699
回編集
差分
ナビゲーションに移動
検索に移動
If you enter '.', the field will be left blank.
-----
Common Name (eg: your user, host, or server name) [server]:[任意の名前][任意の名前を入力]
Keypair and certificate request completed. Your files are:
If you enter '.', the field will be left blank.
-----
Common Name (eg: your user, host, or server name) [client]:[任意の名前][任意の名前を入力]
Keypair and certificate request completed. Your files are:
req: /etc/easy-rsa/pki/reqs/client.req
key: /etc/easy-rsa/pki/private/client.key</pre>
生成されたファイルのうち、秘密鍵?を適切なディレクトリにコピーします。
{{bc|# cp /etc/easy-rsa/pki/private/client.key /etc/openvpn/client/}}
証明書署名要求ファイルを認証局サーバーに移動させます。
# chown foo /tmp/*.crt
$ scp /tmp/*.crt foo@hostname-of-openvpn_server:/tmp}}
これで、鍵関連の作業は終了です。<br/>
{{bc|# mv /tmp/server.crt /etc/openvpn/server/
# chown root:root /etc/openvpn/server/server.crt
# mv /tmp/serverclient.crt /etc/openvpn/client/
# chown root:root /etc/openvpn/client/client.crt}}
これまでの手順で以下のファイルが作成されているかと思います。
{{bc|/etc/openvpn/server/ca.crt
/etc/openvpn/server/dh.pem
/etc/openvpn/server/server.crt
/etc/openvpn/server/server.key
/etc/openvpn/client/client.crt
/etc/openvpn/client/client.key
/etc/openvpn/server/ta.key}}
=== VPNサーバー設定ファイルの作成 ===
port 1194 ←ポート番号を変更したい場合
…
proto tcp ←プロトコルを変更したい場合(プロキシ認証越えの場合はtcp)tcp ←プロトコルを変更したい場合(プロキシ認証越えの場合はtcp。ipv6の場合はudp6/tcp6)
;proto udp
…
tls-auth ta.key 0 ←HMAC共通鍵(ファイル名を変えている場合は修正)
…
user nobody ←プロセスのユーザー:コメントアウトするnobody ←プロセスのユーザー:コメントアウトを外すgroup nobody ←プロセスのユーザーグループ:コメントアウトするnobody ←プロセスのユーザーグループ:コメントアウトを外す
…
cipher AES-256-CBC ←良くわからないけど、書いたほうが良いらしい…(デフォルトで有効になってるけど…)
auth SHA512 ←追記
tls-version-min 1.2 ←追記
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-128-CBC-SHA:TLS-DHE-RSA-WITH-CAMELLIA-128-CBC-SHA ←追記 push "dhcp-option DNS 8.8.8.8" ←追記:VPNクライアントで使用してほしいDNSサーバーのアドレスを指定push "dhcp-option DNS 8.8.4.4" ←追記:VPNクライアントで使用してほしいDNSサーバーのアドレスを指定push "route 192.168.56.0 255.255.255.0" ←追記:VPNクライアントがアクセスしたいローカルネットワークのアドレスとサブネットマスクを指定push "block-outside-dns" ←追記:DNSリーク対策push "redirect-gateway def1" ←追記:すべての通信をVPNサーバー経由で行う場合は設定client-to-client ←追記:VPNクライアントどうして通信したい場合はコメントアウトを外す }}
設定が完了したら、以下のコマンドでサービスを起動します。
「ovpngen」を使用して、設定ファイルを作成します。<br/>
(ポート番号、プロトコルは適宜読み替えてください)
{{bc|./ovpngen [VPNサーバーのIPアドレスまたはURL] /etc/openvpn/server/ca.crt /etc/openvpn/client/client.crt /etc/easy-rsaopenvpn/pki/privateclient/client.key /etc/openvpn/server/ta.key 1194 tcp > client.ovpn}}
このファイルをVPNクライアントに持って行って、OpenVPNクライアントアプリに読み込ませればOKです。
{{hc|# nano /etc/openvpn/client/client.ovpn|
cipher AES-256-CBC ←コメントアウトを外す
auth SHA512 ←コメントアウトを外すproto xxxx ←VPNサーバーの設定に合わせる}} == 参考サイト ==[https://wiki.archlinux.jp/index.php/OpenVPN#.E3.82.AF.E3.83.A9.E3.82.A4.E3.82.A2.E3.83.B3.E3.83.88.E3.81.A8.E3.82.AF.E3.83.A9.E3.82.A4.E3.82.A2.E3.83.B3.E3.83.88.E3.81.AE_LAN_.E3.82.92.E6.8E.A5.E7.B6.9A OpenVPN - ArchWiki]<br/>[https://wiki.archlinux.jp/index.php/Easy-RSA Easy-RSA - ArchWiki]<br/>[https://github.com/graysky2/ovpngen GitHub - graysky2/ovpngen: Generate an OpenVPN Connect private tunnel profile in the unified format] [[Category:ArchLinux]][[Category:OpenVPN]]
