324.5 OpenVPN

2016-11-29

324.5 OpenVPN

重要度 3
説明 OpenVPNの使用方法に精通していること。
主要な知識範囲
・OpenVPNの設定及び使用方法

重要なファイル、用語、ユーティリティ

  • /etc/openvpn/
  • openvpn サーバ及びクライアント

OpenVPN

OpenVPNは、通信するホスト間を暗号化して、セキュアな通信を実現するソフトウェアです
暗号化にはSSL-VPN(Secure Soket Layer Virtual Private Network)を使用しており、拠点間接続にはルーティング方式・ブリッジ方式の2つの接続方法あります
通信で使用するデフォルトポート番号は1194です

設定項目(サーバー
OpenVPNのサーバ用設定ファイルは、 /etc/openvpn/server.conf です。このファイルの主な項目は以下のとおりです

ca SSL/TLSに関する設定。CA証明書のファイル名を設定
cert SSL/TLSに関する設定。クライアント証明書のファイル名を指定
key SSL/TLSに関する設定。秘密鍵ファイル名を設定
keepalive 通信可能かどうかの監視設定・サーバ・クライアント間の死活監視の設定
port OpenVPNサーバの使用するポート番号
proto プロトコルを設定
push “route …" 経路情報を設定
push “dhcp-option …" DHCPクライアントが接続してきたときに名前解決するDNSサーバのアドレスを設定
server VPNクライアントに割り振るIPアドレスの範囲を設定

server.conf 設定例

port 1194 # 1194番ポートの設定
proto udp # プロトコルにUDPを設定
dev tun # ルーティング方式ではtunを選択
ca /etc/openvpn/ca.crt # CA証明書ファイルの指定
cert /etc/openvpn/server.crt # サーバ証明書ファイルの指定
key /etc/openvpn/server.key # サーバ秘密鍵ファイルの指定
keepalive 10 120 # サーバ・クライアント間の死活監視の設定
server 10.8.0.0 255.255.255.0 # VPNクライアントに割り振られるIPアドレス
push "route 10.0.0.0 255.255.255.0" # OpenVPNサーバ側のLANセグメントの経路情報をクライアントに伝達
push "dhcp-options DNS 10.0.0.210" # DCHPクライアントが接続してきた時に、DNSサーバーのアドレスを設定

設定項目(クライアント)
OpenVPNのクライアント用設定ファイルは、 /etc/openvpn/client.conf です。このファイルの主な項目は以下のとおりです

ca SSL/TLSに関する設定。CA証明書のファイル名を設定
cert SSL/TLSに関する設定。クライアント証明書のファイル名を指定
cipher 暗号化方式を設定
key SSL/TLSに関する設定。秘密鍵ファイル名を設定
proto プロトコルを設定
remote サーバ/ポート番号を設定

client.conf 設定例

proto udp # プロトコルにUDPを設定
remote vpn.example.jp 1194 # OpenVPNサーバ(vpn.example.jp)を指定。ポート番号は1194を指定
cipher AES-128-CBC # AESの暗号化方式を指定
ca /etc/openvpn/ca.crt # CA証明書ファイルの指定
cert /etc/openvpn/client01.crt # クライアント証明書ファイルの指定
key /etc/openvpn/client01.key # クライアント秘密鍵ファイルの指定

認証モード

OpenVPNは、次の認証モードをサポートします

  • 事前共有秘密鍵(Static Keyモード)
  • クライアント/サーバ証明書を利用した公開鍵セキュリティ(SSL/TLSモード)

スポンサーリンク