vpn_centos
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
開始行:
[[Linux]]
#shadowheader(1,VPN Centos);
#Contents
*vpn 比較 [#q1af3335]
-[[こちら:http://jp.giganews.com/vyprvpn/compare-vpn-prot...
-- openVPN を初めにインストールしましたが、~
ios へ対応していないのでボツ
-- 次に pptp をインストールしましたが、~
emobile に対応していないのでボツ
-- 最後に L2TP をインストール
*pptp サーバー構築 (CentOS 5) [#jd2be6ab]
- ppp のインストール
-- yum install ppp
- download
-- [[http://sourceforge.net/projects/poptop/files/:http:/...
- rpm build のためファイルを下記ディレクトリへコピー
-- cp ./pptpd-1.3.4.tar.gz /usr/src/redhat/SOURCES/
- rpm を build
-- rpmbuild -ta pptpd-1.3.4.tar.gz
- rpm からインストール
-- cd /usr/src/redhat/RPMS/i386/
-- rpm -ivh pptpd-1.3.4-1.i386.rpm
- /etc/pptpd.conf 編集
-- vi /etc/pptpd.conf
-- 最後に下記を追加
ppp /usr/sbin/pppd
localip 192.168.1.101-110
remoteip 192.168.2.111-120
#logwtmp < logwtmp をコメントアウト
- ppp の設定
-- vi /etc/ppp/options.pptpd
name pptpd
domain tar3.net
# localip と remoteip が LAN 側サブネットに含まれる場合...
proxyarp
auth
lock
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
ms-dns 192.168.1.37
ms-dns 192.168.1.1
ms-wins 192.168.1.37
nobsdcomp
novj
novjcomp
nologfd
mtu 1200
mru 1200
debug
-- vi /etc/ppp/chap-secrets
hoge pptpd password *
- ルーティング機能を有効にする
-- echo 1 > /proc/sys/net/ipv4/ip_forward
-- vi /etc/sysctl.conf
net.ipv4.ip_forward = 1
- ファイアウォールの 1723 と 47 のポートを開ける(iptables)
-- vi /etc/sysconfig/iptables
-A FORWARD -i ppp+ -j ACCEPT
-A FORWARD -o ppp+ -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 1723...
- 外とのルーターポートをNATで開ける
-- 1723 と 47 ポート
- Windowsのネットワークコンピュータで LAN内部の別コンピュ...
-- /etc/samba/smb.conf を編集
[root@sv22 ~]# vi /etc/samba/smb.conf
; domain master = yes
↓
domain master = yes
; local master = no
↓
local master = yes
; preferred master = yes
↓
preferred master = yes
; os level = 33
↓
os level = 65
; wins support = yes
↓
wins support = yes
-Samba再起動
[root@sv22 ~]# /etc/rc.d/init.d/smb restart
SMB サービスを停止中: [ OK ]
NMB サービスを停止中: [ OK ]
SMB サービスを起動中: [ OK ]
NMB サービスを起動中: [ OK ]
*L2TP サーバー構築(centos 5) [#j22d5570]
**参考サイト [#zb999906]
-[[参考外部サイト:http://sig9.hatenablog.com/entry/2015/0...
**CentOS に epel レポジトリのインストール [#n91c6a50]
- 参考URL~
--[[32bit版CentOS 6の場合は:http://ftp-srv2.kddilabs.jp/L...
--[[64bit版CentOS 6の場合は:http://ftp-srv2.kddilabs.jp/L...
--[[32bit版CentOS 5の場合は:http://ftp-srv2.kddilabs.jp/L...
--[[64bit版CentOS 5の場合は:http://ftp-srv2.kddilabs.jp/L...
-CentOS 5.5 に EPEL リポジトリを追加する
--cd /etc/pki/rpm-gpg/
--wget http://mirrors.ustc.edu.cn/fedora/epel/RPM-GPG-KEY...
--rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL
--rpm -ivh http://mirrors.ustc.edu.cn/fedora/epel/5/i386/...
-CentOS 6(32bit) に EPEL リポジトリを追加
rpm -Uvh http://ftp-srv2.kddilabs.jp/Linux/distributions...
vi /etc/yum.repos.d/epel.repo
-EPEL リポジトリの利用準備が整ったら、L2TP を実現するため...
--yum install xl2tpd
** 編集ファイル一覧 [#n17a162c]
- /etc/xl2tpd/xl2tpd.conf
- /etc/ppp/options.xl2tpd
- /etc/strongswan/ipsec.conf
- /etc/strongswan/ipsec.d/l2tp-psk.conf
- /etc/strongswan/ipsec.secrets
- /etc/sysctl.conf
- /etc/ppp/chap-secrets
- /etc/sysconfig/selinux
- /etc/sysconfig/iptables
** /etc/xl2tpd/xl2tpd.conf の編集 [#u3f05004]
-- vi /etc/xl2tpd/xl2tpd.conf
[global]
[lns default]
ip range = 192.168.1.128-192.168.1.254
local ip = 192.168.1.99
require chap = yes
refuse pap = yes
require authentication = yes
name = VPNserver
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes
** /etc/ppp/options.xl2tpdの編集 [#ya1c1e82]
-- vi /etc/ppp/options.xl2tpd
auth
crtscts
debug
lock
proxyarp
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
logfile /var/log/xl2tpd.log
ms-dns 192.168.1.1
ms-dns 192.168.1.2
ipcp-accept-local
ipcp-accept-remote
** IPSec のインストール [#xd64f958]
*** strongswan のインストール(yum) [#c8a76e5c]
openswan にiPhoneからつながらない不具合が有り、~
strongswan に変更
yum install strongswan
*** /etc/strongswan/ipsec.conf の編集 [#j93d9be0]
- vi /etc/strongswan/ipsec.conf
version 2.0
config setup
protostack=netkey
nat_traversal=yes
include /etc/strongswan/ipsec.d/*.conf
*** /etc/strongswan/ipsec.d/l2tp-psk.conf ファイルの作成 ...
- vi /etc/strongswan/ipsec.d/l2tp-psk.conf
conn L2TP-PSK-NAT
rightsubnet=0.0.0.0/0
#rightsubnet=vhost:%priv
forceencaps=yes
dpddelay=10
dpdtimeout=30
dpdaction=clear
also=L2TP-PSK-noNAT
conn L2TP-PSK-noNAT
#conn L2TP-PSK
#
# Configuration for one user with any type of IPsec/L2TP...
# including the updated Windows 2000/XP (MS KB Q818043),...
# excluding the non-updated Windows 2000/XP.
#
#
# Use a Preshared Key. Disable Perfect Forward Secrecy.
#
# PreSharedSecret needs to be specified in /etc/ipsec.se...
# YourIPAddress %any: "sharedsecret"
authby=secret
pfs=no
auto=add
keyingtries=3
# we cannot rekey for %any, let client rekey
rekey=no
# Apple iOS doesn't send delete notify so we nee...
# to detect vanishing clients
#dpddelay=5
#dpdtimeout=10
#dpdaction=clear
# Set ikelifetime and keylife to same defaults w...
ikelifetime=8h
keylife=1h
# l2tp-over-ipsec is transport mode
type=transport
left=192.168.1.3
leftnexthop=%defaultroute
#leftsubnet=192.168.1.0/24
# For updated Windows 2000/XP clients,
# to support old clients as well, use leftprotop...
leftprotoport=17/1701
# The remote user.
right=%any
# Using the magic port of "%any" means "any one ...
# a work around required for Apple OSX clients t...
# high port.
rightprotoport=17/%any
#rightprotoport=17/0
#ike=3des-md5
#esp=3des-md5
#forceencaps=yes
*** /etc/strongswan/ipsec.secrets の編集 [#cb93133f]
- vi /etc/strongswan/ipsec.secrets
: PSK "password"
include /etc/strongswan/ipsec.d/*.secrets
- root 以外の参照禁止
--chmod go-rwx /etc/strongswan/ipsec.secrets
** 起動 [#b26bc26a]
- service strongswan start
- service xl2tpd start
** 自動起動の設定 [#fcf48df3]
-chkconfig strongswan on
-chkconfig xl2tpd on
**NETKEY detected, testing for disabled ICMP send_redirec...
- vi /etc/sysctl.conf
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.lo.send_redirects = 0
net.ipv4.conf.lo.accept_redirects = 0
net.ipv4.conf.eth0.send_redirects = 0
net.ipv4.conf.eth0.accept_redirects = 0
net.ipv4.conf.eth1.send_redirects = 0
net.ipv4.conf.eth1.accept_redirects = 0
net.ipv4.ip_forward = 1
**反映 [#j7a75f4b]
- sysctl -p
**Pluto listening for IKE on udp 500 Pluto listening for ...
yum install lsof
**libpcap-devel のインストール [#n440e100]
yum install libpcap-devel ppp
** selinux 無効化 [#z2663064]
- vi /etc/sysconfig/selinux
SELINUX=disabled
** サーバーの再起動 [#u6a717ae]
** iptables 編集 [#t47573ec]
- vi /etc/sysconfig/iptables
-- 追加
-A FORWARD -i ppp+ -j ACCEPT
-A FORWARD -o ppp+ -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p esp -j ACCEPT
-A INPUT -p udp -m udp --dport 50 -j ACCEPT
-A INPUT -p udp -m udp --dport 500 -j ACCEPT
-A INPUT -p udp -m udp --dport 4500 -j ACCEPT
-A INPUT -p udp -m udp --dport 1701 -j ACCEPT
** /etc/ppp/chap-secrets の編集 [#f3e9a6dc]
- vi /etc/ppp/chap-secrets
# アカウント 接続名 パスワード IPアドレス
"vpn-account" * "vpn-password" *
** log ファイル、ひな形の作成 [#y61f1ddf]
touch /var/log/xl2tpd.log
** ルーターのポート開放 [#r22a8dec]
- udp 500
- udp 4500
- 50
- 1701
** Client の設定 [#f328d2b5]
*** Windows [#h58ac449]
+レジストリの変更 [#k194a06b]
-- regedit
--- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\...
--- 新規 「DWORD値」[AssumeUDPEncapsulationContextOnSendR...
--- 値 2
+ Windows,エラー,1 [#gd104903]
-指定したユーザー名またはパスワードが認識されないか、選択...
--本当にパスワードが間違えてる。
--コピペでなく手打ちすると直った。
*** iPhone [#y23e04af]
+iPhone の設定で気をつけること [#cd5fd356]
「全ての全ての通信を送信」のチェックがOnだと AU wifi につ...
VPN に繋がりませんでした。チェックをオフにすると繋がりま...
*** Linux(Ubuntu) [#r3218d82]
-関連ソフトのインストール
sudo apt install network-manager-openvpn network-manager...
-以下,KDEでの設定
++ 「設定」-「接続」
++ 「+」 -> 「レイヤ2トンネリング プロトコル(L2TP)」を選択
+++ 接続名:適当に決める
+++ 「VPN(l2tp)」タブを選択
+++ Gateway : 接続先URL 例) vpn.hoge.net
+++ User name : ユーザー名
+++ Password : パスワード
++ 「IPSec Settings...」ボタン
+++ チェックオン「Enable IPsec tunnel to L2TP host」
+++ 「Pre-shared key」を入力
* OpenVPN [#md0d17c9]
-[[参考サイト:https://centossrv.com/openvpn.shtml]]
** 設定関連図(構成図) [#k4621803]
Client1 -> Internet - udp -> キャリアルーター -> VPN サー...
※tcp は重い。server.conf に tcp-nodelay オプションを記入...
※tcp にするには、server.conf で udp を無効化しtcp を有効...
** OpenVPN Install [#v02e754c]
*** 必要なパッケージのインストール [#e05fe3f7]
sudo yum -y install openssl-devel lzo-devel pam-devel gcc
*** OpenVPN のインストール [#i36f5d11]
mkdir temp
wget http://swupdate.openvpn.org/community/releases/open...
- rpm-buildのインストール
--[[このリンク先を参照(サイト内)>Linux#y2790b50]]
- RPM パッケージの生成
sudo rpmbuild -tb --clean openvpn-2.3.12.tar.gz
- RPM パッケージからインストール
sudo yum -y localinstall ~/rpmbuild/RPMS/x86_64/openvpn-...
*** easy-rsa のインストール [#ld9dbc80]
cd ~/temp
wget https://github.com/OpenVPN/easy-rsa/archive/master....
unzip master.zip
- easy-rsa をコピー
sudo cp -r easy-rsa-master/easyrsa3/ /etc/openvpn/
** 証明書の作成とファイルのコピー [#r543789a]
※以下 su - で実行
*** 最初の1回のみ初期化 [#v215f57c]
cd /etc/openvpn/easyrsa3/
./easyrsa init-pki
*** CA証明書・秘密鍵作成 [#z08e40b7]
- CA証明書は認証局サーバで認証するための証明書 [[参考(認...
./easyrsa build-ca
~
Enter PEM pass phrase: (任意のパスワード)
Verifying - Enter PEM pass phrase: (任意のパスワード)(確...
~
Common Name (eg: your user, host, or server name) [Easy-...
~
CA creation complete and you may now import and sign cer...
Your new CA certificate file for publishing is at:
/root/easy-rsa-master/easyrsa3/pki/ca.crt
- CA証明書のコピー
cp pki/ca.crt /etc/openvpn/
*** サーバ証明書の作成 [#h3722ce5]
./easyrsa build-server-full server nopass
Enter pass phrase for /etc/openvpn/easyrsa3/pki/private/...
~
Data Base Updated
- ファイルのコピー
cp pki/issued/server.crt /etc/openvpn/
cp pki/private/server.key /etc/openvpn/
*** DH(Diffie Hellman)パラメータ作成 [#e40aa37e]
-DH(Diffie Hellman)パラメータとは?
-- [[参考 外部サイト:http://devillinuxvpn.eksd.jp/append...
-- 以下抜粋
(セキュリティー確保のため共有キーを直接やりとりしないた...
DH鍵交換方式。
DH鍵交換方式では、共通鍵そのものを送受信せず、
共通鍵を作り出す材料となる数のみを互いに交換する。
共通鍵そのものを送受信していないのに、同じ共通鍵を持つこ...
セキュリティーを確保することができる。
-DH(Diffie Hellman)パラメータ作成
./easyrsa gen-dh
(少し時間がかかるので終わるまで待つ(数分?)
-ファイルのコピー
cp pki/dh.pem /etc/openvpn/
*** 証明書廃止リスト作成 [#i6c69c89]
./easyrsa build-client-full dmy nopass
~
Enter pass phrase for /etc/openvpn/easyrsa3/pki/private/...
~
Write out database with 1 new entries
Data Base Updated
- 廃止
./easyrsa revoke dmy
~
Continue with revocation: yes (Enter)
~
IMPORTANT!!!
Revocation was successful. You must run gen-crl and uplo...
infrastructure in order to prevent the revoked cert from...
- 作成
./easyrsa gen-crl
~
Enter pass phrase for /etc/openvpn/easyrsa3/pki/private/...
An updated CRL has been created.
CRL file: /etc/openvpn/easyrsa3/pki/crl.pem
- ファイルのコピー
cp ./pki/crl.pem /etc/openvpn/
- アクセス権の変更
chmod o+r /etc/openvpn/crl.pem
** OpenVPN の設定(server.conf) [#fa72fde1]
※以下 su - で実行
- TLS認証キーの作成
openvpn --genkey --secret /etc/openvpn/ta.key
- サンプル設定ファイルのコピー
cp /usr/share/doc/openvpn-*/sample/sample-config-files/s...
- server.conf の編集~
[[参考(OpenVPN日本語サイト):http://www.openvpn.jp/documen...
「クライアントのすべてのトラフィック(Webトラフィックを含...
-- vi /etc/openvpn/server.conf
port 1194
~
proto udp
※tcp は重い。server.conf に tcp-nodelay オプションを記...
※tcp にするには、server.conf で udp を無効化しtcp を有...
~
dev tun ← 確認するだけ。デフォルトで設定済み
~
ca ca.crt
cert server.crt
key server.key # This file should be kept secret
~
dh dh.pem ← 左記のように変更する。DHパラメータ ファイ...
~
server 10.8.0.0 255.255.255.0 ← VPNクライアント割当て...
~
ifconfig-pool-persist ipp.txt
~
;push "route 192.168.10.0 255.255.255.0"
;push "route 192.168.20.0 255.255.255.0"
push "route 192.168.3.0 255.255.255.0" ← 追加(LAN(例:1...
~
push "redirect-gateway def1" <- インターネットへのア...
~
push "dhcp-option DNS 192.168.1.1" <- インターネット...
~
tls-auth ta.key 0 # This file is secret ← 行頭の;を削...
~
comp-lzo
~
user nobody ← 行頭の;を削除してコメント解除(OpenVPN実...
group nobody ← 行頭の;を削除してコメント解除(OpenVPN実...
~
persist-key
persist-tun
~
status openvpn-status.log
~
log-append /var/log/openvpn.log ← 行頭の;を削除してコ...
~
verb 3
~
management localhost 7505 ← 最終行へ追加(管理インタフ...
~
crl-verify crl.pem ← 最終行へ追加(証明書廃止リストの有...
~
最終行へ以下を追加(OpenVPN経由でSambaへのアクセスがエラ...
fragment 1280
mssfix 1280
link-mtu 1400
cipher AES-128-CBC
** ファイアウォール設定 (省略) [#e9d7ab41]
** ログ ローテーション [#kf484de5]
※以下 su - で実行
- vi /etc/logrotate.d/openvpn
/var/log/openvpn.log {
missingok
notifempty
sharedscripts
postrotate
systemctl restart openvpn 2>&1 > /dev/null || true
endscript
}
** OpenVPN の起動 [#k60bb994]
※以下 su - で実行
*** OpenVPN 起動スクリプトの編集 [#kb53a6b2]
- vi /etc/rc.d/init.d/openvpn
-- 行頭の # を削除してコメント解除
echo 1 > /proc/sys/net/ipv4/ip_forward
*** OpenVPN の起動 [#p7b8bb2d]
service openvpn start
*** 自動起動の設定 [#oa9e6f69]
chkconfig openvpn on
** ファイアウォール設定 [#m0755311]
設定関連図(構成図)~
Client1 -> Internet -> キャリアルーター -> VPN サーバ ->...
*** キャリアルーターの設定 [#j01c0a5a]
+1194ポートをVPNサーバへ転送(tcp の場合は tcp ポートを。u...
+10.8 系へのルートの追加 10.8.0.0 のゲートウェイを VPNサ...
*** VPNサーバのファイアウォール設定(省略) [#j4f86180]
** クライアント証明書の秘密キー作成 [#qd1e818c]
※以下 su - で実行
*** クライアント証明書・秘密鍵作成(パスフレーズ認証なし) ...
cd /etc/openvpn/easyrsa3/
./easyrsa build-client-full client1 nopass
Enter pass phrase for /etc/openvpn/easyrsa3/pki/private/...
Write out database with 1 new entries
Data Base Updated
** クライアントの設定 [#m7628219]
*** Windows(iPhoneの場合も設定ファイルを作るのでこちらか...
+共通
++ OpenVPN クライアントのダウンロード
--- [[OpenVPN:https://openvpn.net/index.php/open-source/d...
++ OpenVPN のインストール
+新(2019/2/5)
--(設定ファイルがある前提でスタート)
++OpenVPNソフトを起動
++タスクトレイにあるOpenVPNアイコンを右クリック、「Import...
++*.ovpn ファイルを選択
++タスクトレイにあるOpenVPNアイコンを右クリック、「設定」...
++「Advanced」タブを選択
++「設定ファイル」の場所を確認し、「ディレクトリ」のPATH...
++エクスプローラーで上記のコピーしたPATHを開く
++以下のファイルをコピーする。
+++ ca.crt (/etc/openvpn/easyrsa3/pki/ca.crt)
+++ ta.key (/etc/openvpn/ta.key)
+++ 接続名.crt 例) clientConnect.crt (/etc/openvpn/eas...
+++ 接続名.key 例) clientConnect.key (/etc/openvpn/easy...
++接続の確認
+++ タスクトレイにあるOpenVPNアイコンを右クリック、「接続...
+旧
++ サンプルファイルのコピー
--- コピー元
C:\Program Files\OpenVPN\sample-config\client.ovpn
--- コピー先
C:\Program Files\OpenVPN\config
++ client.ovpn の編集
--- 外からクライアントで接続する先を設定
remote tar3.net 1194
--- クライアント証明書、秘密鍵の指定
ca ca.crt
cert client1.crt
key client1.key
--- 中間者攻撃(Man-in-the-Middle)対策。※中間者攻撃につい...
remote-cert-tls server
--- TLS 認証の有効化
tls-auth ta.key 1
--- (参考) Samba アクセス対策(追加)
fragment 1280
mssfix 1280
link-mtu 1400
++必要ファイルをクライアントへコピー(※必ずセキュアな接続...
--- コピー元
>
+++ CA証明書
/etc/openvpn/ca.crt
+++ クライアント証明書
/etc/openvpn/easyrsa3/pki/issued/client1.crt
+++ クライアント秘密鍵
/etc/openvpn/easyrsa3/pki/private/client1.key
+++ TLS認証鍵
/etc/openvpn/ta.key
<
--- コピー先
>
- C:\Program Files\OpenVPN\config
<
*** iPhone(Windows の場合が終わってから) [#r7a0f789]
- OpenVPN のインストール
- iTunes 経由で iPhone へファイルを送り込む。
-- iTunes -> iPhone -> アプリ -> 下に画面をスクロールする...
** 接続確認 [#jd8f029b]
*** Windows [#g2596e75]
- OpenVPN を起動し、タスクトレイにあるアイコンを右クリッ...
-- Windows のネットワークは、インターネット経由(テザリン...
自宅LANからだと名前解決、認証解決ができない場合が多い。~
また本当の意味でのテストにならない。
-- 「確認くん」というグローバルIPをチェックするサイトがあ...
-- [[CMAN(Global address 確認):https://www.cman.jp/networ...
*** iPhone [#x45d0d9c]
- OpenVPN アプリの起動。
- 緑色の + ボタンを押す。
- あとは○をスライドし接続する。
-- iPhone の場合も、無線LAN環境ではなく、4G回線などインタ...
理由は上記の Windows の場合と同様。~
無線LAN環境をやめるためには、現在接続設定がある全ての無線...
どこの無線LANにも繋がっていない環境を作ることにより可能。
*** 疎通確認 [#r6b00033]
Ping による疎通確認が可能だが、通らない場合は大抵ルートの...
キャリアルーターにきちんと静的ルートが書いてあるか。また...
OpenVPN サーバの Push "Route ..." は関係ない場合が多く、...
*** VPNクライアントの削除 [#ca836d89]
※以下 su - で実行
-クライアント証明書廃止
cd /etc/openvpn/easyrsa3/
./easyrsa revoke client1
~
Continue with revocation: yes を入力
~
Enter pass phrase for /etc/openvpn/easyrsa3/pki/private/...
-証明書類の削除
rm -f ./pki/issued/client1.crt ← client1証明書類削除
rm -f ./pki/private/client1.key ← client1証明書類削除
rm -f ./pki/reqs/client1.req ← client1証明書類削除
./easyrsa gen-crl ← 証明書廃止リストを作成
~
Enter pass phrase for /etc/openvpn/easyrsa3/pki/private/...
~
CRL file: /etc/openvpn/easyrsa3/pki/crl.pem
-廃止証明書のコピー
cp ./pki/crl.pem /etc/openvpn/
-廃止証明書への権限付与
chmod o+r /etc/openvpn/crl.pem
***接続中クライアントの強制切断 [#s1179195]
※以下 su - で実行
-telnet のインストール
yum install telnet
-OpenVPN の管理インターフェースへアクセス
telnet localhost 7505
-status の確認
status
client1,124.211.3.180:1617,6882,7144,Tue Nov 28 19:26:5...
-client1 の強制切断
kill client1
-status の再確認
status
-OpenVPN管理インタフェース終了
exit
** トラブル [#cac0d20b]
*** Server:Version2.4, Client:Version2.6,繋がらない [#o42...
-エラーメッセージ
-- OpenSSL: error:0308010C:digital envelope routines::uns...
-採用されなくなったcipher(サイファー)が原因
+ サーバー側
++ sudo vim /etc/openvpn/server.conf
--- 末尾に以下を追加
cipher AES-128-CBC
+ クライアントの.ovpnファイルの末尾へ追加
++Version2.6
data-ciphers AES-128-CBC
++Version2.4
cipher AES-128-CBC
* 過去ログ [#t74b739c]
** ipsec の確認 ipsec verify [#f1a8b37f]
- ipsec verify
- うちの結果はこんな感じです(^^)
Verifying installed system and configuration files
Version check and ipsec on-path ...
Libreswan 3.7 (netkey) on 2.6.32-431.3.1.el6.i686
Checking for IPsec support in kernel ...
NETKEY: Testing XFRM related proc values
ICMP default/send_redirects ...
ICMP default/accept_redirects ...
XFRM larval drop ...
Pluto ipsec.conf syntax ...
Hardware random device ...
Two or more interfaces found, checking IP forwarding ...
Checking rp_filter ...
/proc/sys/net/ipv4/conf/default/rp_filter ...
/proc/sys/net/ipv4/conf/lo/rp_filter ...
/proc/sys/net/ipv4/conf/eth0/rp_filter ...
/proc/sys/net/ipv4/conf/ppp0/rp_filter ...
rp_filter is not fully aware of IPsec and should be di...
Checking that pluto is running ...
Pluto listening for IKE on udp 500 ...
Pluto listening for IKE/NAT-T on udp 4500 ...
Pluto ipsec.secret syntax ...
Checking NAT and MASQUERADEing ...
Checking 'ip' command ...
Checking 'iptables' command ...
Checking 'prelink' command does not interfere with FIPSC...
Opportunistic Encryption ...
ipsec verify: encountered 9 errors - see 'man ipsec_veri...
- うちの結果はこんな感じ(^^)
Verifying installed system and configuration files
Version check and ipsec on-path ...
Libreswan 3.7 (netkey) on 2.6.32-431.3.1.el6.i686
Checking for IPsec support in kernel ...
NETKEY: Testing XFRM related proc values
ICMP default/send_redirects ...
ICMP default/accept_redirects ...
XFRM larval drop ...
Pluto ipsec.conf syntax ...
Hardware random device ...
Two or more interfaces found, checking IP forwarding ...
Checking rp_filter ...
/proc/sys/net/ipv4/conf/default/rp_filter ...
/proc/sys/net/ipv4/conf/lo/rp_filter ...
/proc/sys/net/ipv4/conf/eth0/rp_filter ...
/proc/sys/net/ipv4/conf/ppp0/rp_filter ...
rp_filter is not fully aware of IPsec and should be di...
Checking that pluto is running ...
Pluto listening for IKE on udp 500 ...
Pluto listening for IKE/NAT-T on udp 4500 ...
Pluto ipsec.secret syntax ...
Checking NAT and MASQUERADEing ...
Checking 'ip' command ...
Checking 'iptables' command ...
Checking 'prelink' command does not interfere with FIPSC...
Opportunistic Encryption ...
ipsec verify: encountered 9 errors - see 'man ipsec_veri...
終了行:
[[Linux]]
#shadowheader(1,VPN Centos);
#Contents
*vpn 比較 [#q1af3335]
-[[こちら:http://jp.giganews.com/vyprvpn/compare-vpn-prot...
-- openVPN を初めにインストールしましたが、~
ios へ対応していないのでボツ
-- 次に pptp をインストールしましたが、~
emobile に対応していないのでボツ
-- 最後に L2TP をインストール
*pptp サーバー構築 (CentOS 5) [#jd2be6ab]
- ppp のインストール
-- yum install ppp
- download
-- [[http://sourceforge.net/projects/poptop/files/:http:/...
- rpm build のためファイルを下記ディレクトリへコピー
-- cp ./pptpd-1.3.4.tar.gz /usr/src/redhat/SOURCES/
- rpm を build
-- rpmbuild -ta pptpd-1.3.4.tar.gz
- rpm からインストール
-- cd /usr/src/redhat/RPMS/i386/
-- rpm -ivh pptpd-1.3.4-1.i386.rpm
- /etc/pptpd.conf 編集
-- vi /etc/pptpd.conf
-- 最後に下記を追加
ppp /usr/sbin/pppd
localip 192.168.1.101-110
remoteip 192.168.2.111-120
#logwtmp < logwtmp をコメントアウト
- ppp の設定
-- vi /etc/ppp/options.pptpd
name pptpd
domain tar3.net
# localip と remoteip が LAN 側サブネットに含まれる場合...
proxyarp
auth
lock
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
ms-dns 192.168.1.37
ms-dns 192.168.1.1
ms-wins 192.168.1.37
nobsdcomp
novj
novjcomp
nologfd
mtu 1200
mru 1200
debug
-- vi /etc/ppp/chap-secrets
hoge pptpd password *
- ルーティング機能を有効にする
-- echo 1 > /proc/sys/net/ipv4/ip_forward
-- vi /etc/sysctl.conf
net.ipv4.ip_forward = 1
- ファイアウォールの 1723 と 47 のポートを開ける(iptables)
-- vi /etc/sysconfig/iptables
-A FORWARD -i ppp+ -j ACCEPT
-A FORWARD -o ppp+ -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 1723...
- 外とのルーターポートをNATで開ける
-- 1723 と 47 ポート
- Windowsのネットワークコンピュータで LAN内部の別コンピュ...
-- /etc/samba/smb.conf を編集
[root@sv22 ~]# vi /etc/samba/smb.conf
; domain master = yes
↓
domain master = yes
; local master = no
↓
local master = yes
; preferred master = yes
↓
preferred master = yes
; os level = 33
↓
os level = 65
; wins support = yes
↓
wins support = yes
-Samba再起動
[root@sv22 ~]# /etc/rc.d/init.d/smb restart
SMB サービスを停止中: [ OK ]
NMB サービスを停止中: [ OK ]
SMB サービスを起動中: [ OK ]
NMB サービスを起動中: [ OK ]
*L2TP サーバー構築(centos 5) [#j22d5570]
**参考サイト [#zb999906]
-[[参考外部サイト:http://sig9.hatenablog.com/entry/2015/0...
**CentOS に epel レポジトリのインストール [#n91c6a50]
- 参考URL~
--[[32bit版CentOS 6の場合は:http://ftp-srv2.kddilabs.jp/L...
--[[64bit版CentOS 6の場合は:http://ftp-srv2.kddilabs.jp/L...
--[[32bit版CentOS 5の場合は:http://ftp-srv2.kddilabs.jp/L...
--[[64bit版CentOS 5の場合は:http://ftp-srv2.kddilabs.jp/L...
-CentOS 5.5 に EPEL リポジトリを追加する
--cd /etc/pki/rpm-gpg/
--wget http://mirrors.ustc.edu.cn/fedora/epel/RPM-GPG-KEY...
--rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL
--rpm -ivh http://mirrors.ustc.edu.cn/fedora/epel/5/i386/...
-CentOS 6(32bit) に EPEL リポジトリを追加
rpm -Uvh http://ftp-srv2.kddilabs.jp/Linux/distributions...
vi /etc/yum.repos.d/epel.repo
-EPEL リポジトリの利用準備が整ったら、L2TP を実現するため...
--yum install xl2tpd
** 編集ファイル一覧 [#n17a162c]
- /etc/xl2tpd/xl2tpd.conf
- /etc/ppp/options.xl2tpd
- /etc/strongswan/ipsec.conf
- /etc/strongswan/ipsec.d/l2tp-psk.conf
- /etc/strongswan/ipsec.secrets
- /etc/sysctl.conf
- /etc/ppp/chap-secrets
- /etc/sysconfig/selinux
- /etc/sysconfig/iptables
** /etc/xl2tpd/xl2tpd.conf の編集 [#u3f05004]
-- vi /etc/xl2tpd/xl2tpd.conf
[global]
[lns default]
ip range = 192.168.1.128-192.168.1.254
local ip = 192.168.1.99
require chap = yes
refuse pap = yes
require authentication = yes
name = VPNserver
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes
** /etc/ppp/options.xl2tpdの編集 [#ya1c1e82]
-- vi /etc/ppp/options.xl2tpd
auth
crtscts
debug
lock
proxyarp
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
logfile /var/log/xl2tpd.log
ms-dns 192.168.1.1
ms-dns 192.168.1.2
ipcp-accept-local
ipcp-accept-remote
** IPSec のインストール [#xd64f958]
*** strongswan のインストール(yum) [#c8a76e5c]
openswan にiPhoneからつながらない不具合が有り、~
strongswan に変更
yum install strongswan
*** /etc/strongswan/ipsec.conf の編集 [#j93d9be0]
- vi /etc/strongswan/ipsec.conf
version 2.0
config setup
protostack=netkey
nat_traversal=yes
include /etc/strongswan/ipsec.d/*.conf
*** /etc/strongswan/ipsec.d/l2tp-psk.conf ファイルの作成 ...
- vi /etc/strongswan/ipsec.d/l2tp-psk.conf
conn L2TP-PSK-NAT
rightsubnet=0.0.0.0/0
#rightsubnet=vhost:%priv
forceencaps=yes
dpddelay=10
dpdtimeout=30
dpdaction=clear
also=L2TP-PSK-noNAT
conn L2TP-PSK-noNAT
#conn L2TP-PSK
#
# Configuration for one user with any type of IPsec/L2TP...
# including the updated Windows 2000/XP (MS KB Q818043),...
# excluding the non-updated Windows 2000/XP.
#
#
# Use a Preshared Key. Disable Perfect Forward Secrecy.
#
# PreSharedSecret needs to be specified in /etc/ipsec.se...
# YourIPAddress %any: "sharedsecret"
authby=secret
pfs=no
auto=add
keyingtries=3
# we cannot rekey for %any, let client rekey
rekey=no
# Apple iOS doesn't send delete notify so we nee...
# to detect vanishing clients
#dpddelay=5
#dpdtimeout=10
#dpdaction=clear
# Set ikelifetime and keylife to same defaults w...
ikelifetime=8h
keylife=1h
# l2tp-over-ipsec is transport mode
type=transport
left=192.168.1.3
leftnexthop=%defaultroute
#leftsubnet=192.168.1.0/24
# For updated Windows 2000/XP clients,
# to support old clients as well, use leftprotop...
leftprotoport=17/1701
# The remote user.
right=%any
# Using the magic port of "%any" means "any one ...
# a work around required for Apple OSX clients t...
# high port.
rightprotoport=17/%any
#rightprotoport=17/0
#ike=3des-md5
#esp=3des-md5
#forceencaps=yes
*** /etc/strongswan/ipsec.secrets の編集 [#cb93133f]
- vi /etc/strongswan/ipsec.secrets
: PSK "password"
include /etc/strongswan/ipsec.d/*.secrets
- root 以外の参照禁止
--chmod go-rwx /etc/strongswan/ipsec.secrets
** 起動 [#b26bc26a]
- service strongswan start
- service xl2tpd start
** 自動起動の設定 [#fcf48df3]
-chkconfig strongswan on
-chkconfig xl2tpd on
**NETKEY detected, testing for disabled ICMP send_redirec...
- vi /etc/sysctl.conf
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.lo.send_redirects = 0
net.ipv4.conf.lo.accept_redirects = 0
net.ipv4.conf.eth0.send_redirects = 0
net.ipv4.conf.eth0.accept_redirects = 0
net.ipv4.conf.eth1.send_redirects = 0
net.ipv4.conf.eth1.accept_redirects = 0
net.ipv4.ip_forward = 1
**反映 [#j7a75f4b]
- sysctl -p
**Pluto listening for IKE on udp 500 Pluto listening for ...
yum install lsof
**libpcap-devel のインストール [#n440e100]
yum install libpcap-devel ppp
** selinux 無効化 [#z2663064]
- vi /etc/sysconfig/selinux
SELINUX=disabled
** サーバーの再起動 [#u6a717ae]
** iptables 編集 [#t47573ec]
- vi /etc/sysconfig/iptables
-- 追加
-A FORWARD -i ppp+ -j ACCEPT
-A FORWARD -o ppp+ -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p esp -j ACCEPT
-A INPUT -p udp -m udp --dport 50 -j ACCEPT
-A INPUT -p udp -m udp --dport 500 -j ACCEPT
-A INPUT -p udp -m udp --dport 4500 -j ACCEPT
-A INPUT -p udp -m udp --dport 1701 -j ACCEPT
** /etc/ppp/chap-secrets の編集 [#f3e9a6dc]
- vi /etc/ppp/chap-secrets
# アカウント 接続名 パスワード IPアドレス
"vpn-account" * "vpn-password" *
** log ファイル、ひな形の作成 [#y61f1ddf]
touch /var/log/xl2tpd.log
** ルーターのポート開放 [#r22a8dec]
- udp 500
- udp 4500
- 50
- 1701
** Client の設定 [#f328d2b5]
*** Windows [#h58ac449]
+レジストリの変更 [#k194a06b]
-- regedit
--- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\...
--- 新規 「DWORD値」[AssumeUDPEncapsulationContextOnSendR...
--- 値 2
+ Windows,エラー,1 [#gd104903]
-指定したユーザー名またはパスワードが認識されないか、選択...
--本当にパスワードが間違えてる。
--コピペでなく手打ちすると直った。
*** iPhone [#y23e04af]
+iPhone の設定で気をつけること [#cd5fd356]
「全ての全ての通信を送信」のチェックがOnだと AU wifi につ...
VPN に繋がりませんでした。チェックをオフにすると繋がりま...
*** Linux(Ubuntu) [#r3218d82]
-関連ソフトのインストール
sudo apt install network-manager-openvpn network-manager...
-以下,KDEでの設定
++ 「設定」-「接続」
++ 「+」 -> 「レイヤ2トンネリング プロトコル(L2TP)」を選択
+++ 接続名:適当に決める
+++ 「VPN(l2tp)」タブを選択
+++ Gateway : 接続先URL 例) vpn.hoge.net
+++ User name : ユーザー名
+++ Password : パスワード
++ 「IPSec Settings...」ボタン
+++ チェックオン「Enable IPsec tunnel to L2TP host」
+++ 「Pre-shared key」を入力
* OpenVPN [#md0d17c9]
-[[参考サイト:https://centossrv.com/openvpn.shtml]]
** 設定関連図(構成図) [#k4621803]
Client1 -> Internet - udp -> キャリアルーター -> VPN サー...
※tcp は重い。server.conf に tcp-nodelay オプションを記入...
※tcp にするには、server.conf で udp を無効化しtcp を有効...
** OpenVPN Install [#v02e754c]
*** 必要なパッケージのインストール [#e05fe3f7]
sudo yum -y install openssl-devel lzo-devel pam-devel gcc
*** OpenVPN のインストール [#i36f5d11]
mkdir temp
wget http://swupdate.openvpn.org/community/releases/open...
- rpm-buildのインストール
--[[このリンク先を参照(サイト内)>Linux#y2790b50]]
- RPM パッケージの生成
sudo rpmbuild -tb --clean openvpn-2.3.12.tar.gz
- RPM パッケージからインストール
sudo yum -y localinstall ~/rpmbuild/RPMS/x86_64/openvpn-...
*** easy-rsa のインストール [#ld9dbc80]
cd ~/temp
wget https://github.com/OpenVPN/easy-rsa/archive/master....
unzip master.zip
- easy-rsa をコピー
sudo cp -r easy-rsa-master/easyrsa3/ /etc/openvpn/
** 証明書の作成とファイルのコピー [#r543789a]
※以下 su - で実行
*** 最初の1回のみ初期化 [#v215f57c]
cd /etc/openvpn/easyrsa3/
./easyrsa init-pki
*** CA証明書・秘密鍵作成 [#z08e40b7]
- CA証明書は認証局サーバで認証するための証明書 [[参考(認...
./easyrsa build-ca
~
Enter PEM pass phrase: (任意のパスワード)
Verifying - Enter PEM pass phrase: (任意のパスワード)(確...
~
Common Name (eg: your user, host, or server name) [Easy-...
~
CA creation complete and you may now import and sign cer...
Your new CA certificate file for publishing is at:
/root/easy-rsa-master/easyrsa3/pki/ca.crt
- CA証明書のコピー
cp pki/ca.crt /etc/openvpn/
*** サーバ証明書の作成 [#h3722ce5]
./easyrsa build-server-full server nopass
Enter pass phrase for /etc/openvpn/easyrsa3/pki/private/...
~
Data Base Updated
- ファイルのコピー
cp pki/issued/server.crt /etc/openvpn/
cp pki/private/server.key /etc/openvpn/
*** DH(Diffie Hellman)パラメータ作成 [#e40aa37e]
-DH(Diffie Hellman)パラメータとは?
-- [[参考 外部サイト:http://devillinuxvpn.eksd.jp/append...
-- 以下抜粋
(セキュリティー確保のため共有キーを直接やりとりしないた...
DH鍵交換方式。
DH鍵交換方式では、共通鍵そのものを送受信せず、
共通鍵を作り出す材料となる数のみを互いに交換する。
共通鍵そのものを送受信していないのに、同じ共通鍵を持つこ...
セキュリティーを確保することができる。
-DH(Diffie Hellman)パラメータ作成
./easyrsa gen-dh
(少し時間がかかるので終わるまで待つ(数分?)
-ファイルのコピー
cp pki/dh.pem /etc/openvpn/
*** 証明書廃止リスト作成 [#i6c69c89]
./easyrsa build-client-full dmy nopass
~
Enter pass phrase for /etc/openvpn/easyrsa3/pki/private/...
~
Write out database with 1 new entries
Data Base Updated
- 廃止
./easyrsa revoke dmy
~
Continue with revocation: yes (Enter)
~
IMPORTANT!!!
Revocation was successful. You must run gen-crl and uplo...
infrastructure in order to prevent the revoked cert from...
- 作成
./easyrsa gen-crl
~
Enter pass phrase for /etc/openvpn/easyrsa3/pki/private/...
An updated CRL has been created.
CRL file: /etc/openvpn/easyrsa3/pki/crl.pem
- ファイルのコピー
cp ./pki/crl.pem /etc/openvpn/
- アクセス権の変更
chmod o+r /etc/openvpn/crl.pem
** OpenVPN の設定(server.conf) [#fa72fde1]
※以下 su - で実行
- TLS認証キーの作成
openvpn --genkey --secret /etc/openvpn/ta.key
- サンプル設定ファイルのコピー
cp /usr/share/doc/openvpn-*/sample/sample-config-files/s...
- server.conf の編集~
[[参考(OpenVPN日本語サイト):http://www.openvpn.jp/documen...
「クライアントのすべてのトラフィック(Webトラフィックを含...
-- vi /etc/openvpn/server.conf
port 1194
~
proto udp
※tcp は重い。server.conf に tcp-nodelay オプションを記...
※tcp にするには、server.conf で udp を無効化しtcp を有...
~
dev tun ← 確認するだけ。デフォルトで設定済み
~
ca ca.crt
cert server.crt
key server.key # This file should be kept secret
~
dh dh.pem ← 左記のように変更する。DHパラメータ ファイ...
~
server 10.8.0.0 255.255.255.0 ← VPNクライアント割当て...
~
ifconfig-pool-persist ipp.txt
~
;push "route 192.168.10.0 255.255.255.0"
;push "route 192.168.20.0 255.255.255.0"
push "route 192.168.3.0 255.255.255.0" ← 追加(LAN(例:1...
~
push "redirect-gateway def1" <- インターネットへのア...
~
push "dhcp-option DNS 192.168.1.1" <- インターネット...
~
tls-auth ta.key 0 # This file is secret ← 行頭の;を削...
~
comp-lzo
~
user nobody ← 行頭の;を削除してコメント解除(OpenVPN実...
group nobody ← 行頭の;を削除してコメント解除(OpenVPN実...
~
persist-key
persist-tun
~
status openvpn-status.log
~
log-append /var/log/openvpn.log ← 行頭の;を削除してコ...
~
verb 3
~
management localhost 7505 ← 最終行へ追加(管理インタフ...
~
crl-verify crl.pem ← 最終行へ追加(証明書廃止リストの有...
~
最終行へ以下を追加(OpenVPN経由でSambaへのアクセスがエラ...
fragment 1280
mssfix 1280
link-mtu 1400
cipher AES-128-CBC
** ファイアウォール設定 (省略) [#e9d7ab41]
** ログ ローテーション [#kf484de5]
※以下 su - で実行
- vi /etc/logrotate.d/openvpn
/var/log/openvpn.log {
missingok
notifempty
sharedscripts
postrotate
systemctl restart openvpn 2>&1 > /dev/null || true
endscript
}
** OpenVPN の起動 [#k60bb994]
※以下 su - で実行
*** OpenVPN 起動スクリプトの編集 [#kb53a6b2]
- vi /etc/rc.d/init.d/openvpn
-- 行頭の # を削除してコメント解除
echo 1 > /proc/sys/net/ipv4/ip_forward
*** OpenVPN の起動 [#p7b8bb2d]
service openvpn start
*** 自動起動の設定 [#oa9e6f69]
chkconfig openvpn on
** ファイアウォール設定 [#m0755311]
設定関連図(構成図)~
Client1 -> Internet -> キャリアルーター -> VPN サーバ ->...
*** キャリアルーターの設定 [#j01c0a5a]
+1194ポートをVPNサーバへ転送(tcp の場合は tcp ポートを。u...
+10.8 系へのルートの追加 10.8.0.0 のゲートウェイを VPNサ...
*** VPNサーバのファイアウォール設定(省略) [#j4f86180]
** クライアント証明書の秘密キー作成 [#qd1e818c]
※以下 su - で実行
*** クライアント証明書・秘密鍵作成(パスフレーズ認証なし) ...
cd /etc/openvpn/easyrsa3/
./easyrsa build-client-full client1 nopass
Enter pass phrase for /etc/openvpn/easyrsa3/pki/private/...
Write out database with 1 new entries
Data Base Updated
** クライアントの設定 [#m7628219]
*** Windows(iPhoneの場合も設定ファイルを作るのでこちらか...
+共通
++ OpenVPN クライアントのダウンロード
--- [[OpenVPN:https://openvpn.net/index.php/open-source/d...
++ OpenVPN のインストール
+新(2019/2/5)
--(設定ファイルがある前提でスタート)
++OpenVPNソフトを起動
++タスクトレイにあるOpenVPNアイコンを右クリック、「Import...
++*.ovpn ファイルを選択
++タスクトレイにあるOpenVPNアイコンを右クリック、「設定」...
++「Advanced」タブを選択
++「設定ファイル」の場所を確認し、「ディレクトリ」のPATH...
++エクスプローラーで上記のコピーしたPATHを開く
++以下のファイルをコピーする。
+++ ca.crt (/etc/openvpn/easyrsa3/pki/ca.crt)
+++ ta.key (/etc/openvpn/ta.key)
+++ 接続名.crt 例) clientConnect.crt (/etc/openvpn/eas...
+++ 接続名.key 例) clientConnect.key (/etc/openvpn/easy...
++接続の確認
+++ タスクトレイにあるOpenVPNアイコンを右クリック、「接続...
+旧
++ サンプルファイルのコピー
--- コピー元
C:\Program Files\OpenVPN\sample-config\client.ovpn
--- コピー先
C:\Program Files\OpenVPN\config
++ client.ovpn の編集
--- 外からクライアントで接続する先を設定
remote tar3.net 1194
--- クライアント証明書、秘密鍵の指定
ca ca.crt
cert client1.crt
key client1.key
--- 中間者攻撃(Man-in-the-Middle)対策。※中間者攻撃につい...
remote-cert-tls server
--- TLS 認証の有効化
tls-auth ta.key 1
--- (参考) Samba アクセス対策(追加)
fragment 1280
mssfix 1280
link-mtu 1400
++必要ファイルをクライアントへコピー(※必ずセキュアな接続...
--- コピー元
>
+++ CA証明書
/etc/openvpn/ca.crt
+++ クライアント証明書
/etc/openvpn/easyrsa3/pki/issued/client1.crt
+++ クライアント秘密鍵
/etc/openvpn/easyrsa3/pki/private/client1.key
+++ TLS認証鍵
/etc/openvpn/ta.key
<
--- コピー先
>
- C:\Program Files\OpenVPN\config
<
*** iPhone(Windows の場合が終わってから) [#r7a0f789]
- OpenVPN のインストール
- iTunes 経由で iPhone へファイルを送り込む。
-- iTunes -> iPhone -> アプリ -> 下に画面をスクロールする...
** 接続確認 [#jd8f029b]
*** Windows [#g2596e75]
- OpenVPN を起動し、タスクトレイにあるアイコンを右クリッ...
-- Windows のネットワークは、インターネット経由(テザリン...
自宅LANからだと名前解決、認証解決ができない場合が多い。~
また本当の意味でのテストにならない。
-- 「確認くん」というグローバルIPをチェックするサイトがあ...
-- [[CMAN(Global address 確認):https://www.cman.jp/networ...
*** iPhone [#x45d0d9c]
- OpenVPN アプリの起動。
- 緑色の + ボタンを押す。
- あとは○をスライドし接続する。
-- iPhone の場合も、無線LAN環境ではなく、4G回線などインタ...
理由は上記の Windows の場合と同様。~
無線LAN環境をやめるためには、現在接続設定がある全ての無線...
どこの無線LANにも繋がっていない環境を作ることにより可能。
*** 疎通確認 [#r6b00033]
Ping による疎通確認が可能だが、通らない場合は大抵ルートの...
キャリアルーターにきちんと静的ルートが書いてあるか。また...
OpenVPN サーバの Push "Route ..." は関係ない場合が多く、...
*** VPNクライアントの削除 [#ca836d89]
※以下 su - で実行
-クライアント証明書廃止
cd /etc/openvpn/easyrsa3/
./easyrsa revoke client1
~
Continue with revocation: yes を入力
~
Enter pass phrase for /etc/openvpn/easyrsa3/pki/private/...
-証明書類の削除
rm -f ./pki/issued/client1.crt ← client1証明書類削除
rm -f ./pki/private/client1.key ← client1証明書類削除
rm -f ./pki/reqs/client1.req ← client1証明書類削除
./easyrsa gen-crl ← 証明書廃止リストを作成
~
Enter pass phrase for /etc/openvpn/easyrsa3/pki/private/...
~
CRL file: /etc/openvpn/easyrsa3/pki/crl.pem
-廃止証明書のコピー
cp ./pki/crl.pem /etc/openvpn/
-廃止証明書への権限付与
chmod o+r /etc/openvpn/crl.pem
***接続中クライアントの強制切断 [#s1179195]
※以下 su - で実行
-telnet のインストール
yum install telnet
-OpenVPN の管理インターフェースへアクセス
telnet localhost 7505
-status の確認
status
client1,124.211.3.180:1617,6882,7144,Tue Nov 28 19:26:5...
-client1 の強制切断
kill client1
-status の再確認
status
-OpenVPN管理インタフェース終了
exit
** トラブル [#cac0d20b]
*** Server:Version2.4, Client:Version2.6,繋がらない [#o42...
-エラーメッセージ
-- OpenSSL: error:0308010C:digital envelope routines::uns...
-採用されなくなったcipher(サイファー)が原因
+ サーバー側
++ sudo vim /etc/openvpn/server.conf
--- 末尾に以下を追加
cipher AES-128-CBC
+ クライアントの.ovpnファイルの末尾へ追加
++Version2.6
data-ciphers AES-128-CBC
++Version2.4
cipher AES-128-CBC
* 過去ログ [#t74b739c]
** ipsec の確認 ipsec verify [#f1a8b37f]
- ipsec verify
- うちの結果はこんな感じです(^^)
Verifying installed system and configuration files
Version check and ipsec on-path ...
Libreswan 3.7 (netkey) on 2.6.32-431.3.1.el6.i686
Checking for IPsec support in kernel ...
NETKEY: Testing XFRM related proc values
ICMP default/send_redirects ...
ICMP default/accept_redirects ...
XFRM larval drop ...
Pluto ipsec.conf syntax ...
Hardware random device ...
Two or more interfaces found, checking IP forwarding ...
Checking rp_filter ...
/proc/sys/net/ipv4/conf/default/rp_filter ...
/proc/sys/net/ipv4/conf/lo/rp_filter ...
/proc/sys/net/ipv4/conf/eth0/rp_filter ...
/proc/sys/net/ipv4/conf/ppp0/rp_filter ...
rp_filter is not fully aware of IPsec and should be di...
Checking that pluto is running ...
Pluto listening for IKE on udp 500 ...
Pluto listening for IKE/NAT-T on udp 4500 ...
Pluto ipsec.secret syntax ...
Checking NAT and MASQUERADEing ...
Checking 'ip' command ...
Checking 'iptables' command ...
Checking 'prelink' command does not interfere with FIPSC...
Opportunistic Encryption ...
ipsec verify: encountered 9 errors - see 'man ipsec_veri...
- うちの結果はこんな感じ(^^)
Verifying installed system and configuration files
Version check and ipsec on-path ...
Libreswan 3.7 (netkey) on 2.6.32-431.3.1.el6.i686
Checking for IPsec support in kernel ...
NETKEY: Testing XFRM related proc values
ICMP default/send_redirects ...
ICMP default/accept_redirects ...
XFRM larval drop ...
Pluto ipsec.conf syntax ...
Hardware random device ...
Two or more interfaces found, checking IP forwarding ...
Checking rp_filter ...
/proc/sys/net/ipv4/conf/default/rp_filter ...
/proc/sys/net/ipv4/conf/lo/rp_filter ...
/proc/sys/net/ipv4/conf/eth0/rp_filter ...
/proc/sys/net/ipv4/conf/ppp0/rp_filter ...
rp_filter is not fully aware of IPsec and should be di...
Checking that pluto is running ...
Pluto listening for IKE on udp 500 ...
Pluto listening for IKE/NAT-T on udp 4500 ...
Pluto ipsec.secret syntax ...
Checking NAT and MASQUERADEing ...
Checking 'ip' command ...
Checking 'iptables' command ...
Checking 'prelink' command does not interfere with FIPSC...
Opportunistic Encryption ...
ipsec verify: encountered 9 errors - see 'man ipsec_veri...
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
