プロジェクト

全般

プロフィール

OpenVPN

  • OpenVPNに関する簡易構築メモです。
  • インターネットを介した異なるネットワークをSSL暗号化して
    同じセグメントに属させます。(ローカルネット扱いにします)
  • そのため、ネットワークセグメントが送受信ともに同じ場合は面倒で
    IPマスカレード設定をしなければいけません。
    (自宅192.168.0.1 <=> データセンター192.168.0.10 などの場合)
  • これにより、管理者以外は使わないようなポートを閉じたまま、
    そのポートを使わないと出来ない管理などを内部から行うことが出来ます。
    (SSHでの踏み台と違い、操作端末自体が相手のネットワークに介入します)

前提条件

  • 今回はepelリポジトリを使用します。
    PHP5.2のインストール に構築メモがありますので参考に。
  • OpenSSLのインストールが必須になります。今回は省略します。

インストール

  • epelからインストールします。
    # yum --enablerepo=epel install openvpn
    

鍵生成

準備

  • 鍵生成プログラムをコピーします。
    # cd /etc/openvpn/
    # cp -Rp /usr/share/openvpn/easy-rsa/ .
    # chmod a+x easy-rsa/2.0/*
    
  • 鍵生成プログラムの設定ファイルを編集します。(一番下)
    # cd easy-rsa/2.0/
    # vi vars
    # ------------------------------------------------------
    # 変更箇所のみ記載
    export KEY_COUNTRY="JP" 
    export KEY_PROVINCE="CA" 
    export KEY_CITY="Tokyo" 
    export KEY_ORG="example.co.jp" 
    export KEY_EMAIL="postmaster@example.co.jp" 
    
  • 設定ファイルを読み込ませて、環境変数を定義します。
    実行時、追加でスクリプトの実行を要求される場合があるので
    指示に従い実行します。(察するに、サンプル鍵の削除)
    source vars
    NOTE: If you run ./clean-all, I will be doing a rm -rf on /etc/openvpn/easy-rsa/2.0/keys
    
    # ./clean-all
    

CA証明書の作成

  • CA証明書、秘密鍵の作成、配置
    (要求内容は環境変数で定義したので、デフォ値ENTERでいい)
    # ./build-ca
    writing new private key to 'ca.key'
    
    # ls keys/
    ca.crt  ca.key  index.txt  serial
    
    # cp -p keys/ca.crt /etc/openvpn/
    

サーバ証明書の作成

  • サーバ証明書、秘密鍵の作成、配置
    (先ほどと同じだが、最後に2回応答があるので注意)
    # ./build-key-server server
    
    Sign the certificate? [y/n]:y
    1 out of 1 certificate requests certified, commit? [y/n]y
    
    Write out database with 1 new entries
    
    # cp -p keys/server.key /etc/openvpn/
    # cp -p keys/server.crt /etc/openvpn/
    

DHの作成

  • 次のスクリプトを実行し、生成したファイルを配置します。
    # ./build-dh
    # cp -p keys/dh1024.pem /etc/openvpn/
    

証明書廃止リストの作成

  • 次のスクリプトを実行し、生成したファイルを配置します。
    (サーバ証明書の挙動と同様)
    # build-key dmy
    
    Sign the certificate? [y/n]:y
    1 out of 1 certificate requests certified, commit? [y/n]y
    
    Write out database with 1 new entries
    
  • 次のファイルの箇所をコメントアウトします。(一番下)
    # vi ./openssl.conf
    # ------------------------------------------------------
    # 変更箇所のみ記載
    #[ pkcs11_section ]
    #engine_id = pkcs11
    #dynamic_path = /usr/lib/engines/engine_pkcs11.so
    #MODULE_PATH = $ENV::PKCS11_MODULE_PATH
    #PIN = $ENV::PKCS11_PIN
    #init = 0
    
  • 次のコマンドを実行し、ファイルを配置します。
    # ./revoke-full dmy
    # cp -p keys/crl.pem /etc/openvpn/
    
  • TLS認証鍵を生成、配置します。
    # openvpn --genkey --secret /etc/openvpn/ta.key
    
  • 以上で鍵の設定は完了です。
     

OpenVPNの設定

  • サンプル設定ファイルのコピー、編集
    (本当はtcpにしたいんだけど、体験上iptablesのルールが面倒みたい)
    # cp -p /usr/share/doc/openvpn-2.1.4/sample-config-files/server.conf /etc/openvpn/
    # vi /etc/openvpn/server.conf
    # ------------------------------------------------------
    # 有効な設定のみ記載
    port 1194
    proto udp
    dev tun
    ca ca.crt
    cert server.crt
    key server.key  # This file should be kept secret
    dh dh1024.pem
    server 10.8.0.0 255.255.255.0
    ifconfig-pool-persist ipp.txt
    push "route 192.168.34.0 255.255.255.0" 
    keepalive 10 120
    tls-auth ta.key 0 # This file is secret
    comp-lzo
    user nobody
    group nobody
    persist-key
    persist-tun
    status openvpn-status.log
    log-append  openvpn.log
    verb 3
    management localhost 7505
    crl-verify crl.pem
    

起動スクリプトの設定

  • 次のファイルを設定する
    # vi /etc.init.d/openvpn
    # ------------------------------------------------------
    # 変更箇所のみ記載
    echo 1 > /proc/sys/net/ipv4/ip_forward
    
  • ルーティングを追加する(gw=自分のアドレスの行が追加されていること)
    # echo "any net 10.8.0.0 netmask 255.255.255.0 gw 192.168.34.n" >> /etc/sysconfig/static-routes
    # service network reload
    
    # route -n
    Kernel IP routing table
    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
    10.8.0.0        192.168.34.n   255.255.255.0   UG    0      0        0 eth0
    0.0.0.0         192.168.34.254  0.0.0.0         UG    0      0        0 eth0
    

     

ログローテーション設定

  • 設定ファイルの作成
    # vi /etc/logrotate.d/openvpn
    # ------------------------------------------------------
    /var/log/openvpn.log {
        missingok
        notifempty
        sharedscripts
        postrotate
            /etc/rc.d/init.d/openvpn restart 2>&1 > /dev/null || true
        endscript
    }
    

     

起動設定

  • 正常に起動すれば、起動設定を行う。
    # service openvpn start
    openvpn を起動中:                                          [  OK  ]
    [root@schatte openvpn]# chkconfig openvpn on
    [root@schatte openvpn]# chkconfig --list openvpn
    openvpn         0:off   1:off   2:on    3:on    4:on    5:on    6:off
    

     
  • 実際に利用するにはクライアントの構築が必要。
  • 以上。
     

補足

クライアント証明書を破棄する。

  • クライアント証明書の破棄、パスフレーズを忘れたなどでの作り直しの際
    (一端破棄しなければならない)に使用する。
  • 次のコマンドを実行する
    (環境変数読み込み時の警告は無視する)
    # cd /etc/openvpn/easy-rsa/2.0/
    # source vars
    # ./revoke-full client1
    
  • 廃止した証明書リストを更新する
    # cp -p keys/crl.pem /etc/openvpn/
    
  • これで、この鍵を用いたVPN接続が出来なくなる。
  • 同じ名前で別の鍵を再作成することが可能になる。

管理インタフェースの使い方

  • 管理インタフェースで接続中のクライアントリストを表示する。
    # telnet localhost 7505
    
    Trying 127.0.0.1...
    Connected to localhost.localdomain (127.0.0.1).
    Escape character is '^]'.
    >INFO:OpenVPN Management Interface Version 1 -- type 'help' for more info
    
    status
    
  • 管理インタフェースでクライアントを強制切断する。
    (上記の続き)
    
    kill clientname(statusで表示されるクライアント証明書の名前)
    
  • 管理インタフェースを終了する。
    (上記の続き)
    
    exit
    Connection closed by foreign host.
    

 

戻る