差分

このページの2つのバージョン間の差分を表示します。

--- openwrt:install-openvpn-server-layer2 [2014/06/26 17:36] – [OpenVPN サーバをインストールする] admin
+++ openwrt:install-openvpn-server-layer2 [2014/07/07 10:39] (現在) – 削除 admin
@@ 行 1: / 行 1: @@
-====== OpenVPN サーバをインストールする (レイヤ2) ======
-OpenVPN サーバをインストールし、外出先からでもルータ以下のネットワークに暗号化回線でアクセスできるようにする。
-イーサネットブリッジネットワークを設定する。(レイヤ2ブリッジネットワーク)
-===== 環境 =====
-  * OpenWrt: ATTITUDE ADJUSTMENT (12.09, r36088)
-===== パッケージをインストール =====
-  * [[http://wiki.openwrt.org/doc/howto/vpn.openvpn|Easy OpenVPN server setup guide]]
-関連パッケージをインストール。
-<code>
-# opkg update
-# opkg install openvpn openvpn-easy-rsa
-</code>
-鍵生成に必要な情報の設定を行う。
-<code>
-# vi /etc/easy-rsa/vars
-</code>
-ファイル下方の以下の情報を修正。
-<code>
-export KEY_COUNTRY="JP"
-export KEY_PROVINCE="Tokyo"
-export KEY_CITY="Shinjuku"
-export KEY_ORG="My OpenWrt Router"
-</code>
-===== サーバ用の鍵を生成 =====
-以前生成した鍵を消去し、鍵生成のための初期化を行う。
-<code>
-# clean-all
-# build-ca
-# build-dh
-</code>
-サーバの鍵を生成する。
-<code>
-# build-key-server server
-</code>
-クライアント用の鍵を生成する。
-<code>
-# build-key Alice
-# build-key Bob
-# build-key Charlie
-</code>
-PKCS12 形式の鍵を生成する場合は以下のコマンド。
-<code>
-# build-key-pkcs12 Alice
-# build-key-pkcs12 Bob
-# build-key-pkcs12 Charlie
-</code>
-生成した鍵を、 OpenVPN の設定ファイルディレクトリにコピー。
-<code>
-# cd /etc/easy-rsa/keys
-# cp ca.crt ca.key dh1024.pem server.crt server.key /etc/openvpn/
-</code>
-===== ファイアウォールを設定 =====
-ファイアウォールの設定を変更し、外出先からのアクセスを受け付けるようにする。
-<code>
-# vi /etc/config/firewall
-</code>
-以下の設定をファイルの末尾に追記。
-<code>
-config 'rule'
-        option 'target' 'ACCEPT'
-        option 'dest_port' '1194'
-        option 'src' 'wan'
-        option 'proto' 'tcpudp'
-        option 'family' 'ipv4'
-</code>
-ファイアウォールを再起動し、設定を有効にする。
-<code>
-# /etc/init.d/firewall restart
-</code>
-===== DHCP サーバの設定を変更する =====
-OpenVPN の制御と競合する場合があるため、DHCP サーバで IP を配る範囲を限定する。
-<code>
-# vi /etc/config/dhcp
-</code>
-**dhcp 'lan'** セクションを以下に変更。
-<code>
-config dhcp 'lan'
-        option interface 'lan'
-        option leasetime '12h'
-        option start '50'
-        option limit '150'
-        option ignore '0'
-</code>
-DHCP の設定を有効にする。
-<code>
-# /etc/init.d/dnsmasq restart
-</code>
-===== OpenVPN のサーバ設定 =====
-<code>
-# vi /etc/config/openvpn
-</code>
-<code>
-config 'openvpn' 'lan'
-        option 'enable' '1'
-        option 'port' '1194'
-        option 'proto' 'udp'
-        option 'dev' 'tap0'
-        option 'ca' '/etc/openvpn/ca.crt'
-        option 'cert' '/etc/openvpn/server.crt'
-        option 'key' '/etc/openvpn/server.key'
-        option 'dh' '/etc/openvpn/dh1024.pem'
-        option 'ifconfig_pool_persist' '/tmp/ipp.txt'
-        option 'keepalive' '10 120'
-        option 'comp_lzo' '1'
-        option 'persist_key' '1'
-        option 'persist_tun' '1'
-        option 'status' '/tmp/openvpn-status.log'
-        option 'verb' '3'
-        option 'server_bridge' '192.168.1.1 255.255.255.0 192.168.1.151 192.168.1.170'
-</code>
-  * server_bridge の設定内容
-|ネットワークアドレス|192.168.1.1|
-|サブネットマスク|255.255.255.0|
-|OpenVPN クライアント IP|192.168.1.151 〜 192.168.1.170|
-サーバを開始し、ブート時に自動起動するように設定。
-<code>
-# /etc/init.d/openvpn start
-# /etc/init.d/openvpn enable
-</code>
-OpenVPN をルータの LAN に接続する。
-Web 設定画面から、 Network -> Interface -> LAN -> Edit を選択。
-Physical Settings のタブで **Ethernet Adapter: "tap0"** のチェックをオンにする。
-===== クライアントの設定 =====
-クライアントの設定ファイルは以下になる。
-クライアントソフトには　[[https://code.google.com/p/tunnelblick/|TunnelBlick]]　を使用した。
-設定ファイルの openwrt.ovpn は以下の内容で作成。
-<code>
-client
-tls-client
-dev tap
-proto udp
-remote <server address> 1194 # OpenVPN サーバのホスト名か IP アドレスを記述
-resolv-retry infinite
-nobind
-persist-tun
-persist-key
-ca ca.crt
-cert Jimmy.crt
-key Jimmy.key
-dh dh1024.pem
-#pkcs12 Jimmy.p12    # PKCS #12 形式の鍵を使う場合は、上記４行をコメントアウトし、この行を用いる
-comp-lzo
-verb 3
-</code>