324.5 OpenVPN
324.5 OpenVPN
重要度 3
説明 OpenVPNの使用方法に精通していること。
主要な知識範囲
・OpenVPNの設定及び使用方法
重要なファイル、用語、ユーティリティ
- /etc/openvpn/
- openvpn サーバ及びクライアント
OpenVPN
OpenVPNは、通信するホスト間を暗号化して、セキュアな通信を実現するソフトウェアです
暗号化にはSSL-VPN(Secure Soket Layer Virtual Private Network)を使用しており、拠点間接続にはルーティング方式・ブリッジ方式の2つの接続方法あります
通信で使用するデフォルトポート番号は1194です
設定項目(サーバー
OpenVPNのサーバ用設定ファイルは、 /etc/openvpn/server.conf です。このファイルの主な項目は以下のとおりです
| ca | SSL/TLSに関する設定。CA証明書のファイル名を設定 |
| cert | SSL/TLSに関する設定。クライアント証明書のファイル名を指定 |
| key | SSL/TLSに関する設定。秘密鍵ファイル名を設定 |
| keepalive | 通信可能かどうかの監視設定・サーバ・クライアント間の死活監視の設定 |
| port | OpenVPNサーバの使用するポート番号 |
| proto | プロトコルを設定 |
| push “route …" | 経路情報を設定 |
| push “dhcp-option …" | DHCPクライアントが接続してきたときに名前解決するDNSサーバのアドレスを設定 |
| server | VPNクライアントに割り振るIPアドレスの範囲を設定 |
server.conf 設定例
port 1194 # 1194番ポートの設定 proto udp # プロトコルにUDPを設定 dev tun # ルーティング方式ではtunを選択 ca /etc/openvpn/ca.crt # CA証明書ファイルの指定 cert /etc/openvpn/server.crt # サーバ証明書ファイルの指定 key /etc/openvpn/server.key # サーバ秘密鍵ファイルの指定 keepalive 10 120 # サーバ・クライアント間の死活監視の設定 server 10.8.0.0 255.255.255.0 # VPNクライアントに割り振られるIPアドレス push "route 10.0.0.0 255.255.255.0" # OpenVPNサーバ側のLANセグメントの経路情報をクライアントに伝達 push "dhcp-options DNS 10.0.0.210" # DCHPクライアントが接続してきた時に、DNSサーバーのアドレスを設定
設定項目(クライアント)
OpenVPNのクライアント用設定ファイルは、 /etc/openvpn/client.conf です。このファイルの主な項目は以下のとおりです
| ca | SSL/TLSに関する設定。CA証明書のファイル名を設定 |
| cert | SSL/TLSに関する設定。クライアント証明書のファイル名を指定 |
| cipher | 暗号化方式を設定 |
| key | SSL/TLSに関する設定。秘密鍵ファイル名を設定 |
| proto | プロトコルを設定 |
| remote | サーバ/ポート番号を設定 |
client.conf 設定例
proto udp # プロトコルにUDPを設定 remote vpn.example.jp 1194 # OpenVPNサーバ(vpn.example.jp)を指定。ポート番号は1194を指定 cipher AES-128-CBC # AESの暗号化方式を指定 ca /etc/openvpn/ca.crt # CA証明書ファイルの指定 cert /etc/openvpn/client01.crt # クライアント証明書ファイルの指定 key /etc/openvpn/client01.key # クライアント秘密鍵ファイルの指定
認証モード
OpenVPNは、次の認証モードをサポートします
- 事前共有秘密鍵(Static Keyモード)
- クライアント/サーバ証明書を利用した公開鍵セキュリティ(SSL/TLSモード)