OpenVPNサーバーを構築する　その１

RTX1210導入をきっかけに自宅通信回線をIPoE化したりLANケーブルを自作したりしておりますが、今日はIPoE化によりL2TP/IPSecが利用できなくなったのでOpenVPNサーバーの構築手順を改めて確認しておきたいと思います。構築...

sandambara.com

2020.09.26

OpenVPNサーバーを構築する　その２

前回に続きOpenVPNのセットアップを行います。ファイアウォールのインストールと設定未導入の場合、ufwをインストールします。sudo apt install ufwインストールが終わったら「全ての通信を拒否する」→「通す通信を登録する」...

sandambara.com

2020.09.29

OpenVPNサーバーを構築する　その３

今日はクライアントの設定を行います！クライアント用秘密鍵を作るでは、早速参りましょう。sandambara@srv001:~$ cd easy-rsa/easyrsa3sandambara@srv001:~/easy-rsa/easyrsa...

sandambara.com

2020.10.05

クライアントはいくつか試しましたが、今はOpenVPN Connectで落ち着いています。

OpenVPN Connect - VPN For Your Operating System | OpenVPN

Download the official OpenVPN Connect client VPN software for your operating system, developed and maintained by our exp...

openvpn.net

OpenVPN Connectの良いところはプラットフォームに依存しないところで、WindowsにMac、iOS、AndroidだけでなくLinuxもクライアントが用意されています。

このアプリはプロファイルを取り込むと後から触れないのが唯一残念なポイントです。削除→再取込でも良いのですが、コンフィグに微調整をしたいときは面倒ですよね。

そこでコンフィグが保存されているパスを調べました。こちらです。

C:\Users\ユーザー名\AppData\Roaming\OpenVPN Connect\profiles

注意というほどのことではありませんが、このディレクトリに直接コンフィグファイル（.ovpn）を保存してもOpenVPN Connectは検知してくれません。アプリケーションのImport Profileから読み込ませる必要があります。

構築環境

• プロバイダ　　OCN　IPoE（動的IP契約）
• HGW　　 　 　RT-500KI
• ひかり電話　　あり
• VPNサーバー　宅内に構築したOpenVPNサーバー

IPoE環境でIPv4通信を行う技術（IPv4 over IPv6）はいくつかあって、今回の記事ではMAP-E（バーチャルコネクト）という技術が前提となります。

また、VPNサーバーはルーターではなく宅内に用意したVPNサーバーが前提です。VPNサーバー構築については過去記事をご参照ください。

OpenVPNサーバーを構築する　その１

RTX1210導入をきっかけに自宅通信回線をIPoE化したりLANケーブルを自作したりしておりますが、今日はIPoE化によりL2TP/IPSecが利用できなくなったのでOpenVPNサーバーの構築手順を改めて確認しておきたいと思います。構築...

sandambara.com

2020.09.26

OpenVPNサーバーを構築する　その２

前回に続きOpenVPNのセットアップを行います。ファイアウォールのインストールと設定未導入の場合、ufwをインストールします。sudo apt install ufwインストールが終わったら「全ての通信を拒否する」→「通す通信を登録する」...

sandambara.com

2020.09.29

OpenVPNサーバーを構築する　その３

今日はクライアントの設定を行います！クライアント用秘密鍵を作るでは、早速参りましょう。sandambara@srv001:~$ cd easy-rsa/easyrsa3sandambara@srv001:~/easy-rsa/easyrsa...

sandambara.com

2020.10.05

なお、以前ご紹介したとおりLAN側の構成はこんな感じです。

フレッツ光＋IPoE化でハマった記録

先日自宅用に購入したRTX1210、早速活躍しております。何年も前に仕事でRTX1200を少し触っていたのですが、GUIの充実度や操作レスポンスなど、随分進化したんだなあ・・・と感動してしまいました。我が家のネット環境はフレッツ光隼＋OCN...

sandambara.com

2020.09.18

IPoEでVPN構築（またはポート開放）が難しい理由

PPPoEではルーターに割り当てられたWAN側IPv4アドレスだけで通信先を特定することが可能でした。しかし、IPoEは複数のユーザーで1つのIPv4アドレスを共有するため、IPアドレスだけで通信先を特定することができません（IPv4アドレスの枯渇問題を思えばこの仕組みは合理的ではあります）。

IPアドレスを共有するということはポートも共有することになるため、自由にポートを開放することができなくなってしまったのでした。

ではどうする？使えるポートもあります

しかし、一切ダメかというとそうではありません（注：DS-Liteは不可です）。利用できるポートはRTX1210で調べることができます。「管理」→「保守」→「コマンドの実行」で下記コマンドを入力します。

show nat descriptor address

「実行」をクリックすると結果が表示されます。

# show nat descriptor address
NAT/IPマスカレード 動作タイプ : 2
参照NATディスクリプタ : 20000, 適用インタフェース : TUNNEL[1](1)
Masqueradeテーブル
    外側アドレス: map-e/aaa.bbb.ccc.ddd
    ポート範囲: ここに利用できるポートが列挙されます
　　　　　　　　例）10000-12000, 13500-14000

ここの「外側アドレス」が現在WAN側に割り当てられているIPv4アドレスで、その下「ポート範囲」が利用できるポートです。つまり、この例ではポート 10000は開放可能ということになりますので、OpenVPNのプロトコルにUDPを指定している場合は

• RTX1210のNAT設定で内側アドレスにOpenVPNサーバーを指定（UDP 10000）
• OpenVPNのserver.confでUDP 10000を指定
• OpenVPNのクライアント設定（.ovpn）でaaa.bbb.ccc.ddd UDP 10000を指定

こうすることでVPN構築が可能です！

クライアント用秘密鍵を作る

では、早速参りましょう。

sandambara@srv001:~$ cd easy-rsa/easyrsa3
sandambara@srv001:~/easy-rsa/easyrsa3$ ./easyrsa build-client-full sandambara
Using SSL: openssl OpenSSL 1.1.1d  10 Sep 2019
Generating a RSA private key
..................................................................................................+++++
....................................................+++++
writing new private key to '/home/sandambara/easy-rsa/easyrsa3/pki/easy-rsa-8816.8fBzne/tmp.YYfV1S'
Enter PEM pass phrase:
パスフレーズ
Verifying - Enter PEM pass phrase:パスフレーズ（確認）
-----
Using configuration from /home/sandambara/easy-rsa/easyrsa3/pki/easy-rsa-8816.8fBzne/tmp.WTEZ4V
Enter pass phrase for /home/sandambara/easy-rsa/easyrsa3/pki/private/ca.key:CA証明書のパスフレーズ
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
commonName            :ASN.1 12:'sandambara'
Certificate is to be certified until Jan  8 11:50:11 2023 GMT (825 days)

Write out database with 1 new entries
Data Base Updated

最初にクライアント証明書のパスフレーズを聞かれますので任意の文字列を入力します。確認で同じパスフレーズを再度入力したら、1回目の記事で作成したCA証明書のパスフレーズを聞かれますので入力しましょう。

OpenVPNサーバーを構築する　その１

RTX1210導入をきっかけに自宅通信回線をIPoE化したりLANケーブルを自作したりしておりますが、今日はIPoE化によりL2TP/IPSecが利用できなくなったのでOpenVPNサーバーの構築手順を改めて確認しておきたいと思います。構築...

sandambara.com

2020.09.26

クライアントに転送するファイル一式を分かりやすいよう任意のディレクトリにコピーしてアクセス権を設定しておきます。chown sandambara:sandambaraの箇所はコンソールで作業中のユーザー名：グループにしてください。

sandambara@srv001:~/easy-rsa/easyrsa3$ sudo cp /etc/openvpn/ca.crt ~
sandambara@srv001:~/easy-rsa/easyrsa3$ cp pki/issued/sandambara.crt ~
sandambara@srv001:~/easy-rsa/easyrsa3$ cp pki/private/sandambara.key ~
sandambara@srv001:~/easy-rsa/easyrsa3$ sudo chown sandambara:sandambara ~/ca.crt
sandambara@srv001:~/easy-rsa/easyrsa3$ sudo chown sandambara:sandambara ~/sandambara.crt
sandambara@srv001:~/easy-rsa/easyrsa3$ sudo chown sandambara:sandambara ~/sandambara.key

設定ファイルを作成する

クライアントで利用する設定ファイルを作成しましょう。原則的にserver.confに書いた内容に合わせればOKですので、以下を参考に皆さんの環境にあわせてカスタマイズしてください。なお、設定ファイルの拡張子は「.ovpn」です。

sandambara.ovpn

client
dev tun

remote サーバー設置場所のグローバルIPアドレス server.confで指定したポート番号 プロトコル
#ex
#remote 123.45.67.890 1194 udp

persist-tun

link-mtu 1500

comp-lzo
nobind
preresolve

auth-nocache
auth SHA256
cipher AES-256-GCM
verb 3


<ca>
CA証明書の中身を貼り付けます
</ca>
<key>
ユーザー名.keyの中身を貼り付けます
</key>
<cert>
ユーザー名.certの中身を貼り付けます
</cert>

設定ファイルをクライアントへ保存する

メールに添付するのはセキュリティ的におススメできませんので、scpコマンドやUSBメモリなどを使って先ほどのファイルをクライアントへ保存しましょう。iOSだったらiCloud Drive経由が簡単かも・・・インターネットを経由させたくない場合はiTunesやMac経由でクライアントアプリケーションへ読み込ませることも可能です。

クライアントアプリケーションをインストールし設定ファイルを保存する

Windowsの場合はこちらをどうぞ。

OpenVPN GUI for Windows | OpenVPN.JP

www.openvpn.jp

iOSはこちらです。

OpenVPN Connectアプリ - App Store

App Store でOpenVPN Inc.の「OpenVPN Connect」をダウンロード。スクリーンショット、評価とレビュー、ユーザのヒント、その他「OpenVPN Connect」みたいなゲームを見ることができます。

apps.apple.com

Windowsは設定ファイルをインストール時に表示されるディレクトリへ保存すればOKです。iOSは設定ファイルを選択→共有→OpenVPNを選択でクライアントアプリケーションに取り込まれます。

つないでみよう！

さあ、いかがでしょう。うまくつながったでしょうか？残念ながらうまくいかないときはサーバーとクライアント、両方のログを見ればヒントがつかめると思います。ポートやプロトコルは勿論ですが、暗号の形式や圧縮の設定はサーバーとクライアントで一致していなければなりません。mtuも設定に問題があるとわんさかログが残りますので注意深く確認しましょう。

インターネットを安全に利用するには

VPNを利用することで安全度・安心感が格段に高まったことと思います。しかし、これは例えばVPNサーバーが自宅にある場合、自宅からインターネットを利用していることと同義であり目的のサーバーに対してVPNで接続しているのではないことを忘れてはいけません。httpsではなくhttpのURLは参照しない、もしくは参照してもIDやパスワードは絶対に入力しないといったことには日頃から留意しておきましょう！

OpenVPNサーバーを構築する　その１

RTX1210導入をきっかけに自宅通信回線をIPoE化したりLANケーブルを自作したりしておりますが、今日はIPoE化によりL2TP/IPSecが利用できなくなったのでOpenVPNサーバーの構築手順を改めて確認しておきたいと思います。構築...

sandambara.com

2020.09.26

ファイアウォールのインストールと設定

未導入の場合、ufwをインストールします。

sudo apt install ufw

インストールが終わったら「全ての通信を拒否する」→「通す通信を登録する」→「ufwを有効化する」の順で作業します。まずは「全ての通信を拒否する」から行います。

sandambara@srv001:~/easy-rsa/easyrsa3$ sudo ufw default deny
Default incoming policy changed to 'deny'
(be sure to update your rules accordingly)

続いて「通す通信を登録する」はこのように行います。

ufw allow ポート番号(/プロトコル）

たとえばhttpを通す場合はこのようになります。ポート番号ではなくアプリケーション名でも指定できます。

sudo ufw allow 80/tcp（またはsudo ufw allow http）

前回の記事のserver.confで指定したポート番号（規定値であればudp 1194）をここで登録します。他にもSSHやhttpにhttps、メール関連のプロトコルやRDPも登録しておきましょう。ここまでできたらufwを有効にします・・・その前に！リモートで作業している場合はリモート関連のプロトコルを確実に登録したことをここでもう一度確認しておきましょう。最悪の場合マシンの設置場所まで直行しないといけなくなりますので（リモートから締め出されてしまいローカルで作業するしかなくなります）。

sandambara@srv001:~/easy-rsa/easyrsa3$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
Firewall is active and enabled on system startup

設定の確認コマンドはこちらです。末尾の「numbered」はルールの先頭にルール番号を表示させるオプションですので無くても構いません。但し、ルールを削除するときはこのルール番号が必要になりますので覚えておきましょう。

sandambara@srv001:~/easy-rsa/easyrsa3$ sudo ufw status numbered
Status: active

     To                         Action      From
     --                         ------      ----
[ 1] 1400/udp                   ALLOW IN    Anywhere
[ 2] 443/tcp                    ALLOW IN    Anywhere
[ 3] 22                         ALLOW IN    Anywhere

たとえば1番のudp 1400番のルールを削除するにはこうします。

sudo ufw delete 1

ファイアウォールはログがあってこそ活きるので、ロギングを有効化しておきましょう。

sudo ufw logging on

ロギングのレベルはlow、medium、high、fullとあり規定値はmediumです。ログの確認コマンドはこちらです。

sudo cat /var/log/ufw.log

次にOpenVPNサーバーがクライアントから受け取ったパケットがインターネットへ出ていけるようIPフォワーディングを有効にします。2か所変更します。

sudo nano /etc/default/ufw

#DEFAULT_FORWARD_POLICY="DROP"
DEFAULT_FORWARD_POLICY="ACCEPT"

sudo nano /etc/ufw/sysctl.conf

# もともとコメントアウトされているのでコメントを外す
net/ipv4/ip_forward=1

ここまでできたら現在利用しているインターフェースを調べます。ifconfig（今はip aでしょうか）を実行し「inetが割り当たっており、かつ、ループバックでないインターフェース」を見つけ、そのインターフェースのIPマスカレードを有効にします。下記の例ではインターフェース名はeth0です。

sudo nano /etc/ufw/before.rules

# 最下行のCOMMITの下に追記します
# POSTROUTING -sに続くネットワークはserver.confに記述したものと同一にします
*nat
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
COMMIT

ファイアウォールを再起動します。

sudo ufw reload

OpenVPN起動

OpenVPNを起動します！

sudo systemctl start openvpn

起動したらプロセスがいることを確認しましょう。

ps -ef | grep openvpn | grep -v grep

注意点として、起動確認はsystemctl status openvpnでは不可ということが挙げられます。必ずプロセスの有無を確認し、プロセスが無い場合やエラーが出たときはログを確認します。

sudo cat /var/log/openvpn.log

server.confとufwの設定を見直しても起動できないときはopenvpnではなくopenvpn@serverで起動できるか確認してみましょう。私も初めて構築したときはopenvpn@serverでないと動きませんでした。

sudo systemctl stop openvpn
sudo systemctl start openvpn@server
ps -ef | grep openvpn | grep -v grep

こちらで動けばそれで問題ありません。その場合はサーバー再起動時に備え下記コマンドを実行しておきましょう。

sudo systemctl disable openvpn
sudo systemctl enable openvpn@server

次回はクライアント証明書の作成とクライアントの設定ファイルについて書きます。あと一息ですよ。

構築環境

Debian buster(10.5)ですがラズパイ（Raspberry Pi OS）でも同じ手順で構築可能です。

sandambara@srv001:~$ cat /etc/debian_version
10.5

思い違い・誤認と思われる箇所がありましたら是非ご指摘下さいm(__)m

参考にさせて頂いたサイト

大変分かりやすくまとめられており、とても勉強になりました。素晴らしい記事を公開頂き有難うございました。

@noraworldさま

OpenVPNのインストールとセットアップからインターネット接続までのガイドブック - Qiita

はじめに 先日、新しくサーバを借りてVPN環境を構築しました。色んなサイトを参考にしましたがけっこうづまづいたので、つまづいたポイントに着目しながら構築方法を紹介したいと思います。 VPNを利用するメリットとしてよくあるのが、外出先にいなが...

qiita.com

OpenVPNインストール

sudo apt -y install openvpn

Easy RSAのダウンロードと初期設定

公式リポジトリからダウンロードします。

sandambara@srv001:~$ git clone https://github.com/OpenVPN/easy-rsa.git
Cloning into 'easy-rsa'...
remote: Enumerating objects: 124, done.
remote: Counting objects: 100% (124/124), done.
remote: Compressing objects: 100% (98/98), done.
remote: Total 2077 (delta 48), reused 93 (delta 26), pack-reused 1953
Receiving objects: 100% (2077/2077), 12.94 MiB | 1.24 MiB/s, done.
Resolving deltas: 100% (900/900), done.

なお、この先の作業は必ずeasyrsa3のディレクトリで行いましょう。ディレクトリを移動したら初期設定を済ませます。

sandambara@srv001:~$ cd easy-rsa/easyrsa3
sandambara@srv001:~/easy-rsa/easyrsa3$ ./easyrsa init-pki

init-pki complete; you may now create a CA or requests.
Your newly created PKI dir is: /home/sandambara/easy-rsa/easyrsa3/pki

初期化成功のメッセージを確認したら次へ進みます。

CA証明書を作る

CA証明書を作成します。ここでパスフレーズとCN（コモンネーム）を入力することになりますので予め決めておきましょう。コモンネームの文字列はなんでも構いません。

sandambara@srv001:~/easy-rsa/easyrsa3$ ./easyrsa build-ca
Using SSL: openssl OpenSSL 1.1.1d  10 Sep 2019

Enter New CA Key Passphrase:パスフレーズ
Re-Enter New CA Key Passphrase:パスフレーズ（確認用）
Generating RSA private key, 2048 bit long modulus (2 primes)
.................................+++++
..................+++++
e is 65537 (0x010001)
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Common Name (eg: your user, host, or server name) [Easy-RSA CA]:なんでもよいコモンネーム

CA creation complete and you may now import and sign cert requests.
Your new CA certificate file for publishing is at:
/home/sandambara/easy-rsa/easyrsa3/pki/ca.crt

作成された証明書をコピーします。

sandambara@srv001:~/easy-rsa/easyrsa3$ sudo cp pki/ca.crt /etc/openvpn

サーバー証明書を作る

ここでCA証明書を作成するときに入力したパスフレーズを聞かれます。

sandambara@srv001:~/easy-rsa/easyrsa3$ ./easyrsa build-server-full server nopass
Using SSL: openssl OpenSSL 1.1.1d  10 Sep 2019
Generating a RSA private key
.......................................................................+++++
.........................+++++
writing new private key to '/home/sandambara/easy-rsa/easyrsa3/pki/easy-rsa-4484.P8z0p0/tmp.qcEmGa'
-----
Using configuration from /home/sandambara/easy-rsa/easyrsa3/pki/easy-rsa-4484.P8z0p0/tmp.5RaS0a
Enter pass phrase for /home/sandambara/easy-rsa/easyrsa3/pki/private/ca.key:パスフレーズ
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
commonName            :ASN.1 12:'server'
Certificate is to be certified until Dec 27 09:20:37 2022 GMT (825 days)

Write out database with 1 new entries
Data Base Updated

作成した証明書とキーをCA証明書と同じディレクトリへコピーします。

sandambara@srv001:~/easy-rsa/easyrsa3$ sudo cp pki/issued/server.crt /etc/openvpn
sandambara@srv001:~/easy-rsa/easyrsa3$ sudo cp pki/private/server.key /etc/openvpn

DH（Diffie-Hellman）鍵を作る

コマンド入力後、完了まで数十秒といったところでしょうか。

sandambara@srv001:~/easy-rsa/easyrsa3$ ./easyrsa gen-dh
Using SSL: openssl OpenSSL 1.1.1d  10 Sep 2019
Generating DH parameters, 2048 bit long safe prime, generator 2
This is going to take a long time
................................................+
（中略）

DH parameters of size 2048 created at /home/sandambara/easy-rsa/easyrsa3/pki/dh.pem

終わったら証明書と同じディレクトリへコピーしましょう。

sandambara@srv001:~/easy-rsa/easyrsa3$ sudo cp pki/dh.pem /etc/openvpn

クライアント証明書失効リストを作る

続いてクライアント証明書失効リストを作成します。コマンド入力後、CA証明書作成時に入力したパスフレーズを聞かれます。作成後はサーバー側の証明書と同じディレクトリへコピーし、アクセス権を付与します。

sandambara@srv001:~/easy-rsa/easyrsa3$ ./easyrsa gen-crl
Using SSL: openssl OpenSSL 1.1.1d  10 Sep 2019
Using configuration from /home/sandambara/easy-rsa/easyrsa3/pki/easy-rsa-4612.KNHs7Y/tmp.OAIkJi
Enter pass phrase for /home/sandambara/easy-rsa/easyrsa3/pki/private/ca.key:
パスフレーズ

An updated CRL has been created.
CRL file: /home/sandambara/easy-rsa/easyrsa3/pki/crl.pem

sandambara@srv001:~/easy-rsa/easyrsa3$ sudo cp pki/crl.pem /etc/openvpn
sandambara@srv001:~/easy-rsa/easyrsa3$ sudo chmod o+r /etc/openvpn/crl.pem

server.confを作る

サーバーのコンフィグを作成します。下記はポート番号を除き実際に私の環境で利用しているものです（OpenVPN既定のポートはudp 1194ですが、IPoE環境では変更が必要と思っておいてください）。

sandambara@srv001:~/easy-rsa/easyrsa3$ sudo nano /etc/openvpn/server.conf

port   1194
proto  udp
dev    tun

ca          ca.crt
cert        server.crt
key         server.key
dh          dh.pem
crl-verify  crl.pem

ifconfig-pool-persist ipp.txt

server 10.8.0.0 255.255.255.0

push "redirect-gateway def1 bypass-dhcp"
push "route 10.8.0.0 255.255.255.0"
push "dhcp-option DNS 8.8.8.8"
link-mtu 1500

client-to-client
keepalive 10 120
comp-lzo

cipher AES-256-GCM
auth SHA256

user  nobody
group nogroup

persist-key
persist-tun

status      /var/log/openvpn-status.log
log         /var/log/openvpn.log
log-append  /var/log/openvpn.log

# LINEで通知を送るスクリプトを実行する際は下記を追加
script-security 2

verb 3

「LINEで通知を送るスクリプトを・・・」の箇所はでこちらの記事でご紹介した内容を実行する際に必要な設定です。純粋にOpenVPNを利用するだけであればここの行は無くてもかまいません。

やってみた　OpenVPN利用時にLINEで通知を受け取る

こちらの記事で自宅のルーターをVPNサーバーとする手順をご紹介しました。その後、以前から興味があったOpenVPNを自宅のサーバーにインストールしてみたのですが、これがなかなかいい感じです。後先になりますが今回はOpenVPNサーバーの構築...

sandambara.com

2020.08.28

他の設定については冒頭でご紹介した参考先の記事がとっても秀逸ですので、そちらをご覧頂ければと思います。私が色々書くより絶対に分かりやすいです（キッパリ）。

この後行うファイアウォールとルーターの設定、クライアント証明書の作成については次回以降の記事でご紹介したいと思います！

OpenVPNのよいところ

OpenVPNの場合は自宅LAN内に1台PC・サーバーが必要になりますが（安価に済ませるならラズパイでも可能ですし、予算を気にしなければAWSなどクラウド上に仮想サーバーをたててもOKです）、メーカー・企業が提供するVPNサービスと異なり外部の中継サーバーを必要としません。昨今「VPNサービスを利用し情報漏洩が生じて本末転倒」というニュースもありますが、OpenVPNの場合自宅のサーバーを経由するだけですので「接続先のサーバーが本当に安全なのか信用できない」という悩みは無用です。

OpenVPNのつらいところ

これは前回の記事にもあたりますが、全てにおいて完全に自己責任であることです。自宅のゲートウェイへ外部に対する穴を開けることになりますので、適切な設定を行うことが必要なのは勿論のこと、定期的にログのチェックなども実施した方が良いでしょう。

VPN接続・切断の通知をLINEで受け取る

以上を踏まえ「最低限VPNのセッションが張られた、落ちたくらいは知りたい」と思い色々調べてみました。主に参考にさせて頂いたサイトはこちらです。有益な情報を公開頂き有難うございます！

RaspberryPi VPNのログ監視：VPN接続毎にLINEへ通知して不審なアクセスを検知する

OpenVPN の接続・切断時に Slack に通知する

前者はLINEを使った手法ですが、利用されているのがSoftEther VPNであり、ローカルでの挙動がOpenVPNとは少し異なりました。後者はOpenVPNを利用されていますが、通知先はLINEではなくSlackです。

両者の情報を組み合わせれば上手くいくかも・・・ということで挑戦してみました。全体的な流れはこんな感じです。

VPN接続・切断⇒IFTTTへパラメータを送信⇒IFTTTと連携したLINEが通知を送信

IFTTTに登録

LINEへ通知を飛ばすために「IFTTT（イフト）」というサービスを利用します。恥ずかしながら私はこのIFTTTを知らなくて、今回初めて使ってその便利さに感激しました。「if this then that」を略してIFTTT、読んだ通り「もし〇〇なら☆☆を実行する」という仕組みを提供するものです。アカウントを持っていない方はまずこちらで登録を済ませましょう。

IFTTT - Automate business & home

Get started with IFTTT, the easiest way to automate your favorite apps and devices for free. Make your home more relaxin...

ifttt.com

アカウントを作成したら先ほどのリンク先を参考にIFTTT側の作業を進めましょう。キャプチャを豊富に使いながら大変丁寧に解説されていますので（私も見習わなくては・・・）、特に迷うことは無いと思います。

シェル作成

まずは必要なシェルの置き場を作成しましょう。

sudo mkdir /usr/local/vpn

ここに３つのシェル（LINE.sh、connect.sh、disconnect.sh）を作成します。

connect.sh

#! /bin/bash
sh /usr/local/vpn/LINE.sh connect:$common_name $untrusted_ip $ifconfig_pool_remote_ip

disconnect.sh

#! /bin/bash
sh /usr/local/vpn/LINE.sh disconnect:$common_name $untrusted_ip $ifconfig_pool_remote_ip

LINE.sh

#!/bin/sh
URL="https://maker.ifttt.com/trigger"
EVENTNAME="IFTTTで設定したEventName"
YOUR_KEY="WebhooksのAPIキー（https://maker.ifttt.com/use/***この部分***）"

WEBHOOKSURL="${URL}/${EVENTNAME}/with/key/${YOUR_KEY}"

curl -X POST -H "Content-Type: application/json" -d \
     '{"value1":"'$1'","value2":"'$2'","value3":"'$3'"}' \
         ${WEBHOOKSURL}

echo
exit 0

LINE.shはこちらのサイトのコードをそのまま利用させて頂きました。

それでは、シェルを書き終えたら実行権限を付与しましょう。

sudo chmod +x /usr/local/vpn/*

こんな風になっていればOKです！

sandambara@sandambara:~$ ls -l /usr/local/vpn
合計 12
-rwxr-xr-x 1 root root 340  8月 22 16:24 LINE.sh
-rwxr-xr-x 1 root root  99  8月 22 13:18 connect.sh
-rwxr-xr-x 1 root root 102  8月 22 13:19 disconnect.sh

IFTTT・LINE連携テスト

先ほど作成したLINE.shはconnect.sh、disconnect.shから呼び出して利用しますが、単体でも実行できます。動作テストしてみましょう。

sudo sh /usr/local/vpn/LINE.sh hoge fuga piyo

このように表示されたらシェルの内容はOKです。

sandambara@sandambara:~$ sudo sh /usr/local/vpn/LINE.sh hoge fuga piyo
Congratulations! You've fired the vpn_notification event

無事LINEの通知を受信できたでしょうか？？

server.confに加筆する

VPN接続・切断をどうやって検知するかですが、これは先ほどご紹介した２つ目のリンク先にもあるように、OpenVPNのコンフィグで制御が可能でマニュアルにも記載があります。

Just a moment...

community.openvpn.net

早速コンフィグを編集します。

sudo nano /etc/openvpn/server.conf

コンフィグに下記３行を加筆します。

script-security 2
client-connect /usr/local/vpn/connect.sh
client-disconnect /usr/local/vpn/disconnect.sh

script-security 2はシェル実行を可能にするための設定で、VPN接続・切断時にそれぞれclient-connect、client-disconnectに続くシェルが実行される仕組みになっています。ですのでcronを使ったりディレクトリ監視する必要はありません。

sudo systemctl restart openvpn@server

ここでVPN接続・切断を行いLINEの通知を受け取れれば成功です。ちなみにこれらのシェルを実行できないとき（パスを誤って記述したときなど）は通知が来ないだけではなくOpenVPN自体がコケてしまいますので注意しましょう。

これで「自分がVPNを利用していないのに通知がきた」などというシチュエーションにいち早く気付くことができるようになりました（想像しただけでゾッとしますね/笑）。LINEの通知は他にも色々使い道があると思うので、皆さんも是非挑戦してみてください。