VPNサーバの構築(OpenVPN)
2018年12月3日 ( 2023年12月11日)
この記事では、OpenVPNによるVPNサーバの構築方法を紹介します。
外出している際に、自宅内LANで提供しているサービスにアクセスしたくなる時があります。 ですが、セキュリティ上何でもかんでも外部にサービスを公開するわけにもいきません。 そこで、OpenVPNを使って自宅外のネットワークから自宅内LANへVPNを張って、セキュアな暗号化した通信を実現します。 自宅外のネットワークに接続しているクライアント(iPhoneやPC)とVPNサーバ間でVPNを張ると、自宅外にいても自宅内LANに接続しているように、プライベートIPアドレスでアクセス可能となります。
なお、今回はArchLinuxにおけるOpenVPNの設定として、セキュリティ上の理由から認証局(CA)サーバとVPNサーバは分離して構築します。機器としては、以下の通りです。
- CAサーバ:クライアントとVPNサーバの証明書へ署名を行う認証局サーバ
- VPNサーバ:自宅外のネットワークに接続しているクライアントとVPNを張るサーバ
- クライアント:自宅外のネットワークに接続しているクライアント端末(iPhoneやPC等)
CAサーバの構築
easy-rsaのインストール
CAサーバにて以下のコマンドでeasy-rsaをインストールします。
Terminal
sudo pacman -S easy-rsaCAの構築
CAサーバにて以下のコマンドでPKIを初期化し、CAを構築します。
Terminal
cd /etc/easy-rsa
sudo easyrsa init-pki
sudo easyrsa build-ca上記の実行途中で、「Enter New CA Key Passphrase:」と表示されますので、CAのパスフレーズを任意に決めて、入力します。 Common Nameも聞かれますが、デフォルト値のままとします。
VPNサーバの構築
OpenVPNとeasy-rsaのインストール
VPNサーバにて以下のコマンドでOepnVPNとeasy-rsaをインストールします。
Terminal
sudo pacman -S openvpn easy-rsaCA公開証明書のコピー
CAの構築で作成したCAサーバのCA公開鍵/etc/easy-rsa/pki/ca.crtをVPNサーバの/etc/openvpn/server/配下に保存します。保存時のca.crtのアクセス権はrootとしてください。
サーバ証明書の作成
VPNサーバにて以下のコマンドでPKIを初期化し、サーバ証明書を作成します。
Terminal
cd /etc/easy-rsa
sudo easyrsa init-pki
sudo easyrsa gen-req server nopass
sudo cp /etc/easy-rsa/pki/private/server.key /etc/openvpn/server/上記の実行途中にCommon Nameを聞かれますが、デフォルト値のままとします。 上記を実行すると、以下のファイルが作成されます。
- /etc/easy-rsa/pki/reqs/server.req
- /etc/easy-rsa/pki/private/server.key
Diffie-Hellman (DH) パラメータファイルの作成
VPNサーバにて以下のコマンドを実行して、DHパラメータファイルを作成します。
Terminal
sudo openssl dhparam -out /etc/openvpn/server/dh.pem 2048Hash-based Message Authentication Code (HMAC) 鍵の作成
VPNサーバにて以下のコマンドを実行して、HMAC鍵を作成します。
Terminal
sudo openvpn --genkey --secret /etc/openvpn/server/ta.key上記のコマンドで全てのSSL/TLSハンドシェイクパケットにHMAC署名が追加され、適切なHMAC署名が存在しないUDPパケットが拒否されるため、以下の攻撃を防ぎます。
- ポートスキャン
- OpenVPN の UDP ポートに対する DOS 攻撃
- 未権限のマシンからの SSL/TLS ハンドシェイク
- SSL/TLS 実装のバッファオーバーフロー脆弱性に対する攻撃
OpenVPNクライアントファイルの作成
クライアント用のOpenVPNクライアントファイルを作成します。easy-rsaがインストールされていれば作成できますので、今回はVPNサーバ上で作成します。 VPNサーバにて以下のコマンドを実行して、クライアント証明書を作成します。
Terminal
cd /etc/easy-rsa
sudo easyrsa gen-req client1 nopass上記の実行途中にCommon Nameを聞かれますが、デフォルト値のままとします。 上記を実行すると、以下のファイルが作成されます:
- /etc/easy-rsa/pki/reqs/client1.req
- /etc/easy-rsa/pki/private/client1.key
サーバ/クライアント証明書への署名
サーバー証明書とクライアント証明書に、CAによる署名を加えてVPNサーバとクライアントに送付する必要があります。
サーバ/クライアント証明書のコピー
VPNサーバ上で作成した以下の証明書要求ファイルをCAサーバの/tmp配下にコピーします。
- /etc/easy-rsa/pki/reqs/server.req
- /etc/easy-rsa/pki/reqs/client1.req
CAサーバでの署名
CAサーバにて以下のコマンドを実行し、証明書要求をインポートして署名します。
Terminal
cd /etc/easy-rsa
sudo easyrsa import-req /tmp/server.req server
sudo easyrsa import-req /tmp/client1.req client1
sudo easyrsa sign-req server server
sudo easyrsa sign-req client client1上記の途中でCAのパスフレーズを聞かれるので、CAの構築で設定したパスフレーズを入力します。 上記を実行すると、以下のファイルが作成されます。
- /etc/easy-rsa/pki/issued/server.crt
- /etc/easy-rsa/pki/issued/client1.crt
VPNサーバとクライアントへのCA署名済証明書のコピー
CAサーバでの署名で作成されたserver.crtをVPNサーバの/etc/openvpn/server/配下へコピーします。
OpenVPNの設定
サンプルファイルのコピー
VPNサーバにて以下のコマンドでOpenVPNのサンプルファイルをコピーします。
Terminal
sudo cp /usr/share/openvpn/examples/server.conf /etc/openvpn/serverサーバ/クライアント証明書のコピー
上記でコピーしたserver.confを以下の通り設定します。
証明書と鍵
以下の通り設定します。
/etc/openvpn/server/server.conf
ca ca.crt
cert server.crt
key server.key
dh dh.pemHMAC鍵
以下の通り設定します。
/etc/openvpn/server/server.conf
tls-auth ta.key 0OpenVPNデーモンの権限
以下の通り設定することで、OpenVPNデーモンをルート権限なしで動作させ、外部からの攻撃に備えます。
/etc/openvpn/server/server.conf
user nobody
group nobodyポート番号とプロトコル
今回はデフォルト値の1194/udpとします。
/etc/openvpn/server/server.conf
port 1194
proto udpサブネット
今回はデフォルト値の10.8.0.0/24とします。
/etc/openvpn/server/server.conf
server 10.8.0.0 255.255.255.0暗号方式
強固な暗号・認証方式、新しいtls暗号だけを使うように設定します。 なお、cipherとauthの値はクライアント側も同様に設定する必要があります。
/etc/openvpn/server/server.conf
cipher AES-256-GCM
auth SHA512
tls-version-min 1.3圧縮
Lz4-v2で圧縮します。 OpenVPN2.4より古いクライアントの場合はエラーになるか可能性があるので、その場合は以下をコメントアウトしたままにして、comp-lzoの方を有効にして下さい。
/etc/openvpn/server/server.conf
compress lz4-v2
push "compress lz4-v2"通信経路
VPN接続にクライアントからのすべての通信をVPNサーバ経由で接続するようにします。
また、DNSはここでは、1.1.1.1としていますが、内部DNSサーバがある場合は適宜指定してください。
/etc/openvpn/server/server.conf
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 1.1.1.1"VPNサーバ動作確認
VPNサーバにてrootアカウントで以下のコマンドを実行し、エラーが無いことを確認します。
Terminal
cd /etc/openvpn/server
openvpn /etc/openvpn/server/server.conf以下のようなエラーが出た場合は、一度VPNサーバを再起動して、再度上記コマンドを実行してください。
Cannot open TUN/TAP dev /dev/net/tun: No such deviceOpenVPNのサービス化
VPNサーバにて以下のコマンドを実行して、OpenVPNを自動起動するようにします。
Terminal
sudo systemctl start openvpn-server@server.service
sudo systemctl enable openvpn-server@server.serviceFWのアクセス許可
VPNサーバ上のiptablesでUDP1194番ポートへアクセスを許可します。 Iptablesの具体的な設定方法は、iptablesの設定 の記事を参照ください。
iptables -A INPUT -p udp —dport 1194 -j ACCEPTまた、VPNサーバ上でアクセスを許可したいサービスがあれば、以下のように、10.8.0.0/24からの通信を許可してください。
iptables -A INPUT -p tcp -s 10.8.0.0/24 —dport 22 -j ACCEPTさら、VPN経由でインターネットや他のサーバにアクセスする場合は、以下のように10.8.0.0/24からの通信を許可します。 ここでは、【インターフェース名】はens192とします。
iptables -t nat -A POSTROUTING -o 【インターフェース名】 -s 10.8.0.0/24 -j MASQUERADE
iptables -I FORWARD -o 【インターフェース名】 -s 10.8.0.0/24 -j ACCEPTクライアントプロファイルの作成
AURにあるovpngenを利用して、OpenVPN ConnectのiOSで使えるファイル形式で、OpenVPN 互換のトンネルプロファイルを作成します。
ovpngenのインストール
VPNサーバで以下のyayコマンドでovpngenをインストールします。 yayを導入していない場合は、yayのインストール を参照して、適宜インストールしてください。
Terminal
yay -S ovpngenクライアントプロファイルの作成
Ovpngenは5つの以下の引数を指定して、スクリプトを起動します。
- OpenVPN サーバーのドメイン名 (またはIPアドレス)
- CA 証明書のフルパス(ca.crt)
- クライアント証明書のフルパス(client1.crt)
- クライアント秘密鍵のフルパス(client.key)
- サーバーTLS共有秘密鍵のフルパス(ta.key)
以下が例になります。以下のコマンドを実行すると、client.ovpnが作成されます。
Terminal
ovpngen 【サーバのドメイン名】 /etc/openvpn/server/ca.crt /etc/easy-rsa/pki/issued/client1.crt /etc/easy-rsa/pki/private/client1.key /etc/openvpn/server/ta.key > client.ovpnクライアントプロファイルの編集
作成されたclient.ovpnを以下のように編集して、cipherとauthの値をVPNサーバと合わせます。
cipher AES-256-GCM
auth SHA512クライアントからの接続
クライアントプロファイルの編集で作成したclient.opvnをクライアント(macやiPhone)に適宜コピーの上、VPN接続ソフトにインポートして、VPN接続を行います。
| OS | ソフトウェア |
|---|---|
| macOS | Tunnelblick |
| iPhone(ios) | OpenVPN Connect |
終わりに
OpenVPNによるVPNサーバの構築を紹介しました。
これで、外出している際にも安全に自宅内LANにアクセスすることが可能となりました。外出先から急ぎ自宅サーバを確認したい時もすぐにアクセスできて一安心です。
コメント
...