記事ディレクトリ
システム環境
1. OpenVPN サーバー システム構成
OS バージョン: Galaxy Kirin サーバー オペレーティング システム V10SP2 (x86_64)
OpenVPN バージョン: 2.4.8
Easy-RSA バージョン: 3.1.1
ネットワーク カード①: 192.168.42.171、外部ネットワークに接続、
ネットワーク カード ②: 100.200.1.2、内部ネットワーク;
2. テストマシンのシステム環境構成
OpenVPN クライアント: Win11 システム、ネットワークカード IP アドレス 192.168.42.1
イントラネットテストマシン: Galaxy Kirin デスクトップシステム V10SP1、ネットワークカード IP アドレス 100.200.1.3
組み立て手順
OpenVPNサーバーをインストールする
[root@localhost ~]# yum install -y openvpn
Easy RSAスイートをインストールする
- Easy RSA ソース コード パッケージをダウンロードします。Easy
RSA ダウンロード公式 Web サイト: https://github.com/OpenVPN/easy-rsa/releases
[root@localhost ~]# wget https://github.com/OpenVPN/easy-rsa/releases/download/v3.1.1/EasyRSA-3.1.1.tgz
- Easy RSA ソース コード パッケージを解凍し、インストール ディレクトリにコピーします。
[root@localhost ~]# tar -zxvf EasyRSA-3.1.1.tgz
[root@localhost ~]# mkdir /etc/openvpn/easy-rsa
[root@localhost ~]# cp -ar EasyRSA-3.1.1/* /etc/openvpn/easy-rsa/
秘密キーと証明書を生成する
- Easy RSA インストール ディレクトリに入り、パラメータを設定します。
[root@localhost ~]# cd /etc/openvpn/easy-rsa/
[root@localhost easy-rsa]# cp vars.example vars
[root@localhost easy-rsa]# vim vars
2. 元の証明書と秘密キーをクリーンアップして初期化します。
[root@localhost easy-rsa]# ./easyrsa clean-all
3. CA ルート証明書を生成します。
[root@localhost easy-rsa]# ./easyrsa build-ca
4. OpenVPN サーバーのサーバー証明書と秘密キーを生成します;
注: ここで nopass パラメーターを使用して、パスワードを必要としないパスワードを設定すると、OpenVPN サービスの開始時にパスワードの入力を求められなくなります。
[root@localhost easy-rsa]# ./easyrsa build-server-full server nopass
5. Diffie-Hellman アルゴリズムに必要なキー ファイルを生成します。
[root@localhost easy-rsa]# ./easyrsa gen-dh
6. DDOS および TLS 攻撃を防ぐために tls-auth キーを生成します。
[root@localhost easy-rsa]# openvpn --genkey --secret ta.key
- OpenVPN クライアントの証明書ファイルと秘密キー ファイルを生成します。
[root@localhost easy-rsa]# ./easyrsa build-client-full kylin nopass
OpenVPN サーバーの構成
- OpenVPN サーバー構成ファイル /etc/openvpn/server/server.conf を変更します。
[root@localhost ~]# cd /etc/openvpn/server/
[root@localhost server]# vim server.conf
- 秘密キー、公開キー、証明書、およびその他のファイルを、server.conf と同じレベルのディレクトリにコピーします。
注: コピーする必要があるファイルには、ca.crt、ca.key、server.crt、server.key、dh が含まれます。ペム、タキー。
[root@localhost server]# cp /etc/openvpn/easy-rsa/pki/ca.crt .
[root@localhost server]# cp /etc/openvpn/easy-rsa/pki/private/ca.key .
[root@localhost server]# cp /etc/openvpn/easy-rsa/pki/issued/server.crt .
[root@localhost server]# cp /etc/openvpn/easy-rsa/pki/private/server.key .
[root@localhost server]# cp /etc/openvpn/easy-rsa/pki/dh.pem .
[root@localhost server]# cp /etc/openvpn/easy-rsa/ta.key .
3. システムの firewalld ファイアウォールをオフにし、iptables を使用して NAT 転送ルールを追加します。
[root@localhost ~]# systemctl disable --now firewalld
[root@localhost ~]# iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j MASQUERADE
[root@localhost ~]# iptables -L -n -t nat
[root@localhost ~]#service iptables save
[root@localhost ~]# systemctl enable --now iptables
4. OpenVPN Server サービスの自動起動を管理する systemd サービス ファイルを作成します。
[root@localhost ~]# cp /usr/lib/systemd/system/[email protected] /etc/systemd/system/[email protected]
5. OpenVPN Server サービスを起動時に自動的に開始し、すぐに開始するように設定します。
[root@localhost ~]# systemctl enable --now [email protected]
OpenVPN クライアントの構成
- Windows バージョンの OpenVPN クライアント ツールをインストールします:ダウンロード アドレス
- 上記の手順で Easy RSA ツールを使用して生成された OpenVPN クライアント証明書と秘密キー ファイルを、Windows クライアント システム上の OpenVPN インストール ディレクトリの config フォルダーにコピーします。コピーする必要があるファイルは次のとおりです
。
/etc/openvpn/easy-rsa/pki/ca.crt
/etc/openvpn/easy-rsa/ta.key
/etc/openvpn/easy-rsa/pki/private/kylin.key
/etc/openvpn/easy-rsa/pki/issued/kylin.crt
- OpenVPN クライアント テンプレート ファイル client.conf を使用して、OpenVPN サーバーの /etc/openvpn/client/ ディレクトリに接続構成ファイル kylin.ovpn を作成します。
[root@localhost client]# cp -rf client.conf kylin.ovpn
[root@localhost client]# vim kylin.ovpn
4. また、前の手順で作成した kylin.ovpn ファイルを、Windows クライアント システムの OpenVPN インストール ディレクトリの config フォルダーにコピーします。最後に、config フォルダーに次の内容が表示されます。
接続テスト
- Windows クライアント システムで OpenVPN GUI アイコンをダブルクリックして開き、タスクバーの右下隅にある OpenVPN ネットワーク アイコンを右クリックし、[接続] を選択して接続します。
- OpenVPN 接続ステータスをチェックし、接続が成功したことを確認します。
- OpenVPN 接続が成功したら、Windows クライアント システムから VNC Viewer ツールを使用して、テストのために「イントラネット テスト マシン 100.200.1.3」にリモート接続しようとします。
