3: 2010-03-12 (金) 01:35:15 maruo[6] [7] | 4: 2010-03-14 (日) 02:15:07 maruo[6] [8] Attached file: TUN.jpg, Attached file: TAP.jpg |
||
---|---|---|---|
Line 11: | Line 11: | ||
**クライアント側 [#v7b79b03] | **クライアント側 [#v7b79b03] | ||
クライアントにLinuxを使用する場合は、サーバと一緒。今回は、Windowsを使用するので、[[OpenVPN GUI for Windows 日本語版:http://www.openvpn.jp/bridging/5.html]]を使用します。インストール手順は[[こちら:http://www.openvpn.jp/guiuse.html]]でね。 | クライアントにLinuxを使用する場合は、サーバと一緒。今回は、Windowsを使用するので、[[OpenVPN GUI for Windows 日本語版:http://www.openvpn.jp/bridging/5.html]]を使用します。インストール手順は[[こちら:http://www.openvpn.jp/guiuse.html]]でね。 | ||
- | |||
- | *OpenVPNを設定してみよう [#gcb1e883] | ||
- | **サーバ側 [#aa7ab458] | ||
- | /usr/share/doc/openvpn-XXX/examples/sample-config-files/ディレクトリに、設定ファイルのサンプルがあります。こちらを利用しましょう。 | ||
- | サーバ側ですので、この下にあるserver.conf.bz2を、/etc/openvpn配下に、openvpn.confという名称で、解凍&コピーします。この中で、特に必要な項目を… | ||
- | :port|openvpnで通信するポートを指定します(クライアント側と合わせる) | ||
- | :proto|tcpか、udpかを指定します。(クライアント側と合わせる) | ||
- | :dev|tapかtunか。tapはブリッジモードかつL2レベルインタフェース、tunはルーティングモードかつL3モードです。私はtunで。ってのは、DRBDと相性がわるかったから…(クライアント側と合わせる) | ||
- | :ca|[[ここの暗号鍵作成>Gentoo Linuxな生活/OpenVPNで悩む#y9606253]]で作成する、ca.crtを指定します。フルパスで書くのが安心。 | ||
- | :cert|[[ここの暗号鍵作成>Gentoo Linuxな生活/OpenVPNで悩む#y9606253]]で作成する、server.crtを指定します。フルパスで書くのが安心。 | ||
- | :key|[[ここの暗号鍵作成>Gentoo Linuxな生活/OpenVPNで悩む#y9606253]]で作成する、server.keyを設定します。フルパスで書くのが安心。 | ||
- | :dh|[[ここの暗号鍵作成>Gentoo Linuxな生活/OpenVPNで悩む#y9606253]]で作成する、dh1024.pemを設定します。 | ||
- | :server|サーバモードで設定する、openvpn空間でのネットワークアドレスを指定します。通信先ネットワーク内で使用しているIPとは、かぶらないIPアドレスにする。例えば、通信先のNW空間が、仮に172.21.0.0/16ならば、openvpn空間のNWは、172.22.0.0/16とかね。 | ||
- | :push|接続してきたクライアントに自動設定するパラメータを指定する。例えばルーティングテーブル。接続してできたデバイスに対して、通信先NWのルーティング(上の例なら172.21.0.0/16向けのルーティング)を設定するとか、クライアントに参照させたいDNSサーバのアドレスとか。 | ||
- | :tls-auth,cipher|TLSによる暗号化をプラスする場合、使用する。暗号強度が上がる。 | ||
- | :user,group|Windowsではない場合、openvpnが動作するユーザ、グループ権限が指定できる。root以外にすれば、セキュリティは向上するよね。 | ||
- | **クライアント側 [#l2cb0b98] | ||
- | Windowsだと、c:\Program Files(64ビット版の場合は、c:\Program Files (x86))\OpenVPN\sample-configに、サンプル設定ファイルがあります。この中のclient.ovpnをコピーして、c:\Program Files(64ビット版の場合は、c:\Program Files (x86))\OpenVPN\configに置きます。そしてこのファイルを編集しますが…注意!Windows7や、Windows Vistaは、管理者モードでないと変更セーブされませんので…気をつけてね。私は、個人のフォルダにコピーして、変更してからconfigフォルダに管理者モードでコピーしました。 | ||
- | :proto|tcpか、udpかを指定します。(サーバ側と合わせる) | ||
- | :dev|tapかtunか。tapはブリッジモードかつL2レベルインタフェース(ARPが動くってことかな…)、tunはルーティングモードかつL3モード(ARPは解決しないモードかな)です。私はtunで。(サーバ側と合わせる) | ||
- | :remote|接続先のサーバ名と、ポート(サーバ側のport項で指定した値)を指定する。 | ||
- | :ca|[[ここの暗号鍵作成>Gentoo Linuxな生活/OpenVPNで悩む#y9606253]]で作成する、ca.crtを指定します。フルパスで書くのが安心。Windowsは、ファイルパスに\を使用しますが、OpenVPNは、\の指定は\\ですので、注意。 | ||
- | :cert|[[ここの暗号鍵作成>Gentoo Linuxな生活/OpenVPNで悩む#y9606253]]で作成する、クライアント名.crtを指定します。フルパスで書くのが安心。Windowsは、ファイルパスに\を使用しますが、OpenVPNは、\の指定は\\ですので、注意。 | ||
- | :key|[[ここの暗号鍵作成>Gentoo Linuxな生活/OpenVPNで悩む#y9606253]]で作成する、クライアント名.keyを設定します。フルパスで書くのが安心。 | ||
- | Windowsは、ファイルパスに\を使用しますが、OpenVPNは、\の指定は\\ですので、注意。 | ||
- | :tls-auth,cipher|TLSによる暗号化をプラスする場合、使用する。暗号強度が上がる。 | ||
*暗号鍵を作成 [#y9606253] | *暗号鍵を作成 [#y9606253] | ||
OpenVPNインストール時、大体/usr/share/openvpn等のどこかに、easy-rsaというフォルダがあります。この中に、暗号鍵作成ツールが入っております。そのフォルダ内で、ツールを実行! | OpenVPNインストール時、大体/usr/share/openvpn等のどこかに、easy-rsaというフォルダがあります。この中に、暗号鍵作成ツールが入っております。そのフォルダ内で、ツールを実行! | ||
Line 88: | Line 62: | ||
server.key | server.key | ||
で、これらのうち、ca.crt(CA証明書),クライアント名.crt,クライアント名.csr(クライアント証明書),クライアント名.key(クライアント秘密鍵)をコピーして、Windows側に持ってってあげます。くれぐれも、漏えいしたりしないように気をつけつつ… | で、これらのうち、ca.crt(CA証明書),クライアント名.crt,クライアント名.csr(クライアント証明書),クライアント名.key(クライアント秘密鍵)をコピーして、Windows側に持ってってあげます。くれぐれも、漏えいしたりしないように気をつけつつ… | ||
+ | |||
+ | *OpenVPNを設定してみよう(TUNモード) [#gcb1e883] | ||
+ | #ref(TUN.jpg,around,right) | ||
+ | TUNモードは、ルーティングモードです。VPNのネットワークは、通信する先のネットワークとは別のサブネットマスクになります。OpenVPNの設定は楽なんだけど、ルーティングの設定が難しいんだよね… | ||
+ | #clear | ||
+ | |||
+ | **サーバ側 [#aa7ab458] | ||
+ | /usr/share/doc/openvpn-XXX/examples/sample-config-files/ディレクトリに、設定ファイルのサンプルがあります。こちらを利用しましょう。 | ||
+ | サーバ側ですので、この下にあるserver.conf.bz2を、/etc/openvpn配下に、openvpn.confという名称で、解凍&コピーします。この中で、特に必要な項目を… | ||
+ | :port|openvpnで通信するポートを指定します(クライアント側と合わせる) | ||
+ | :proto|tcpか、udpかを指定します。(クライアント側と合わせる) | ||
+ | :dev|tapかtunか。tapはブリッジモードかつL2レベルインタフェース、tunはルーティングモードかつL3モードです。ここではtunで。(クライアント側と合わせる) | ||
+ | :ca|[[ここの暗号鍵作成>Gentoo Linuxな生活/OpenVPNで悩む#y9606253]]で作成する、ca.crtを指定します。フルパスで書くのが安心。 | ||
+ | :cert|[[ここの暗号鍵作成>Gentoo Linuxな生活/OpenVPNで悩む#y9606253]]で作成する、server.crtを指定します。フルパスで書くのが安心。 | ||
+ | :key|[[ここの暗号鍵作成>Gentoo Linuxな生活/OpenVPNで悩む#y9606253]]で作成する、server.keyを設定します。フルパスで書くのが安心。 | ||
+ | :dh|[[ここの暗号鍵作成>Gentoo Linuxな生活/OpenVPNで悩む#y9606253]]で作成する、dh1024.pemを設定します。 | ||
+ | :server|サーバモードで設定する、openvpn空間でのネットワークアドレスを指定します。通信先ネットワーク内で使用しているIPとは、かぶらないIPアドレスにする。例えば、通信先のNW空間が、仮に172.21.0.0/16ならば、openvpn空間のNWは、172.22.0.0/16とかね。 | ||
+ | :push|接続してきたクライアントに自動設定するパラメータを指定する。例えばルーティングテーブル。接続してできたデバイスに対して、通信先NWのルーティング(上の例なら172.21.0.0/16向けのルーティング)を設定するとか、クライアントに参照させたいDNSサーバのアドレスとか。 | ||
+ | :tls-auth,cipher|TLSによる暗号化をプラスする場合、使用する。暗号強度が上がる。 | ||
+ | :user,group|Windowsではない場合、openvpnが動作するユーザ、グループ権限が指定できる。root以外にすれば、セキュリティは向上するよね。 | ||
+ | |||
+ | **クライアント側 [#l2cb0b98] | ||
+ | Windowsだと、c:\Program Files(64ビット版の場合は、c:\Program Files (x86))\OpenVPN\sample-configに、サンプル設定ファイルがあります。この中のclient.ovpnをコピーして、c:\Program Files(64ビット版の場合は、c:\Program Files (x86))\OpenVPN\configに置きます。そしてこのファイルを編集しますが…注意!Windows7や、Windows Vistaは、管理者モードでないと変更セーブされませんので…気をつけてね。私は、個人のフォルダにコピーして、変更してからconfigフォルダに管理者モードでコピーしました。 | ||
+ | :proto|tcpか、udpかを指定します。(サーバ側と合わせる) | ||
+ | :dev|tapかtunか。tapはブリッジモードかつL2レベルインタフェース、tunはルーティングモードかつL3モードです。ここではtunで。(サーバ側と合わせる) | ||
+ | :remote|接続先のサーバ名と、ポート(サーバ側のport項で指定した値)を指定する。 | ||
+ | :ca|[[ここの暗号鍵作成>Gentoo Linuxな生活/OpenVPNで悩む#y9606253]]で作成する、ca.crtを指定します。フルパスで書くのが安心。Windowsは、ファイルパスに\を使用しますが、OpenVPNは、\の指定は\\ですので、注意。 | ||
+ | :cert|[[ここの暗号鍵作成>Gentoo Linuxな生活/OpenVPNで悩む#y9606253]]で作成する、クライアント名.crtを指定します。フルパスで書くのが安心。Windowsは、ファイルパスに\を使用しますが、OpenVPNは、\の指定は\\ですので、注意。 | ||
+ | :key|[[ここの暗号鍵作成>Gentoo Linuxな生活/OpenVPNで悩む#y9606253]]で作成する、クライアント名.keyを設定します。フルパスで書くのが安心。 | ||
+ | Windowsは、ファイルパスに\を使用しますが、OpenVPNは、\の指定は\\ですので、注意。 | ||
+ | :tls-auth,cipher|TLSによる暗号化をプラスする場合、使用する。暗号強度が上がる。 | ||
+ | |||
+ | |||
*その他の設定 [#ta633b9b] | *その他の設定 [#ta633b9b] | ||
**ブロードバンドルータ側の設定 [#ef9f4faa] | **ブロードバンドルータ側の設定 [#ef9f4faa] |
(This host) = https://femt.ddo.jp