...

SSL-VPN である OpenVPN2.1.1 のインストール(Windows 用)について

by user

on
Category: Documents
13

views

Report

Comments

Transcript

SSL-VPN である OpenVPN2.1.1 のインストール(Windows 用)について
SSL-VPN である OpenVPN2.1.1 のインストール(Windows 用)について
添付されている Openvpn-2.1.1-install.exe を実行してインストールを始めてください。
インストール自体はサーバー側もクライアント側も同様です。
以下のようにインストール画面が表示されますので、「次へ」「同意する」
「インストールす
る」を適時、クリックしてください。最後に「完了」でインストールが終了です。
すると、画面に OpenVPN GUI
の
アイコン
が表示されます。
このアイコンを右クリックで開いてください。右下にアイコン
が表示されますので、
右クリック、「接続」で接続してください。接続が成功するとアイコンの色が赤い色から青
色に変わります。
1
インストールが完了するとサーバー側もクライアント側も下図のようにC:¥の Program
Files¥OpenVPN のフォルダーが出来ています。
1-1:クライアント側の config フォルダーの中には。
サーバー側になるPCで作成した ca.crt clientN.crt clientN.key の3つ認証用ファイル
をコピーしてください。それと、クライアント側用として添付ファイルを参考に作成した
clientN.ovpn を(名称はご自分で適当に作成して下さい:Nは何番目かを示す数値。
)コピ
ーしてください。(クライアント側PCでは認証用ファイルの作成は行いません)
1-2:サーバー側の config フォルダーの中には。
サーバー側用として作成した serverSHC.ovpn を(名称はご自分で適当に作成して下さい。
)
コピーしてください
それぞれのファイル(******.ovpn)は添付されているファイルを流用して作成してください。
(最初は、DDNSあるいはグローバルアドレス、ルーターの関係のみを変更されて接続
を確認されることをお勧めします)
画面:1
「次へ」をクリックしてください。
画面:2
「同意する」をクリックしてください。
画面:3
「次へ」をクリックしてください。
画面:4
「インストール」をクリックしてください。
画面:5
画面:6
「インストール」をクリックしてください。
画面:7
画面:8
「次へ」をクリックしてください。
画面:9
OpenVPN 認証局、証明書等の作成
DOSコマンドプロンプトを起動して
a:init-config
C:¥>cd ¥Program Files¥OpenVPN¥easy-rsa
で
デレクトリーを
easy-rsa
に移動
します。
init-config 実行
結果:以下の2つが表示される。
C:\Program Files\OpenVPN\easy-rsa>copy vars.bat.sample vars.bat
1 個のファイルをコピーしました。
C:\Program Files\OpenVPN\easy-rsa>copy openssl.cnf.sample openssl.cnf
1 個のファイルをコピーしました。
b:バッチファイルの編集
[vars.bat] を開いてメモ帳などで編集し、上書き保存する。
この中の最後の5行について自分の環境に合わせる
set KEY_COUNTRY=US
その他はデフォルトのまま。
国名
set KEY_PROVINCE=CA
set KEY_CITY=SanFrancisco
県名
市町村名
set KEY_ORG=OpenVPN
組織名
set [email protected]
連絡先アドレス
c:認証局証明書の作成
以下の3つを順次、実行する。
C:¥Program Files¥OpenVPN¥easy-rsa>vars
C:¥Program Files¥OpenVPN¥easy-rsa>clean-all
C:¥Program Files¥OpenVPN¥easy-rsa>build-ca
C:\Program Files\OpenVPN\easy-rsa>vars
何も表示されない
C:\Program Files\OpenVPN\easy-rsa>clean-all
以下のように表示される。
指定されたファイルが見つかりません。
1 個のファイルをコピーしました。
1 個のファイルをコピーしました。
C:\Program Files\OpenVPN\easy-rsa>build-ca
この後確認作業が始まる。
[vars.bat] で設定したパラメーターを元に認証局証明書が作られます。
対話モードでは単に、Enterキーを押して行き「Common Name」のところでは適当な
名前、たとえば、「shcserver」等を記入する。
この中のその他の行については自分の環境を確認する。
Country Name (2 letter code) [JP]:
State or Province Name (full name) [Fukuoka]:
Locality Name (eg, city) [Kitakyusyushi]:
Organization Name (eg, company) ["shcdvr01"]:
Organizational Unit Name (eg, section) []:
ここは未記入
Common Name (eg, your name or your server's hostname) []:shcserver
ここを記入
Email Address ["****@****.****.jp"]:
d:サーバー証明書の作成
以下の1つを実行する。
C:\Program Files\OpenVPN\easy-rsa>build-key-server server
対話モードの中で「Common Name」のところでは適当な名前、たとえば、「vpnserver」を記
入する。途中でパスワードを記入しないこと。y/n
は
y
と入力のこと。
Country Name (2 letter code) [JP]:
State or Province Name (full name) [Fukuoka]:
Locality Name (eg, city) [Kitakyusyushi]:
Organization Name (eg, company) ["shcdvr01"]:
Organizational Unit Name (eg, section) []:
ここは未記入
Common Name (eg, your name or your server's hostname) []:vpnserver
ここを記入
Email Address ["****@****.****.jp"]:
途中でパスワードを記入しないこと。 y/n
A challenge password []:
An optional Company name []:
は
y
と入力のこと。
ここは未記入
ここは未記入
e:DHパラメーターの作成
以下の1つを実行する。
C:\Program Files\OpenVPN\easy-rsa>build-dh
時間がかかるかもしれませんのでじっくり待ってください。
f:クライアント証明書の作成
※:パスワード付きでログインする場合
フォルダー
¥easy-rsa
に
build-key-pass.bat を
コピーしておくこと。
例:クライアント名:client1pass
c:¥Program Files¥OpenVPN¥easy-rsa>build-key-pass client1pass
Loading 'screen' into random state - done
Generating a 1024 bit RSA private key
...++++++
..........++++++
writing new private key to 'keys¥ client1pass.key'
Enter PEM pass phrase:-------------------記入するが表示されないので注意のこと。
Verifying - Enter PEM pass phrase:---------------- 記入するが表示されないので注意のこと。
----You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
----Country Name (2 letter code) [JP]:
State or Province Name (full name) [Fukuoka]:
Locality Name (eg, city) [Kitakyusyushi]:
Organization Name (eg, company) [shcdvr01]:
Organizational Unit Name (eg, section) []:-------------------------未記入
Common Name (eg, your name or your server's hostname) []:client1pass------ここを記入
Email Address [****@*****.*****.jp]:[email protected]
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:-------------------------------未記入
An optional company name []:-----------------------未記入
Using configuration from openssl.cnf
Loading 'screen' into random state - done
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName
:PRINTABLE:'jp'
stateOrProvinceName
:PRINTABLE:'fukuoka'
localityName
:PRINTABLE:'kitakyusyushi'
organizationName
:PRINTABLE:'shc01'
commonName
:PRINTABLE:'client1pass'
emailAddress
:IA5STRING:'****@****.****.jp'
Certificate is to be certified until Mar 17 00:01:46 2021 GMT (3650 days)
Sign the certificate? [y/n]:
は
y
と入力のこと。
1 out of 1 certificate requests certified, commit? [y/n]
は
y
と入力のこと。
Write out database with 1 new entries
Data Base Updated
※:パスワード無しでログインする場合
例:クライアント名:client1
C:\Program Files\OpenVPN\easy-rsa>build-key client1
対話モードの中でのパスワードは適当にたとえば[shc2]とか。
対話モードの中で「Common Name」のところでは適当な名前、たとえば、「client1」を記入
する。その他はデフォルトのまま。
クライアントを複数予定している場合はこの段階で「client1」
「client1」
・・・・
「clientN」と
順番に作成しておく。
C:\Program Files\OpenVPN\easy-rsa>build-key clientN
N:1 からNまで
この中の次の行について自分の環境に合わせる
Country Name (2 letter code) [JP]:
State or Province Name (full name) [Fukuoka]:
Locality Name (eg, city) [Kitakyusyushi]:
Organization Name (eg, company) ["shcdvr01"]:
Organizational Unit Name (eg, section) []:
ここは未記入
Common Name (eg, your name or your server's hostname) []:clientN
ここを記入
Email Address ["****@****.****.jp"]:
A challenge password のところでは適当なパスワードを記入する。
An optional Company name []:
y/n
は
y
と入力のこと。
ここは未記入
例:shcp とした
g:これで証明書の作成は終了する。
保存先は C:\Program Files\OpenVPN\easy-rsa\keys の中です。
サーバー用はこのままで移動しなくてokです。
クライアント用は「ca.crt」 「client1.crt」「client1.key」をクライアントPCにコピーする。
コピーするクライアント用は物理的にUSB等でコピーしてください。
参考
\easy-rsa の中身は最初13個あります、init-config の結果、\easy-rsa の中に openssl
vars.bat のアイコンが出来て、15個になります。
と
Client
の追加(4番目の Client
を追加するときの例)
DOSコマンドプロンプトを起動して、フォルダー¥easy-rsa に移動し vars.bat をリタ
ーン、続いて build-key client4
下記(1)の client4 と(2)の
を実行
shc01 の部分を記述し、後はリターンと「y」を実行する。
C:¥Program Files¥OpenVPN¥easy-rsa>vars.bat
C:¥Program Files¥OpenVPN¥easy-rsa>build-key client4
Loading 'screen' into random state - done
Generating a 1024 bit RSA private key
......++++++
................++++++
writing new private key to 'keys¥client4.key'
----You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
----Country Name (2 letter code) [jp]:
State or Province Name (full name) [fukuoka]:
Locality Name (eg, city) [kitakyusyushi]:
Organization Name (eg, company) [shcdvr01]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:client4
--------(1)
Email Address [[email protected]]:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:shc01
-----------------------------------------------------------(2)
An optional company name []:
Using configuration from openssl.cnf
Loading 'screen' into random state - done
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName
:PRINTABLE:'jp'
stateOrProvinceName
:PRINTABLE:'fukuoka'
localityName
organizationName
:PRINTABLE:'kitakyusyushi'
:PRINTABLE:shc01'
commonName
emailAddress
:PRINTABLE:'client4'
:IA5STRING:'******@*****.******.jp'
Certificate is to be certified until Nov 5 00:38:14 2020 GMT (3650 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
Config 内に置いておく ovpn
ファイル
の記述内容
Multi-Server.ovpn
#-----------------------------------------------# Multi-DVR_Server_Side
#multi-server.ovpn
+bridge
192.168.5.0/24
(仮想プライベートネットワーク)
#-----------------------------------------------###
mode server
tls-server
proto tcp-server
dev tap
dev-node tapnote01
(注:tapnote01
は
「ローカルエリア接続2」の名称を変更したもの)
persist-key
persist-tun
ca "c:¥¥Program Files¥¥OpenVPN¥¥easy-rsa¥¥keys¥¥ca.crt"
cert "c:¥¥Program Files¥¥OpenVPN¥¥easy-rsa¥¥keys¥¥server.crt"
key "c:¥¥Program Files¥¥OpenVPN¥¥easy-rsa¥¥keys¥¥server.key"
dh "c:¥¥Program Files¥¥OpenVPN¥¥easy-rsa¥¥keys¥¥dh1024.pem"
ifconfig-pool-persist ipp.txt
push "dhcp-option DNS 192.168.100.1"
server-bridge 192.168.5.30 255.255.255.0 192.168.5.201 192.168.5.220
push "route 192.168.5.0 255.255.255.0"
(注:DNS 192.168.100.1 はサーバー側ルーターのプライベートアドレス:適時変更して
ください)
max-clients 3
client-to-client
keepalive 10 120
comp-lzo
verb 4
mute 3
client1.ovpn
#-----------------------------------------------# Multi-WebCam_Client_Side
#client1.ovpn
+bridge
#client2.ovpn
+bridge
#client3.ovpn
+bridge
#client1
# ifconfig 192.168.5.201 255.255.255.0
#client2
# ifconfig 192.168.5.202 255.255.255.0
#client3
# ifconfig 192.168.5.203 255.255.255.0
#-----------------------------------------------###
client
remote ***********.******.***********.jp
(注:***********.******.***********.jp はサーバー側ルーターのDDNS)
resolv-retry infinite
proto tcp
dev tap
dev-node tapnote01
(注:tapnote01
は
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
ns-cert-type server
ping 10
comp-lzo
verb 4
mute 5
「ローカルエリア接続2」の名称を変更したもの)
Fly UP