OpenVPNサーバーを構築する　その１

RTX1210導入をきっかけに自宅通信回線をIPoE化したりLANケーブルを自作したりしておりますが、今日はIPoE化によりL2TP/IPSecが利用できなくなったのでOpenVPNサーバーの構築手順を改めて確認しておきたいと思います。構築...

sandambara.com

2020.09.26

OpenVPNサーバーを構築する　その２

前回に続きOpenVPNのセットアップを行います。ファイアウォールのインストールと設定未導入の場合、ufwをインストールします。sudo apt install ufwインストールが終わったら「全ての通信を拒否する」→「通す通信を登録する」...

sandambara.com

2020.09.29

OpenVPNサーバーを構築する　その３

今日はクライアントの設定を行います！クライアント用秘密鍵を作るでは、早速参りましょう。sandambara@srv001:~$ cd easy-rsa/easyrsa3sandambara@srv001:~/easy-rsa/easyrsa...

sandambara.com

2020.10.05

クライアントはいくつか試しましたが、今はOpenVPN Connectで落ち着いています。

OpenVPN Connect - VPN For Your Operating System | OpenVPN

Download the official OpenVPN Connect client VPN software for your operating system, developed and maintained by our exp...

openvpn.net

OpenVPN Connectの良いところはプラットフォームに依存しないところで、WindowsにMac、iOS、AndroidだけでなくLinuxもクライアントが用意されています。

このアプリはプロファイルを取り込むと後から触れないのが唯一残念なポイントです。削除→再取込でも良いのですが、コンフィグに微調整をしたいときは面倒ですよね。

そこでコンフィグが保存されているパスを調べました。こちらです。

C:\Users\ユーザー名\AppData\Roaming\OpenVPN Connect\profiles

注意というほどのことではありませんが、このディレクトリに直接コンフィグファイル（.ovpn）を保存してもOpenVPN Connectは検知してくれません。アプリケーションのImport Profileから読み込ませる必要があります。

スマホ内線が使えなくなった！

VPNについてはいくつか構築に関する記事を書いてきました。私は現在OpenVPNサーバーを宅内に設置して使っています。

自宅のルーターをVPNサーバーとして利用する part1 ルーターの設定

自宅のルーターをVPNサーバーとして利用します。

sandambara.com

2020.01.31

覚書　VPN利用時のパフォーマンス・トラブル改善

以前こちらの記事で自宅ルーターをVPNサーバーとして利用するための設定について書きました。フレッツ光が足回りという前提でしたが、どのような形態であれVPN利用時のパフォーマンスが悪い、セッションが固まってしまうというトラブルでお悩みの方もお...

sandambara.com

2020.08.24

OpenVPNサーバーを構築する　その１

RTX1210導入をきっかけに自宅通信回線をIPoE化したりLANケーブルを自作したりしておりますが、今日はIPoE化によりL2TP/IPSecが利用できなくなったのでOpenVPNサーバーの構築手順を改めて確認しておきたいと思います。構築...

sandambara.com

2020.09.26

また、NTTのひかり電話回線でスマホを子機にする機能も利用しています。使っているアプリはこちらです。

AGEphone | テレワーク | ageet Corporation

ageet（アギート）は、NTTをはじめ多くの大手企業に採用される、日本のスマホ内線化ソリューションのデファクトスタンダード企業です。AGEphoneはNTT西日本・東日本推奨のひかり電話対応アプリで、スマホやPCから利用可能です。

www.ageet.com

電話の度に受話器を取りに行かなくても手元のスマホで通話出来たり、外出先からVPN経由で自宅の電話回線を利用し通話したりと重宝していました。

ところがある日、外出先からVPNで自宅へ接続していてもAGEphoneが使えなくなっていることに気付きました。ホームゲートウェイ（以下HGW）には接続出来ているのですが、通話が始まると強制切断されてしまうのです。

通話できなくなった原因

利用できなくなったのはどうもOpenVPNを利用するようになってからのようです。「なんでだろう？？」と色々試すも改善されず数か月。OpenVPNにはルーティングモードとブリッジモードの2つがあり、これはルーティングモードで利用する際に起こる事象らしいことが漸く分かりました。

では「OpenVPNをブリッジモードで使えば良いのでは？」と思いましたが、iOSデバイスがブリッジモードでは接続できないことが分かり、いよいよ八方塞がりです。

PPPoEを復活させる

では、そもそもなぜOpenVPNを使うようになったかといえば、IPoE化によりそれまで利用していた手段（L2TP/IPsec）では自宅へVPN接続できなくなったからでした。

折角安定・高速化実現のために導入したIPoEも良いことばかりではないのです。その点についてはこちらの記事にまとめました。

RTX1210＋IPoE環境でVPNを構築する

今日は一工夫必要なIPoE環境のVPN構築について書きます。構築環境プロバイダ　　OCN　IPoE（動的IP契約）HGW　　 　 　RT-500KIひかり電話　　ありVPNサーバー　宅内に構築したOpenVPNサーバーIPoE環境でIPv4...

sandambara.com

2020.10.31

では、どうするか

かなり時間をかけて解決策を考えてみたものの、私の知識ではどうにもなりそうにありませんでした。そのため、L2TP/IPsecでVPNを利用できるPPPoEセッションを復活させたのです。

ではここで、本職のエンジニアさんが見たら発狂しそうな図をご覧いただきましょう。

フレッツは標準で2セッションまで接続できるので、青色のIPoE回線（OpenVPNで利用）に加え緑色表示のPPPoE（L2TP/IPsecで利用）を復活させたのです。L2TP/IPsecはルーティングもDHCPもRTX1210にお任せで良く、スマホ内線も問題無く利用できるのです。

1つだけハマった点

今回PPPoEはなるべく安価に済ませたかったのでインターリンクで契約してみました。

無料体験・即日ID発行のプロバイダ - 株式会社インターリンク【公式】

すぐに使えていつでも解約できる！最大２ヶ月の無料体験あり。フレッツ光対応プロバイダ|各種VPNサービス|固定IPのSIM、MVNO|ドメイン|レンタルサーバー

www.interlink.or.jp

RTX1210はGUIでポチポチするだけでプロバイダ設定が完了します（個人的にはヘタな家庭用ルーターより簡単だと思います）。

設定も終わりリンクアップ確認！ネットも繋がっているしチョロいチョロいとなどと思っていたところでVPNが繋がらないことに気付きました。

ログを見ているとWAN側からVPNを繋ぎに来た形跡はあるのですが・・・

繋がらなかった理由

RTX1210のコンフィグを眺めているとこちらに目が止まりました。

ip route default gateway tunnel 1

tunnel1（IPoEを設定している経路）を使って通信するよーという設定ですね。しかし、L2TP/IPsecのセッションはtunnel 1ではなくpp（PPPoE）から接続しますので、先ほどの図にある緑の経路から入ってきたものを青い経路から送り返そうとしていることになります。

緑の経路から来た通信は緑の経路から戻してあげねばならないので、VPNが繋がらないのも納得です。

ルートの変え方が分からない・・・

そこまでは良かったのですが、その先が分かりません。この辺がGUIポチポチ星人とコンフィグゴリゴリ星人の差。残念ながらポチポチ星人の限界です。

ということで、今回もヤマハルーターお客様ご相談センターのお力をお借りしました。コロナ禍で業務過多になっておられるであろうところ、いつも丁寧にご対応頂き本当に有難うございます！

通信内容によってデフォルトルートを変える

L2TP/IPsecの通信はpp（PPPoE）、それ以外の通信はtunnel 1（IPoE）へ向けたい場合、ppへ送りたい通信をフィルタで定義します。

ip filter 2 pass * * udp 500,4500,1701 *
ip filter 3 pass * * tcp * 2002
ip filter 4 pass * * udp * domain
ip filter 5 pass * * esp

filter 2とfilter 5は見覚えがあるのですが、3と4が何に必要な通信か分からなかったので質問したところ、ヤマハさんが提供されているネットボランチDNSを利用する場合に必要なフィルタとのこと。めっちゃ使わせて頂いています！！

そして、フィルタの定義が終わったらデフォルトルートを修正します。

#修正前
ip route default gateway tunnel 1
#修正後
ip route default gateway pp 1 filter 2 3 4 5 gateway tunnel 1

filter 2-5に合致する通信はpp（PPPoE）を、それ以外の通信はtunnel 1（IPoE）を使うよーという設定になります。

これで無事L2TP/IPsecでVPNを利用できること、当初の目的のスマホ内線を利用できることを確認しました！

通話を利用するVPNはL2TP/IPsecで、それ以外の通信はOpenVPNといった住み分けで使い様子を見ようと思います。

あとがき

私は零細企業の何でも屋なので別に知らなくても良いことかもしれませんが、引き出しが増えたことが嬉しいのと同時にコンフィグを「読めるけど書けない」のがものすごく悔しいのであります（涙）

それが仕事とはいえ、こんな私にでもユーザー目線で技術を教え伝えて下さる方々の存在は本当に有難いです。私も自分が身に着けた知識が、いつかまたどなたかのお役に立つといいなあと思います。

構築環境

• プロバイダ　　OCN　IPoE（動的IP契約）
• HGW　　 　 　RT-500KI
• ひかり電話　　あり
• VPNサーバー　宅内に構築したOpenVPNサーバー

IPoE環境でIPv4通信を行う技術（IPv4 over IPv6）はいくつかあって、今回の記事ではMAP-E（バーチャルコネクト）という技術が前提となります。

また、VPNサーバーはルーターではなく宅内に用意したVPNサーバーが前提です。VPNサーバー構築については過去記事をご参照ください。

OpenVPNサーバーを構築する　その１

RTX1210導入をきっかけに自宅通信回線をIPoE化したりLANケーブルを自作したりしておりますが、今日はIPoE化によりL2TP/IPSecが利用できなくなったのでOpenVPNサーバーの構築手順を改めて確認しておきたいと思います。構築...

sandambara.com

2020.09.26

OpenVPNサーバーを構築する　その２

前回に続きOpenVPNのセットアップを行います。ファイアウォールのインストールと設定未導入の場合、ufwをインストールします。sudo apt install ufwインストールが終わったら「全ての通信を拒否する」→「通す通信を登録する」...

sandambara.com

2020.09.29

OpenVPNサーバーを構築する　その３

今日はクライアントの設定を行います！クライアント用秘密鍵を作るでは、早速参りましょう。sandambara@srv001:~$ cd easy-rsa/easyrsa3sandambara@srv001:~/easy-rsa/easyrsa...

sandambara.com

2020.10.05

なお、以前ご紹介したとおりLAN側の構成はこんな感じです。

フレッツ光＋IPoE化でハマった記録

先日自宅用に購入したRTX1210、早速活躍しております。何年も前に仕事でRTX1200を少し触っていたのですが、GUIの充実度や操作レスポンスなど、随分進化したんだなあ・・・と感動してしまいました。我が家のネット環境はフレッツ光隼＋OCN...

sandambara.com

2020.09.18

IPoEでVPN構築（またはポート開放）が難しい理由

PPPoEではルーターに割り当てられたWAN側IPv4アドレスだけで通信先を特定することが可能でした。しかし、IPoEは複数のユーザーで1つのIPv4アドレスを共有するため、IPアドレスだけで通信先を特定することができません（IPv4アドレスの枯渇問題を思えばこの仕組みは合理的ではあります）。

IPアドレスを共有するということはポートも共有することになるため、自由にポートを開放することができなくなってしまったのでした。

ではどうする？使えるポートもあります

しかし、一切ダメかというとそうではありません（注：DS-Liteは不可です）。利用できるポートはRTX1210で調べることができます。「管理」→「保守」→「コマンドの実行」で下記コマンドを入力します。

show nat descriptor address

「実行」をクリックすると結果が表示されます。

# show nat descriptor address
NAT/IPマスカレード 動作タイプ : 2
参照NATディスクリプタ : 20000, 適用インタフェース : TUNNEL[1](1)
Masqueradeテーブル
    外側アドレス: map-e/aaa.bbb.ccc.ddd
    ポート範囲: ここに利用できるポートが列挙されます
　　　　　　　　例）10000-12000, 13500-14000

ここの「外側アドレス」が現在WAN側に割り当てられているIPv4アドレスで、その下「ポート範囲」が利用できるポートです。つまり、この例ではポート 10000は開放可能ということになりますので、OpenVPNのプロトコルにUDPを指定している場合は

• RTX1210のNAT設定で内側アドレスにOpenVPNサーバーを指定（UDP 10000）
• OpenVPNのserver.confでUDP 10000を指定
• OpenVPNのクライアント設定（.ovpn）でaaa.bbb.ccc.ddd UDP 10000を指定

こうすることでVPN構築が可能です！

フレッツ光＋IPoE化でハマった記録

先日自宅用に購入したRTX1210、早速活躍しております。何年も前に仕事でRTX1200を少し触っていたのですが、GUIの充実度や操作レスポンスなど、随分進化したんだなあ・・・と感動してしまいました。我が家のネット環境はフレッツ光隼＋OCN...

sandambara.com

2020.09.18

いきさつ

この記事はIPoE化の設定で苦労したという内容ですが、実はかなり話を端折っています。元々我が家が利用しているプロバイダはOCNの法人契約なのですが、IPoE化にあたり疑問点を営業担当さんに相談したところ「一度お試しで個人契約を使ってみたらいかがですか？フレッツは標準で2セッション張れますから。」と勧められたときの記録なのでした。

いざ契約・開通日到来

個人契約で一通りIPoEを試し終え、疑問も解消されていよいよ法人契約となりました。法人・個人と言っても契約者が文字通り法人か個人かくらいの差しか無く、法人だから特別な設定が必要とかそういったことはありません。

ユーザー側で行う設定自体は同じですが、OCNの場合法人契約回線の収容設計は個人契約回線の2倍（ワイドプランでは６倍）になっており、ビジネス向けに強化された仕様となっています。

満を持して迎えた開通日。個人契約設定時の手順を思い出し、ルーターの設定を書き換えたのですが繋がりません。

はじめは「開通日だけどまだプロバイダの工事が終わっていないのかな？」と呑気に構えていました（⇒プロバイダの工事は開通の数日前に完了します）。しかし、待てど暮らせど繋がらず、これはいよいよ・・・ということでOCNのサポートへコンタクトしました。

何も解決しなかった

いつもなかなか繋がらない電話もスムーズにつながり、状況を話し終えたところで得た回答は次のようなものでした。

• 自営ルーター（HGWやプロバイダのレンタル品ではないもの）なので疎通確認できない
• 問題無く利用可能な状態になっている
• ルーターの設定については答えられない

文字通り時間の無駄でした。特に自営ルーター利用者には塩対応。

あと、営業担当者がついている場合はそちらへ問い合わせるよう誘導されるのですが、普通営業さんは非技術者ですから細かい話になるとお手上げです。

ヤマハに泣きついた

前回お世話になったヤマハルーターお客様ご相談センターへ電話しました。あらゆる可能性を視野に入れ大変丁寧に対応頂き、共通の認識として「ルーターの設定は限りなくシロ」という結論に至ったのでした。この電話では解決しなかったけれど、とても心強かったです。

再度OCNのサポートへ連絡

電話に出たのは先ほどとは違うオペレーターさんでしたが「本日午前中にもお電話頂きましたね？」と先制ジャブ。なかなかです。ここでルーターのメーカーに問い合わせるよう言われたので確認したが問題は無かったことを伝え、再度状況確認を依頼するも返ってきたのは先ほどと同じ回答・・・

締めのセリフは「営業担当者へ」です。うがーっ。

改めて状況を整理してみる

コーヒーを飲みながら状況を俯瞰してみました。

• 先月は個人契約でIPoE接続できていた
• 先月末日付で個人契約は解約した（開通日は翌月中旬）
• 同じように設定しても繋がらない

解せないのは「同じように設定しても繋がらない」でした。IPoEの場合PPPoEと異なりコンフィグにユーザー名とパスワードを入れる必要が無いので、繋がったときのコンフィグを流し込めば繋がるはずなのです。しかし、2度初期化→コンフィグ流用するも繋がらず・・・

ん？認証？？

ユーザー名とパスワードが要らない理由

PPPoEではユーザー名とパスワードの組み合わせでその通信が正当な利用者によるものかどうかを判断しているのですが、IPoEは回線（フレッツ）に対して認証を行います。

この「回線に対する認証」はプロバイダ契約時に提出するフレッツ契約のCAF番号とアクセスキーで行うため、実際にユーザーが通信するときは既に認証されている状態になっているのです。蛇足ですが回線とプロバイダ契約の紐づけは排他的で、一回線につき2つ以上IPoE契約を持てないのはこのためです。

「個人契約は間違いなく解約したけれど、なんらかの理由で旧契約が回線を握ったままになっているのでは？」と考え営業さんに連絡。直ぐにOCNへ確認してくれることになりました。

プロバイダ解約＝回線がフリーではない

予想通りその後しばらくして「解約済み契約に回線が紐づいたままになっており、原因はほぼこれでしょう」と連絡が入り、至急対応で翌日には紐付けが正常化⇒めでたく正常に通信できるようになったのでした。良かったぁ！

通常だと回線がフリーになるにはもう少し日数がかかるとのこと（なんともおかしな話です）。営業さんもこの可能性には気付かなかったようで平謝りでした。

開通日を含め丸2日弱繋がらなかった訳ですが、こんなこともあろうかとPPPoEの解約日を遅らせておいて本当に助かりました。私としては結果オーライだったので営業さんに対しては何も思いませんが

• 旧契約に紐づけられたままの回線に対し正常に新規契約処理ができてしまうOCNのシステム
• 相手を変え3度確認し3度とも回線・契約に問題は無いと言い切ったOCNのシステム
• サポートも含めて営業担当者に丸投げ対応なOCNのシステム

これらには一言なにがしか申し上げたいところであります。特に1つ目、排他的にしか扱えないものを排他的に扱えていないように見えるんですよね。異常終了させないといけない処理を正常終了させてしまっている感が否めないです。いかんでしょ、それ。特に今回はOCN→OCNの切り替えだったので「他の契約が回線握ってますよ～」とお知らせするのがシステムのあるべき姿なのではと思います。知らんけど。

結論

• プロバイダ契約移行時、旧契約がIPoEの場合は旧契約先にさっさと回線を手放すよう言っておきましょう

クライアント用秘密鍵を作る

では、早速参りましょう。

sandambara@srv001:~$ cd easy-rsa/easyrsa3
sandambara@srv001:~/easy-rsa/easyrsa3$ ./easyrsa build-client-full sandambara
Using SSL: openssl OpenSSL 1.1.1d  10 Sep 2019
Generating a RSA private key
..................................................................................................+++++
....................................................+++++
writing new private key to '/home/sandambara/easy-rsa/easyrsa3/pki/easy-rsa-8816.8fBzne/tmp.YYfV1S'
Enter PEM pass phrase:
パスフレーズ
Verifying - Enter PEM pass phrase:パスフレーズ（確認）
-----
Using configuration from /home/sandambara/easy-rsa/easyrsa3/pki/easy-rsa-8816.8fBzne/tmp.WTEZ4V
Enter pass phrase for /home/sandambara/easy-rsa/easyrsa3/pki/private/ca.key:CA証明書のパスフレーズ
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
commonName            :ASN.1 12:'sandambara'
Certificate is to be certified until Jan  8 11:50:11 2023 GMT (825 days)

Write out database with 1 new entries
Data Base Updated

最初にクライアント証明書のパスフレーズを聞かれますので任意の文字列を入力します。確認で同じパスフレーズを再度入力したら、1回目の記事で作成したCA証明書のパスフレーズを聞かれますので入力しましょう。

OpenVPNサーバーを構築する　その１

RTX1210導入をきっかけに自宅通信回線をIPoE化したりLANケーブルを自作したりしておりますが、今日はIPoE化によりL2TP/IPSecが利用できなくなったのでOpenVPNサーバーの構築手順を改めて確認しておきたいと思います。構築...

sandambara.com

2020.09.26

クライアントに転送するファイル一式を分かりやすいよう任意のディレクトリにコピーしてアクセス権を設定しておきます。chown sandambara:sandambaraの箇所はコンソールで作業中のユーザー名：グループにしてください。

sandambara@srv001:~/easy-rsa/easyrsa3$ sudo cp /etc/openvpn/ca.crt ~
sandambara@srv001:~/easy-rsa/easyrsa3$ cp pki/issued/sandambara.crt ~
sandambara@srv001:~/easy-rsa/easyrsa3$ cp pki/private/sandambara.key ~
sandambara@srv001:~/easy-rsa/easyrsa3$ sudo chown sandambara:sandambara ~/ca.crt
sandambara@srv001:~/easy-rsa/easyrsa3$ sudo chown sandambara:sandambara ~/sandambara.crt
sandambara@srv001:~/easy-rsa/easyrsa3$ sudo chown sandambara:sandambara ~/sandambara.key

設定ファイルを作成する

クライアントで利用する設定ファイルを作成しましょう。原則的にserver.confに書いた内容に合わせればOKですので、以下を参考に皆さんの環境にあわせてカスタマイズしてください。なお、設定ファイルの拡張子は「.ovpn」です。

sandambara.ovpn

client
dev tun

remote サーバー設置場所のグローバルIPアドレス server.confで指定したポート番号 プロトコル
#ex
#remote 123.45.67.890 1194 udp

persist-tun

link-mtu 1500

comp-lzo
nobind
preresolve

auth-nocache
auth SHA256
cipher AES-256-GCM
verb 3


<ca>
CA証明書の中身を貼り付けます
</ca>
<key>
ユーザー名.keyの中身を貼り付けます
</key>
<cert>
ユーザー名.certの中身を貼り付けます
</cert>

設定ファイルをクライアントへ保存する

メールに添付するのはセキュリティ的におススメできませんので、scpコマンドやUSBメモリなどを使って先ほどのファイルをクライアントへ保存しましょう。iOSだったらiCloud Drive経由が簡単かも・・・インターネットを経由させたくない場合はiTunesやMac経由でクライアントアプリケーションへ読み込ませることも可能です。

クライアントアプリケーションをインストールし設定ファイルを保存する

Windowsの場合はこちらをどうぞ。

OpenVPN GUI for Windows | OpenVPN.JP

www.openvpn.jp

iOSはこちらです。

OpenVPN Connectアプリ - App Store

App Store でOpenVPN Inc.の「OpenVPN Connect」をダウンロード。スクリーンショット、評価とレビュー、ユーザのヒント、その他「OpenVPN Connect」みたいなゲームを見ることができます。

apps.apple.com

Windowsは設定ファイルをインストール時に表示されるディレクトリへ保存すればOKです。iOSは設定ファイルを選択→共有→OpenVPNを選択でクライアントアプリケーションに取り込まれます。

つないでみよう！

さあ、いかがでしょう。うまくつながったでしょうか？残念ながらうまくいかないときはサーバーとクライアント、両方のログを見ればヒントがつかめると思います。ポートやプロトコルは勿論ですが、暗号の形式や圧縮の設定はサーバーとクライアントで一致していなければなりません。mtuも設定に問題があるとわんさかログが残りますので注意深く確認しましょう。

インターネットを安全に利用するには

VPNを利用することで安全度・安心感が格段に高まったことと思います。しかし、これは例えばVPNサーバーが自宅にある場合、自宅からインターネットを利用していることと同義であり目的のサーバーに対してVPNで接続しているのではないことを忘れてはいけません。httpsではなくhttpのURLは参照しない、もしくは参照してもIDやパスワードは絶対に入力しないといったことには日頃から留意しておきましょう！

OpenVPNサーバーを構築する　その１

RTX1210導入をきっかけに自宅通信回線をIPoE化したりLANケーブルを自作したりしておりますが、今日はIPoE化によりL2TP/IPSecが利用できなくなったのでOpenVPNサーバーの構築手順を改めて確認しておきたいと思います。構築...

sandambara.com

2020.09.26

ファイアウォールのインストールと設定

未導入の場合、ufwをインストールします。

sudo apt install ufw

インストールが終わったら「全ての通信を拒否する」→「通す通信を登録する」→「ufwを有効化する」の順で作業します。まずは「全ての通信を拒否する」から行います。

sandambara@srv001:~/easy-rsa/easyrsa3$ sudo ufw default deny
Default incoming policy changed to 'deny'
(be sure to update your rules accordingly)

続いて「通す通信を登録する」はこのように行います。

ufw allow ポート番号(/プロトコル）

たとえばhttpを通す場合はこのようになります。ポート番号ではなくアプリケーション名でも指定できます。

sudo ufw allow 80/tcp（またはsudo ufw allow http）

前回の記事のserver.confで指定したポート番号（規定値であればudp 1194）をここで登録します。他にもSSHやhttpにhttps、メール関連のプロトコルやRDPも登録しておきましょう。ここまでできたらufwを有効にします・・・その前に！リモートで作業している場合はリモート関連のプロトコルを確実に登録したことをここでもう一度確認しておきましょう。最悪の場合マシンの設置場所まで直行しないといけなくなりますので（リモートから締め出されてしまいローカルで作業するしかなくなります）。

sandambara@srv001:~/easy-rsa/easyrsa3$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
Firewall is active and enabled on system startup

設定の確認コマンドはこちらです。末尾の「numbered」はルールの先頭にルール番号を表示させるオプションですので無くても構いません。但し、ルールを削除するときはこのルール番号が必要になりますので覚えておきましょう。

sandambara@srv001:~/easy-rsa/easyrsa3$ sudo ufw status numbered
Status: active

     To                         Action      From
     --                         ------      ----
[ 1] 1400/udp                   ALLOW IN    Anywhere
[ 2] 443/tcp                    ALLOW IN    Anywhere
[ 3] 22                         ALLOW IN    Anywhere

たとえば1番のudp 1400番のルールを削除するにはこうします。

sudo ufw delete 1

ファイアウォールはログがあってこそ活きるので、ロギングを有効化しておきましょう。

sudo ufw logging on

ロギングのレベルはlow、medium、high、fullとあり規定値はmediumです。ログの確認コマンドはこちらです。

sudo cat /var/log/ufw.log

次にOpenVPNサーバーがクライアントから受け取ったパケットがインターネットへ出ていけるようIPフォワーディングを有効にします。2か所変更します。

sudo nano /etc/default/ufw

#DEFAULT_FORWARD_POLICY="DROP"
DEFAULT_FORWARD_POLICY="ACCEPT"

sudo nano /etc/ufw/sysctl.conf

# もともとコメントアウトされているのでコメントを外す
net/ipv4/ip_forward=1

ここまでできたら現在利用しているインターフェースを調べます。ifconfig（今はip aでしょうか）を実行し「inetが割り当たっており、かつ、ループバックでないインターフェース」を見つけ、そのインターフェースのIPマスカレードを有効にします。下記の例ではインターフェース名はeth0です。

sudo nano /etc/ufw/before.rules

# 最下行のCOMMITの下に追記します
# POSTROUTING -sに続くネットワークはserver.confに記述したものと同一にします
*nat
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
COMMIT

ファイアウォールを再起動します。

sudo ufw reload

OpenVPN起動

OpenVPNを起動します！

sudo systemctl start openvpn

起動したらプロセスがいることを確認しましょう。

ps -ef | grep openvpn | grep -v grep

注意点として、起動確認はsystemctl status openvpnでは不可ということが挙げられます。必ずプロセスの有無を確認し、プロセスが無い場合やエラーが出たときはログを確認します。

sudo cat /var/log/openvpn.log

server.confとufwの設定を見直しても起動できないときはopenvpnではなくopenvpn@serverで起動できるか確認してみましょう。私も初めて構築したときはopenvpn@serverでないと動きませんでした。

sudo systemctl stop openvpn
sudo systemctl start openvpn@server
ps -ef | grep openvpn | grep -v grep

こちらで動けばそれで問題ありません。その場合はサーバー再起動時に備え下記コマンドを実行しておきましょう。

sudo systemctl disable openvpn
sudo systemctl enable openvpn@server

次回はクライアント証明書の作成とクライアントの設定ファイルについて書きます。あと一息ですよ。

構築環境

Debian buster(10.5)ですがラズパイ（Raspberry Pi OS）でも同じ手順で構築可能です。

sandambara@srv001:~$ cat /etc/debian_version
10.5

思い違い・誤認と思われる箇所がありましたら是非ご指摘下さいm(__)m

参考にさせて頂いたサイト

大変分かりやすくまとめられており、とても勉強になりました。素晴らしい記事を公開頂き有難うございました。

@noraworldさま

OpenVPNのインストールとセットアップからインターネット接続までのガイドブック - Qiita

はじめに 先日、新しくサーバを借りてVPN環境を構築しました。色んなサイトを参考にしましたがけっこうづまづいたので、つまづいたポイントに着目しながら構築方法を紹介したいと思います。 VPNを利用するメリットとしてよくあるのが、外出先にいなが...

qiita.com

OpenVPNインストール

sudo apt -y install openvpn

Easy RSAのダウンロードと初期設定

公式リポジトリからダウンロードします。

sandambara@srv001:~$ git clone https://github.com/OpenVPN/easy-rsa.git
Cloning into 'easy-rsa'...
remote: Enumerating objects: 124, done.
remote: Counting objects: 100% (124/124), done.
remote: Compressing objects: 100% (98/98), done.
remote: Total 2077 (delta 48), reused 93 (delta 26), pack-reused 1953
Receiving objects: 100% (2077/2077), 12.94 MiB | 1.24 MiB/s, done.
Resolving deltas: 100% (900/900), done.

なお、この先の作業は必ずeasyrsa3のディレクトリで行いましょう。ディレクトリを移動したら初期設定を済ませます。

sandambara@srv001:~$ cd easy-rsa/easyrsa3
sandambara@srv001:~/easy-rsa/easyrsa3$ ./easyrsa init-pki

init-pki complete; you may now create a CA or requests.
Your newly created PKI dir is: /home/sandambara/easy-rsa/easyrsa3/pki

初期化成功のメッセージを確認したら次へ進みます。

CA証明書を作る

CA証明書を作成します。ここでパスフレーズとCN（コモンネーム）を入力することになりますので予め決めておきましょう。コモンネームの文字列はなんでも構いません。

sandambara@srv001:~/easy-rsa/easyrsa3$ ./easyrsa build-ca
Using SSL: openssl OpenSSL 1.1.1d  10 Sep 2019

Enter New CA Key Passphrase:パスフレーズ
Re-Enter New CA Key Passphrase:パスフレーズ（確認用）
Generating RSA private key, 2048 bit long modulus (2 primes)
.................................+++++
..................+++++
e is 65537 (0x010001)
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Common Name (eg: your user, host, or server name) [Easy-RSA CA]:なんでもよいコモンネーム

CA creation complete and you may now import and sign cert requests.
Your new CA certificate file for publishing is at:
/home/sandambara/easy-rsa/easyrsa3/pki/ca.crt

作成された証明書をコピーします。

sandambara@srv001:~/easy-rsa/easyrsa3$ sudo cp pki/ca.crt /etc/openvpn

サーバー証明書を作る

ここでCA証明書を作成するときに入力したパスフレーズを聞かれます。

sandambara@srv001:~/easy-rsa/easyrsa3$ ./easyrsa build-server-full server nopass
Using SSL: openssl OpenSSL 1.1.1d  10 Sep 2019
Generating a RSA private key
.......................................................................+++++
.........................+++++
writing new private key to '/home/sandambara/easy-rsa/easyrsa3/pki/easy-rsa-4484.P8z0p0/tmp.qcEmGa'
-----
Using configuration from /home/sandambara/easy-rsa/easyrsa3/pki/easy-rsa-4484.P8z0p0/tmp.5RaS0a
Enter pass phrase for /home/sandambara/easy-rsa/easyrsa3/pki/private/ca.key:パスフレーズ
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
commonName            :ASN.1 12:'server'
Certificate is to be certified until Dec 27 09:20:37 2022 GMT (825 days)

Write out database with 1 new entries
Data Base Updated

作成した証明書とキーをCA証明書と同じディレクトリへコピーします。

sandambara@srv001:~/easy-rsa/easyrsa3$ sudo cp pki/issued/server.crt /etc/openvpn
sandambara@srv001:~/easy-rsa/easyrsa3$ sudo cp pki/private/server.key /etc/openvpn

DH（Diffie-Hellman）鍵を作る

コマンド入力後、完了まで数十秒といったところでしょうか。

sandambara@srv001:~/easy-rsa/easyrsa3$ ./easyrsa gen-dh
Using SSL: openssl OpenSSL 1.1.1d  10 Sep 2019
Generating DH parameters, 2048 bit long safe prime, generator 2
This is going to take a long time
................................................+
（中略）

DH parameters of size 2048 created at /home/sandambara/easy-rsa/easyrsa3/pki/dh.pem

終わったら証明書と同じディレクトリへコピーしましょう。

sandambara@srv001:~/easy-rsa/easyrsa3$ sudo cp pki/dh.pem /etc/openvpn

クライアント証明書失効リストを作る

続いてクライアント証明書失効リストを作成します。コマンド入力後、CA証明書作成時に入力したパスフレーズを聞かれます。作成後はサーバー側の証明書と同じディレクトリへコピーし、アクセス権を付与します。

sandambara@srv001:~/easy-rsa/easyrsa3$ ./easyrsa gen-crl
Using SSL: openssl OpenSSL 1.1.1d  10 Sep 2019
Using configuration from /home/sandambara/easy-rsa/easyrsa3/pki/easy-rsa-4612.KNHs7Y/tmp.OAIkJi
Enter pass phrase for /home/sandambara/easy-rsa/easyrsa3/pki/private/ca.key:
パスフレーズ

An updated CRL has been created.
CRL file: /home/sandambara/easy-rsa/easyrsa3/pki/crl.pem

sandambara@srv001:~/easy-rsa/easyrsa3$ sudo cp pki/crl.pem /etc/openvpn
sandambara@srv001:~/easy-rsa/easyrsa3$ sudo chmod o+r /etc/openvpn/crl.pem

server.confを作る

サーバーのコンフィグを作成します。下記はポート番号を除き実際に私の環境で利用しているものです（OpenVPN既定のポートはudp 1194ですが、IPoE環境では変更が必要と思っておいてください）。

sandambara@srv001:~/easy-rsa/easyrsa3$ sudo nano /etc/openvpn/server.conf

port   1194
proto  udp
dev    tun

ca          ca.crt
cert        server.crt
key         server.key
dh          dh.pem
crl-verify  crl.pem

ifconfig-pool-persist ipp.txt

server 10.8.0.0 255.255.255.0

push "redirect-gateway def1 bypass-dhcp"
push "route 10.8.0.0 255.255.255.0"
push "dhcp-option DNS 8.8.8.8"
link-mtu 1500

client-to-client
keepalive 10 120
comp-lzo

cipher AES-256-GCM
auth SHA256

user  nobody
group nogroup

persist-key
persist-tun

status      /var/log/openvpn-status.log
log         /var/log/openvpn.log
log-append  /var/log/openvpn.log

# LINEで通知を送るスクリプトを実行する際は下記を追加
script-security 2

verb 3

「LINEで通知を送るスクリプトを・・・」の箇所はでこちらの記事でご紹介した内容を実行する際に必要な設定です。純粋にOpenVPNを利用するだけであればここの行は無くてもかまいません。

やってみた　OpenVPN利用時にLINEで通知を受け取る

こちらの記事で自宅のルーターをVPNサーバーとする手順をご紹介しました。その後、以前から興味があったOpenVPNを自宅のサーバーにインストールしてみたのですが、これがなかなかいい感じです。後先になりますが今回はOpenVPNサーバーの構築...

sandambara.com

2020.08.28

他の設定については冒頭でご紹介した参考先の記事がとっても秀逸ですので、そちらをご覧頂ければと思います。私が色々書くより絶対に分かりやすいです（キッパリ）。

この後行うファイアウォールとルーターの設定、クライアント証明書の作成については次回以降の記事でご紹介したいと思います！

RTX1210 特長

ヤマハのRTX1210のページです。中小規模拠点向けVPNルーター。従来モデル「RTX1200」の機能を継承し、Web GUIを刷新。LANマップ、ダッシュボード等ネットワークの「見える化」を強化。

network.yamaha.com

RTX1200は昔少しだけ触っていたのですが、記憶は完璧にフラッシュされています（きっぱり）。届くのは数日後なので今から勉強開始です！

OpenVPNのよいところ

OpenVPNの場合は自宅LAN内に1台PC・サーバーが必要になりますが（安価に済ませるならラズパイでも可能ですし、予算を気にしなければAWSなどクラウド上に仮想サーバーをたててもOKです）、メーカー・企業が提供するVPNサービスと異なり外部の中継サーバーを必要としません。昨今「VPNサービスを利用し情報漏洩が生じて本末転倒」というニュースもありますが、OpenVPNの場合自宅のサーバーを経由するだけですので「接続先のサーバーが本当に安全なのか信用できない」という悩みは無用です。

OpenVPNのつらいところ

これは前回の記事にもあたりますが、全てにおいて完全に自己責任であることです。自宅のゲートウェイへ外部に対する穴を開けることになりますので、適切な設定を行うことが必要なのは勿論のこと、定期的にログのチェックなども実施した方が良いでしょう。

VPN接続・切断の通知をLINEで受け取る

以上を踏まえ「最低限VPNのセッションが張られた、落ちたくらいは知りたい」と思い色々調べてみました。主に参考にさせて頂いたサイトはこちらです。有益な情報を公開頂き有難うございます！

RaspberryPi VPNのログ監視：VPN接続毎にLINEへ通知して不審なアクセスを検知する

OpenVPN の接続・切断時に Slack に通知する

前者はLINEを使った手法ですが、利用されているのがSoftEther VPNであり、ローカルでの挙動がOpenVPNとは少し異なりました。後者はOpenVPNを利用されていますが、通知先はLINEではなくSlackです。

両者の情報を組み合わせれば上手くいくかも・・・ということで挑戦してみました。全体的な流れはこんな感じです。

VPN接続・切断⇒IFTTTへパラメータを送信⇒IFTTTと連携したLINEが通知を送信

IFTTTに登録

LINEへ通知を飛ばすために「IFTTT（イフト）」というサービスを利用します。恥ずかしながら私はこのIFTTTを知らなくて、今回初めて使ってその便利さに感激しました。「if this then that」を略してIFTTT、読んだ通り「もし〇〇なら☆☆を実行する」という仕組みを提供するものです。アカウントを持っていない方はまずこちらで登録を済ませましょう。

IFTTT - Automate business & home

Get started with IFTTT, the easiest way to automate your favorite apps and devices for free. Make your home more relaxin...

ifttt.com

アカウントを作成したら先ほどのリンク先を参考にIFTTT側の作業を進めましょう。キャプチャを豊富に使いながら大変丁寧に解説されていますので（私も見習わなくては・・・）、特に迷うことは無いと思います。

シェル作成

まずは必要なシェルの置き場を作成しましょう。

sudo mkdir /usr/local/vpn

ここに３つのシェル（LINE.sh、connect.sh、disconnect.sh）を作成します。

connect.sh

#! /bin/bash
sh /usr/local/vpn/LINE.sh connect:$common_name $untrusted_ip $ifconfig_pool_remote_ip

disconnect.sh

#! /bin/bash
sh /usr/local/vpn/LINE.sh disconnect:$common_name $untrusted_ip $ifconfig_pool_remote_ip

LINE.sh

#!/bin/sh
URL="https://maker.ifttt.com/trigger"
EVENTNAME="IFTTTで設定したEventName"
YOUR_KEY="WebhooksのAPIキー（https://maker.ifttt.com/use/***この部分***）"

WEBHOOKSURL="${URL}/${EVENTNAME}/with/key/${YOUR_KEY}"

curl -X POST -H "Content-Type: application/json" -d \
     '{"value1":"'$1'","value2":"'$2'","value3":"'$3'"}' \
         ${WEBHOOKSURL}

echo
exit 0

LINE.shはこちらのサイトのコードをそのまま利用させて頂きました。

それでは、シェルを書き終えたら実行権限を付与しましょう。

sudo chmod +x /usr/local/vpn/*

こんな風になっていればOKです！

sandambara@sandambara:~$ ls -l /usr/local/vpn
合計 12
-rwxr-xr-x 1 root root 340  8月 22 16:24 LINE.sh
-rwxr-xr-x 1 root root  99  8月 22 13:18 connect.sh
-rwxr-xr-x 1 root root 102  8月 22 13:19 disconnect.sh

IFTTT・LINE連携テスト

先ほど作成したLINE.shはconnect.sh、disconnect.shから呼び出して利用しますが、単体でも実行できます。動作テストしてみましょう。

sudo sh /usr/local/vpn/LINE.sh hoge fuga piyo

このように表示されたらシェルの内容はOKです。

sandambara@sandambara:~$ sudo sh /usr/local/vpn/LINE.sh hoge fuga piyo
Congratulations! You've fired the vpn_notification event

無事LINEの通知を受信できたでしょうか？？

server.confに加筆する

VPN接続・切断をどうやって検知するかですが、これは先ほどご紹介した２つ目のリンク先にもあるように、OpenVPNのコンフィグで制御が可能でマニュアルにも記載があります。

Just a moment...

community.openvpn.net

早速コンフィグを編集します。

sudo nano /etc/openvpn/server.conf

コンフィグに下記３行を加筆します。

script-security 2
client-connect /usr/local/vpn/connect.sh
client-disconnect /usr/local/vpn/disconnect.sh

script-security 2はシェル実行を可能にするための設定で、VPN接続・切断時にそれぞれclient-connect、client-disconnectに続くシェルが実行される仕組みになっています。ですのでcronを使ったりディレクトリ監視する必要はありません。

sudo systemctl restart openvpn@server

ここでVPN接続・切断を行いLINEの通知を受け取れれば成功です。ちなみにこれらのシェルを実行できないとき（パスを誤って記述したときなど）は通知が来ないだけではなくOpenVPN自体がコケてしまいますので注意しましょう。

これで「自分がVPNを利用していないのに通知がきた」などというシチュエーションにいち早く気付くことができるようになりました（想像しただけでゾッとしますね/笑）。LINEの通知は他にも色々使い道があると思うので、皆さんも是非挑戦してみてください。

パフォーマンス・トラブルの原因

VPNが繋がっているのに通信に問題がある場合、ネットワーク設定の「MTU」という値を調整することで改善できることがあります。

MTU(Maximum Transmission Unit)とは

データ転送時の最大データサイズのことで（厳密には細かく定義があります）、通常は最大値である1500Bytesが規定値になっている場合が多いです。Windows環境の方はVPN接続した状態でコマンドプロンプトを管理者として実行し、下記コマンドを入力してみてください。

netsh interface ipv4 show interface

この場合最上段（id=54）がVPN接続時の設定で、WindowsではVPNのMTUは1500-100の1400となります。これが1400では大きすぎる場合があり、この時にパフォーマンスの悪化や通信途絶が生じるのです。

MTU値を変えてみる

NTT西日本のサイトではこのように案内があります。

「フレッツ光」を利用する際、「MRU/MTU（最大転送単位）」はいくつに設定すべきですか。 | よくあるご質問｜フレッツ光公式｜NTT西日本

「フレッツ光」をご利用の際は、「MRU/MTU（最大転送単位）」を1,454バイト以下に設定してください。1,455バイト以上に設定した場合、速度が低下したりインターネットが正常に利用できなくなった

qa.flets-w.com

1454Bytes以下で良いのであればWindowsが設定する1400でも良いように思うのですが、実際にはここの調整が必要になります。では、いくつに設定すれば良いか調べてみましょう。VPN接続したままpingを送信します。

ping -f -l 1400 -n 1 LAN内のデバイスどれかのIPアドレス

この例の「1400」を少しずつ下げていき、pingの応答が「パケット数: 送信 = 1、受信 = 0、損失 = 1 (100% の損失)」から「パケット数: 送信 = 1、受信 = 1、損失 = 0 (0% の損失)」に変わる値を見つけます。仮にそれが1000だったとしたら下記コマンドを実行します。

netsh interface ipv4 set interface 54 mtu=1000

interfaceに続く54という値は先ほどnetsh interface ipv4 show interfaceで確認したVPNインターフェースが割り当たっているid、mtu=の右辺にpingで確認した値を入力します。

この状態で様子を見て頂ければと思います。無いと思いますが、万一状況が悪化した場合は先ほどのコマンドでmtu=1400とすると元に戻せますので気軽にお試しください。