VPNクライアント機(支社)の設定
鍵の配布
VPNサーバ機で作成し、作業用USBフラッシュメモリへ複製した、
- 認証局証明書(ca.crt)
- TLS認証鍵(ta.key)
- クライアント証明書(clientl.crt)
- クライアント秘密鍵(clientl.key)
を、
- /etc/openvpn/
へ格納します。
OpenVPNの設定
OpenVPNの設定を行います。
OpenVPNの設定ファイルの作成
OpenVPNの設定ファイルである/etc/openvpn/clientl.confファイルを作成します。
以下の要領で/etc/openvpn/clientl.confファイルを作成します。
- client
- dev tap0
- link-mtu 1400
- proto tcp
- remote <接続先> 443
- resolv-retry infinite
- nobind
- ca ca.crt
- cert clientl.crt
- key clientl.key
- remote-cert-tls server
- tls-auth ta.key 1
- cipher BF-CBC
- comp-lzo
- user nobody
- group nogroup
- persist-key
- persist-tun
- log /etc/openvpn/openvpn.log
- verb 3
それぞれの設定項目の意味は以下の通りです。
| 編集内容 | 補足 |
|---|---|
client |
クライアントとして動作させるための指定です。 |
dev tap0 |
VPNサーバ機の説明を参照ください。 |
link-mtu 1400 |
VPNサーバ機の説明を参照ください。 |
proto tcp |
VPNサーバ機の説明を参照ください。 |
remote <接続先> 443 |
接続先のホスト名、およびOpenVPNがTCP/IP通信に使用するポート番号を設定します。 接続先ホスト名は、VPNサーバ側のルータがDDNSへ登録するホスト名と一致させます。 ポート番号はVPNサーバ機と一致させなくてはなりません。 |
resolv-retry infinite |
接続先のホスト名の名前解決を永久に試みるかどうかを指定します。 有効にします。 |
nobind |
クライアント側のOpenVPNがTCP/IP通信に使用するポート番号を動的に決定するかどうかを指定します。 有効にすると、ポート番号が動的に決定されます(VPNサーバ機側は443で固定されます)。 有効にします。 |
ca ca.crt |
VPNサーバ機の説明を参照のこと。 |
cert clientl.crt |
自身の証明書のファイル名を指定します。 |
key clientl.key |
自身の暗号鍵のファイル名を指定します。 |
remote-cert-tls server |
VPNサーバ機から送られた証明書を検証するかどうかを指定します。 |
tls-auth ta.key 1 |
サーバ側は0を設定しますがクライアントは1を設定します。 |
cipher BF-CBC |
VPNサーバ機と一致させなくてはなりません。 |
comp-lzo |
VPNサーバ機の説明を参照ください。 |
user nobody group nogroup |
VPNサーバ機の説明を参照ください。 |
persist-key persist-tun |
VPNサーバ機の説明を参照ください。 |
log /etc/openvpn/openvpn.log |
VPNサーバ機の説明を参照ください。 |
verb 3 |
VPNサーバ機の説明を参照ください。 |
ブリッジ接続のための設定
続いて、VPNクライアント機(支社)でも、仮想LANカードと物理LANカードがブリッジ接続されるための設定を行います。
実際の作業は以下の通りです。
ブリッジ接続開始用シェルスクリプトファイルの作成
ブリッジ接続開始用のシェルスクリプトファイルである/etc/openvpn/bridge-startファイルを作成します。
以下の要領で/etc/openvpn/bridge-startファイルを作成します。
- #!/bin/sh
- br="br0"
- tap="tap0"
- eth="eth0"
- eth_ip="<VPNクライアント機(支社)のIPアドレス>"
- eth_netmask="255.255.255.0"
- eth_broadcast="<ブロードキャストアドレス>"
- for t in $tap; do
- openvpn --mktun --dev $t
- done
- brctl addbr $br
- brctl addif $br $eth
- for t in $tap; do
- brctl addif $br $t
- done
- for t in $tap; do
- ifconfig $t 0.0.0.0 promisc up
- done
- ifconfig $eth 0.0.0.0 promisc up
- ifconfig $br $eth_ip netmask $eth_netmask broadcast $eth_broadcast
- route add default gw <支社LAN側のルータのIPアドレス> br0
ブリッジ接続終了用シェルスクリプトファイルの作成
ブリッジ接続終了用のシェルスクリプトファイルである/etc/openvpn/bridge-stopファイルを作成します。
以下の要領で/etc/openvpn/bridge-stopファイルを作成します。
- #!/bin/sh
- br="br0"
- tap="tap0"
- ifconfig $br down
- brctl delbr $br
- for t in $tap; do
- openvpn --rmtun --dev $t
- done
パーミッションの付与
作成したブリッジ接続開始用のシェルスクリプトファイルおよびブリッジ接続終了用のシェルスクリプトファイルに実行許可を与えます。
chmod 755 /etc/openvpn/bridge-startchmod 755 /etc/openvpn/bridge-stop
OpenVPNの起動ファイルの編集
VPNサーバ機と同様に、OpenVPNの起動ファイルである/etc/init.d/openvpnファイルを編集します。 以下の要領で/etc/init.d/openvpnファイルを編集します。
| 編集内容 | 補足 |
|---|---|
${DAEMON} --daemon `basename ...(省略)
↓(修正)
/etc/openvpn/bridge-start
${DAEMON} --daemon `basename ...(省略)
|
VPNサーバ機の説明を参照ください。 |
killproc ${DAEMON}
↓(修正)
killproc ${DAEMON}
/etc/openvpn/bridge-stop
|
VPNサーバ機の説明を参照ください。 |
パケット転送の許可
VPNサーバ機と同様に、以下の要領で/etc/sysctl.confファイルを編集します。
| 編集内容 | 補足 |
|---|---|
↓(追加) ファイルの末尾に追加する # Allow Forward Packet net.ipv4.ip_forward = 1 |
VPNサーバ機の説明を参照ください。 |
設定の保存
UDEVの識別子ファイルを削除します。
rm /etc/udev/rules.d/*
続けて、設定情報をUSBフラッシュメモリに保存します。
save-config
これにより、設定情報がUSBフラッシュメモリに保存されます。
以上で、VPNクライアント機(支社)での作業は終了となります。