目的 † 大学内から自宅内LANのVPNサーバーへ接続すると、以下のような事ができる。予定。 自宅内LANに共有されているファイルにアクセス。 リモートデスクトップなど、やや危なげなサービスもポート開放をする事なく使える。 大学内では制限されていてできないオンラインゲームなどをこっそり遊ぶ（重要） ポート開放を必要とするネットワークゲーム（ひぐらしデイブレイク、AOE、東方花映塚等）をポート開放する事なく遊べる。 インターネットにアクセスした時に、自宅のIPアドレスからアクセスしたように見せかける。 （掲示板、２ちゃん等への書き込みをしたとき、大学のIPアドレスが出てしまい、大学名がバレるのを防ぐ） 大学内からサーバーを公開する。（ただしサーバーのIPアドレスは自宅のIPアドレスになる） 一応、本当の設置目的は最後のサーバー公開なのですが、暇な時遊べるようにっていうのもあったりする。

紹介 † OpenVPN はフル機能のSSL VPNであり，以下の機能を実装している： 業界標準のSSL/TLSプロトコルを利用したOSI第2・第3層相当のセキュアなネットワーク拡張，証明書やスマートカード,ユーザ・パスワード等による柔軟なクライアント認証，VPN仮想インタフェースに対してファイアウォールによるユーザ・グループベースのアクセス制御．なお，OpenVPNはWebアプリケーションのプロキシでもないし，ブラウザで動くよう なものでもない． OpenVPN 2.0は以下の点でOpenVPN 1.xの機能を拡張している：スケーラブルなクライアント・サーバモード，複数クライアントの場合でも単一TCP/UDPポートを使って同じOpenVPNサーバのプロセスに接続できること． この文章はOpenVPN 2.0クライアント・サーバVPNを構築するための設定方法を段階的に紹介する．内容は以下の

前々から VPN を入れたかったのだが色々あって入れてませんでした。 そもそも「VPNとはなんぞや」すら良く知らなかったので…ｗ で、今回 FreeBSD 6.2R と FreeBSD 7.0R に OpenVPN を入れて mobile環境 からの VPN接続 を行えるように設定を施してみました。 基本的には google で「FreeBSD OpenVPN」と検索すれば結果が出て来ますが ここ FreeBSD 6.2-RELEASE と OpenVPN 2.0 を使った bridge VPN の構築 が良くまとまっていて設定の参考にすると良いかと思います。 特に FreeBSD 7.0R からは kldload bridge が無くなってしまったので bridgeデバイス を作るのが基本となります。 上記サイトにプラスして補足すると ・/etc/rc.conf の NIC設定に注意が必

ブリッジで複数クライアントの接続を行う場合は証明書/鍵が必要となるので、これらを自力で作成する。 作成用スクリプトは OpenVPN のソースディレクトリ配下 (easy-rsa ディレクトリ) にあらかじめ用意されているのでこれを使用する。 スクリプトの修正 vars スクリプト内の変数及びちょっとした修正を行う。 easy-rsa スクリプト群はどうも vars スクリプトの環境変数を上手く引き継げないようなので、これも合わせて修正。 まずは /(OpenVPN ソースディレクトリ)/easy-rsa/ に移動しておく。 # These are the default values for fields # which will be placed in the certificate. # Don't leave any of these fields blank. export K

鍵生成の最後のステップは，必要とするマシンに当該ファイルをコピーすることであるが，秘密ファイルには安全な方法を使うことに気を付けよう． 「ちょっと待って，」，あなたがこういうかもしれない．「既存の安全な方法を使わないでPKIを構築することができないのか．」 答はyesである．上記の例は，簡単のため，同じ場所ですべての秘密鍵を生成していたが，もう少し手間をかけると別の方法でもできる．例えば，サーバ上でクライアントの証明書と鍵を生成する代わりに，クライアントにローカルで専用の秘密鍵を生成してもらい，CSR（証明書署名要求 = Certificate Signing Request）を提出してもらうことができる．逆に鍵署名マシンはCSRを処理し署名された証明書をクライアントへ返せばよい．これなら秘密な.keyファイルが生成したマシンのハードディスクから離れることなくて済むようになる． サーバとク

2003/10/30 作成 前提 OpenVPN をインストールする． FreeBSD なら ports/security/openvpn にある． OpenVPN は通常 udp 通信が基本(TCP over TCP などの問題を避けるため)だが， 1.5から TCP サポートが試験的に 入っているので TCP で壁越えを目指す場合などは 1.5系以降が必要． 認証は pre-shared key と TLS が使える．pre-shared の方が手軽だが， 今回はとりあえず TLS を使ってみることにする． TLS 関連 TLS 認証では，証明書を普通は外部 CA(PKIなど?)を使って発行する． が，とりあえず "TLS でやりとりしたい" だけなので ここでは自分で認証局(CA)になって鍵・証明書を発行して管理する． 要するに OpenVPN HOWTO の"Build RSA C

OpenVPN(日本語)を使用してSSL-VPN方式のインターネットVPNを構築し、外部からOpenVPN経由でLANに安全に接続できるようにする。なお、VPNクライアントはWindowsマシンとする。 【前提とするネットワークイメージ】 【前提とするネットワーク条件】 LANネットワークアドレス:192.168.1.0/24 VPNサーバーIPアドレス:192.168.1.2 VPN用仮想ネットワークアドレス:10.8.0.0/24※ VPNサーバー仮想IPアドレス:10.8.0.1※ ※VPNでは仮想のプライベートIPアドレスをサーバー／クライアントともに割当てて、その仮想アドレスでVPN通信を行うが、ここでは、元々のLAN内プライベートIPアドレス(192.168.1.X)を指定して対象ホストへアクセスできるようにする。 [root@fedora ~]# cp -r /usr/sha

準備† # cd /etc/openvpn/easy-rsa # . ./vars NOTE: when you run ./clean-all, I will be doing a rm -rf on /etc/openvpn/easy-rsa/keys # ./clean-all ↑ 認証局(CA)の証明書とプライベートキーを発行† # ./build-ca Generating a 1024 bit RSA private key .....++++++ ......++++++ writing new private key to 'ca.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you

これらのファイルが揃ったら、/usr/local/etc/openvpnに置き、openvpn.confファイルを編集する。 # vpnがListenするアドレス。うちの場合外部のIP local 210.254.71.72 # vpn がListenするポート port 1194 # vpnが使うプロトコル。proxyを使いたい場合はtcpを選ぶ proto tcp # bridgeの場合はtapを選ぶ dev tap0 # 鍵関係 ca ca.crt cert server.crt key server.key # This file should be kept secret dh dh1024.pem # ブリッジの設定(ブリッジのIPが192.168.0.1で、クライアントには 201～210を割り当てる) server-bridge 192.168.0.1 255.255.25