VPSにVPNサーバを構築したお話・クライアントサイド編
今回は予告通りVPSに構築したVPNサーバに自宅サーバを接続するまでを書くよ
VPSにVPNサーバを構築したお話・サーバサイド編 - それはそれはおかしなことなんだよ
↑前回のサーバ構築記事
環境
改めて今回の環境を書いておきます。
OpenVPNのインストール
サーバサイドと同じOpenVPN 2.3.6を使います。
サーバを構築するときにやったことと同じ手順でOpenVPNをインストールします。
依存パッケージのインストール。lzo-develはLZO圧縮を使うなら入れる。 # yum -y install openssl-devel lzo-devel pam-devel OpenVPNをダウンロード # curl -LO http://swupdate.openvpn.org/community/releases/openvpn-2.3.6.tar.gz RPMパッケージを生成※。rpmbuildが入っていない場合はyum install rpm-build # rpmbuild -tb --clean openvpn-2.3.6.tar.gz 生成したRPMパッケージをインストール # yum localinstall ~/rpmbuild/RPMS/x86_64/openvpn-2.3.6-1.x86_64.rpm
インストールしたら生成したRPMパッケージとダウンロードしたソースは消しちゃってOK。
クライアント証明書・秘密鍵を作成
今回はクライアント証明書を使った認証を設定します。VPNサーバ側でクライアント証明書・秘密鍵を生成します。
# cd /etc/openvpn/easyrsa3 # ./easyrsa ./easyrsa build-client-full svr01 nopass (省略) Enter pass phrase for /etc/openvpn/easyrsa3/pki/private/ca.key: [CA秘密鍵のパスフレーズ]
自宅サーバの内部ホスト名が「svr01」なので証明書のCommon Name(CN)もそれに合わせています。パスフレーズはなし。
成功すると/etc/openvpn/easyrsa3/pki/issued/svr01.crtに証明書, /etc/openvpn/easyrsa3/pki/private/svr01.keyに秘密鍵がそれぞれ生成されます。(ファイル名の「svr01」の部分はCNによって変わります)
OpenVPNクライアントの設定と起動
CA証明書、クライアント証明書・秘密鍵、TLS鍵を安全な方法でクライアントである自宅サーバに持っていきます。
暗号化されていない通信経路を使うと傍聴されて漏洩する危険があるよ!最低限scpやSFTPといった通信が暗号化される経路を使おう。
自宅サーバ側に持ち込んだらとりあえず/etc/openvpnに置いておく。
次に設定を書く。とりあえず下のような設定を書いた。設定ファイルは/etc/openvpn/client.confとして保存。
client dev tun proto udp remote [構築したVPNサーバのIPアドレス] resolv-retry infinite nobind persist-key persist-tun ca /etc/openvpn/ca.crt cert /etc/openvpn/svr01.crt key /etc/openvpn/svr01.key tls-auth /etc/openvpn/ta.key 1 comp-lzo verb 3
この状態でOpenVPNを起動すると接続できるはず。
$ sudo /usr/sbin/openvpn --config /etc/openvpn/client.conf
いろいろ出てくる。特にエラーが出ていないなら接続できているはず。
tunもできているはず。
$ ip addr show 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: enp2s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000 link/ether 9c:b6:54:a9:0f:bf brd ff:ff:ff:ff:ff:ff inet 192.168.0.3/24 brd 192.168.0.255 scope global enp2s0 valid_lft forever preferred_lft forever inet6 fe80::9eb6:54ff:fea9:fbf/64 scope link valid_lft forever preferred_lft forever 7: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100 link/none inet 10.8.0.6 peer 10.8.0.5/32 scope global tun0 valid_lft forever preferred_lft forever
tunに振られるIPアドレスはサーバ側の設定で自動割り当てされる。今回は10.8.0.6が振られたようです。
10.8.0.1にpingを打つと返ってくるはずで、10.8.0.1はVPNサーバ。
またVPNサーバ側から10.8.0.6に向かってpingを打つとこれも返ってくるはず。
返ってこなかったらどこがでエラーが起こっているのでログを見ましょう。
なんとかして常時接続を維持する
接続はできたことまで確認したらバックエンドで起動してみる。
$ sudo /usr/sbin/openvpn --config /etc/openvpn/client.conf &
最初はコンソールにいろいろ出るけど落ち着いたら接続できているはず。
しかし!プロセス管理しにくいし!そもそもプロセス落ちたら当然疎通できないしVPSのリバースプロキシ経由で何かウェブサイトを開いていたら事故るよね!
というわけで私はsupervisordの管理下に置くことにしました。
supervisordはプロセス管理デーモンでコイツの他にはdaemontools(有名な仮想ドライブソフトじゃないよ!)があります。
好みだと思っているのでお好きなプロセス管理デーモンを使うかscreen張ってwatchで定期起動とかして維持すればいいです。
ここではsupervisordを使った話をします。
supervisordをインストール
Pythonで書かれているのでeasy_installでインストールしてもいいですしCentOSならEPELを使っていればRPMがあるのでyumが使えます。
私はEPELを設定してあるのでyumで入れました。
$ sudo yum install supervisor
私の自宅サーバでは3.0がインストールされました。
supervisorの設定を書く
/etc/supervisord.dというディレクトリ以下にvpn.iniという名前で設定ファイルを作ります。ファイル名はわかりやすければなんでもいいです。
[program:openvpn-client] command=/usr/sbin/openvpn --config /etc/openvpn/client.conf user=root autorestart=true stdout_logfile=/var/log/supervisor/openvpn-client/openvpn.log stdout_logfile_maxbytes=1MB stdout_logfile_backups=5 stdout_capture_maxbytes=1MB redirect_stderr=true
先頭の「program:」に続く文字列がsupervisorctlという配下のプログラムを管理するコマンドで各プロセスを識別する名前になります。
「command=」でsupervisor配下で起動するコマンド, userは起動するユーザ名, autorestartはプロセスが何かしらの理由で落ちた時に自動で再起動をかける設定です。あとの項目は調べてみてくだい。
設定が書けたらsupervisorを起動します。自宅サーバはCentOS7.0なのでsystemdを使っています。
$ sudo systemctl start supervisord.service
エラー無く起動したら準備完了していてもうVPN接続ができているはずです。
supervisorctlで確認しましょう。
$ sudo supervisorctl status openvpn-client RUNNING pid 14483, uptime 0:00:08
これで一応接続維持ができるようになりました。サーバ落ちたら終わりだけど。
おしまい。