====== OpenVPN サーバをインストールする (TAP) ======

OpenVPN サーバをインストールし、外出先からでもルータ以下のネットワークに暗号化回線でアクセスできるようにする。

イーサネットブリッジネットワークを設定する。(TAP - レイヤ2ブリッジネットワーク)


===== 環境 =====

  * OpenWrt: ATTITUDE ADJUSTMENT (12.09, r36088)

===== パッケージをインストール =====

  * [[http://wiki.openwrt.org/doc/howto/vpn.openvpn|Easy OpenVPN server setup guide]]


関連パッケージをインストール。

<code>
# opkg update
# opkg install openvpn openvpn-easy-rsa
</code>


鍵生成に必要な情報の設定を行う。

<code>
# vi /etc/easy-rsa/vars 
</code>

ファイル下方の以下の情報を修正。

<code>
export KEY_COUNTRY="JP"
export KEY_PROVINCE="Tokyo"
export KEY_CITY="Shinjuku"
export KEY_ORG="My OpenWrt Router"
</code>


===== サーバ用の鍵を生成 =====

以前生成した鍵を消去し、鍵生成のための初期化を行う。

<code>
# clean-all
# build-ca
# build-dh
</code>

サーバの鍵を生成する。

<code>
# build-key-server server
</code>

クライアント用の鍵を生成する。

<code>
# build-key Alice
# build-key Bob
# build-key Charlie
</code>

PKCS12 形式の鍵を生成する場合は以下のコマンド。

<code>
# build-key-pkcs12 Alice
# build-key-pkcs12 Bob
# build-key-pkcs12 Charlie
</code>

生成した鍵を、 OpenVPN の設定ファイルディレクトリにコピー。

<code>
# cd /etc/easy-rsa/keys
# cp ca.crt ca.key dh1024.pem server.crt server.key /etc/openvpn/
</code>

===== ファイアウォールを設定 =====

ファイアウォールの設定を変更し、外出先からのアクセスを受け付けるようにする。

<code>
# vi /etc/config/firewall
</code>

以下の設定をファイルの末尾に追記。

<code>
config 'rule'
        option 'target' 'ACCEPT'
        option 'dest_port' '1194'
        option 'src' 'wan'
        option 'proto' 'tcpudp'
        option 'family' 'ipv4'
</code>

ファイアウォールを再起動し、設定を有効にする。

<code>
# /etc/init.d/firewall restart
</code>


===== DHCP サーバの設定を変更する =====

OpenVPN の制御と競合する場合があるため、DHCP サーバで IP を配る範囲を限定する。


<code>
# vi /etc/config/dhcp
</code>

**dhcp 'lan'** セクションを以下に変更。

<code>
config dhcp 'lan'                                
        option interface 'lan'                   
        option leasetime '12h'                   
        option start '50'    
        option limit '150'     
        option ignore '0'
</code>

DHCP の設定を有効にする。

<code>
# /etc/init.d/dnsmasq restart
</code>


===== OpenVPN のサーバ設定 =====


<code>
# vi /etc/config/openvpn
</code>


<code>
config 'openvpn' 'vpntap'
        option 'enable' '1'
        option 'port' '1194'
        option 'proto' 'udp'
        option 'dev' 'tap0'
        option 'ca' '/etc/openvpn/ca.crt'
        option 'cert' '/etc/openvpn/server.crt'
        option 'key' '/etc/openvpn/server.key'
        option 'dh' '/etc/openvpn/dh1024.pem'
        option 'ifconfig_pool_persist' '/tmp/ipp.txt'
        option 'keepalive' '10 120'
        option 'comp_lzo' 'adaptive'
        option 'persist_key' '1'
        option 'persist_tun' '1'
        option 'status' '/tmp/openvpn-status.log'
        option 'verb' '3'
        option 'server_bridge' '192.168.1.1 255.255.255.0 192.168.1.151 192.168.1.170'
        list push 'comp_lzo adaptive'
</code>

  * server_bridge の設定内容

|ネットワークアドレス|192.168.1.1|
|サブネットマスク|255.255.255.0|
|OpenVPN クライアント IP|192.168.1.151 〜 192.168.1.170|

サーバを開始し、ブート時に自動起動するように設定。

<code>
# /etc/init.d/openvpn start
# /etc/init.d/openvpn enable
</code>

OpenVPN をルータの LAN に接続する。

Web 設定画面から、 Network -> Interface -> LAN -> Edit を選択。

Physical Settings のタブで **Ethernet Adapter: "tap0"** のチェックをオンにする。
===== クライアントの設定 =====

クライアントの設定ファイルは以下になる。

クライアントソフトには　[[https://code.google.com/p/tunnelblick/|TunnelBlick]]　を使用した。

設定ファイルの openwrt.ovpn は以下の内容で作成。

<code>
client
tls-client
dev tap
proto udp

remote <server address> 1194 # OpenVPN サーバのホスト名か IP アドレスを記述
resolv-retry infinite
nobind

persist-tun
persist-key

ca ca.crt
cert Jimmy.crt
key Jimmy.key
dh dh1024.pem
#pkcs12 Jimmy.p12    # PKCS #12 形式の鍵を使う場合は、上記４行をコメントアウトし、この行を用いる

verb 3
</code>