Comments
Transcript
SSL-VPN である OpenVPN2.1.1 のインストール(Windows 用)について
SSL-VPN である OpenVPN2.1.1 のインストール(Windows 用)について 添付されている Openvpn-2.1.1-install.exe を実行してインストールを始めてください。 インストール自体はサーバー側もクライアント側も同様です。 以下のようにインストール画面が表示されますので、「次へ」「同意する」 「インストールす る」を適時、クリックしてください。最後に「完了」でインストールが終了です。 すると、画面に OpenVPN GUI の アイコン が表示されます。 このアイコンを右クリックで開いてください。右下にアイコン が表示されますので、 右クリック、「接続」で接続してください。接続が成功するとアイコンの色が赤い色から青 色に変わります。 1 インストールが完了するとサーバー側もクライアント側も下図のようにC:¥の Program Files¥OpenVPN のフォルダーが出来ています。 1-1:クライアント側の config フォルダーの中には。 サーバー側になるPCで作成した ca.crt clientN.crt clientN.key の3つ認証用ファイル をコピーしてください。それと、クライアント側用として添付ファイルを参考に作成した clientN.ovpn を(名称はご自分で適当に作成して下さい:Nは何番目かを示す数値。 )コピ ーしてください。(クライアント側PCでは認証用ファイルの作成は行いません) 1-2:サーバー側の config フォルダーの中には。 サーバー側用として作成した serverSHC.ovpn を(名称はご自分で適当に作成して下さい。 ) コピーしてください それぞれのファイル(******.ovpn)は添付されているファイルを流用して作成してください。 (最初は、DDNSあるいはグローバルアドレス、ルーターの関係のみを変更されて接続 を確認されることをお勧めします) 画面:1 「次へ」をクリックしてください。 画面:2 「同意する」をクリックしてください。 画面:3 「次へ」をクリックしてください。 画面:4 「インストール」をクリックしてください。 画面:5 画面:6 「インストール」をクリックしてください。 画面:7 画面:8 「次へ」をクリックしてください。 画面:9 OpenVPN 認証局、証明書等の作成 DOSコマンドプロンプトを起動して a:init-config C:¥>cd ¥Program Files¥OpenVPN¥easy-rsa で デレクトリーを easy-rsa に移動 します。 init-config 実行 結果:以下の2つが表示される。 C:\Program Files\OpenVPN\easy-rsa>copy vars.bat.sample vars.bat 1 個のファイルをコピーしました。 C:\Program Files\OpenVPN\easy-rsa>copy openssl.cnf.sample openssl.cnf 1 個のファイルをコピーしました。 b:バッチファイルの編集 [vars.bat] を開いてメモ帳などで編集し、上書き保存する。 この中の最後の5行について自分の環境に合わせる set KEY_COUNTRY=US その他はデフォルトのまま。 国名 set KEY_PROVINCE=CA set KEY_CITY=SanFrancisco 県名 市町村名 set KEY_ORG=OpenVPN 組織名 set [email protected] 連絡先アドレス c:認証局証明書の作成 以下の3つを順次、実行する。 C:¥Program Files¥OpenVPN¥easy-rsa>vars C:¥Program Files¥OpenVPN¥easy-rsa>clean-all C:¥Program Files¥OpenVPN¥easy-rsa>build-ca C:\Program Files\OpenVPN\easy-rsa>vars 何も表示されない C:\Program Files\OpenVPN\easy-rsa>clean-all 以下のように表示される。 指定されたファイルが見つかりません。 1 個のファイルをコピーしました。 1 個のファイルをコピーしました。 C:\Program Files\OpenVPN\easy-rsa>build-ca この後確認作業が始まる。 [vars.bat] で設定したパラメーターを元に認証局証明書が作られます。 対話モードでは単に、Enterキーを押して行き「Common Name」のところでは適当な 名前、たとえば、「shcserver」等を記入する。 この中のその他の行については自分の環境を確認する。 Country Name (2 letter code) [JP]: State or Province Name (full name) [Fukuoka]: Locality Name (eg, city) [Kitakyusyushi]: Organization Name (eg, company) ["shcdvr01"]: Organizational Unit Name (eg, section) []: ここは未記入 Common Name (eg, your name or your server's hostname) []:shcserver ここを記入 Email Address ["****@****.****.jp"]: d:サーバー証明書の作成 以下の1つを実行する。 C:\Program Files\OpenVPN\easy-rsa>build-key-server server 対話モードの中で「Common Name」のところでは適当な名前、たとえば、「vpnserver」を記 入する。途中でパスワードを記入しないこと。y/n は y と入力のこと。 Country Name (2 letter code) [JP]: State or Province Name (full name) [Fukuoka]: Locality Name (eg, city) [Kitakyusyushi]: Organization Name (eg, company) ["shcdvr01"]: Organizational Unit Name (eg, section) []: ここは未記入 Common Name (eg, your name or your server's hostname) []:vpnserver ここを記入 Email Address ["****@****.****.jp"]: 途中でパスワードを記入しないこと。 y/n A challenge password []: An optional Company name []: は y と入力のこと。 ここは未記入 ここは未記入 e:DHパラメーターの作成 以下の1つを実行する。 C:\Program Files\OpenVPN\easy-rsa>build-dh 時間がかかるかもしれませんのでじっくり待ってください。 f:クライアント証明書の作成 ※:パスワード付きでログインする場合 フォルダー ¥easy-rsa に build-key-pass.bat を コピーしておくこと。 例:クライアント名:client1pass c:¥Program Files¥OpenVPN¥easy-rsa>build-key-pass client1pass Loading 'screen' into random state - done Generating a 1024 bit RSA private key ...++++++ ..........++++++ writing new private key to 'keys¥ client1pass.key' Enter PEM pass phrase:-------------------記入するが表示されないので注意のこと。 Verifying - Enter PEM pass phrase:---------------- 記入するが表示されないので注意のこと。 ----You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----Country Name (2 letter code) [JP]: State or Province Name (full name) [Fukuoka]: Locality Name (eg, city) [Kitakyusyushi]: Organization Name (eg, company) [shcdvr01]: Organizational Unit Name (eg, section) []:-------------------------未記入 Common Name (eg, your name or your server's hostname) []:client1pass------ここを記入 Email Address [****@*****.*****.jp]:[email protected] Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []:-------------------------------未記入 An optional company name []:-----------------------未記入 Using configuration from openssl.cnf Loading 'screen' into random state - done Check that the request matches the signature Signature ok The Subject's Distinguished Name is as follows countryName :PRINTABLE:'jp' stateOrProvinceName :PRINTABLE:'fukuoka' localityName :PRINTABLE:'kitakyusyushi' organizationName :PRINTABLE:'shc01' commonName :PRINTABLE:'client1pass' emailAddress :IA5STRING:'****@****.****.jp' Certificate is to be certified until Mar 17 00:01:46 2021 GMT (3650 days) Sign the certificate? [y/n]: は y と入力のこと。 1 out of 1 certificate requests certified, commit? [y/n] は y と入力のこと。 Write out database with 1 new entries Data Base Updated ※:パスワード無しでログインする場合 例:クライアント名:client1 C:\Program Files\OpenVPN\easy-rsa>build-key client1 対話モードの中でのパスワードは適当にたとえば[shc2]とか。 対話モードの中で「Common Name」のところでは適当な名前、たとえば、「client1」を記入 する。その他はデフォルトのまま。 クライアントを複数予定している場合はこの段階で「client1」 「client1」 ・・・・ 「clientN」と 順番に作成しておく。 C:\Program Files\OpenVPN\easy-rsa>build-key clientN N:1 からNまで この中の次の行について自分の環境に合わせる Country Name (2 letter code) [JP]: State or Province Name (full name) [Fukuoka]: Locality Name (eg, city) [Kitakyusyushi]: Organization Name (eg, company) ["shcdvr01"]: Organizational Unit Name (eg, section) []: ここは未記入 Common Name (eg, your name or your server's hostname) []:clientN ここを記入 Email Address ["****@****.****.jp"]: A challenge password のところでは適当なパスワードを記入する。 An optional Company name []: y/n は y と入力のこと。 ここは未記入 例:shcp とした g:これで証明書の作成は終了する。 保存先は C:\Program Files\OpenVPN\easy-rsa\keys の中です。 サーバー用はこのままで移動しなくてokです。 クライアント用は「ca.crt」 「client1.crt」「client1.key」をクライアントPCにコピーする。 コピーするクライアント用は物理的にUSB等でコピーしてください。 参考 \easy-rsa の中身は最初13個あります、init-config の結果、\easy-rsa の中に openssl vars.bat のアイコンが出来て、15個になります。 と Client の追加(4番目の Client を追加するときの例) DOSコマンドプロンプトを起動して、フォルダー¥easy-rsa に移動し vars.bat をリタ ーン、続いて build-key client4 下記(1)の client4 と(2)の を実行 shc01 の部分を記述し、後はリターンと「y」を実行する。 C:¥Program Files¥OpenVPN¥easy-rsa>vars.bat C:¥Program Files¥OpenVPN¥easy-rsa>build-key client4 Loading 'screen' into random state - done Generating a 1024 bit RSA private key ......++++++ ................++++++ writing new private key to 'keys¥client4.key' ----You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----Country Name (2 letter code) [jp]: State or Province Name (full name) [fukuoka]: Locality Name (eg, city) [kitakyusyushi]: Organization Name (eg, company) [shcdvr01]: Organizational Unit Name (eg, section) []: Common Name (eg, your name or your server's hostname) []:client4 --------(1) Email Address [[email protected]]: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []:shc01 -----------------------------------------------------------(2) An optional company name []: Using configuration from openssl.cnf Loading 'screen' into random state - done Check that the request matches the signature Signature ok The Subject's Distinguished Name is as follows countryName :PRINTABLE:'jp' stateOrProvinceName :PRINTABLE:'fukuoka' localityName organizationName :PRINTABLE:'kitakyusyushi' :PRINTABLE:shc01' commonName emailAddress :PRINTABLE:'client4' :IA5STRING:'******@*****.******.jp' Certificate is to be certified until Nov 5 00:38:14 2020 GMT (3650 days) Sign the certificate? [y/n]:y 1 out of 1 certificate requests certified, commit? [y/n]y Write out database with 1 new entries Data Base Updated Config 内に置いておく ovpn ファイル の記述内容 Multi-Server.ovpn #-----------------------------------------------# Multi-DVR_Server_Side #multi-server.ovpn +bridge 192.168.5.0/24 (仮想プライベートネットワーク) #-----------------------------------------------### mode server tls-server proto tcp-server dev tap dev-node tapnote01 (注:tapnote01 は 「ローカルエリア接続2」の名称を変更したもの) persist-key persist-tun ca "c:¥¥Program Files¥¥OpenVPN¥¥easy-rsa¥¥keys¥¥ca.crt" cert "c:¥¥Program Files¥¥OpenVPN¥¥easy-rsa¥¥keys¥¥server.crt" key "c:¥¥Program Files¥¥OpenVPN¥¥easy-rsa¥¥keys¥¥server.key" dh "c:¥¥Program Files¥¥OpenVPN¥¥easy-rsa¥¥keys¥¥dh1024.pem" ifconfig-pool-persist ipp.txt push "dhcp-option DNS 192.168.100.1" server-bridge 192.168.5.30 255.255.255.0 192.168.5.201 192.168.5.220 push "route 192.168.5.0 255.255.255.0" (注:DNS 192.168.100.1 はサーバー側ルーターのプライベートアドレス:適時変更して ください) max-clients 3 client-to-client keepalive 10 120 comp-lzo verb 4 mute 3 client1.ovpn #-----------------------------------------------# Multi-WebCam_Client_Side #client1.ovpn +bridge #client2.ovpn +bridge #client3.ovpn +bridge #client1 # ifconfig 192.168.5.201 255.255.255.0 #client2 # ifconfig 192.168.5.202 255.255.255.0 #client3 # ifconfig 192.168.5.203 255.255.255.0 #-----------------------------------------------### client remote ***********.******.***********.jp (注:***********.******.***********.jp はサーバー側ルーターのDDNS) resolv-retry infinite proto tcp dev tap dev-node tapnote01 (注:tapnote01 は persist-key persist-tun ca ca.crt cert client1.crt key client1.key ns-cert-type server ping 10 comp-lzo verb 4 mute 5 「ローカルエリア接続2」の名称を変更したもの)