Team Monopoly -

OpenVPN続き

カテゴリー:

- ken @

◆サーバ側の準備

1.openvpn-2.0.5-install.exeをhttp://openvpn.net/download.htmlからダウンロー
ド

2.openvpn-2.0.5-install.exeを実行してインストール

3.インストール後、自動作成されている仮想NICの名前を判りやすいものに変更
「TAP-Win32 Adapter」→「VPN1」

◆証明書作成

1.DOS窓ひらいて
cd "C:\Program Files\OpenVPN\easy-rsa"

2.引き続きDOS窓で
init-config

3.テキストエディタで
"C:\Program Files\OpenVPN\easy-rsa\vars.bat"の
以下の5行を適当に編集

set KEY_COUNTRY=JP
set KEY_PROVINCE=Tokyo
set KEY_CITY=Odaiba
set KEY_ORG=hogehoge
set KEY_EMAIL=hoge@hoge.local

4.DOS窓で
vars
clean-all

5.DOS窓で
build-ca

対話式の質問に答える
エンターキーでデフォルト値：先ほどのvars.batの内容
Common Nameだけ手動で入力する必要あり（適当にhogehoge-CAとした）

Country Name (2 letter code) [JP]:
State or Province Name (full name) [Tokyo]:
Locality Name (eg, city) [Odaiba]:
Organization Name (eg, company) [hogehoge]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server’s hostname) []:hogehoge-CA
Email Address [hoge@hoge.local]:

6.DOS窓で
build-key-server server
前のステップと同様
Common Nameは server
次の二箇所はyと答える

"Sign the certificate? [y/n]"
"1 out of 1 certificate requests certified, commit? [y/n]"

7.DOS窓で
build-key client1
サーバ用と同様にクライアント用の証明書を作成
Common Nameは client1 ※build-keyコマンドで指定したクライアント名とCommon Nameを同じにする
必要であれば必要なクライアント数だけ作成

build-key client2
build-key client3
build-key home1
build-key home2
build-key note1
build-key office
・
・
・
・

8.DOS窓で
build-dh
openvpn −−genkey −−secret ta.key

9."C:\Program Files\OpenVPN\easy-rsa\keys"に各証明書ファイルが出来上がっているので、確認する。


	
	
	ファイル名
	必要とするマシン
	目的
	秘密にする必要がある
	
	
	ca.crt
	サーバとクライアント
	CA証明書
	いいえ
	
	
	ca.key
	鍵署名マシンだけ
	CA鍵
	はい
	
	
	dh1024.pem
	サーバだけ
	DHパラメータ
	いいえ
	
	
	server.crt
	サーバだけ
	サーバ証明書
	いいえ
	
	
	server.key
	サーバだけ
	サーバ鍵
	はい
	
	
	client1.crt
	クライアント1だけ
	クライアント1証明書
	いいえ
	
	
	client1.key
	クライアント1だけ
	クライアント1鍵
	はい
	
	
	client2.crt
	クライアント2だけ
	クライアント2証明書
	いいえ
	
	
	client2.key
	クライアント2だけ
	クライアント2鍵
	はい
	
	
	client3.crt
	クライアント3だけ
	クライアント3証明書
	いいえ
	
	
	client3.key
	クライアント3だけ
	クライアント3鍵
	はい
	
	
	
	
				  ・
				  ・
			       ・
			   
	
	 
	 
	 
	
	
	ta.key
	サーバとクライアント
	TLS証明用
	はい

後で必要とするマシンに各ファイルをコピーします。
※コピーする際には安全な方法で！

10.サーバ用設定ファイル "C:\Program Files\OpenVPN\config\server.ovpn"

port 1194
proto udp
mode server

dev tap
dev-node VPN1

ca ca.crt
cert server.crt
key server.key # This file should be kept secret
dh dh1024.pem
cipher BF-CBC # Blowfish (default)

tls-server
tls-auth ta.key 0 # This file is secret

float

inactive 600
keepalive 10 120

comp-lzo

persist-key
persist-tun

status openvpn-status.log
verb 3
client-to-client
log-append openvpn.log

◆サーバ起動

1.ファイアウォール・ルータの設定を確認する
* ファイアウォールでUDPポート1194（または自分が設定した他のTCP/UDPポート）を開ける
* ルータでUDPポート1194宛のパケットをOpenVPNサーバに転送するルールを設定（ポート転送）

2."C:\Program Files\OpenVPN\config\server.ovpn"を右クリック＞Start OpenVPN on this config file
まだテストなので、DOS窓で動かす（F4キーで終了できる）
エラーが出ているようなら今までの作業の見直し

クライアントからの接続も含め、動作確認が出来たら、
コントロールパネル＞管理ツール＞サービスの中の
OpenVPN Serviceを自動起動にする。

◆Ethernet Bridge 2.0の準備

1.Ethernet Bridge 2.0 (x86 build) ebridge_x86.zipをダウンロードhttp://www.ntkernel.com/w&p.php?id=20

2.ebridge_x86.zipを解凍してebridge_x86.exeを実行、インストール

3.DOS窓で
"C:\Program Files\Ethernet Bridge\bin\bridge_cmd.exe"を実行
以下のような情報が表示

The following Ethernet interfaces are available to MSTCP:

DEVICE{AAAAAAAA-AAAA-BBBB-CCCC-DDDDDDDDDDDD}
Relates to: Local Area Connection 2
Current MAC: 123456789012
Medium: 0x00000000
Current MTU: 1500
Current bridge status = NOT BRIDGED

DEVICE{11111111-2222-3333-4444-555555555555}
Relates to: Local Area Connection
Current MAC: 210987654321
Medium: 0x00000000
Current MTU: 1500
Current bridge status = NOT BRIDGED

4.サービス化用のコマンドは以下のようになります。
"C:\Program Files\Ethernet Bridge\binbridge_cmd.exe" DEVICE{AAAAAAAA-AAAA-BBBB-CCCC-DDDDDDDDDDDD} DEVICE{11111111-2222-3333-4444-555555555555}
※サービス化については、いくつかツールがあります。ネット上で検索してください。 ;-)

◆クライアントの準備

1.openvpn-2.0.5-gui-1.0.3-install.exeをhttp://openvpn.se/download.htmlからダウンロード

2.openvpn-2.0.5-gui-1.0.3-install.exeを実行してインストール

3.インストール後、自動作成されている仮想NICの名前を判りやすいものに変更
「TAP-Win32 Adapter」→「VPN1」

4.クライアント用設定ファイル "C:\Program Files\OpenVPN\config\client1.ovpn"

proto udp

dev tap
dev-node VPN1

remote サーバのIPアドレス 1194
resolv-retry infinite

nobind

persist-key
persist-tun

ca ca.crt
cert client1.crt
key client1.key

ns-cert-type server

tls-client
tls-auth ta.key 1

cipher BF-CBC
comp-lzo

verb 3
mute 10

keepalive 10 120

5.必要な証明書ファイルをサーバからコピーしてくる
"C:\Program Files\OpenVPN\config"にコピー
※コピーする際には安全な方法で！

◆クライアント起動（サーバに接続）

1.ファイアウォール等の確認
2.システムトレイの OpenVPN GUI をWクリック（又は右クリック＞Connect）
3.右クリック＞View Logでログの確認が出来る
4.切断は、右クリック＞Disconnect

参照：http://degas.is.utsunomiya-u.ac.jp/member/zhao/freesw/ovpn2_howto_ja.html

:idea: これらのツールは、セキュリティーの面で深刻な問題を引き起こす可能性があります。

運用には十分に注意してください。
管理人は責任を負いません。

コメント (2)

このコメントのRSS

TrackBack URL : http://www.monopo.com/modules/wordpress/wp-trackback.php/62

クライアント証明の追加発行時には

vars
build-key clientHogehoge

Comment by ken — @
openvpnバージョンアップ時にTAPが置き換わってしまい、はまったのでメモ（汗

http://hehao1.seesaa.net/article/24849903.html

instsrv.exe および srvany.exe を使用してサービスを登録するには以下の手順で行う。
1. Windows NT または Windows 2000 のリソースキットをインストールする
2. コマンドプロンプトを開き、以下のコマンドを実行する
例）　c:ntreskitinstsrv サービス名 c:ntreskitsrvany.exe
※ instsrv と srvany は、それぞれのファイルのパスを指定する。
3. 「The service was successfuly added!」と表示されれば登録完了。コマンドプロンプトを閉じる
4. レジストリエディタを起動する
5. 以下のキーを開く
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
6. 手順 2. で追加したサービス名のキーを選択し、メニューから［編集］→［新規］→［キー］と選択し、新規キーを作成する
7. 作成したキーの名前を「Parameters」に変更する
8. 新規作成した「Parameters」キーを選択し、メニューから［編集］→［新規］→［文字列］と選択し、新規エントリを作成する
9. 作成したエントリの名前を「Application」とする
10. 新規作成した「Application」エントリをダブルクリックし、手順 2. でサービスに登録したプログラムのフルパスを半角で入力し、［OK］ボタンをクリックする
11. 手順 8. 以降と同様の手順で同じ場所に「AppDirectry」エントリを作成し、手順 10. で指定したプログラムのディレクトリを指定する
12. プログラムに引数を指定する必要がある場合、同様の手順で「AppParameters」エントリを作成し、引数を指定する
13. 手順 5. ～ 12. の作業に間違いがないことを確認し、レジストリエディタを閉じる
14. Windows のサービスコンソールを開く
15. 手順 2. で登録したサービスが存在することを確認し、サービスを起動する

Comment by ken — @

コメントの投稿

改行や段落は自動です
URLとメールアドレスは自動的にリンクされますので、<a>タグは不要です。
以下のHTMLタグが使用可能です。
<a href="" title="" rel=""> <abbr title=""> <acronym title=""> <code> <strike> 

24 queries. 0.020 sec.
Powered by WordPress Module based on WordPress ME & WordPress