VPSにVPNサーバを構築したお話・クライアントサイド編
今回は予告通りVPSに構築したVPNサーバに自宅サーバを接続するまでを書くよ
VPSにVPNサーバを構築したお話・サーバサイド編 - それはそれはおかしなことなんだよ
↑前回のサーバ構築記事
環境
改めて今回の環境を書いておきます。
OpenVPNのインストール
サーバサイドと同じOpenVPN 2.3.6を使います。
サーバを構築するときにやったことと同じ手順でOpenVPNをインストールします。
依存パッケージのインストール。lzo-develはLZO圧縮を使うなら入れる。 # yum -y install openssl-devel lzo-devel pam-devel OpenVPNをダウンロード # curl -LO http://swupdate.openvpn.org/community/releases/openvpn-2.3.6.tar.gz RPMパッケージを生成※。rpmbuildが入っていない場合はyum install rpm-build # rpmbuild -tb --clean openvpn-2.3.6.tar.gz 生成したRPMパッケージをインストール # yum localinstall ~/rpmbuild/RPMS/x86_64/openvpn-2.3.6-1.x86_64.rpm
インストールしたら生成したRPMパッケージとダウンロードしたソースは消しちゃってOK。
クライアント証明書・秘密鍵を作成
今回はクライアント証明書を使った認証を設定します。VPNサーバ側でクライアント証明書・秘密鍵を生成します。
# cd /etc/openvpn/easyrsa3 # ./easyrsa ./easyrsa build-client-full svr01 nopass (省略) Enter pass phrase for /etc/openvpn/easyrsa3/pki/private/ca.key: [CA秘密鍵のパスフレーズ]
自宅サーバの内部ホスト名が「svr01」なので証明書のCommon Name(CN)もそれに合わせています。パスフレーズはなし。
成功すると/etc/openvpn/easyrsa3/pki/issued/svr01.crtに証明書, /etc/openvpn/easyrsa3/pki/private/svr01.keyに秘密鍵がそれぞれ生成されます。(ファイル名の「svr01」の部分はCNによって変わります)
OpenVPNクライアントの設定と起動
CA証明書、クライアント証明書・秘密鍵、TLS鍵を安全な方法でクライアントである自宅サーバに持っていきます。
暗号化されていない通信経路を使うと傍聴されて漏洩する危険があるよ!最低限scpやSFTPといった通信が暗号化される経路を使おう。
自宅サーバ側に持ち込んだらとりあえず/etc/openvpnに置いておく。
次に設定を書く。とりあえず下のような設定を書いた。設定ファイルは/etc/openvpn/client.confとして保存。
client dev tun proto udp remote [構築したVPNサーバのIPアドレス] resolv-retry infinite nobind persist-key persist-tun ca /etc/openvpn/ca.crt cert /etc/openvpn/svr01.crt key /etc/openvpn/svr01.key tls-auth /etc/openvpn/ta.key 1 comp-lzo verb 3
この状態でOpenVPNを起動すると接続できるはず。
$ sudo /usr/sbin/openvpn --config /etc/openvpn/client.conf
いろいろ出てくる。特にエラーが出ていないなら接続できているはず。
tunもできているはず。
$ ip addr show 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: enp2s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000 link/ether 9c:b6:54:a9:0f:bf brd ff:ff:ff:ff:ff:ff inet 192.168.0.3/24 brd 192.168.0.255 scope global enp2s0 valid_lft forever preferred_lft forever inet6 fe80::9eb6:54ff:fea9:fbf/64 scope link valid_lft forever preferred_lft forever 7: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100 link/none inet 10.8.0.6 peer 10.8.0.5/32 scope global tun0 valid_lft forever preferred_lft forever
tunに振られるIPアドレスはサーバ側の設定で自動割り当てされる。今回は10.8.0.6が振られたようです。
10.8.0.1にpingを打つと返ってくるはずで、10.8.0.1はVPNサーバ。
またVPNサーバ側から10.8.0.6に向かってpingを打つとこれも返ってくるはず。
返ってこなかったらどこがでエラーが起こっているのでログを見ましょう。
なんとかして常時接続を維持する
接続はできたことまで確認したらバックエンドで起動してみる。
$ sudo /usr/sbin/openvpn --config /etc/openvpn/client.conf &
最初はコンソールにいろいろ出るけど落ち着いたら接続できているはず。
しかし!プロセス管理しにくいし!そもそもプロセス落ちたら当然疎通できないしVPSのリバースプロキシ経由で何かウェブサイトを開いていたら事故るよね!
というわけで私はsupervisordの管理下に置くことにしました。
supervisordはプロセス管理デーモンでコイツの他にはdaemontools(有名な仮想ドライブソフトじゃないよ!)があります。
好みだと思っているのでお好きなプロセス管理デーモンを使うかscreen張ってwatchで定期起動とかして維持すればいいです。
ここではsupervisordを使った話をします。
supervisordをインストール
Pythonで書かれているのでeasy_installでインストールしてもいいですしCentOSならEPELを使っていればRPMがあるのでyumが使えます。
私はEPELを設定してあるのでyumで入れました。
$ sudo yum install supervisor
私の自宅サーバでは3.0がインストールされました。
supervisorの設定を書く
/etc/supervisord.dというディレクトリ以下にvpn.iniという名前で設定ファイルを作ります。ファイル名はわかりやすければなんでもいいです。
[program:openvpn-client] command=/usr/sbin/openvpn --config /etc/openvpn/client.conf user=root autorestart=true stdout_logfile=/var/log/supervisor/openvpn-client/openvpn.log stdout_logfile_maxbytes=1MB stdout_logfile_backups=5 stdout_capture_maxbytes=1MB redirect_stderr=true
先頭の「program:」に続く文字列がsupervisorctlという配下のプログラムを管理するコマンドで各プロセスを識別する名前になります。
「command=」でsupervisor配下で起動するコマンド, userは起動するユーザ名, autorestartはプロセスが何かしらの理由で落ちた時に自動で再起動をかける設定です。あとの項目は調べてみてくだい。
設定が書けたらsupervisorを起動します。自宅サーバはCentOS7.0なのでsystemdを使っています。
$ sudo systemctl start supervisord.service
エラー無く起動したら準備完了していてもうVPN接続ができているはずです。
supervisorctlで確認しましょう。
$ sudo supervisorctl status openvpn-client RUNNING pid 14483, uptime 0:00:08
これで一応接続維持ができるようになりました。サーバ落ちたら終わりだけど。
おしまい。
まっさらなCentOS 6.6にRuby2.2.0をインストールするメモ
月曜深夜2時にCentOS7にアップグレードしようとしたら「no filesystem could mount root」と共に死亡したVPSを目の前にしてメモ書き。
chefを使いたいので最新版のrubyをインストール。
依存パッケージをインストール
入れるだけなら
# yum -y install gcc zlib zlib-devel openssl openssl-devel libffi-devel
Ruby本体をmake install
# curl -LO http://cache.ruby-lang.org/pub/ruby/2.2/ruby-2.2.0.tar.gz # tar zxvf ruby-2.2.0.tar.gz # cd ruby-2.2.0 # ./configure # make # make install
makeしようとしたらハマるところはlibffi-develをインストールし忘れること。
ここまで無事にできたら確認。
# ruby --version ruby 2.2.0p0 (2014-12-25 revision 49005) [x86_64-linux]
このあとはがんばってchefのレシピを書いていく作業が待ってるけど眠いのでおしまい。
nginxでリバースプロキシを作ってみた
個人的に購入して使ってるJIRAをどうにかPort80でアクセスしたくてリバースプロキシ作った時のメモ。
ngninx本体の準備
まず必要なライブラリをインストールする。
# yum install libxslt-devel gd-devel geoip-devel
nginxのキャッシュ機構は「時間経過による削除」「キャッシュディレクトリ以下のファイルの全削除」でしかキャッシュの削除ができないらしく、このままだと個別にキャッシュ消したいときに困るので「nginx cache purge」モジュールを組み込むためにダウンロードしておく。今回は2.0を使う。
# wget http://labs.frickle.com/files/ngx_cache_purge-2.0.tar.gz # tar zxvf ngx_cache_purge-2.0.tar.gz
nginx本体をダウンロードして解凍。今回は1.2.7を使用。このブログを書いたときは1.3が出ていたが開発中のバージョンなので安定版を使った。
# wget http://nginx.org/download/nginx-1.2.7.tar.gz # tar zxvf nginx-1.2.7.tar.gz
Configオプションを一生懸命書く。今回はとりあえずHTTP関係のモジュール全部載せらしいオプションで。
# cd nginx-1.2.7 # ./configure --user=apache \ --group=apache \ --with-http_ssl_module \ --with-http_realip_module \ --with-http_addition_module \ --with-http_xslt_module \ --with-http_image_filter_module \ --with-http_geoip_module \ --with-http_sub_module \ --with-http_dav_module \ --with-http_flv_module \ --with-http_mp4_module \ --with-http_gzip_static_module \ --with-http_random_index_module \ --with-http_secure_link_module \ --with-http_degradation_module \ --with-http_stub_status_module \ --prefix=/usr/local/nginx \ --sbin-path=/usr/sbin/nginx \ --error-log-path=/var/log/nginx/error.log \ --pid-path=/var/run/nginx.pid \ --lock-path=/var/lock/subsys/nginx \ --http-log-path=/var/log/nginx/access.log \ --add-module=../ngx_cache_purge-2.0
重要な設定は以下のとおり。
- --user --group
動作させるユーザとグループ。今回はApacheと同じにした。
- --prefix
confなどを入れる場所
- --sbin-path
本体を入れる場所
- --error-log-path
エラーログを保存する場所
- --http-log-path
アクセスログなどを保存する場所
- --add-module
追加で入れるモジュールのパスをカレントディレクトリからの相対パスで指定。今回は「nginx cache purge」を入れるのでそのディレクトリを指定
あとはmake叩いてmake installでおわり。
# make # make install
次に起動スクリプトを書いて /etc/init.d/nginxとして保存。
今回のオプションでビルドしたなら内容は以下のとおり。prefixやsbinを変えているなら起動スクリプトもちゃんと変更すること。
内容自体は簡単なスクリプトなのでどこを変えたらいいかはここでは書かない。
#!/bin/sh # # nginx - this script starts and stops the nginx daemon # # chkconfig: - 85 15 # description: Nginx is an HTTP(S) server, HTTP(S) reverse \ # proxy and IMAP/POP3 proxy server # processname: nginx # config: /etc/nginx/nginx.conf # config: /etc/sysconfig/nginx # pidfile: /var/run/nginx.pid # Source function library. . /etc/rc.d/init.d/functions # Source networking configuration. . /etc/sysconfig/network # Check that networking is up. [ "$NETWORKING" = "no" ] && exit 0 nginx="/usr/sbin/nginx" prog=$(basename $nginx) NGINX_CONF_FILE="/usr/local/nginx/conf/nginx.conf" [ -f /etc/sysconfig/nginx ] && . /etc/sysconfig/nginx lockfile=/var/lock/subsys/nginx start() { [ -x $nginx ] || exit 5 [ -f $NGINX_CONF_FILE ] || exit 6 echo -n $"Starting $prog: " daemon $nginx -c $NGINX_CONF_FILE retval=$? echo [ $retval -eq 0 ] && touch $lockfile return $retval } stop() { echo -n $"Stopping $prog: " killproc $prog retval=$? echo [ $retval -eq 0 ] && rm -f $lockfile return $retval } restart() { configtest_q || configtest || return 6 stop start } reload() { configtest_q || configtest || return 6 echo -n $"Reloading $prog: " killproc $nginx -HUP echo } configtest() { $nginx -t -c $NGINX_CONF_FILE } configtest_q() { configtest >/dev/null 2>&1 } rh_status() { status $prog } rh_status_q() { rh_status >/dev/null 2>&1 } # Upgrade the binary with no downtime. upgrade() { local pidfile="/var/run/${prog}.pid" local oldbin_pidfile="${pidfile}.oldbin" configtest_q || configtest || return 6 echo -n $"Staring new master $prog: " killproc $nginx -USR2 retval=$? echo sleep 1 if [[ -f ${oldbin_pidfile} && -f ${pidfile} ]]; then echo -n $"Graceful shutdown of old $prog: " killproc -p ${oldbin_pidfile} -QUIT retval=$? echo return 0 else echo $"Something bad happened, manual intervention required, maybe restart?" return 1 fi } case "$1" in start) rh_status_q && exit 0 $1 ;; stop) rh_status_q || exit 0 $1 ;; restart|configtest) $1 ;; force-reload|upgrade) rh_status_q || exit 7 upgrade ;; reload) rh_status_q || exit 7 $1 ;; status|status_q) rh_$1 ;; condrestart|try-restart) rh_status_q || exit 7 restart ;; *) echo $"Usage: $0 {start|stop|reload|configtest|status|force-reload|upgrade|restart}" exit 2 esac
これでおわり。
自動起動するように設定しておこう。
chkconfig nginx on
リバースプロキシの設定を書く
JIRAを動かいているjettyと接続するためのリバースプロキシの設定を書いていく。
emacsでもvimでもなんでもいいので設定ファイルを開く。
# emacs /usr/local/nginx/conf/nginx.conf
以下の内容で設定した。server_nameは例示用ドメインに書き換えてあるので注意。
HTTPディレクティブに追記する。
server_names_hash_bucket_size 64; upstream jira { server 127.0.0.1:8080; } server { listen 80; server_name example.com; proxy_set_header Host $host; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # クライアントの IP アドレス proxy_set_header X-Forwarded-Host $host; # オリジナルのホスト名。クライアントが Host リクエストヘッダで渡す。 proxy_set_header X-Forwarded-Server $host; # プロキシサーバのホスト名 proxy_set_header X-Real-IP $remote_addr; location / { proxy_pass http://jira; } }
upstreamでバックエンドのサーバを指定する。
JIRAはlocalhostのポート8080で起動しているので「127.0.0.1:8080」。
serverでどのドメインできたらどのバックエンドにリクエストを飛ばすかを指定する。
- listen
ポート番号。今回は80番。
- server_name
ドメイン。今回はexample.comで来たら127.0.0.1:8080にプロキシされる。
- proxy_set_header
プロキシで追加するヘッダーをここに書く。オリジナルのIPアドレスなどを伝えるように設定してある。
- location
ここでは「http://example.com/」でアクセスしたら実際の処理はhttp://jiraが行うようにしてある。proxy_passは行き先。upstreamで指定した名前が使える。
PerlbrewでPerl環境を管理する
システムのデフォルトがPerl5.10だけど使いたいのはPerl5.16なんだよーってときのメモ。
Perlbrewを使って管理できるようにした。
今回の設定
手順
~/.bash_profileに以下の2行を追加しておく
PERLBREW_ROOT=/usr/local/perlbrew export PERLBREW_ROOT
perlbrewをインストール
# curl -kL http://install.perlbrew.pl | bash
.bash_profileに指示通り追記
source /usr/local/etc/bashrc
反映
# source .bash_profile
これでperlbrewは動くようになるはず。
# perlbrew available perl-5.14.4-RC2 perl-5.16.2 perl-5.14.3 perl-5.12.5 perl-5.10.1 perl-5.8.9 perl-5.6.2 perl5.005_04 perl5.004_05 perl5.003_07 # perlbrew install perl-5.16.2 Fetching perl 5.16.2 as /usr/local/perlbrew/dists/perl-5.16.2.tar.bz2 Installing /usr/local/perlbrew/build/perl-5.16.2 into /usr/local/perlbrew/perls/perl-5.16.2 This could take a while. You can run the following command on another shell to track the status: tail -f /usr/local/perlbrew/build.perl-5.16.2.log
screenとかtmuxたちあげていればログファイルを眺めて待つ。
テストの通過状況を眺めるのもよし。
成功するとperlbrew listでインストールしたPerlが出てくるはず。
出てきたらswitchする
# perlbrew list perl-5.16.2 # perlbrew switch perl-5.16.2
その他
perlbrew availableの結果が帰って来ない…とググりまくったけど、結局ソース読んで原因がわかった。
www.cpan.orgの名前解決ができなかったからだった。
iptablesの設定疑ったけどデフォで設定されているDNSがそもそもの原因だったようだ。
GMOクラウドVPSのpDNSやめてGoogle Public DNSに変更して解決。