VPSにVPNサーバを構築したお話・クライアントサイド編

今回は予告通りVPSに構築したVPNサーバに自宅サーバを接続するまでを書くよ


VPSにVPNサーバを構築したお話・サーバサイド編 - それはそれはおかしなことなんだよ


↑前回のサーバ構築記事

環境

改めて今回の環境を書いておきます。

OpenVPNのインストール

サーバサイドと同じOpenVPN 2.3.6を使います。
サーバを構築するときにやったことと同じ手順でOpenVPNをインストールします。

依存パッケージのインストール。lzo-develはLZO圧縮を使うなら入れる。
# yum -y install openssl-devel lzo-devel pam-devel
OpenVPNをダウンロード
# curl -LO http://swupdate.openvpn.org/community/releases/openvpn-2.3.6.tar.gz
RPMパッケージを生成※。rpmbuildが入っていない場合はyum install rpm-build
# rpmbuild -tb --clean openvpn-2.3.6.tar.gz
生成したRPMパッケージをインストール
# yum localinstall ~/rpmbuild/RPMS/x86_64/openvpn-2.3.6-1.x86_64.rpm

インストールしたら生成したRPMパッケージとダウンロードしたソースは消しちゃってOK。

クライアント証明書・秘密鍵を作成

今回はクライアント証明書を使った認証を設定します。VPNサーバ側でクライアント証明書・秘密鍵を生成します。

# cd /etc/openvpn/easyrsa3
# ./easyrsa ./easyrsa build-client-full svr01 nopass
(省略)
Enter pass phrase for /etc/openvpn/easyrsa3/pki/private/ca.key: [CA秘密鍵のパスフレーズ]

自宅サーバの内部ホスト名が「svr01」なので証明書のCommon Name(CN)もそれに合わせています。パスフレーズはなし。
成功すると/etc/openvpn/easyrsa3/pki/issued/svr01.crtに証明書, /etc/openvpn/easyrsa3/pki/private/svr01.keyに秘密鍵がそれぞれ生成されます。(ファイル名の「svr01」の部分はCNによって変わります)

OpenVPNクライアントの設定と起動

CA証明書、クライアント証明書・秘密鍵TLS鍵を安全な方法でクライアントである自宅サーバに持っていきます。
暗号化されていない通信経路を使うと傍聴されて漏洩する危険があるよ!最低限scpやSFTPといった通信が暗号化される経路を使おう。
自宅サーバ側に持ち込んだらとりあえず/etc/openvpnに置いておく。

次に設定を書く。とりあえず下のような設定を書いた。設定ファイルは/etc/openvpn/client.confとして保存。

client
dev tun
proto udp
remote [構築したVPNサーバのIPアドレス]
resolv-retry infinite
nobind
persist-key
persist-tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/svr01.crt
key /etc/openvpn/svr01.key
tls-auth /etc/openvpn/ta.key 1
comp-lzo
verb 3

この状態でOpenVPNを起動すると接続できるはず。

$ sudo /usr/sbin/openvpn --config /etc/openvpn/client.conf

いろいろ出てくる。特にエラーが出ていないなら接続できているはず。
tunもできているはず。

$ ip addr show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: enp2s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000
    link/ether 9c:b6:54:a9:0f:bf brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.3/24 brd 192.168.0.255 scope global enp2s0
       valid_lft forever preferred_lft forever
    inet6 fe80::9eb6:54ff:fea9:fbf/64 scope link
       valid_lft forever preferred_lft forever
7: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
    link/none
    inet 10.8.0.6 peer 10.8.0.5/32 scope global tun0
       valid_lft forever preferred_lft forever

tunに振られるIPアドレスはサーバ側の設定で自動割り当てされる。今回は10.8.0.6が振られたようです。

10.8.0.1にpingを打つと返ってくるはずで、10.8.0.1はVPNサーバ。
またVPNサーバ側から10.8.0.6に向かってpingを打つとこれも返ってくるはず。

返ってこなかったらどこがでエラーが起こっているのでログを見ましょう。

なんとかして常時接続を維持する

接続はできたことまで確認したらバックエンドで起動してみる。

$ sudo /usr/sbin/openvpn --config /etc/openvpn/client.conf &

最初はコンソールにいろいろ出るけど落ち着いたら接続できているはず。

しかし!プロセス管理しにくいし!そもそもプロセス落ちたら当然疎通できないしVPSのリバースプロキシ経由で何かウェブサイトを開いていたら事故るよね!

というわけで私はsupervisordの管理下に置くことにしました。
supervisordはプロセス管理デーモンでコイツの他にはdaemontools(有名な仮想ドライブソフトじゃないよ!)があります。
好みだと思っているのでお好きなプロセス管理デーモンを使うかscreen張ってwatchで定期起動とかして維持すればいいです。

ここではsupervisordを使った話をします。

supervisordをインストール

Pythonで書かれているのでeasy_installでインストールしてもいいですしCentOSならEPELを使っていればRPMがあるのでyumが使えます。
私はEPELを設定してあるのでyumで入れました。

$ sudo yum install supervisor

私の自宅サーバでは3.0がインストールされました。

supervisorの設定を書く

/etc/supervisord.dというディレクトリ以下にvpn.iniという名前で設定ファイルを作ります。ファイル名はわかりやすければなんでもいいです。

[program:openvpn-client]
command=/usr/sbin/openvpn --config /etc/openvpn/client.conf
user=root
autorestart=true
stdout_logfile=/var/log/supervisor/openvpn-client/openvpn.log
stdout_logfile_maxbytes=1MB
stdout_logfile_backups=5
stdout_capture_maxbytes=1MB
redirect_stderr=true

先頭の「program:」に続く文字列がsupervisorctlという配下のプログラムを管理するコマンドで各プロセスを識別する名前になります。

「command=」でsupervisor配下で起動するコマンド, userは起動するユーザ名, autorestartはプロセスが何かしらの理由で落ちた時に自動で再起動をかける設定です。あとの項目は調べてみてくだい。

設定が書けたらsupervisorを起動します。自宅サーバはCentOS7.0なのでsystemdを使っています。

$ sudo systemctl start supervisord.service

エラー無く起動したら準備完了していてもうVPN接続ができているはずです。
supervisorctlで確認しましょう。

$ sudo supervisorctl status
openvpn-client                   RUNNING    pid 14483, uptime 0:00:08

これで一応接続維持ができるようになりました。サーバ落ちたら終わりだけど。



おしまい。