OpenVPNサーバーに接続してイントラネットのローカルリソースにアクセスできるようにするには、OpenVPNクライアントが必要です。このガイドでは、Rocky Linux 8にOpenVPNクライアントをインストールして構成する方法を学習します。OpenVPNソフトウェアは、サーバーまたはクライアントとして機能するように構成できることに注意してください。
OpenVPN
以下のリンクをたどって、RockyLinux8にOpenVPNサーバーをインストールして構成する方法を学びます。
RockyLinux8でOpenVPNサーバーをセットアップする
RockyLinux8にOpenVPNクライアントをインストールして構成する
RockyLinux8にOpenVPNクライアントをインストールする
以下のコマンドを実行して、OpenVPNクライアントをRockyLinux8にインストールします;
dnf epel-release -y
dnf info openvpn
Available Packages
Name : openvpn
Version : 2.4.11
Release : 1.el8
Architecture : x86_64
Size : 543 k
Source : openvpn-2.4.11-1.el8.src.rpm
Repository : epel
Summary : A full-featured SSL VPN solution
URL : https://community.openvpn.net/
License : GPLv2
Description : OpenVPN is a robust and highly flexible tunneling application that uses all
: of the encryption, authentication, and certification features of the
: OpenSSL library to securely tunnel IP networks over a single UDP or TCP
: port. It can use the Marcus Franz Xaver Johannes Oberhumers LZO library
: for compression
次に、コマンド;
dnf install openvpnを実行して、OpenVPNクライアントをインストールできます。
RockyLinux8でOpenVPNクライアントを構成する
OpenVPNサーバーに接続できるようにするには、CA証明書、クライアントサーバー証明書、およびキーを含むクライアントの構成を作成する必要があります。
Rocky Linux 8でのOpenVPNサーバーのセットアップに関するガイドに従った場合は、クライアントの証明書ファイルとキーを生成する方法について説明しました。
キーを生成したら、それらをクライアントにコピーし、キーが保存されているパスをメモします。
また、HMACキーとCA証明書をクライアントにコピーする必要があります。
その後、OpenVPNクライアント構成を作成できます。
たとえば、クライアント用のOpenVPN構成ファイルを作成するには、 gentoo 、その証明書とキーは、 gentoo.crt およびgentoo.key;
vim gentoo.ovpn
client tls-client pull dev tun proto udp4 remote 192.168.60.19 1194 resolv-retry infinite nobind #user nobody #group nogroup persist-key persist-tun key-direction 1 remote-cert-tls server auth-nocache comp-lzo verb 3 auth SHA512 tls-auth ta.key 1 ca ca.crt cert gentoo.crt key gentoo.key
この設定では、クライアント証明書、キー、CA証明書、およびHMACキーは、OpenVPNクライアント構成自体と同じパスgentoo.ovpn。
ls -1 .に配置されていることに注意してください。
ca.crt
gentoo.crt
gentoo.key
gentoo.ovpn
ta.key証明書とキーへのパスの問題を回避するために、構成ファイルにインラインで配置できます。
client
tls-client
pull
dev tun
proto udp4
remote 192.168.60.19 1194
resolv-retry infinite
nobind
#user nobody
#group nogroup
persist-key
persist-tun
key-direction 1
remote-cert-tls server
auth-nocache
comp-lzo
verb 3
auth SHA512
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
feb1af5407baa247d4e772c76aed6c75
...
-----END OpenVPN Static key V1-----
</tls-auth>
<ca>
-----BEGIN CERTIFICATE-----
MIIDTjCCAjagAwIBAgIUX0VQrHTgLDabUUIOAf7tD9cGp4YwDQYJKoZIhvcNAQEL
...
WA9BBk2shVWfR849Lmkep+GPyqHpU47dZAz37ARB2Gfu3w==
-----END CERTIFICATE-----
</ca>
<cert>
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
...
/7FvJaeLqmUHnvSs5eBlRZSgtOL19SCFkG0HXdnw3LtBaoHQXxgzOkDPW1+5
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
MIIEvgIBADANBgkqhkiG9w0BAQEFAASCBKgwggSkAgEAAoIBAQC+DI7kg6MsRoCs
...
6WdLcNtWKAcU294xJEZoOA8/
-----END PRIVATE KEY-----
</key>
VPNに接続する必要があるすべてのユーザーのすべてのクライアントサーバーで同じことを行います。
お気づきの方は、エラーを回避するために以下の行にコメントが付けられています。エラー:Linux route addコマンドが失敗しました:外部プログラムがエラーステータスで終了しました:2 作成したルートをフラッシュしてから、再接続時に再度追加します。
#user nobody #group nogroup
これで、OpenVPNクライアント構成ファイルの準備が整いました。
RockyLinux8上のOpenVPNサーバーへの接続
その後、オンデマンドでOpenVPNサーバーに接続するか、システムが再起動するたびにVPN構成ファイルを確立するようにサーバーを構成できます。
openvpnコマンドを使用してコマンドラインでOpenVPNに接続する
オンデマンドで接続するには、openvpnを使用するだけです。 コマンドas;
sudo openvpn client-config.ovpn
または
sudo openvpn --config client-config.ovpn
ここで、client-configは、上記のgentoo.ovpnファイルのように、クライアントのopenvpn構成ファイルです。
OpenVPNサーバーへの接続が成功すると、Initialization Sequence Completed 。
Wed Jun 30 15:27:16 2021 OpenVPN 2.4.11 x86_64-redhat-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Apr 21 2021 Wed Jun 30 15:27:16 2021 library versions: OpenSSL 1.1.1g FIPS 21 Apr 2020, LZO 2.08 Wed Jun 30 15:27:16 2021 Outgoing Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication Wed Jun 30 15:27:16 2021 Incoming Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication Wed Jun 30 15:27:16 2021 TCP/UDP: Preserving recently used remote address: [AF_INET]192.168.60.19:1194 Wed Jun 30 15:27:16 2021 Socket Buffers: R=[212992->212992] S=[212992->212992] Wed Jun 30 15:27:16 2021 UDPv4 link local: (not bound) Wed Jun 30 15:27:16 2021 UDPv4 link remote: [AF_INET]192.168.60.19:1194 Wed Jun 30 15:27:16 2021 TLS: Initial packet from [AF_INET]192.168.60.19:1194, sid=7ec70642 fdcdad40 Wed Jun 30 15:27:16 2021 VERIFY OK: depth=1, CN=Kifarunix-demo CA Wed Jun 30 15:27:16 2021 VERIFY KU OK Wed Jun 30 15:27:16 2021 Validating certificate extended key usage Wed Jun 30 15:27:16 2021 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication Wed Jun 30 15:27:16 2021 VERIFY EKU OK Wed Jun 30 15:27:16 2021 VERIFY OK: depth=0, CN=server Wed Jun 30 15:27:16 2021 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1586', remote='link-mtu 1602' Wed Jun 30 15:27:16 2021 WARNING: 'cipher' is used inconsistently, local='cipher BF-CBC', remote='cipher AES-256-CBC' Wed Jun 30 15:27:16 2021 WARNING: 'keysize' is used inconsistently, local='keysize 128', remote='keysize 256' Wed Jun 30 15:27:16 2021 Control Channel: TLSv1.3, cipher TLSv1.3 TLS_AES_256_GCM_SHA384, 2048 bit RSA Wed Jun 30 15:27:16 2021 [server] Peer Connection Initiated with [AF_INET]192.168.60.19:1194 Wed Jun 30 15:27:17 2021 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1) Wed Jun 30 15:27:17 2021 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 208.67.222.222,dhcp-option DNS 192.168.10.3,route-gateway 10.8.0.1,topology subnet,ping 10,ping-restart 120,ifconfig 10.8.0.2 255.255.255.0,peer-id 0,cipher AES-256-GCM' Wed Jun 30 15:27:17 2021 OPTIONS IMPORT: timers and/or timeouts modified Wed Jun 30 15:27:17 2021 OPTIONS IMPORT: --ifconfig/up options modified Wed Jun 30 15:27:17 2021 OPTIONS IMPORT: route options modified Wed Jun 30 15:27:17 2021 OPTIONS IMPORT: route-related options modified Wed Jun 30 15:27:17 2021 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified Wed Jun 30 15:27:17 2021 OPTIONS IMPORT: peer-id set Wed Jun 30 15:27:17 2021 OPTIONS IMPORT: adjusting link_mtu to 1625 Wed Jun 30 15:27:17 2021 OPTIONS IMPORT: data channel crypto options modified Wed Jun 30 15:27:17 2021 Data Channel: using negotiated cipher 'AES-256-GCM' Wed Jun 30 15:27:17 2021 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key Wed Jun 30 15:27:17 2021 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key Wed Jun 30 15:27:17 2021 ROUTE_GATEWAY 10.0.2.2/255.255.255.0 IFACE=enp0s3 HWADDR=08:00:27:98:30:73 Wed Jun 30 15:27:17 2021 TUN/TAP device tun0 opened Wed Jun 30 15:27:17 2021 TUN/TAP TX queue length set to 100 Wed Jun 30 15:27:17 2021 /sbin/ip link set dev tun0 up mtu 1500 Wed Jun 30 15:27:17 2021 /sbin/ip addr add dev tun0 10.8.0.2/24 broadcast 10.8.0.255 Wed Jun 30 15:27:17 2021 /sbin/ip route add 192.168.60.19/32 via 10.0.2.2 Wed Jun 30 15:27:17 2021 /sbin/ip route add 0.0.0.0/1 via 10.8.0.1 Wed Jun 30 15:27:17 2021 /sbin/ip route add 128.0.0.0/1 via 10.8.0.1 Wed Jun 30 15:27:17 2021 Initialization Sequence Completed
IPアドレスを確認するには;
ip add show tun0
9: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 100
link/none
inet 10.8.0.2/24 brd 10.8.0.255 scope global tun0
valid_lft forever preferred_lft forever
inet6 fe80::697:ce38:b852:540c/64 scope link stable-privacy
valid_lft forever preferred_lft foreverVPNサーバーへの接続をテストします;
ping 10.8.0.1 -c 3
PING 10.8.0.1 (10.8.0.1) 56(84) bytes of data.
64 bytes from 10.8.0.1: icmp_seq=1 ttl=64 time=2.71 ms
64 bytes from 10.8.0.1: icmp_seq=2 ttl=64 time=2.42 ms
64 bytes from 10.8.0.1: icmp_seq=3 ttl=64 time=1.95 ms
--- 10.8.0.1 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 46ms
rtt min/avg/max/mdev = 1.952/2.362/2.713/0.316 msサーバールートの設定によっては、インターネットアクセスも利用できるはずです。
OpenVPNクライアントをサービスとして実行する
サーバーが再起動するたびに自動的に接続を確立するために、OpenVPNクライアントsystemdサービスを有効にすることができます。
これを行う前に、VPN構成ファイルの拡張子を.ovpn .confへ 。それに応じてファイル名を置き換えます。
cp gentoo.{ovpn,conf}
.confをコピーします ファイルをOpenVPNクライアント構成ディレクトリに追加します。/etc/openvpn/client 。
mv gentoo.conf /etc/openvpn/client 次に、SELinuxを無効にします(ただし、これはお勧めしません、-:));
setenforce 0 && sed -i 's/=enforcing/=permissive/' /etc/selinux/config
OpenVPNクライアントsystemdサービスを開始します。名前を置き換えますgentoo .conf構成ファイルの名前を使用します。
systemctl start [email protected]
ステータスを確認するには;
systemctl status [email protected]
● [email protected] - OpenVPN tunnel for gentoo Loaded: loaded (/usr/lib/systemd/system/[email protected]; disabled; vendor preset: disabled) Active: active (running) since Wed 2021-06-30 15:48:47 EDT; 12s ago Docs: man:openvpn(8) https://community.openvpn.net/openvpn/wiki/Openvpn24ManPage https://community.openvpn.net/openvpn/wiki/HOWTO Main PID: 39782 (openvpn) Status: "Initialization Sequence Completed" Tasks: 1 (limit: 11272) Memory: 1.6M CGroup: /system.slice/system-openvpn\x2dclient.slice/[email protected] └─39782 /usr/sbin/openvpn --suppress-timestamps --nobind --config gentoo.conf Jun 30 15:48:48 localhost.localdomain openvpn[39782]: Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key Jun 30 15:48:48 localhost.localdomain openvpn[39782]: ROUTE_GATEWAY 10.0.2.2/255.255.255.0 IFACE=enp0s3 HWADDR=08:00:27:98:30:73 Jun 30 15:48:48 localhost.localdomain openvpn[39782]: TUN/TAP device tun0 opened Jun 30 15:48:48 localhost.localdomain openvpn[39782]: TUN/TAP TX queue length set to 100 Jun 30 15:48:48 localhost.localdomain openvpn[39782]: /sbin/ip link set dev tun0 up mtu 1500 Jun 30 15:48:48 localhost.localdomain openvpn[39782]: /sbin/ip addr add dev tun0 10.8.0.2/24 broadcast 10.8.0.255 Jun 30 15:48:48 localhost.localdomain openvpn[39782]: /sbin/ip route add 192.168.60.19/32 via 10.0.2.2 Jun 30 15:48:48 localhost.localdomain openvpn[39782]: /sbin/ip route add 0.0.0.0/1 via 10.8.0.1 Jun 30 15:48:48 localhost.localdomain openvpn[39782]: /sbin/ip route add 128.0.0.0/1 via 10.8.0.1 Jun 30 15:48:48 localhost.localdomain openvpn[39782]: Initialization Sequence Completed
システム起動時に実行できるようにするには、
systemctl enable [email protected]
これで、OpenVPNクライアントのRockyLinux8が正常にインストールおよびセットアップされました。
これで、RockyLinux8にOpenVPNクライアントをインストールして構成する方法に関するチュートリアルは終了です。
その他のチュートリアル
OpenVPNクライアントに静的IPアドレスを割り当てる
OpenVPNLDAPベースの認証を構成する