****はオープンソース ソフトウェアであり、簡単な設定だけで企業内に SSL VPN を構築し、日常的なリモート オフィスのニーズを満たすことができます。このドキュメントは、Windows サーバー上での openvpn レコードのインストールと構築を目的としたものであり、参照のみを目的としています。
- トポロジの説明
仮想マシン、ホスト OS Windows 10、および m0n0 を使用してテストされました。シミュレーション トポロジ: 内部ネットワーク ホスト (openvpn サーバー)、m0n0wall、外部ネットワーク ホスト (openvpn クライアント)、ネットワーク セグメントはそれぞれ 192.168.1.0/24 と 172.16.10.0/24 です。
特定のネットワーク カード構成: イントラネット ホスト ネットワーク カードは LAN1 ネットワーク セグメントを使用し、m0n0wall デュアル ネットワーク カード、1 つの LAN1 ネットワーク セグメント、1 つのブリッジ モードを使用し、外部ネットワーク ホスト ネットワーク カードはブリッジ モードを使用します。
m0n0wall をファイアウォールとして使用し、送信元アドレス変換と宛先ポート マッピングを設定します。
以上がlanポートとwanポートのセキュリティルールです。
以上がNATの設定です。
chfsgui を使用して TCP 1194 ポート マッピングをテストします。UDP 設定も同様ですが、テストには openvpn を使用するだけです。
ファイアウォールの WAN ポート設定で [プライベート ネットワークのブロック] オプションを削除する必要があることに注意してください。削除しないと、ネットワークが機能しません。
このオプションは、テスト環境の内部ネットワークと外部ネットワークの両方で予約されたアドレスが使用されるため、WAN ポートが RFC 1918 アドレスを処理しないことを意味します。
1.openvpnソフトウェアのダウンロード
インストール パッケージは github からダウンロードするか、公式 Web サイトにアクセスしてダウンロードできます。
https://openvpn.net/community-downloads/
2. サーバーのインストール
openvpnソフトウェアのサーバーとクライアントは同じインストール パッケージです。今回使用した openvpn インストール パッケージは OpenVPN-2.6.0-I005-amd64 です。
1.インストール時に、[カスタマイズ]を選択し、サーバー構成と証明書生成のために openvpn サービスと EasyRSA3 のインストールを確認します。
インストールが完了すると、読み取り可能な接続構成ファイルが見つからなかったことを示すメッセージが表示されます。
心配しないでください。次に対応するファイルを生成します。
2.インストールが完了すると、ソフトウェアのデフォルトの場所は C:\Program Files\OpenVPN ディレクトリになります。
3. 証明書の生成
前のステップでは、証明書生成ツールEasyRSA3をインストールし、このツールを使用して必要な証明書を生成しました。
1. EasyRSA シェル環境の dosウィンドウに入ります。
C:\Program Files\OpenVPN\easy-rsa ディレクトリに入り、EasyRSA-Start.bat を ダブルクリックしてEasyRSA シェル環境の dos ウィンドウに入ります。
Windows10でテストしています。このウィンドウは管理者権限で実行する必要があります。そうでないとエラーが報告されます。
2.証明書生成プログラムの初期化
ポップアップ dos ウィンドウに./easyrsa init-pki と 入力して、証明書生成プログラムを初期化します。初期化が成功すると、C:\Program Files\OpenVPN\easy-rsa ディレクトリに新しいフォルダー kpi が作成されます。下に示された:
エラーインターフェイスと正常インターフェイス。
3. CA証明書を生成する
dos ウィンドウに./easyrsa build-ca nopass と入力して、パスワードなしの CA 証明書を生成します。生成プロセス中に、証明書の名前の入力を求められます。任意に入力できます。今回は、Open_CA を生成が完了すると、証明書が存在するディレクトリが easy-rsa\pki\ca.crt として出力されます。
4.サーバー証明書の生成
./easyrsa build-server-full server nopass と入力し てパスワードなしのサーバー証明書を生成します。生成された証明書ファイルは C:\Program Files\OpenVPN\easy-rsa\pki\issued フォルダーにあります
5.クライアント証明書の生成
./easyrsa build-client-full client nopass と入力してパスワードなしのクライアント証明書を生成します。生成された証明書は C:\Program Files\OpenVPN\easy-rsa\pki\issued フォルダーにあります
6. DHキー交換プロトコルの生成
./easyrsa gen-dhと入力してDH キー交換プロトコル ファイルを生成します。生成されたファイルは C:\Program Files\OpenVPN\easy-rsa\pki ディレクトリにあります
7.ディレクトリ C:\Program Files\OpenVPN\easy-rsa\pki\private が証明書キーです。
4. サーバー構成
サーバー構成ファイルのテンプレートは、C:\Program Files\OpenVPN\sample-config ディレクトリにある server.ovpn です。
1.サーバー構成ファイルを変更する
server.ovpn ファイルを C:\Program Files\OpenVPN\config ディレクトリにコピーし、次のオプションを変更します。
a)ポート: (パブリック ネットワークは、対応してこのポートを開く必要があります) ポート udp 1194
b) プロトコル ファイル名: dh dh2048.pem を dh dh.pem に変更します。
c) 複数のユーザーを実行して同じクライアント証明書を使用します: ;duplicate-cnコメントを解除し (前の ;) を削除して、duplicate-cn に変更します。
d) この行をコメント アウトします (先頭に # を追加します): tls-auth ta.key 0 は #tls-auth ta.key 0 に変更されます。
2.証明書の複製構成
サービス証明書、サービス キー、CA 証明書、および dh ファイルを C:\Program Files\OpenVPN\config フォルダーにコピーします。
3.接続する
タスクバー上の鍵の付いた小さなコンピューター アイコンを右クリックし、[接続] をクリックします。接続が成功するとアイコンが緑色に変わり、IP を割り当てるように求められます。
注: VPN にはパブリック ネットワーク経由でアクセスする必要があるため、udp 1194 ポートをルーターのイントラネット サーバーの IP に転送する必要があります。
5. クライアントのインストール
1.インストール
OpenVPN-2.5.6-I601-amd64.msi をダブルクリックし、[今すぐインストール] をクリックしてクライアントをインストールします。インストールが完了したら、ディレクトリ C:\Program Files\OpenVPN\ にクライアントをインストールします。
2.クライアントファイルを設定する
クライアント構成ファイル client.ovpn、テンプレートは C:\Program Files\OpenVPN\sample-config にあり、このファイルを C:\Program Files\OpenVPN\config ディレクトリにコピーし、クライアント構成を次のように変更します。
a)接続サーバーのアドレスを変更します。remote my-server-1 1194 は、リモート サーバーのパブリック ネットワーク ip 1194 に変更されます。
b) この行をコメント アウトします (先頭に # を追加します): tls-auth ta.key 1 は、# tls- に変更されます。認証キー1
3.証明書のコピー
クライアント証明書、クライアント キー、および CA 証明書をこのディレクトリ C:\Program Files\OpenVPN\config にコピーします。
4.接続する
タスクバー上の鍵の付いた小さなコンピュータのアイコンを右クリックし、「接続」をクリックします。接続が成功すると、システムによって IP が割り当てられ、小さなコンピュータが緑色に変わります。
ここまででopenvpn環境が構築できました。
6. クライアントのインストール ( Open VPN Connect )
別の形式のクライアント、openvpn-connect-3.3.7 を正式にリリースしました。
これは GUI 形式なので、より便利です。
インストールは簡単で、接続時に client.ovpn ファイルをインポートするだけですが、他の 3 つのファイルと client.ovpn は同じフォルダーにある必要があることに注意してください。
拡張情報:
1. tls-auth ta.key は、DoS や UDP フラッディングなどの悪意のある攻撃を防御するオプションとして構成されています。構成で ta.key 証明書を生成する必要がある場合、生成方法: openvpn ソフトウェアの bin ディレクトリにジャンプします。そして、dos ウィンドウにopenvpn.exe --genkey --secret ta.key と入力すると、ta.key 証明書が bin ディレクトリに生成されます。それを構成ファイル ディレクトリにコピーするだけです。
2. vars ファイルに証明書時刻などのパラメータを設定でき、設定後 EasyRSA-Start を再起動して新しい設定をロードします。
3.;client-to-client はクライアントが相互にアクセスできるかどうかの設定であり、コメントを削除した後に有効になります。
4. ;push "redirect-gateway def1 bypass-dhcp"構成が有効になると、クライアントからのすべてのトラフィックがサーバーにルーティングされます。パブリック ネットワークにアクセスする前に、アクセス サーバーでルーティングと転送を構成する必要があります。
上記の内容を参照してください。
https://blog.eyyyye.com/article/39
今回は、より実用的なイーサネット ブリッジングのテストはありません。