差分

# chown root:root /etc/openvpn/server/server.crt# mv /tmp/server.crt /etc/openvpn/client/# chown root:root /etc/openvpn/client/client.crt}}

=== VPNクライアント VPNサーバー設定ファイルの作成 ===ぶっちゃけどこでも構わない以下のコマンドでサンプルファイルをコピーします<syntaxhighlight lang="bash">{{bc|# mkdir cp /etcusr/easy-rsashare/pkiopenvpn/signed# mv examples/tmp/client1server.crt conf /etc/easy-rsaopenvpn/pkiserver/signed</syntaxhighlight>server.conf}}

=== VPNサーバー設定ファイル ===以下のコマンドで設定ファイルを開いて編集していきます。<syntaxhighlight lang="bash">cp {{hc|# nano /usr/shareetc/openvpn/examplesserver/server.conf /etc/openvpn/|port 1194　←ポート番号を変更したい場合…proto tcp　←プロトコルを変更したい場合（プロキシ認証越えの場合はtcp）;proto udp…;explicit-exit-notify 1　←プロトコルをtcpにした場合はこの行をコメントアウト…ca ca.crt　←認証局の証明書（ファイル名を変えている場合は修正）…cert server/.crt　←VPNサーバーの公開鍵（ファイル名を変えている場合は修正）…key server.conf</syntaxhighlight>key # This file should be kept secret　←VPNサーバーの秘密鍵（ファイル名を変えている場合は修正）…dh dh.pem　←暗号通信用のパラメータファイル（ファイル名を変えている場合は修正）…tls-auth ta.key 0　←HMAC共通鍵（ファイル名を変えている場合は修正）…user nobody　←プロセスのユーザー：コメントアウトするgroup nobody　←プロセスのユーザーグループ：コメントアウトする…cipher AES-256-CBC　←良くわからないけど、書いたほうが良いらしい…（デフォルトで有効になってるけど…）…auth SHA512　←追記tls-version-min 1.2　←追記tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-128-CBC-SHA:TLS-DHE-RSA-WITH-CAMELLIA-128-CBC-SHA　←追記}}

<syntaxhighlight lang="bash"># nano /etc/openvpn/server/server.conf</syntaxhighlight> ポート番号<syntaxhighlight lang="text">port 1194</syntaxhighlight>↓<syntaxhighlight lang="text">port xxxx</syntaxhighlight> プロトコル（基本udpだけど、proxy越えしたい場合はtcp）<syntaxhighlight lang="text">;proto tcpproto udp</syntaxhighlight>↓<syntaxhighlight lang="text">proto tcp;proto udp</syntaxhighlight> プロトコルをTCPにした場合は以下も…<syntaxhighlight lang="text">explicit-exit-notify 1</syntaxhighlight>↓<syntaxhighlight lang="text">;explicit-exit-notify 1</syntaxhighlight> 認証局の公開鍵（変える必要ないはず）<syntaxhighlight lang="text">ca ca.crt</syntaxhighlight>↓<syntaxhighlight lang="text">ca ca.crt</syntaxhighlight> サーバーの公開鍵<syntaxhighlight lang="text">cert server.crt</syntaxhighlight>↓<syntaxhighlight lang="text">cert servername.crt</syntaxhighlight> サーバーの（署名された）秘密鍵<syntaxhighlight lang="text">key server.key # This file should be kept secret</syntaxhighlight>↓設定が完了したら、以下のコマンドでサービスを起動します。<syntaxhighlight lang="text">key servername.key {{bc|# This file should be kept secret</syntaxhighlight> 暗号通信用のパラメータファイル<syntaxhighlight lang="text">dh dh2048.pem</syntaxhighlight>↓<syntaxhighlight lang="text">dh dh.pem</syntaxhighlight> HMAC共通鍵（変えなくてもいいはず）<syntaxhighlight lang="text">tls-auth ta.key 0</syntaxhighlight>↓<syntaxhighlight lang="text">tls-auth ta.key 0</syntaxhighlight> プロセスのユーザーとグループ<syntaxhighlight lang="text">;user nobody;group nobody</syntaxhighlight>↓<syntaxhighlight lang="text">user nobodygroup nobody</syntaxhighlight> よくわからん！（変えなくてもいいはず）<syntaxhighlight lang="text">cipher AES-256-CBC</syntaxhighlight>↓<syntaxhighlight lang="text">cipher AES-256-CBC</syntaxhighlight> 以下追記<syntaxhighlight lang="text">auth SHA512tls-version-min 1.2tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-128-CBC-SHA:TLS-DHE-RSA-WITH-CAMELLIA-128-CBC-SHA</syntaxhighlight> サービス起動！<syntaxhighlight lang="bash">systemctl start openvpn-server@server</syntaxhighlight>}}因みに…＠の後ろの「server」は設定ファイル名です。