内容へ移動
ほげぴよwiki
ユーザ用ツール
ログイン
サイト用ツール
検索
ツール
文書の表示
以前のリビジョン
バックリンク
最近の変更
メディアマネージャー
サイトマップ
ログイン
>
最近の変更
メディアマネージャー
サイトマップ
トレース:
openwrt:install-openvpn-server-tun
この文書は読取専用です。文書のソースを閲覧することは可能ですが、変更はできません。もし変更したい場合は管理者に連絡してください。
====== OpenVPN サーバをインストールする (TUN) ====== OpenVPN サーバをインストールし、外出先からでもルータ以下のネットワークに暗号化回線でアクセスできるようにする。(TUN - レイヤ3ネットワーク) ===== 環境 ===== * OpenWrt: ATTITUDE ADJUSTMENT (12.09, r36088) ===== パッケージをインストール ===== * [[http://wiki.openwrt.org/doc/howto/vpn.server.openvpn.tun|OpenVPN Setup Guide]] 関連パッケージをインストール。 <code> # opkg update # opkg install openvpn openvpn-easy-rsa </code> 鍵生成に必要な情報の設定を行う。 <code> # vi /etc/easy-rsa/vars </code> ファイル下方の以下の情報を修正。 <code> export KEY_COUNTRY="JP" export KEY_PROVINCE="Tokyo" export KEY_CITY="Shinjuku" export KEY_ORG="My OpenWrt Router" </code> ===== サーバ用の鍵を生成 ===== 以前生成した鍵を消去し、鍵生成のための初期化を行う。 <note> 以下のコマンドは未確認だが、代替コマンドとして使用可能なはず。 pkitool --initca ## equivalent to the 'build-ca' script\\ pkitool --server my-server ## equivalent to the 'build-key-server' script\\ pkitool my-client ## equivalent to the 'build-key' script\\ build-dh ## this script will 'take a long time' </note> <code> # clean-all # build-ca # build-dh </code> サーバの鍵を生成する。 <code> # build-key-server server </code> クライアント用の鍵を生成する。 <code> # build-key Alice # build-key Bob # build-key Charlie </code> PKCS12 形式の鍵を生成する場合は以下のコマンド。 <code> # build-key-pkcs12 Alice # build-key-pkcs12 Bob # build-key-pkcs12 Charlie </code> 生成した鍵を、 OpenVPN の設定ファイルディレクトリにコピー。 <code> # cd /etc/easy-rsa/keys # cp ca.crt ca.key dh1024.pem server.crt server.key /etc/openvpn/ </code> ===== ネットワークインタフェースを作成 ===== ネットワークの設定ファイルを編集する。 <code> # vi /etc/config/network </code> 以下の設定を追加する。 <code> config interface 'vpn0' option ifname 'tun0' option proto 'none' </code> 設定ファイルをリロードする。 <code> # /etc/init.d/network reload </code> 以下の警告が出るが、まだ tun0 を作成していないので、今は気にしない。 <code> command failed: No such device (-19) </code> ===== ファイアウォールを設定 ===== ファイアウォールの設定を変更し、外出先からのアクセスを受け付けるようにする。 <code> # vi /etc/config/firewall </code> 以下の設定をファイルの末尾に追記。 VPNの接続開始を許可する。 <code> config rule option name Allow-OpenVPN-Inbound option target ACCEPT option src * option proto udp option dest_port 1194 </code> VPNで接続してきたクライアントの通信を許可する。 <code> config zone option name vpn option input ACCEPT option forward ACCEPT option output ACCEPT option network vpn0 option masq 1 </code> ファイアウォールを再起動し、設定を有効にする。 <code> # /etc/init.d/firewall restart </code> ===== OpenVPN のサーバ設定 ===== <code> # vi /etc/config/openvpn </code> 以下の設定を記述する。 <note important> /etc/config/openvpn に元から記述されている内容はすべて消して新しく作り直す。 option enabled 0 が設定されていても、設定が読み込まれているらしく、新しく作り直さないと後々エラーが発生する。 </note> <code> config openvpn vpn-tun option enable 1 option dev tun option port 1194 option proto udp option verb 3 option ca '/etc/openvpn/ca.crt' option cert '/etc/openvpn/server.crt' option key '/etc/openvpn/server.key' option dh '/etc/openvpn/dh1024.pem' option server '192.168.222.0 255.255.255.0' option keepalive '10 120' option comp_lzo adaptive option log '/tmp/openvpn.log' list push 'comp_lzo adaptive' list push 'route 192.168.1.0 255.255.255.0' </code> * server '192.168.222.0 255.255.255.0' * 192.168.222.1 がVPNアダプタのアドレスになる。サブネットマスクは 255.255.255.0 * route 192.168.1.0 255.255.255.0 * クライアントからサーバ側のネットワークにアクセスできるようにする サーバを開始し、ブート時に自動起動するように設定。 <code> # /etc/init.d/openvpn start # /etc/init.d/openvpn enable </code> ===== クライアントの設定 ===== クライアントの設定ファイルは以下になる。 クライアントソフトには [[https://code.google.com/p/tunnelblick/|TunnelBlick]] を使用した。 設定ファイルの openwrt.ovpn は以下の内容で作成。 <code> remote <server address> 1194 # OpenVPN サーバのホスト名か IP アドレスを記述 dev tun proto udp # redirect-gateway def1 # すべてVPN経由でアクセスする場合はコメントをはずす resolv-retry infinite persist-key persist-tun ca ca.crt cert kyxw22.crt key kyxw22.key dh dh1024.pem #pkcs12 Jimmy.p12 # PKCS #12 形式の鍵を使う場合は、上記4行をコメントアウトし、この行を用いる verb 3 </code>
openwrt/install-openvpn-server-tun.txt
· 最終更新: 2014/08/03 17:52 by
admin
ページ用ツール
文書の表示
以前のリビジョン
バックリンク
文書の先頭へ