL file: /etc/openvpn/easyrsa3/pki/crl.pem
- ファイルのコピー
cp ./pki/crl.pem /etc/openvpn/
- アクセス権の変更
chmod o+r /etc/openvpn/crl.pem
** OpenVPN の設定(server.conf) [#fa72fde1]
※以下 su - で実行
- TLS認証キーの作成
openvpn --genkey --secret /etc/openvpn/ta.key
- サンプル設定ファイルのコピー
cp /usr/share/doc/openvpn-*/sample/sample-config-files/s...
- server.conf の編集~
[[参考(OpenVPN日本語サイト):http://www.openvpn.jp/documen...
「クライアントのすべてのトラフィック(Webトラフィックを含...
-- vi /etc/openvpn/server.conf
port 1194
~
proto udp
※tcp は重い。server.conf に tcp-nodelay オプションを記...
※tcp にするには、server.conf で udp を無効化しtcp を有...
~
dev tun ← 確認するだけ。デフォルトで設定済み
~
ca ca.crt
cert server.crt
key server.key # This file should be kept secret
~
dh dh.pem ← 左記のように変更する。DHパラメータ ファイ...
~
server 10.8.0.0 255.255.255.0 ← VPNクライアント割当て...
~
ifconfig-pool-persist ipp.txt
~
;push "route 192.168.10.0 255.255.255.0"
;push "route 192.168.20.0 255.255.255.0"
push "route 192.168.3.0 255.255.255.0" ← 追加(LAN(例:1...
~
push "redirect-gateway def1" <- インターネットへのア...
~
push "dhcp-option DNS 192.168.1.1" <- インターネット...
~
tls-auth ta.key 0 # This file is secret ← 行頭の;を削...
~
comp-lzo
~
user nobody ← 行頭の;を削除してコメント解除(OpenVPN実...
group nobody ← 行頭の;を削除してコメント解除(OpenVPN実...
~
persist-key
persist-tun
~
status openvpn-status.log
~
log-append /var/log/openvpn.log ← 行頭の;を削除してコ...
~
verb 3
~
management localhost 7505 ← 最終行へ追加(管理インタフ...
~
crl-verify crl.pem ← 最終行へ追加(証明書廃止リストの有...
~
最終行へ以下を追加(OpenVPN経由でSambaへのアクセスがエラ...
fragment 1280
mssfix 1280
link-mtu 1400
cipher AES-128-CBC
** ファイアウォール設定 (省略) [#e9d7ab41]
** ログ ローテーション [#kf484de5]
※以下 su - で実行
- vi /etc/logrotate.d/openvpn
/var/log/openvpn.log {
missingok
notifempty
sharedscripts
postrotate
systemctl restart openvpn 2>&1 > /dev/null || true
endscript
}
** OpenVPN の起動 [#k60bb994]
※以下 su - で実行
*** OpenVPN 起動スクリプトの編集 [#kb53a6b2]
- vi /etc/rc.d/init.d/openvpn
-- 行頭の # を削除してコメント解除
echo 1 > /proc/sys/net/ipv4/ip_forward
*** OpenVPN の起動 [#p7b8bb2d]
service openvpn start
*** 自動起動の設定 [#oa9e6f69]
chkconfig openvpn on
** ファイアウォール設定 [#m0755311]
設定関連図(構成図)~
Client1 -> Internet -> キャリアルーター -> VPN サーバ ->...
*** キャリアルーターの設定 [#j01c0a5a]
+1194ポートをVPNサーバへ転送(tcp の場合は tcp ポートを。u...
+10.8 系へのルートの追加 10.8.0.0 のゲートウェイを VPNサ...
*** VPNサーバのファイアウォール設定(省略) [#j4f86180]
** クライアント証明書の秘密キー作成 [#qd1e818c]
※以下 su - で実行
*** クライアント証明書・秘密鍵作成(パスフレーズ認証なし) ...
cd /etc/openvpn/easyrsa3/
./easyrsa build-client-full client1 nopass
Enter pass phrase for /etc/openvpn/easyrsa3/pki/private/...
Write out database with 1 new entries
Data Base Updated
** クライアントの設定 [#m7628219]
*** Windows(iPhoneの場合も設定ファイルを作るのでこちらか...
+共通
++ OpenVPN クライアントのダウンロード
--- [[OpenVPN:https://openvpn.net/index.php/open-source/d...
++ OpenVPN のインストール
+新(2019/2/5)
--(設定ファイルがある前提でスタート)
++OpenVPNソフトを起動
++タスクトレイにあるOpenVPNアイコンを右クリック、「Import...
++*.ovpn ファイルを選択
++タスクトレイにあるOpenVPNアイコンを右クリック、「設定」...
++「Advanced」タブを選択
++「設定ファイル」の場所を確認し、「ディレクトリ」のPATH...
++エクスプローラーで上記のコピーしたPATHを開く
++以下のファイルをコピーする。
+++ ca.crt (/etc/openvpn/easyrsa3/pki/ca.crt)
+++ ta.key (/etc/openvpn/ta.key)
+++ 接続名.crt 例) clientConnect.crt (/etc/openvpn/eas...
+++ 接続名.key 例) clientConnect.key (/etc/openvpn/easy...
++接続の確認
+++ タスクトレイにあるOpenVPNアイコンを右クリック、「接続...
+旧
++ サンプルファイルのコピー
--- コピー元
C:\Program Files\OpenVPN\sample-config\client.ovpn
--- コピー先
C:\Program Files\OpenVPN\config
++ client.ovpn の編集
--- 外からクライアントで接続する先を設定
remote tar3.net 1194
--- クライアント証明書、秘密鍵の指定
ca ca.crt
cert client1.crt
key client1.key
--- 中間者攻撃(Man-in-the-Middle)対策。※中間者攻撃につい...
remote-cert-tls server
--- TLS 認証の有効化
tls-auth ta.key 1
--- (参考) Samba アクセス対策(追加)
fragment 1280
mssfix 1280
link-mtu 1400
++必要ファイルをクライアントへコピー(※必ずセキュアな接続...
--- コピー元
>
+++ CA証明書
/etc/openvpn/ca.crt
+++ クライアント証明書
/etc/openvpn/easyrsa3/pki/issued/client1.crt
+++ クライアント秘密鍵
/etc/openvpn/easyrsa3/pki/private/client1.key
+++ TLS認証鍵
/etc/openvpn/ta.key
<
--- コピー先
>
- C:\Program Files\OpenVPN\config
<
*** iPhone(Windows の場合が終わってから) [#r7a0f789]
- OpenVPN のインストール
- iTunes 経由で iPhone へファイルを送り込む。
-- iTunes -> iPhone -> アプリ -> 下に画面をスクロールする...
** 接続確認 [#jd8f029b]
*** Windows [#g2596e75]
- OpenVPN を起動し、タスクトレイにあるアイコンを右クリッ...
-- Windows のネットワークは、インターネット経由(テザリン...
自宅LANからだと名前解決、認証解決ができない場合が多い。~
また本当の意味でのテストにならない。
-- 「確認くん」というグローバルIPをチェックするサイトがあ...
-- [[CMAN(Global address 確認):https://www.cman.jp/networ...
*** iPhone [#x45d0d9c]
- OpenVPN アプリの起動。
- 緑色の + ボタンを押す。
- あとは○をスライドし接続する。
-- iPhone の場合も、無線LAN環境ではなく、4G回線などインタ...
理由は上記の Windows の場合と同様。~
無線LAN環境をやめるためには、現在接続設定がある全ての無線...
どこの無線LANにも繋がっていない環境を作ることにより可能。
*** 疎通確認 [#r6b00033]
Ping による疎通確認が可能だが、通らない場合は大抵ルートの...
キャリアルーターにきちんと静的ルートが書いてあるか。また...
OpenVPN サーバの Push "Route ..." は関係ない場合が多く、...
*** VPNクライアントの削除 [#ca836d89]
※以下 su - で実行
-クライアント証明書廃止
cd /etc/openvpn/easyrsa3/
./easyrsa revoke client1
~
Continue with revocation: yes を入力
~
Enter pass phrase for /etc/openvpn/easyrsa3/pki/private/...
-証明書類の削除
rm -f ./pki/issued/client1.crt ← client1証明書類削除
rm -f ./pki/private/client1.key ← client1証明書類削除
rm -f ./pki/reqs/client1.req ← client1証明書類削除
./easyrsa gen-crl ← 証明書廃止リストを作成
~
Enter pass phrase for /etc/openvpn/easyrsa3/pki/private/...
~
CRL file: /etc/openvpn/easyrsa3/pki/crl.pem
-廃止証明書のコピー
cp ./pki/crl.pem /etc/openvpn/
-廃止証明書への権限付与
chmod o+r /etc/openvpn/crl.pem
***接続中クライアントの強制切断 [#s1179195]
※以下 su - で実行
-telnet のインストール
yum install telnet
-OpenVPN の管理インターフェースへアクセス
telnet localhost 7505
-status の確認
status
client1,124.211.3.180:1617,6882,7144,Tue Nov 28 19:26:5...
-client1 の強制切断
kill client1
-status の再確認
status
-OpenVPN管理インタフェース終了
exit
** トラブル [#cac0d20b]
*** Server:Version2.4, Client:Version2.6,繋がらない [#o42...
-エラーメッセージ
-- OpenSSL: error:0308010C:digital envelope routines::uns...
-採用されなくなったcipher(サイファー)が原因
+ サーバー側
++ sudo vim /etc/openvpn/server.conf
--- 末尾に以下を追加
cipher AES-128-CBC
+ クライアントの.ovpnファイルの末尾へ追加
++Version2.6
data-ciphers AES-128-CBC
++Version2.4
cipher AES-128-CBC
* WireGuard [#hb872620]
** 参考リンク [#lda4e9a3]
+[[WireGuardは良き 〜インストールから導入まで〜:https://q...
+[[【Ubuntu】WireGuardで簡単VPN環境を構築:https://vpslife...
** 構成 [#v7fe2bb4]
+「クライアント(PC,スマホなど)」 <- インターネット -> LAN
++ 「WireGuard server」(LAN IP address) 192.168.1.0/24 (...
++ 「WireGuard server」(VPN用 IP address) 192.168.2.0/24 ...
+WireGuard server : Ubuntu 24.04 server
+WireGuard : 1.0.20210914-1ubuntu4
** 事前準備 [#u8e73490]
*** forwardの有効化 [#sd2f446d]
sudo vi /etc/sysctl.conf
-以下のコメントアウトを削除(有効化)
# Uncomment the next line to enable packet forwarding fo...
net.ipv4.ip_forward=1
-反映
sudo sysctl -p
** install(Ubuntuのセットアップは省略) [#s491fca2]
+ sudo apt update
+ sudo apt upgrade
+ sudo apt install
** 鍵の作成 [#a82db56a]
+Server鍵の作成(秘密鍵、公開鍵)~
わかりやすいように /etc/wireguard/wg0/ ディレクトリ配下に...
(wireguardディレクトリ配下だと煩雑になるので。。。)
sudo mkdir /etc/wireguard/wg0
sudo wg genkey | sudo tee /etc/wireguard/wg0/server.key
sudo chmod 600 /etc/wireguard/wg0/server.key
-- server.keyから公開鍵の作成
sudo cat /etc/wireguard/wg0/server.key | sudo wg pubkey ...
sudo chmod 600 /etc/wireguard/wg0/server.pub
+クライアント1用の鍵の作成(秘密鍵、公開鍵、事前共有鍵)
sudo wg genkey | sudo tee /etc/wireguard/wg0/client0.key
sudo cat /etc/wireguard/wg0/client0.key | sudo wg pubkey...
sudo wg genkey | sudo tee /etc/wireguard/wg0/client0-pre...
sudo chmod 600 /etc/wireguard/wg0/client0.key
sudo chmod 600 /etc/wireguard/wg0/client0.pub
sudo chmod 600 /etc/wireguard/wg0/client0-preshared.key
++ クライアント2用の鍵の作成(秘密鍵、公開鍵、事前共有鍵)
sudo wg genkey | sudo tee /etc/wireguard/wg0/client2.key
sudo cat /etc/wireguard/wg0/client2.key | sudo wg pubkey...
sudo wg genkey | sudo tee /etc/wireguard/wg0/client2-pre...
sudo chmod 600 /etc/wireguard/wg0/client2.key
sudo chmod 600 /etc/wireguard/wg0/client2.pub
sudo chmod 600 /etc/wireguard/wg0/client2-preshared.key
++ 以下、クライアントの数だけ繰り返し。~
自分は6つの携帯やPCがあったので6個作りました。~
ちなみに同時接続できるのは 1 peer あたり1つの端末です。~
端末が複数ある場合は peer を分けて複数IPで運用する方が良...
** server側の設定ファイルを作成 [#y472f440]
sudo vi /etc/wireguard/wg0.conf
[Interface]
#ClientがVPNに接続した時に割り当てられるIP。serverのLAN...
Address = 192.168.2.0/24
#自分の場合、変なルートになってLANに繋らなかったので入れ...
Table = off
#設定ファイルのコメントなどが消えてしまうのでfalseとして...
#SaveConfig = true
#iptablesだけではなんか通らなかったので、ufwの設定も追加
#「ens18」は各自の環境に合わせて書き換え必要。 ip addr s...
PostUp = ufw route allow in on wg0 out on ens18
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables ...
PreDown = ufw route delete allow in on wg0 out on ens18
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptable...
ListenPort = 51820
#上記の server.key の中身を記載
PrivateKey = abcdefg=
#iPhone(1台目)
[Peer]
#上記の client0.pub の内容を記載
PublicKey = abcdefg=
#上記の client0-preshared.key の内容を記載
PresharedKey = abcdefg=
#クライアントがVPNへ接続した際、割り当てられる仮想IPを記載
#(今回は192.168.2.0/24の中のIPを設定する)
AllowedIPs = 192.168.2.201/32
#Android(2台目)
[Peer]
#上記の client2.pub の内容を記載
PublicKey = abcdefg=
#上記の client2-preshared.key の内容を記載
PresharedKey = abcdefg=
#クライアントがVPNへ接続した際、割り当てられる仮想IPを記載
#(今回は192.168.2.0/24の中のIPを設定する)
AllowedIPs = 192.168.2.202/32
** client側の設定ファイルを作成 [#rad2f703]
sudo vi /etc/wireguard/wg0/client0.conf
[Interface]
#上記の client0.key の値を設定
PrivateKey = abcdef=
#クライアントがVPNで接続した際、VPNサーバから割り当てら...
#上記の peer の設定を合わせておく必要がある
Address = 192.168.2.201/32
#DNSの設定とsearch domainの設定。カンマ区切り。自分の好...
DNS = 8.8.8.8, 8.8.4.4, searchDomain.com
[Peer]
#上記の server.pub の内容を記載
PublicKey = abcdef=
#client0-preshared.key の内容を記載
PresharedKey = abcdef=
AllowedIPs = 0.0.0.0/0
#接続先のサーバー名を入れましょう
#(インターネット越しでアクセスするので、変動IPの場合はDD...
Endpoint = serverName.domain.com:51820
** WireGuardの起動と再起動時の自動起動 [#g8b247bb]
sudo wg-quick up wg0
sudo systemctl enable wg-quick@wg0
** (参考) 停止と無効化、再起動前の実行 [#tee8e3a4]
sudo wg-quick down wg0
sudo systemctl disable wg-quick@wg0
** QRコードでのクライアント設定準備(QRコード表示準備) [#k...
+ qrencode のインストール
sudo apt install qrencode
+ QRコードの表示
qrencode -t ansiutf8 < [作成したスマートフォン用設定ファ...
-- 他の方法
sudo qrencode -t ansiutf8 -r /etc/wireguard/wg0/client1....
-- 画像で保存
sudo qrencode -o client1.png -d 350 -r /etc/wireguard/wg...
** ログの出力 [#z93a070a]
+[[参考サイト(WireGuardの接続・切断のログをファイルに出力...
modprobe wireguard && echo module wireguard +p > /sys/ke...
-- crontab
@reboot /usr/sbin/modprobe wireguard && echo module wire...
+rsyslogにて/var/log/messagesに出力させる
-- vi /etc/rsyslog.conf
*.info;mail.none;authpriv.none;cron.none;kern.debug ...
+再起動時、自動実行
++ sudo vi /etc/rc.local
#!/bin/bash
/usr/sbin/modprobe wireguard && echo module wireguard +p...
++ 実行権限追加
sudo chmod +x /etc/rc.local
++ 再起動して確認~
wireguard関連が「=p」になっていること~
「[wireguard]wg_receive_handshake_packet =p」
cat /sys/kernel/debug/dynamic_debug/control | grep wire
** clientの設定 [#iaf906b9]
*** iPhone, iPad [#vfd9d36f]
+「App Store」から「wireguard」で検索、ダウンロード
+ 「WireGuard」アプリを起動し「+」を押す
++ファイルから
--- セキュアなファイルサービスを使いましょう。~
自分は自前のNextCloudサーバを使いました。
--- NextCloud -> ファイル -> 共有 -> WireGuardで設定ファ...
++QRコードから
--- 上記のQRコードを読み込ませると設定は入るのですが、~
設定名は手打ちしないといけないです。。。
+確認
-- 「Network Ping Lite」というアプリでLAN内の他のコンピュ...
-- IP address は、192.168.2.0/24 のIPになりますが、192.16...
通らない時は、「sudo vi /etc/wireguard/wg0.conf」、「tabl...
*** Android [#z5f7ecb0]
+「Play ストア」から「wireguard」で検索。インストール。
+自分はNextCloudからファイルを読み込みます。~
wireguardのアプリから「+」->「ファイル、アーカイブからイ...
+VPNの設定名は15文字位までなので注意
*** Windows [#qca6a917]
+ダウンロードリンク:[[(公式)Installation:https://www.wire...
+「トンネルの追加」->「空のトンネルを追加」
+「名前」の入力。クライアント設定の文言(クライアント側の...
+ テザリングなどでインターネット回線にする。
+ 接続してLAN(192.168.1.0/24)の他のコンピュータにpingが通...
*** Linux(Ubuntu) [#s76958ab]
+ WireGuard のインストール
sudo apt install wireguard
+ クライアント設定ファイルの作成
-- sudo vi /etc/wireguard/wg0.conf
[Interface]
#上記の client0.key の値を設定
PrivateKey = abcdef=
#クライアントがVPNで接続した際、VPNサーバから割り当てら...
#上記の peer の設定を合わせておく必要がある
Address = 192.168.2.201/32
#DNSの設定とsearch domainの設定。カンマ区切り。自分の好...
DNS = 8.8.8.8, 8.8.4.4, searchDomain.com
[Peer]
#上記の server.pub の内容を記載
PublicKey = abcdef=
#client0-preshared.key の内容を記載
PresharedKey = abcdef=
AllowedIPs = 0.0.0.0/0
#接続先のサーバー名を入れましょう
#(インターネット越しでアクセスするので、変動IPの場合はDD...
Endpoint = serverName.domain.com:51820
+ 接続スクリプトの作成
-- vi ~/wgup.sh
sudo /usr/bin/wg-quick up wg0
--- 実行権限の付与
sudo chmod +x ~/wgup.sh
+ 切断スクリプトの作成
-- vi ~/wgdown.sh
sudo /usr/bin/wg-quick down wg0
--- 実行権限の付与
sudo chmod +x ~/wgup.sh
+ 接続
~/wgup.sh
+ 切断
~/wgdown.sh
* 過去ログ [#t74b739c]
** ipsec の確認 ipsec verify [#f1a8b37f]
- ipsec verify
- うちの結果はこんな感じです(^^)
Verifying installed system and configuration files
Version check and ipsec on-path ...
Libreswan 3.7 (netkey) on 2.6.32-431.3.1.el6.i686
Checking for IPsec support in kernel ...
NETKEY: Testing XFRM related proc values
ICMP default/send_redirects ...
ICMP default/accept_redirects ...
XFRM larval drop ...
Pluto ipsec.conf syntax ...
Hardware random device ...
Two or more interfaces found, checking IP forwarding ...
Checking rp_filter ...
/proc/sys/net/ipv4/conf/default/rp_filter ...
/proc/sys/net/ipv4/conf/lo/rp_filter ...
/proc/sys/net/ipv4/conf/eth0/rp_filter ...
/proc/sys/net/ipv4/conf/ppp0/rp_filter ...
rp_filter is not fully aware of IPsec and should be di...
Checking that pluto is running ...
Pluto listening for IKE on udp 500 ...
Pluto listening for IKE/NAT-T on udp 4500 ...
Pluto ipsec.secret syntax ...
Checking NAT and MASQUERADEing ...
Checking 'ip' command ...
Checking 'iptables' command ...
Checking 'prelink' command does not interfere with FIPSC...
Opportunistic Encryption ...
ipsec verify: encountered 9 errors - see 'man ipsec_veri...
- うちの結果はこんな感じ(^^)
Verifying installed system and configuration files
Version check and ipsec on-path ...
Libreswan 3.7 (netkey) on 2.6.32-431.3.1.el6.i686
Checking for IPsec support in kernel ...
NETKEY: Testing XFRM related proc values
ICMP default/send_redirects ...
ICMP default/accept_redirects ...
XFRM larval drop ...
Pluto ipsec.conf syntax ...
Hardware random device ...
Two or more interfaces found, checking IP forwarding ...
Checking rp_filter ...
/proc/sys/net/ipv4/conf/default/rp_filter ...
/proc/sys/net/ipv4/conf/lo/rp_filter ...
/proc/sys/net/ipv4/conf/eth0/rp_filter ...
/proc/sys/net/ipv4/conf/ppp0/rp_filter ...
rp_filter is not fully aware of IPsec and should be di...
Checking that pluto is running ...
Pluto listening for IKE on udp 500 ...
Pluto listening for IKE/NAT-T on udp 4500 ...
Pluto ipsec.secret syntax ...
Checking NAT and MASQUERADEing ...
Checking 'ip' command ...
Checking 'iptables' command ...
Checking 'prelink' command does not interfere with FIPSC...
Opportunistic Encryption ...
ipsec verify: encountered 9 errors - see 'man ipsec_veri...
終了行:
[[Linux]]
#shadowheader(1,VPN Centos);
#Contents
*vpn 比較 [#q1af3335]
-[[こちら:http://jp.giganews.com/vyprvpn/compare-vpn-prot...
-- openVPN を初めにインストールしましたが、~
ios へ対応していないのでボツ
-- 次に pptp をインストールしましたが、~
emobile に対応していないのでボツ
-- 最後に L2TP をインストール
*pptp サーバー構築 (CentOS 5) [#jd2be6ab]
- ppp のインストール
-- yum install ppp
- download
-- [[http://sourceforge.net/projects/poptop/files/:http:/...
- rpm build のためファイルを下記ディレクトリへコピー
-- cp ./pptpd-1.3.4.tar.gz /usr/src/redhat/SOURCES/
- rpm を build
-- rpmbuild -ta pptpd-1.3.4.tar.gz
- rpm からインストール
-- cd /usr/src/redhat/RPMS/i386/
-- rpm -ivh pptpd-1.3.4-1.i386.rpm
- /etc/pptpd.conf 編集
-- vi /etc/pptpd.conf
-- 最後に下記を追加
ppp /usr/sbin/pppd
localip 192.168.1.101-110
remoteip 192.168.2.111-120
#logwtmp < logwtmp をコメントアウト
- ppp の設定
-- vi /etc/ppp/options.pptpd
name pptpd
domain tar3.net
# localip と remoteip が LAN 側サブネットに含まれる場合...
proxyarp
auth
lock
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
ms-dns 192.168.1.37
ms-dns 192.168.1.1
ms-wins 192.168.1.37
nobsdcomp
novj
novjcomp
nologfd
mtu 1200
mru 1200
debug
-- vi /etc/ppp/chap-secrets
hoge pptpd password *
- ルーティング機能を有効にする
-- echo 1 > /proc/sys/net/ipv4/ip_forward
-- vi /etc/sysctl.conf
net.ipv4.ip_forward = 1
- ファイアウォールの 1723 と 47 のポートを開ける(iptables)
-- vi /etc/sysconfig/iptables
-A FORWARD -i ppp+ -j ACCEPT
-A FORWARD -o ppp+ -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 1723...
- 外とのルーターポートをNATで開ける
-- 1723 と 47 ポート
- Windowsのネットワークコンピュータで LAN内部の別コンピュ...
-- /etc/samba/smb.conf を編集
[root@sv22 ~]# vi /etc/samba/smb.conf
; domain master = yes
↓
domain master = yes
; local master = no
↓
local master = yes
; preferred master = yes
↓
preferred master = yes
; os level = 33
↓
os level = 65
; wins support = yes
↓
wins support = yes
-Samba再起動
[root@sv22 ~]# /etc/rc.d/init.d/smb restart
SMB サービスを停止中: [ OK ]
NMB サービスを停止中: [ OK ]
SMB サービスを起動中: [ OK ]
NMB サービスを起動中: [ OK ]
*L2TP サーバー構築(centos 5) [#j22d5570]
**参考サイト [#zb999906]
-[[参考外部サイト:http://sig9.hatenablog.com/entry/2015/0...
**CentOS に epel レポジトリのインストール [#n91c6a50]
- 参考URL~
--[[32bit版CentOS 6の場合は:http://ftp-srv2.kddilabs.jp/L...
--[[64bit版CentOS 6の場合は:http://ftp-srv2.kddilabs.jp/L...
--[[32bit版CentOS 5の場合は:http://ftp-srv2.kddilabs.jp/L...
--[[64bit版CentOS 5の場合は:http://ftp-srv2.kddilabs.jp/L...
-CentOS 5.5 に EPEL リポジトリを追加する
--cd /etc/pki/rpm-gpg/
--wget http://mirrors.ustc.edu.cn/fedora/epel/RPM-GPG-KEY...
--rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL
--rpm -ivh http://mirrors.ustc.edu.cn/fedora/epel/5/i386/...
-CentOS 6(32bit) に EPEL リポジトリを追加
rpm -Uvh http://ftp-srv2.kddilabs.jp/Linux/distributions...
vi /etc/yum.repos.d/epel.repo
-EPEL リポジトリの利用準備が整ったら、L2TP を実現するため...
--yum install xl2tpd
** 編集ファイル一覧 [#n17a162c]
- /etc/xl2tpd/xl2tpd.conf
- /etc/ppp/options.xl2tpd
- /etc/strongswan/ipsec.conf
- /etc/strongswan/ipsec.d/l2tp-psk.conf
- /etc/strongswan/ipsec.secrets
- /etc/sysctl.conf
- /etc/ppp/chap-secrets
- /etc/sysconfig/selinux
- /etc/sysconfig/iptables
** /etc/xl2tpd/xl2tpd.conf の編集 [#u3f05004]
-- vi /etc/xl2tpd/xl2tpd.conf
[global]
[lns default]
ip range = 192.168.1.128-192.168.1.254
local ip = 192.168.1.99
require chap = yes
refuse pap = yes
require authentication = yes
name = VPNserver
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes
** /etc/ppp/options.xl2tpdの編集 [#ya1c1e82]
-- vi /etc/ppp/options.xl2tpd
auth
crtscts
debug
lock
proxyarp
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
logfile /var/log/xl2tpd.log
ms-dns 192.168.1.1
ms-dns 192.168.1.2
ipcp-accept-local
ipcp-accept-remote
** IPSec のインストール [#xd64f958]
*** strongswan のインストール(yum) [#c8a76e5c]
openswan にiPhoneからつながらない不具合が有り、~
strongswan に変更
yum install strongswan
*** /etc/strongswan/ipsec.conf の編集 [#j93d9be0]
- vi /etc/strongswan/ipsec.conf
version 2.0
config setup
protostack=netkey
nat_traversal=yes
include /etc/strongswan/ipsec.d/*.conf
*** /etc/strongswan/ipsec.d/l2tp-psk.conf ファイルの作成 ...
- vi /etc/strongswan/ipsec.d/l2tp-psk.conf
conn L2TP-PSK-NAT
rightsubnet=0.0.0.0/0
#rightsubnet=vhost:%priv
forceencaps=yes
dpddelay=10
dpdtimeout=30
dpdaction=clear
also=L2TP-PSK-noNAT
conn L2TP-PSK-noNAT
#conn L2TP-PSK
#
# Configuration for one user with any type of IPsec/L2TP...
# including the updated Windows 2000/XP (MS KB Q818043),...
# excluding the non-updated Windows 2000/XP.
#
#
# Use a Preshared Key. Disable Perfect Forward Secrecy.
#
# PreSharedSecret needs to be specified in /etc/ipsec.se...
# YourIPAddress %any: "sharedsecret"
authby=secret
pfs=no
auto=add
keyingtries=3
# we cannot rekey for %any, let client rekey
rekey=no
# Apple iOS doesn't send delete notify so we nee...
# to detect vanishing clients
#dpddelay=5
#dpdtimeout=10
#dpdaction=clear
# Set ikelifetime and keylife to same defaults w...
ikelifetime=8h
keylife=1h
# l2tp-over-ipsec is transport mode
type=transport
left=192.168.1.3
leftnexthop=%defaultroute
#leftsubnet=192.168.1.0/24
# For updated Windows 2000/XP clients,
# to support old clients as well, use leftprotop...
leftprotoport=17/1701
# The remote user.
right=%any
# Using the magic port of "%any" means "any one ...
# a work around required for Apple OSX clients t...
# high port.
rightprotoport=17/%any
#rightprotoport=17/0
#ike=3des-md5
#esp=3des-md5
#forceencaps=yes
*** /etc/strongswan/ipsec.secrets の編集 [#cb93133f]
- vi /etc/strongswan/ipsec.secrets
: PSK "password"
include /etc/strongswan/ipsec.d/*.secrets
- root 以外の参照禁止
--chmod go-rwx /etc/strongswan/ipsec.secrets
*** (参考) Log levelの変更 [#f65e6acc]
sudo vi /etc/strongswan/strongswan.d/charon-logging.conf
+2個所(fileとrsyslog)
# Default loglevel.
# default = 1
default = 2
** 起動 [#b26bc26a]
- service strongswan start
- service xl2tpd start
** 自動起動の設定 [#fcf48df3]
-chkconfig strongswan on
-chkconfig xl2tpd on
**NETKEY detected, testing for disabled ICMP send_redirec...
- vi /etc/sysctl.conf
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.lo.send_redirects = 0
net.ipv4.conf.lo.accept_redirects = 0
net.ipv4.conf.eth0.send_redirects = 0
net.ipv4.conf.eth0.accept_redirects = 0
net.ipv4.conf.eth1.send_redirects = 0
net.ipv4.conf.eth1.accept_redirects = 0
net.ipv4.ip_forward = 1
**反映 [#j7a75f4b]
- sysctl -p
**Pluto listening for IKE on udp 500 Pluto listening for ...
yum install lsof
**libpcap-devel のインストール [#n440e100]
yum install libpcap-devel ppp
** selinux 無効化 [#z2663064]
- vi /etc/sysconfig/selinux
SELINUX=disabled
** サーバーの再起動 [#u6a717ae]
** iptables 編集 [#t47573ec]
- vi /etc/sysconfig/iptables
-- 追加
-A FORWARD -i ppp+ -j ACCEPT
-A FORWARD -o ppp+ -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p esp -j ACCEPT
-A INPUT -p udp -m udp --dport 50 -j ACCEPT
-A INPUT -p udp -m udp --dport 500 -j ACCEPT
-A INPUT -p udp -m udp --dport 4500 -j ACCEPT
-A INPUT -p udp -m udp --dport 1701 -j ACCEPT
** /etc/ppp/chap-secrets の編集 [#f3e9a6dc]
- vi /etc/ppp/chap-secrets
# アカウント 接続名 パスワード IPアドレス
"vpn-account" * "vpn-password" *
** log ファイル、ひな形の作成 [#y61f1ddf]
touch /var/log/xl2tpd.log
** ルーターのポート開放 [#r22a8dec]
- udp 500
- udp 4500
- 50
- 1701
** Client の設定 [#f328d2b5]
*** Windows [#h58ac449]
+レジストリの変更 [#k194a06b]
-- regedit
--- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\...
--- 新規 「DWORD値」[AssumeUDPEncapsulationContextOnSendR...
--- 値 2
+ Windows,エラー,1 [#gd104903]
-指定したユーザー名またはパスワードが認識されないか、選択...
--本当にパスワードが間違えてる。
--コピペでなく手打ちすると直った。
*** iPhone [#y23e04af]
+iPhone の設定で気をつけること [#cd5fd356]
「全ての全ての通信を送信」のチェックがOnだと AU wifi につ...
VPN に繋がりませんでした。チェックをオフにすると繋がりま...
*** Linux(Ubuntu) [#r3218d82]
-関連ソフトのインストール
sudo apt install network-manager-openvpn network-manager...
-以下,KDEでの設定
++ 「設定」-「接続」
++ 「+」 -> 「レイヤ2トンネリング プロトコル(L2TP)」を選択
+++ 接続名:適当に決める
+++ 「VPN(l2tp)」タブを選択
+++ Gateway : 接続先URL 例) vpn.hoge.net
+++ User name : ユーザー名
+++ Password : パスワード
++ 「IPSec Settings...」ボタン
+++ チェックオン「Enable IPsec tunnel to L2TP host」
+++ 「Pre-shared key」を入力
* OpenVPN [#md0d17c9]
-[[参考サイト:https://centossrv.com/openvpn.shtml]]
** 設定関連図(構成図) [#k4621803]
Client1 -> Internet - udp -> キャリアルーター -> VPN サー...
※tcp は重い。server.conf に tcp-nodelay オプションを記入...
※tcp にするには、server.conf で udp を無効化しtcp を有効...
** OpenVPN Install [#v02e754c]
*** 必要なパッケージのインストール [#e05fe3f7]
sudo yum -y install openssl-devel lzo-devel pam-devel gcc
*** OpenVPN のインストール [#i36f5d11]
mkdir temp
wget http://swupdate.openvpn.org/community/releases/open...
- rpm-buildのインストール
--[[このリンク先を参照(サイト内)>Linux#y2790b50]]
- RPM パッケージの生成
sudo rpmbuild -tb --clean openvpn-2.3.12.tar.gz
- RPM パッケージからインストール
sudo yum -y localinstall ~/rpmbuild/RPMS/x86_64/openvpn-...
*** easy-rsa のインストール [#ld9dbc80]
cd ~/temp
wget https://github.com/OpenVPN/easy-rsa/archive/master....
unzip master.zip
- easy-rsa をコピー
sudo cp -r easy-rsa-master/easyrsa3/ /etc/openvpn/
** 証明書の作成とファイルのコピー [#r543789a]
※以下 su - で実行
*** 最初の1回のみ初期化 [#v215f57c]
cd /etc/openvpn/easyrsa3/
./easyrsa init-pki
*** CA証明書・秘密鍵作成 [#z08e40b7]
- CA証明書は認証局サーバで認証するための証明書 [[参考(認...
./easyrsa build-ca
~
Enter PEM pass phrase: (任意のパスワード)
Verifying - Enter PEM pass phrase: (任意のパスワード)(確...
~
Common Name (eg: your user, host, or server name) [Easy-...
~
CA creation complete and you may now import and sign cer...
Your new CA certificate file for publishing is at:
/root/easy-rsa-master/easyrsa3/pki/ca.crt
- CA証明書のコピー
cp pki/ca.crt /etc/openvpn/
*** サーバ証明書の作成 [#h3722ce5]
./easyrsa build-server-full server nopass
Enter pass phrase for /etc/openvpn/easyrsa3/pki/private/...
~
Data Base Updated
- ファイルのコピー
cp pki/issued/server.crt /etc/openvpn/
cp pki/private/server.key /etc/openvpn/
*** DH(Diffie Hellman)パラメータ作成 [#e40aa37e]
-DH(Diffie Hellman)パラメータとは?
-- [[参考 外部サイト:http://devillinuxvpn.eksd.jp/append...
-- 以下抜粋
(セキュリティー確保のため共有キーを直接やりとりしないた...
DH鍵交換方式。
DH鍵交換方式では、共通鍵そのものを送受信せず、
共通鍵を作り出す材料となる数のみを互いに交換する。
共通鍵そのものを送受信していないのに、同じ共通鍵を持つこ...
セキュリティーを確保することができる。
-DH(Diffie Hellman)パラメータ作成
./easyrsa gen-dh
(少し時間がかかるので終わるまで待つ(数分?)
-ファイルのコピー
cp pki/dh.pem /etc/openvpn/
*** 証明書廃止リスト作成 [#i6c69c89]
./easyrsa build-client-full dmy nopass
~
Enter pass phrase for /etc/openvpn/easyrsa3/pki/private/...
~
Write out database with 1 new entries
Data Base Updated
- 廃止
./easyrsa revoke dmy
~
Continue with revocation: yes (Enter)
~
IMPORTANT!!!
Revocation was successful. You must run gen-crl and uplo...
infrastructure in order to prevent the revoked cert from...
- 作成
./easyrsa gen-crl
~
Enter pass phrase for /etc/openvpn/easyrsa3/pki/private/...
An updated CRL has been created.
CRL file: /etc/openvpn/easyrsa3/pki/crl.pem
- ファイルのコピー
cp ./pki/crl.pem /etc/openvpn/
- アクセス権の変更
chmod o+r /etc/openvpn/crl.pem
** OpenVPN の設定(server.conf) [#fa72fde1]
※以下 su - で実行
- TLS認証キーの作成
openvpn --genkey --secret /etc/openvpn/ta.key
- サンプル設定ファイルのコピー
cp /usr/share/doc/openvpn-*/sample/sample-config-files/s...
- server.conf の編集~
[[参考(OpenVPN日本語サイト):http://www.openvpn.jp/documen...
「クライアントのすべてのトラフィック(Webトラフィックを含...
-- vi /etc/openvpn/server.conf
port 1194
~
proto udp
※tcp は重い。server.conf に tcp-nodelay オプションを記...
※tcp にするには、server.conf で udp を無効化しtcp を有...
~
dev tun ← 確認するだけ。デフォルトで設定済み
~
ca ca.crt
cert server.crt
key server.key # This file should be kept secret
~
dh dh.pem ← 左記のように変更する。DHパラメータ ファイ...
~
server 10.8.0.0 255.255.255.0 ← VPNクライアント割当て...
~
ifconfig-pool-persist ipp.txt
~
;push "route 192.168.10.0 255.255.255.0"
;push "route 192.168.20.0 255.255.255.0"
push "route 192.168.3.0 255.255.255.0" ← 追加(LAN(例:1...
~
push "redirect-gateway def1" <- インターネットへのア...
~
push "dhcp-option DNS 192.168.1.1" <- インターネット...
~
tls-auth ta.key 0 # This file is secret ← 行頭の;を削...
~
comp-lzo
~
user nobody ← 行頭の;を削除してコメント解除(OpenVPN実...
group nobody ← 行頭の;を削除してコメント解除(OpenVPN実...
~
persist-key
persist-tun
~
status openvpn-status.log
~
log-append /var/log/openvpn.log ← 行頭の;を削除してコ...
~
verb 3
~
management localhost 7505 ← 最終行へ追加(管理インタフ...
~
crl-verify crl.pem ← 最終行へ追加(証明書廃止リストの有...
~
最終行へ以下を追加(OpenVPN経由でSambaへのアクセスがエラ...
fragment 1280
mssfix 1280
link-mtu 1400
cipher AES-128-CBC
** ファイアウォール設定 (省略) [#e9d7ab41]
** ログ ローテーション [#kf484de5]
※以下 su - で実行
- vi /etc/logrotate.d/openvpn
/var/log/openvpn.log {
missingok
notifempty
sharedscripts
postrotate
systemctl restart openvpn 2>&1 > /dev/null || true
endscript
}
** OpenVPN の起動 [#k60bb994]
※以下 su - で実行
*** OpenVPN 起動スクリプトの編集 [#kb53a6b2]
- vi /etc/rc.d/init.d/openvpn
-- 行頭の # を削除してコメント解除
echo 1 > /proc/sys/net/ipv4/ip_forward
*** OpenVPN の起動 [#p7b8bb2d]
service openvpn start
*** 自動起動の設定 [#oa9e6f69]
chkconfig openvpn on
** ファイアウォール設定 [#m0755311]
設定関連図(構成図)~
Client1 -> Internet -> キャリアルーター -> VPN サーバ ->...
*** キャリアルーターの設定 [#j01c0a5a]
+1194ポートをVPNサーバへ転送(tcp の場合は tcp ポートを。u...
+10.8 系へのルートの追加 10.8.0.0 のゲートウェイを VPNサ...
*** VPNサーバのファイアウォール設定(省略) [#j4f86180]
** クライアント証明書の秘密キー作成 [#qd1e818c]
※以下 su - で実行
*** クライアント証明書・秘密鍵作成(パスフレーズ認証なし) ...
cd /etc/openvpn/easyrsa3/
./easyrsa build-client-full client1 nopass
Enter pass phrase for /etc/openvpn/easyrsa3/pki/private/...
Write out database with 1 new entries
Data Base Updated
** クライアントの設定 [#m7628219]
*** Windows(iPhoneの場合も設定ファイルを作るのでこちらか...
+共通
++ OpenVPN クライアントのダウンロード
--- [[OpenVPN:https://openvpn.net/index.php/open-source/d...
++ OpenVPN のインストール
+新(2019/2/5)
--(設定ファイルがある前提でスタート)
++OpenVPNソフトを起動
++タスクトレイにあるOpenVPNアイコンを右クリック、「Import...
++*.ovpn ファイルを選択
++タスクトレイにあるOpenVPNアイコンを右クリック、「設定」...
++「Advanced」タブを選択
++「設定ファイル」の場所を確認し、「ディレクトリ」のPATH...
++エクスプローラーで上記のコピーしたPATHを開く
++以下のファイルをコピーする。
+++ ca.crt (/etc/openvpn/easyrsa3/pki/ca.crt)
+++ ta.key (/etc/openvpn/ta.key)
+++ 接続名.crt 例) clientConnect.crt (/etc/openvpn/eas...
+++ 接続名.key 例) clientConnect.key (/etc/openvpn/easy...
++接続の確認
+++ タスクトレイにあるOpenVPNアイコンを右クリック、「接続...
+旧
++ サンプルファイルのコピー
--- コピー元
C:\Program Files\OpenVPN\sample-config\client.ovpn
--- コピー先
C:\Program Files\OpenVPN\config
++ client.ovpn の編集
--- 外からクライアントで接続する先を設定
remote tar3.net 1194
--- クライアント証明書、秘密鍵の指定
ca ca.crt
cert client1.crt
key client1.key
--- 中間者攻撃(Man-in-the-Middle)対策。※中間者攻撃につい...
remote-cert-tls server
--- TLS 認証の有効化
tls-auth ta.key 1
--- (参考) Samba アクセス対策(追加)
fragment 1280
mssfix 1280
link-mtu 1400
++必要ファイルをクライアントへコピー(※必ずセキュアな接続...
--- コピー元
>
+++ CA証明書
/etc/openvpn/ca.crt
+++ クライアント証明書
/etc/openvpn/easyrsa3/pki/issued/client1.crt
+++ クライアント秘密鍵
/etc/openvpn/easyrsa3/pki/private/client1.key
+++ TLS認証鍵
/etc/openvpn/ta.key
<
--- コピー先
>
- C:\Program Files\OpenVPN\config
<
*** iPhone(Windows の場合が終わってから) [#r7a0f789]
- OpenVPN のインストール
- iTunes 経由で iPhone へファイルを送り込む。
-- iTunes -> iPhone -> アプリ -> 下に画面をスクロールする...
** 接続確認 [#jd8f029b]
*** Windows [#g2596e75]
- OpenVPN を起動し、タスクトレイにあるアイコンを右クリッ...
-- Windows のネットワークは、インターネット経由(テザリン...
自宅LANからだと名前解決、認証解決ができない場合が多い。~
また本当の意味でのテストにならない。
-- 「確認くん」というグローバルIPをチェックするサイトがあ...
-- [[CMAN(Global address 確認):https://www.cman.jp/networ...
*** iPhone [#x45d0d9c]
- OpenVPN アプリの起動。
- 緑色の + ボタンを押す。
- あとは○をスライドし接続する。
-- iPhone の場合も、無線LAN環境ではなく、4G回線などインタ...
理由は上記の Windows の場合と同様。~
無線LAN環境をやめるためには、現在接続設定がある全ての無線...
どこの無線LANにも繋がっていない環境を作ることにより可能。
*** 疎通確認 [#r6b00033]
Ping による疎通確認が可能だが、通らない場合は大抵ルートの...
キャリアルーターにきちんと静的ルートが書いてあるか。また...
OpenVPN サーバの Push "Route ..." は関係ない場合が多く、...
*** VPNクライアントの削除 [#ca836d89]
※以下 su - で実行
-クライアント証明書廃止
cd /etc/openvpn/easyrsa3/
./easyrsa revoke client1
~
Continue with revocation: yes を入力
~
Enter pass phrase for /etc/openvpn/easyrsa3/pki/private/...
-証明書類の削除
rm -f ./pki/issued/client1.crt ← client1証明書類削除
rm -f ./pki/private/client1.key ← client1証明書類削除
rm -f ./pki/reqs/client1.req ← client1証明書類削除
./easyrsa gen-crl ← 証明書廃止リストを作成
~
Enter pass phrase for /etc/openvpn/easyrsa3/pki/private/...
~
CRL file: /etc/openvpn/easyrsa3/pki/crl.pem
-廃止証明書のコピー
cp ./pki/crl.pem /etc/openvpn/
-廃止証明書への権限付与
chmod o+r /etc/openvpn/crl.pem
***接続中クライアントの強制切断 [#s1179195]
※以下 su - で実行
-telnet のインストール
yum install telnet
-OpenVPN の管理インターフェースへアクセス
telnet localhost 7505
-status の確認
status
client1,124.211.3.180:1617,6882,7144,Tue Nov 28 19:26:5...
-client1 の強制切断
kill client1
-status の再確認
status
-OpenVPN管理インタフェース終了
exit
** トラブル [#cac0d20b]
*** Server:Version2.4, Client:Version2.6,繋がらない [#o42...
-エラーメッセージ
-- OpenSSL: error:0308010C:digital envelope routines::uns...
-採用されなくなったcipher(サイファー)が原因
+ サーバー側
++ sudo vim /etc/openvpn/server.conf
--- 末尾に以下を追加
cipher AES-128-CBC
+ クライアントの.ovpnファイルの末尾へ追加
++Version2.6
data-ciphers AES-128-CBC
++Version2.4
cipher AES-128-CBC
* WireGuard [#hb872620]
** 参考リンク [#lda4e9a3]
+[[WireGuardは良き 〜インストールから導入まで〜:https://q...
+[[【Ubuntu】WireGuardで簡単VPN環境を構築:https://vpslife...
** 構成 [#v7fe2bb4]
+「クライアント(PC,スマホなど)」 <- インターネット -> LAN
++ 「WireGuard server」(LAN IP address) 192.168.1.0/24 (...
++ 「WireGuard server」(VPN用 IP address) 192.168.2.0/24 ...
+WireGuard server : Ubuntu 24.04 server
+WireGuard : 1.0.20210914-1ubuntu4
** 事前準備 [#u8e73490]
*** forwardの有効化 [#sd2f446d]
sudo vi /etc/sysctl.conf
-以下のコメントアウトを削除(有効化)
# Uncomment the next line to enable packet forwarding fo...
net.ipv4.ip_forward=1
-反映
sudo sysctl -p
** install(Ubuntuのセットアップは省略) [#s491fca2]
+ sudo apt update
+ sudo apt upgrade
+ sudo apt install
** 鍵の作成 [#a82db56a]
+Server鍵の作成(秘密鍵、公開鍵)~
わかりやすいように /etc/wireguard/wg0/ ディレクトリ配下に...
(wireguardディレクトリ配下だと煩雑になるので。。。)
sudo mkdir /etc/wireguard/wg0
sudo wg genkey | sudo tee /etc/wireguard/wg0/server.key
sudo chmod 600 /etc/wireguard/wg0/server.key
-- server.keyから公開鍵の作成
sudo cat /etc/wireguard/wg0/server.key | sudo wg pubkey ...
sudo chmod 600 /etc/wireguard/wg0/server.pub
+クライアント1用の鍵の作成(秘密鍵、公開鍵、事前共有鍵)
sudo wg genkey | sudo tee /etc/wireguard/wg0/client0.key
sudo cat /etc/wireguard/wg0/client0.key | sudo wg pubkey...
sudo wg genkey | sudo tee /etc/wireguard/wg0/client0-pre...
sudo chmod 600 /etc/wireguard/wg0/client0.key
sudo chmod 600 /etc/wireguard/wg0/client0.pub
sudo chmod 600 /etc/wireguard/wg0/client0-preshared.key
++ クライアント2用の鍵の作成(秘密鍵、公開鍵、事前共有鍵)
sudo wg genkey | sudo tee /etc/wireguard/wg0/client2.key
sudo cat /etc/wireguard/wg0/client2.key | sudo wg pubkey...
sudo wg genkey | sudo tee /etc/wireguard/wg0/client2-pre...
sudo chmod 600 /etc/wireguard/wg0/client2.key
sudo chmod 600 /etc/wireguard/wg0/client2.pub
sudo chmod 600 /etc/wireguard/wg0/client2-preshared.key
++ 以下、クライアントの数だけ繰り返し。~
自分は6つの携帯やPCがあったので6個作りました。~
ちなみに同時接続できるのは 1 peer あたり1つの端末です。~
端末が複数ある場合は peer を分けて複数IPで運用する方が良...
** server側の設定ファイルを作成 [#y472f440]
sudo vi /etc/wireguard/wg0.conf
[Interface]
#ClientがVPNに接続した時に割り当てられるIP。serverのLAN...
Address = 192.168.2.0/24
#自分の場合、変なルートになってLANに繋らなかったので入れ...
Table = off
#設定ファイルのコメントなどが消えてしまうのでfalseとして...
#SaveConfig = true
#iptablesだけではなんか通らなかったので、ufwの設定も追加
#「ens18」は各自の環境に合わせて書き換え必要。 ip addr s...
PostUp = ufw route allow in on wg0 out on ens18
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables ...
PreDown = ufw route delete allow in on wg0 out on ens18
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptable...
ListenPort = 51820
#上記の server.key の中身を記載
PrivateKey = abcdefg=
#iPhone(1台目)
[Peer]
#上記の client0.pub の内容を記載
PublicKey = abcdefg=
#上記の client0-preshared.key の内容を記載
PresharedKey = abcdefg=
#クライアントがVPNへ接続した際、割り当てられる仮想IPを記載
#(今回は192.168.2.0/24の中のIPを設定する)
AllowedIPs = 192.168.2.201/32
#Android(2台目)
[Peer]
#上記の client2.pub の内容を記載
PublicKey = abcdefg=
#上記の client2-preshared.key の内容を記載
PresharedKey = abcdefg=
#クライアントがVPNへ接続した際、割り当てられる仮想IPを記載
#(今回は192.168.2.0/24の中のIPを設定する)
AllowedIPs = 192.168.2.202/32
** client側の設定ファイルを作成 [#rad2f703]
sudo vi /etc/wireguard/wg0/client0.conf
[Interface]
#上記の client0.key の値を設定
PrivateKey = abcdef=
#クライアントがVPNで接続した際、VPNサーバから割り当てら...
#上記の peer の設定を合わせておく必要がある
Address = 192.168.2.201/32
#DNSの設定とsearch domainの設定。カンマ区切り。自分の好...
DNS = 8.8.8.8, 8.8.4.4, searchDomain.com
[Peer]
#上記の server.pub の内容を記載
PublicKey = abcdef=
#client0-preshared.key の内容を記載
PresharedKey = abcdef=
AllowedIPs = 0.0.0.0/0
#接続先のサーバー名を入れましょう
#(インターネット越しでアクセスするので、変動IPの場合はDD...
Endpoint = serverName.domain.com:51820
** WireGuardの起動と再起動時の自動起動 [#g8b247bb]
sudo wg-quick up wg0
sudo systemctl enable wg-quick@wg0
** (参考) 停止と無効化、再起動前の実行 [#tee8e3a4]
sudo wg-quick down wg0
sudo systemctl disable wg-quick@wg0
** QRコードでのクライアント設定準備(QRコード表示準備) [#k...
+ qrencode のインストール
sudo apt install qrencode
+ QRコードの表示
qrencode -t ansiutf8 < [作成したスマートフォン用設定ファ...
-- 他の方法
sudo qrencode -t ansiutf8 -r /etc/wireguard/wg0/client1....
-- 画像で保存
sudo qrencode -o client1.png -d 350 -r /etc/wireguard/wg...
** ログの出力 [#z93a070a]
+[[参考サイト(WireGuardの接続・切断のログをファイルに出力...
modprobe wireguard && echo module wireguard +p > /sys/ke...
-- crontab
@reboot /usr/sbin/modprobe wireguard && echo module wire...
+rsyslogにて/var/log/messagesに出力させる
-- vi /etc/rsyslog.conf
*.info;mail.none;authpriv.none;cron.none;kern.debug ...
+再起動時、自動実行
++ sudo vi /etc/rc.local
#!/bin/bash
/usr/sbin/modprobe wireguard && echo module wireguard +p...
++ 実行権限追加
sudo chmod +x /etc/rc.local
++ 再起動して確認~
wireguard関連が「=p」になっていること~
「[wireguard]wg_receive_handshake_packet =p」
cat /sys/kernel/debug/dynamic_debug/control | grep wire
** clientの設定 [#iaf906b9]
*** iPhone, iPad [#vfd9d36f]
+「App Store」から「wireguard」で検索、ダウンロード
+ 「WireGuard」アプリを起動し「+」を押す
++ファイルから
--- セキュアなファイルサービスを使いましょう。~
自分は自前のNextCloudサーバを使いました。
--- NextCloud -> ファイル -> 共有 -> WireGuardで設定ファ...
++QRコードから
--- 上記のQRコードを読み込ませると設定は入るのですが、~
設定名は手打ちしないといけないです。。。
+確認
-- 「Network Ping Lite」というアプリでLAN内の他のコンピュ...
-- IP address は、192.168.2.0/24 のIPになりますが、192.16...
通らない時は、「sudo vi /etc/wireguard/wg0.conf」、「tabl...
*** Android [#z5f7ecb0]
+「Play ストア」から「wireguard」で検索。インストール。
+自分はNextCloudからファイルを読み込みます。~
wireguardのアプリから「+」->「ファイル、アーカイブからイ...
+VPNの設定名は15文字位までなので注意
*** Windows [#qca6a917]
+ダウンロードリンク:[[(公式)Installation:https://www.wire...
+「トンネルの追加」->「空のトンネルを追加」
+「名前」の入力。クライアント設定の文言(クライアント側の...
+ テザリングなどでインターネット回線にする。
+ 接続してLAN(192.168.1.0/24)の他のコンピュータにpingが通...
*** Linux(Ubuntu) [#s76958ab]
+ WireGuard のインストール
sudo apt install wireguard
+ クライアント設定ファイルの作成
-- sudo vi /etc/wireguard/wg0.conf
[Interface]
#上記の client0.key の値を設定
PrivateKey = abcdef=
#クライアントがVPNで接続した際、VPNサーバから割り当てら...
#上記の peer の設定を合わせておく必要がある
Address = 192.168.2.201/32
#DNSの設定とsearch domainの設定。カンマ区切り。自分の好...
DNS = 8.8.8.8, 8.8.4.4, searchDomain.com
[Peer]
#上記の server.pub の内容を記載
PublicKey = abcdef=
#client0-preshared.key の内容を記載
PresharedKey = abcdef=
AllowedIPs = 0.0.0.0/0
#接続先のサーバー名を入れましょう
#(インターネット越しでアクセスするので、変動IPの場合はDD...
Endpoint = serverName.domain.com:51820
+ 接続スクリプトの作成
-- vi ~/wgup.sh
sudo /usr/bin/wg-quick up wg0
--- 実行権限の付与
sudo chmod +x ~/wgup.sh
+ 切断スクリプトの作成
-- vi ~/wgdown.sh
sudo /usr/bin/wg-quick down wg0
--- 実行権限の付与
sudo chmod +x ~/wgup.sh
+ 接続
~/wgup.sh
+ 切断
~/wgdown.sh
* 過去ログ [#t74b739c]
** ipsec の確認 ipsec verify [#f1a8b37f]
- ipsec verify
- うちの結果はこんな感じです(^^)
Verifying installed system and configuration files
Version check and ipsec on-path ...
Libreswan 3.7 (netkey) on 2.6.32-431.3.1.el6.i686
Checking for IPsec support in kernel ...
NETKEY: Testing XFRM related proc values
ICMP default/send_redirects ...
ICMP default/accept_redirects ...
XFRM larval drop ...
Pluto ipsec.conf syntax ...
Hardware random device ...
Two or more interfaces found, checking IP forwarding ...
Checking rp_filter ...
/proc/sys/net/ipv4/conf/default/rp_filter ...
/proc/sys/net/ipv4/conf/lo/rp_filter ...
/proc/sys/net/ipv4/conf/eth0/rp_filter ...
/proc/sys/net/ipv4/conf/ppp0/rp_filter ...
rp_filter is not fully aware of IPsec and should be di...
Checking that pluto is running ...
Pluto listening for IKE on udp 500 ...
Pluto listening for IKE/NAT-T on udp 4500 ...
Pluto ipsec.secret syntax ...
Checking NAT and MASQUERADEing ...
Checking 'ip' command ...
Checking 'iptables' command ...
Checking 'prelink' command does not interfere with FIPSC...
Opportunistic Encryption ...
ipsec verify: encountered 9 errors - see 'man ipsec_veri...
- うちの結果はこんな感じ(^^)
Verifying installed system and configuration files
Version check and ipsec on-path ...
Libreswan 3.7 (netkey) on 2.6.32-431.3.1.el6.i686
Checking for IPsec support in kernel ...
NETKEY: Testing XFRM related proc values
ICMP default/send_redirects ...
ICMP default/accept_redirects ...
XFRM larval drop ...
Pluto ipsec.conf syntax ...
Hardware random device ...
Two or more interfaces found, checking IP forwarding ...
Checking rp_filter ...
/proc/sys/net/ipv4/conf/default/rp_filter ...
/proc/sys/net/ipv4/conf/lo/rp_filter ...
/proc/sys/net/ipv4/conf/eth0/rp_filter ...
/proc/sys/net/ipv4/conf/ppp0/rp_filter ...
rp_filter is not fully aware of IPsec and should be di...
Checking that pluto is running ...
Pluto listening for IKE on udp 500 ...
Pluto listening for IKE/NAT-T on udp 4500 ...
Pluto ipsec.secret syntax ...
Checking NAT and MASQUERADEing ...
Checking 'ip' command ...
Checking 'iptables' command ...
Checking 'prelink' command does not interfere with FIPSC...
Opportunistic Encryption ...
ipsec verify: encountered 9 errors - see 'man ipsec_veri...
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
