VPSにVPNサーバを構築したお話・クライアントサイド編

今回は予告通りVPSに構築したVPNサーバに自宅サーバを接続するまでを書くよ


VPSにVPNサーバを構築したお話・サーバサイド編 - それはそれはおかしなことなんだよ


↑前回のサーバ構築記事

環境

改めて今回の環境を書いておきます。

OpenVPNのインストール

サーバサイドと同じOpenVPN 2.3.6を使います。
サーバを構築するときにやったことと同じ手順でOpenVPNをインストールします。

依存パッケージのインストール。lzo-develはLZO圧縮を使うなら入れる。
# yum -y install openssl-devel lzo-devel pam-devel
OpenVPNをダウンロード
# curl -LO http://swupdate.openvpn.org/community/releases/openvpn-2.3.6.tar.gz
RPMパッケージを生成※。rpmbuildが入っていない場合はyum install rpm-build
# rpmbuild -tb --clean openvpn-2.3.6.tar.gz
生成したRPMパッケージをインストール
# yum localinstall ~/rpmbuild/RPMS/x86_64/openvpn-2.3.6-1.x86_64.rpm

インストールしたら生成したRPMパッケージとダウンロードしたソースは消しちゃってOK。

クライアント証明書・秘密鍵を作成

今回はクライアント証明書を使った認証を設定します。VPNサーバ側でクライアント証明書・秘密鍵を生成します。

# cd /etc/openvpn/easyrsa3
# ./easyrsa ./easyrsa build-client-full svr01 nopass
(省略)
Enter pass phrase for /etc/openvpn/easyrsa3/pki/private/ca.key: [CA秘密鍵のパスフレーズ]

自宅サーバの内部ホスト名が「svr01」なので証明書のCommon Name(CN)もそれに合わせています。パスフレーズはなし。
成功すると/etc/openvpn/easyrsa3/pki/issued/svr01.crtに証明書, /etc/openvpn/easyrsa3/pki/private/svr01.keyに秘密鍵がそれぞれ生成されます。(ファイル名の「svr01」の部分はCNによって変わります)

OpenVPNクライアントの設定と起動

CA証明書、クライアント証明書・秘密鍵TLS鍵を安全な方法でクライアントである自宅サーバに持っていきます。
暗号化されていない通信経路を使うと傍聴されて漏洩する危険があるよ!最低限scpやSFTPといった通信が暗号化される経路を使おう。
自宅サーバ側に持ち込んだらとりあえず/etc/openvpnに置いておく。

次に設定を書く。とりあえず下のような設定を書いた。設定ファイルは/etc/openvpn/client.confとして保存。

client
dev tun
proto udp
remote [構築したVPNサーバのIPアドレス]
resolv-retry infinite
nobind
persist-key
persist-tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/svr01.crt
key /etc/openvpn/svr01.key
tls-auth /etc/openvpn/ta.key 1
comp-lzo
verb 3

この状態でOpenVPNを起動すると接続できるはず。

$ sudo /usr/sbin/openvpn --config /etc/openvpn/client.conf

いろいろ出てくる。特にエラーが出ていないなら接続できているはず。
tunもできているはず。

$ ip addr show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: enp2s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000
    link/ether 9c:b6:54:a9:0f:bf brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.3/24 brd 192.168.0.255 scope global enp2s0
       valid_lft forever preferred_lft forever
    inet6 fe80::9eb6:54ff:fea9:fbf/64 scope link
       valid_lft forever preferred_lft forever
7: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
    link/none
    inet 10.8.0.6 peer 10.8.0.5/32 scope global tun0
       valid_lft forever preferred_lft forever

tunに振られるIPアドレスはサーバ側の設定で自動割り当てされる。今回は10.8.0.6が振られたようです。

10.8.0.1にpingを打つと返ってくるはずで、10.8.0.1はVPNサーバ。
またVPNサーバ側から10.8.0.6に向かってpingを打つとこれも返ってくるはず。

返ってこなかったらどこがでエラーが起こっているのでログを見ましょう。

なんとかして常時接続を維持する

接続はできたことまで確認したらバックエンドで起動してみる。

$ sudo /usr/sbin/openvpn --config /etc/openvpn/client.conf &

最初はコンソールにいろいろ出るけど落ち着いたら接続できているはず。

しかし!プロセス管理しにくいし!そもそもプロセス落ちたら当然疎通できないしVPSのリバースプロキシ経由で何かウェブサイトを開いていたら事故るよね!

というわけで私はsupervisordの管理下に置くことにしました。
supervisordはプロセス管理デーモンでコイツの他にはdaemontools(有名な仮想ドライブソフトじゃないよ!)があります。
好みだと思っているのでお好きなプロセス管理デーモンを使うかscreen張ってwatchで定期起動とかして維持すればいいです。

ここではsupervisordを使った話をします。

supervisordをインストール

Pythonで書かれているのでeasy_installでインストールしてもいいですしCentOSならEPELを使っていればRPMがあるのでyumが使えます。
私はEPELを設定してあるのでyumで入れました。

$ sudo yum install supervisor

私の自宅サーバでは3.0がインストールされました。

supervisorの設定を書く

/etc/supervisord.dというディレクトリ以下にvpn.iniという名前で設定ファイルを作ります。ファイル名はわかりやすければなんでもいいです。

[program:openvpn-client]
command=/usr/sbin/openvpn --config /etc/openvpn/client.conf
user=root
autorestart=true
stdout_logfile=/var/log/supervisor/openvpn-client/openvpn.log
stdout_logfile_maxbytes=1MB
stdout_logfile_backups=5
stdout_capture_maxbytes=1MB
redirect_stderr=true

先頭の「program:」に続く文字列がsupervisorctlという配下のプログラムを管理するコマンドで各プロセスを識別する名前になります。

「command=」でsupervisor配下で起動するコマンド, userは起動するユーザ名, autorestartはプロセスが何かしらの理由で落ちた時に自動で再起動をかける設定です。あとの項目は調べてみてくだい。

設定が書けたらsupervisorを起動します。自宅サーバはCentOS7.0なのでsystemdを使っています。

$ sudo systemctl start supervisord.service

エラー無く起動したら準備完了していてもうVPN接続ができているはずです。
supervisorctlで確認しましょう。

$ sudo supervisorctl status
openvpn-client                   RUNNING    pid 14483, uptime 0:00:08

これで一応接続維持ができるようになりました。サーバ落ちたら終わりだけど。



おしまい。

VPSにVPNサーバを構築したお話・サーバサイド編

VPSVPNサーバを構築して自宅サーバと接続したときの構築手順を連々と。
今回はOpenVPNを使ってSSL-VPNを作るよ!

環境

回線はマンションの共有回線でグローバルIPアドレスがない(お金払えばもらえるけど)のでVPS側をサーバとして構築する。

また、VPN機能を持ったルーターはないので自宅サーバをクライアントとした。

続きを読む

まっさらなCentOS 6.6にRuby2.2.0をインストールするメモ

月曜深夜2時にCentOS7にアップグレードしようとしたら「no filesystem could mount root」と共に死亡したVPSを目の前にしてメモ書き。

chefを使いたいので最新版のrubyをインストール。

環境

  • GMOクラウドVPS マイクロ
  • (死亡したので)再インストール後yum updateで6.6にした状態

依存パッケージをインストール

入れるだけなら

# yum -y install gcc zlib zlib-devel openssl openssl-devel libffi-devel

Ruby本体をmake install

公式サイトからソースコードをダウンロードしてきてmake

# curl -LO http://cache.ruby-lang.org/pub/ruby/2.2/ruby-2.2.0.tar.gz
# tar zxvf ruby-2.2.0.tar.gz
# cd ruby-2.2.0
# ./configure
# make
# make install

makeしようとしたらハマるところはlibffi-develをインストールし忘れること。
ここまで無事にできたら確認。

# ruby --version
ruby 2.2.0p0 (2014-12-25 revision 49005) [x86_64-linux]

このあとはがんばってchefのレシピを書いていく作業が待ってるけど眠いのでおしまい。

nasneの空き容量をzabbixで監視する!

ある日、撮り溜めていたアニメを見ようと徐ろにPS3を起動した。
Torneを起動させたら…




容量不足で録画できてない!

雪菜はどこにいってしまったの!?

f:id:tyoshihisa:20131223142436j:plain

というわけでgitと開発用DBぐらいにしか使ってない自宅サーバにzabbix入れて監視することにした。

環境

zabbix 2.2.1

CentOS 6.5
Apache 2.2
PHP 5.5
MySQL 5.5
Ruby 2.0.0

PHPはzabbixが要求するので必須たぶん5.3.17以上、Rubyはnasneの空き容量監視スクリプトを書くために入れた。

続きを読む

FuelPHPのThemeを使ってスマホとPCでテンプレートを切り替える~Smarty編~

自分が運営しているサイトスマートフォン対応しようと思って戦った時のメモ。

環境

続きを読む

nginxでリバースプロキシを作ってみた

個人的に購入して使ってるJIRAをどうにかPort80でアクセスしたくてリバースプロキシ作った時のメモ。

環境

ngninx本体の準備

まず必要なライブラリをインストールする。

# yum install libxslt-devel gd-devel geoip-devel

nginxのキャッシュ機構は「時間経過による削除」「キャッシュディレクトリ以下のファイルの全削除」でしかキャッシュの削除ができないらしく、このままだと個別にキャッシュ消したいときに困るので「nginx cache purge」モジュールを組み込むためにダウンロードしておく。今回は2.0を使う。

# wget http://labs.frickle.com/files/ngx_cache_purge-2.0.tar.gz
# tar zxvf ngx_cache_purge-2.0.tar.gz

nginx本体をダウンロードして解凍。今回は1.2.7を使用。このブログを書いたときは1.3が出ていたが開発中のバージョンなので安定版を使った。

# wget http://nginx.org/download/nginx-1.2.7.tar.gz
# tar zxvf nginx-1.2.7.tar.gz

Configオプションを一生懸命書く。今回はとりあえずHTTP関係のモジュール全部載せらしいオプションで。

# cd nginx-1.2.7
# ./configure --user=apache \
--group=apache \
--with-http_ssl_module \
--with-http_realip_module \
--with-http_addition_module \
--with-http_xslt_module \
--with-http_image_filter_module \
--with-http_geoip_module \
--with-http_sub_module \
--with-http_dav_module \
--with-http_flv_module \
--with-http_mp4_module \
--with-http_gzip_static_module \
--with-http_random_index_module \
--with-http_secure_link_module \
--with-http_degradation_module \
--with-http_stub_status_module \
--prefix=/usr/local/nginx \
--sbin-path=/usr/sbin/nginx \
--error-log-path=/var/log/nginx/error.log \
--pid-path=/var/run/nginx.pid \
--lock-path=/var/lock/subsys/nginx \
--http-log-path=/var/log/nginx/access.log \
--add-module=../ngx_cache_purge-2.0

重要な設定は以下のとおり。

  • --user --group

動作させるユーザとグループ。今回はApacheと同じにした。

  • --prefix

confなどを入れる場所

  • --sbin-path

本体を入れる場所

  • --error-log-path

エラーログを保存する場所

  • --http-log-path

アクセスログなどを保存する場所

  • --add-module

追加で入れるモジュールのパスをカレントディレクトリからの相対パスで指定。今回は「nginx cache purge」を入れるのでそのディレクトリを指定

あとはmake叩いてmake installでおわり。

# make
# make install

次に起動スクリプトを書いて /etc/init.d/nginxとして保存。
今回のオプションでビルドしたなら内容は以下のとおり。prefixやsbinを変えているなら起動スクリプトもちゃんと変更すること。
内容自体は簡単なスクリプトなのでどこを変えたらいいかはここでは書かない。

#!/bin/sh
#
# nginx - this script starts and stops the nginx daemon
#
# chkconfig:   - 85 15
# description:  Nginx is an HTTP(S) server, HTTP(S) reverse \
#               proxy and IMAP/POP3 proxy server
# processname: nginx
# config:      /etc/nginx/nginx.conf
# config:      /etc/sysconfig/nginx
# pidfile:     /var/run/nginx.pid
 
# Source function library.
. /etc/rc.d/init.d/functions
 
# Source networking configuration.
. /etc/sysconfig/network
 
# Check that networking is up.
[ "$NETWORKING" = "no" ] && exit 0
 
nginx="/usr/sbin/nginx"
prog=$(basename $nginx)
 
NGINX_CONF_FILE="/usr/local/nginx/conf/nginx.conf"
 
[ -f /etc/sysconfig/nginx ] && . /etc/sysconfig/nginx
 
lockfile=/var/lock/subsys/nginx
 
start() {
    [ -x $nginx ] || exit 5
    [ -f $NGINX_CONF_FILE ] || exit 6
    echo -n $"Starting $prog: "
    daemon $nginx -c $NGINX_CONF_FILE
    retval=$?
    echo
    [ $retval -eq 0 ] && touch $lockfile
    return $retval
}
 
stop() {
    echo -n $"Stopping $prog: "
    killproc $prog
    retval=$?
    echo
    [ $retval -eq 0 ] && rm -f $lockfile
    return $retval
}
 
restart() {
    configtest_q || configtest || return 6
    stop
    start
}
 
reload() {
    configtest_q || configtest || return 6
    echo -n $"Reloading $prog: "
    killproc $nginx -HUP
    echo
}
 
configtest() {
  $nginx -t -c $NGINX_CONF_FILE
}
 
configtest_q() {
    configtest >/dev/null 2>&1
}
 
rh_status() {
    status $prog
}
 
rh_status_q() {
    rh_status >/dev/null 2>&1
}
 
# Upgrade the binary with no downtime.
upgrade() {
    local pidfile="/var/run/${prog}.pid"
    local oldbin_pidfile="${pidfile}.oldbin"
 
    configtest_q || configtest || return 6
    echo -n $"Staring new master $prog: "
    killproc $nginx -USR2
    retval=$?
    echo
    sleep 1
    if [[ -f ${oldbin_pidfile} && -f ${pidfile} ]];  then
        echo -n $"Graceful shutdown of old $prog: "
        killproc -p ${oldbin_pidfile} -QUIT
        retval=$?
        echo
        return 0
    else
        echo $"Something bad happened, manual intervention required, maybe restart?"
        return 1
    fi
}
 
case "$1" in
    start)
        rh_status_q && exit 0
        $1
        ;;
    stop)
        rh_status_q || exit 0
        $1
        ;;
    restart|configtest)
        $1
        ;;
    force-reload|upgrade)
        rh_status_q || exit 7
        upgrade
        ;;
    reload)
        rh_status_q || exit 7
        $1
        ;;
    status|status_q)
        rh_$1
        ;;
    condrestart|try-restart)
        rh_status_q || exit 7
        restart
        ;;
    *)
        echo $"Usage: $0 {start|stop|reload|configtest|status|force-reload|upgrade|restart}"
        exit 2
esac

これでおわり。
自動起動するように設定しておこう。

chkconfig nginx on

リバースプロキシの設定を書く

JIRAを動かいているjettyと接続するためのリバースプロキシの設定を書いていく。
emacsでもvimでもなんでもいいので設定ファイルを開く。

# emacs /usr/local/nginx/conf/nginx.conf

以下の内容で設定した。server_nameは例示用ドメインに書き換えてあるので注意。
HTTPディレクティブに追記する。

server_names_hash_bucket_size  64;
upstream jira {
    server 127.0.0.1:8080;
}
server {
    listen 80;
    server_name example.com;
    proxy_set_header Host $host;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # クライアントの IP アドレス
    proxy_set_header X-Forwarded-Host $host; # オリジナルのホスト名。クライアントが Host リクエストヘッダで渡す。
    proxy_set_header X-Forwarded-Server $host; # プロキシサーバのホスト名
    proxy_set_header X-Real-IP $remote_addr;

    location / {
        proxy_pass http://jira;
    }
}

upstreamでバックエンドのサーバを指定する。
JIRAはlocalhostのポート8080で起動しているので「127.0.0.1:8080」。
serverでどのドメインできたらどのバックエンドにリクエストを飛ばすかを指定する。

  • listen

ポート番号。今回は80番。

  • server_name

ドメイン。今回はexample.comで来たら127.0.0.1:8080にプロキシされる。

  • proxy_set_header

プロキシで追加するヘッダーをここに書く。オリジナルのIPアドレスなどを伝えるように設定してある。

  • location

ここでは「http://example.com/」でアクセスしたら実際の処理はhttp://jiraが行うようにしてある。proxy_passは行き先。upstreamで指定した名前が使える。

今回はnginxとJIRAを繋げたが、Apacheにも使える。
次回はApacheとのつなげ方を書こうと思う。

PerlbrewでPerl環境を管理する

システムのデフォルトがPerl5.10だけど使いたいのはPerl5.16なんだよーってときのメモ。
Perlbrewを使って管理できるようにした。

今回の設定

  • 自宅サーバやVPSといったrootを持っていること前提
  • デフォのPerlを書き換えるのは危険な香りがするので/usr/local/bin/perlをPerlbrew管理下に置く
  • Perlbrewのルートは/usr/local/perlbrewにする
  • 必須ではないけど涙目になりたくないならscreenなりtmuxを入れておくことをすすめる

手順

~/.bash_profileに以下の2行を追加しておく

PERLBREW_ROOT=/usr/local/perlbrew
export PERLBREW_ROOT

perlbrewをインストール

# curl -kL http://install.perlbrew.pl | bash

.bash_profileに指示通り追記

source /usr/local/etc/bashrc

反映

# source .bash_profile

これでperlbrewは動くようになるはず。

# perlbrew available
  perl-5.14.4-RC2
  perl-5.16.2
  perl-5.14.3
  perl-5.12.5
  perl-5.10.1
  perl-5.8.9
  perl-5.6.2
  perl5.005_04
  perl5.004_05
  perl5.003_07
# perlbrew install perl-5.16.2
Fetching perl 5.16.2 as /usr/local/perlbrew/dists/perl-5.16.2.tar.bz2
Installing /usr/local/perlbrew/build/perl-5.16.2 into /usr/local/perlbrew/perls/perl-5.16.2

This could take a while. You can run the following command on another shell to track the status:

  tail -f /usr/local/perlbrew/build.perl-5.16.2.log

screenとかtmuxたちあげていればログファイルを眺めて待つ。
テストの通過状況を眺めるのもよし。

成功するとperlbrew listでインストールしたPerlが出てくるはず。
出てきたらswitchする

# perlbrew list
  perl-5.16.2
# perlbrew switch perl-5.16.2
シンボリックリンクを張る
# which perl
/usr/local/perlbrew/perls/perl-5.16.2/bin/perl

/usr/local/bin/perlシンボリックリンクを張る。

これで完了。

rootから抜けてperl -vすればインストールしたPerlになっているはず。

$ which perl
/usr/local/bin/perl

その他

perlbrew availableの結果が帰って来ない…とググりまくったけど、結局ソース読んで原因がわかった。
www.cpan.orgの名前解決ができなかったからだった。
iptablesの設定疑ったけどデフォで設定されているDNSがそもそもの原因だったようだ。
GMOクラウドVPSのpDNSやめてGoogle Public DNSに変更して解決。