何の記事

vpnサーバに接続してきたvpnクライアントがいるネットワークに、vpnサーバからアクセスできるようにする方法の手順を解説 ちなみに、これはCloudflaairとかいう会社が提供しているzero trustっていうサービスと同等のことを可能にしてくれる。

初めに

VPNサーバを立てて、VPNクライアントのパケット通信をVPNサーバを通すようにすることはできていた。 これによって、クライアントはサーバと同じネットワーク上にいるかのようにふるまうことができていたわけだね。 しかしこの逆ができなかったのですよ。 つまり、 サーバがクライアントのネットワークにいるかの如くふるまうように設定することがずっとできなかったんですよね。 その必要性も当時はあまりなかったからね。

だが、この度新しいおうちに引っ越して、「単一のグローバルipが与えられておりポート開放できるルータがある」環境を失ってしまった。 外からアクセスできないんですよね、今のうちのネットワーク環境だと。 家の外に借りたVPSは結構あって、そこにVPNサーバを立てることはできる。 そこで今まで試したけど挫折してきた、「隔絶されたネットワークに、そのネットワークにいるvpnクライアントを介してアクセスする方法」。 今回はそれを可能にする方法を教えます。 ちなみに、二つの異なるネットワークセグメントをvpnサーバとvpnクライアントを使って完全につなげることを、 「site to site routing」といいます。マジでかっこいいですね。あこがれちゃいます。そんな憧れを、今回、達成してしまうんです。

これによって、「remote.it」のように、ポート開放をしていない、隔絶されているネットワーク環境に、外からアクセスできるようになるんです。えぐいですねーーー。えぐい。とにかくえぐい。

参考記事

記事1

記事2

openVPN公式

site2siteに関しては二つ目がかなりいい感じにまとめてくれています。

まずはいつも通り普通にopenvpnサーバを立てる

OpenVPNとeasy-rsaのインストール

sudo yum install openvpn easy-rsa -y

easy-rsaを使って証明書関係を作る

./easyrsa init-pki

ca証明書を作成

./easyrsa build-ca

*ca証明書=認証局(ca)証明書。 認証局(CA)とは、ウェブサイトやその他の独立した存在などに、デジタル証明書を発行する信頼できる組織。

できたら移動しておく

cp pki/ca.crt /etc/openvpn

diffie-helman parameterを生成

./easyrsa gen-dh

移動しておく

sudo cp pki/dh.pem /etc/openvpn

Certificate Revocation List (CRL) を生成

./easyrsa gen-crl

OpenVPN Serverように証明書と秘密鍵を生成 (サーバ証明書の生成)

./easyrsa build-server-full server nopass

移動しておく

sudo cp pki/issued/server.crt /etc/openvpn
sudo cp pki/private/server.key /etc/openvpn

クライアント証明書と秘密鍵を生成

./easyrsa build-client-full username

各コマンドの詳しい説明

./easyrsa build-ca

./easyrsa build-ca コマンドは、
Easy-RSAツールを使用して
新しい認証局(CA)のルート証明書と秘密鍵を生成するためのものです。
認証局は、VPN証明書を発行および署名するために使用されます。
このプロセスは通常、VPNサーバーをセットアップする最初のステップの一つです。

具体的には、このコマンドは以下の操作を行います:

CAの秘密鍵の生成:認証局(CA)の秘密鍵を生成します。
この鍵は、CAによって発行される証明書に署名するために使用されます。

CAの自己署名証明書の生成:CAの自己署名証明書を生成します。
この証明書は、CA自身が正当な認証局であることを証明します。

このコマンドを実行すると、以下のファイルが生成されます:

ca.crt: CAの自己署名証明書
ca.key: CAの秘密鍵
これらのファイルは、VPNサーバーの証明書発行および署名プロセスで使用されます。
具体的には、CAの秘密鍵 (ca.key) は秘密に保管されるべきであり、
CAの証明書 (ca.crt) はクライアントと共有され、
クライアントはこれを使用してサーバー証明書の有効性を検証します。

証明書には公開鍵も含まれていると考えていいです。

./easyrsa build-server-full server nopass

./easyrsa build-server-full server nopass コマンドは、Easy-RSAツールを使用してOpenVPNサーバーの証明書と秘密鍵を生成するためのものです。このコマンドは、サーバー証明書を生成し、その秘密鍵にパスフレーズを設定せずに保存します。

具体的には、このコマンドは以下の操作を行います:

サーバー証明書の生成:指定された名前(この場合は server)でサーバー証明書を生成します。この証明書はサーバーがVPNクライアントに自身を証明するために使用されます。

サーバーの秘密鍵の生成:サーバー証明書と一緒に使用される秘密鍵を生成します。この秘密鍵は、VPN接続を暗号化するために使用されます。

証明書署名要求(CSR)の作成および署名:証明書署名要求(CSR)を作成し、それを認証局(CA)で署名することで有効な証明書を生成します。

パスフレーズの省略:nopassオプションにより、生成される秘密鍵にはパスフレーズが設定されません。これにより、サーバーが起動するたびにパスフレーズを入力する必要がなくなります。

このコマンドを実行すると、通常、以下のファイルが生成されます:

server.crt: サーバー証明書
server.key: サーバーの秘密鍵
server.req: 証明書署名要求(CSR)
これらのファイルは、OpenVPNサーバー設定に必要なものであり、適切に保管されるべきです。特に、server.key は秘密に保つ必要があります。

./easy gen-dh

./easyrsa gen-dh コマンドは、Easy-RSAツールを使用してDiffie-Hellman(DH)パラメータを生成するためのものです。DHパラメータは、VPNサーバーとクライアント間で安全にキー交換を行うために使用されます。これにより、セッションごとに異なる鍵が生成され、通信のセキュリティが強化されます。

具体的には、このコマンドは以下の操作を行います:

Diffie-Hellmanパラメータの生成:DH鍵交換プロトコルに使用されるパラメータを生成します。これらのパラメータは、安全な通信チャネルを確立するために必要です。

生成されたファイルの保存:生成されたDHパラメータは、VPNサーバーの設定で使用されます。

このコマンドを実行すると、以下のファイルが生成されます:

dh.pem: Diffie-Hellmanパラメータ

./easyrsa gen-crl

./easyrsa gen-crl コマンドは、Certificate Revocation List (CRL) を生成するためのものです。CRLは、無効または失効された証明書のリストを保持し、認証局(CA)が管理します。

具体的には、このコマンドは以下の操作を行います:

CRLの生成:現在の認証局の設定に基づいて、新しいCRLファイルを生成します。このファイルには、CAによって失効された証明書のリストが含まれています。

既存の失効証明書の確認:CRLを生成する際に、すでに失効されている証明書が正しくリストに含まれていることを確認します。

CRLは、VPNサーバーやその他のサービスがクライアント証明書の有効性を確認するために使用されます。具体的には、クライアントがVPNに接続しようとする際、サーバーはそのクライアントの証明書がCRLに含まれていないことを確認することで、失効された証明書による不正アクセスを防ぎます。

生成されたCRLファイルは通常、crl.pem という名前で保存されます。このファイルは、VPNサーバーの設定に組み込まれる必要があります。例えば、OpenVPNサーバーでは、crl-verify オプションを使用してこのCRLファイルを指定します。

./easyrsa build-client-full username


このコマンドは、Easy-RSAツールを使用してOpenVPNクライアント証明書と鍵を生成するためのものです。具体的には、build-client-fullコマンドは以下の操作を行います:

クライアント証明書の生成:指定されたユーザー名(この場合はusername)に対して、クライアント証明書を生成します。証明書はクライアントがVPNに接続するために必要なものであり、認証局(CA)によって署名されます。

クライアントの秘密鍵の生成:クライアント証明書と一緒に使用される秘密鍵を生成します。この鍵は、クライアント証明書とともにVPN接続を確立するために必要です。

証明書署名要求(CSR)の作成および署名:証明書署名要求(CSR)を作成し、それを認証局(CA)で署名することで有効な証明書を生成します。

このコマンドを実行すると、通常、以下のファイルが生成されます:

username.crt: クライアント証明書
username.key: クライアントの秘密鍵
username.req: 証明書署名要求(CSR)
これらのファイルは、VPNクライアント設定に必要なものであり、適切に保管されるべきです。クライアントはこれらの証明書と鍵を使用してOpenVPNサーバーに接続し、暗号化された通信を確立します。

以上の鍵が生成される順番と、これらのカギを使って実際にクライアントがサーバとコネクションを張り暗号化された通信をするまでの流れ

1. 接続の確立
クライアントがVPNサーバーに接続を試みます

クライアントはVPNサーバーに接続リクエストを送信します。


2. サーバーの証明書を検証
クライアントはサーバーから送られてきた証明書 (server.crt) を検証します。
クライアントは自身のCA証明書 (ca.crt) を使用して、
サーバー証明書がCAによって署名されていることを確認します。
この検証により、
クライアントは接続しようとしているサーバーが信頼できるものであることを確信します。

3. クライアントの証明書を検証
サーバーもクライアントから送られてきた証明書 (username.crt) を検証します。
サーバーは自身のCA証明書 (ca.crt) を使用して、
クライアント証明書がCAによって署名されていることを確認します。
サーバーはさらに、クライアント証明書が失効していないことをCRL (crl.pem) を用いて確認します。

4. 秘密鍵の使用
クライアントとサーバーのそれぞれの秘密鍵(username.key と server.key)は、相手の証明書と合わせて使用され、相互認証を実施します。
サーバーの秘密鍵(server.key)は、サーバーが送信するデータのデジタル署名と暗号化に使用されます。
クライアントの秘密鍵(username.key)は、クライアントが送信するデータのデジタル署名と暗号化に使用されます。

5. 鍵交換とセッションの確立
Diffie-Hellman鍵交換プロトコルの使用

クライアントとサーバーは、Diffie-Hellman鍵交換プロトコルを使用して、セッション鍵を安全に交換します。
このプロセスでは、サーバーの dh.pem ファイルが使用されます。
セッション鍵の生成

Diffie-Hellman鍵交換によって生成されたセッション鍵を使用して、クライアントとサーバー間で安全な通信チャネルを確立します。
これにより、以降の通信が暗号化されます。
暗号化された通信の開始
暗号化された通信の開始
セッション鍵が確立された後、クライアントとサーバー間の通信は暗号化されます。
以降のデータは、このセッション鍵を使用して暗号化・復号化されます。
各通信データは、相手側の公開鍵で暗号化され、自身の秘密鍵で復号化されます。

VPNサーバの起動

sudo systemctl stop openvpn

サーバがうまく起動できないとき

こっちで試してみるのもありかもしれない。

sudo systemctl start openvpn@server

ここまではいたって普通の設定でしかない。ここからがプラスアルファです。

server側の設定

openvpnサーバの/etc/openvpn/server.conf に以下を追記。追記というかpushの後に入れる

# server側から通信させたい、client側のlanセグメントを指定
client-config-dir /etc/openvpn/ccd
route 100.64.0.0 255.255.252.0

これも作ってください。

mkdir /etc/openvpn/ccd
touch /etc/openvpn/ccd/client1
echo "iroute 100.64.0.0 255.255.252.0" > /etc/openvpn/ccd/andre

最後のandreはクライアント証明書を作った時と同じ名前にしてくださいね。はぎ。

clientとserver両方での設定

sudo vim /etc/sysctl.conf

これを追記。

net.ipv4.ip_forward=1

これで、IPフォワードを許可することで、 ens3 インターフェースから来たパケットを、tun0 インターフェースへレスポンスするようになる。完璧や。まじで!!

This line is added to the /etc/sysctl.conf file. It sets the kernel parameter net.ipv4.ip_forward to 1, which enables IP forwarding. IP forwarding allows the system to forward network packets from one network interface to another, effectively allowing it to act as a router.

ちなみに、これをやったうえで、どのインターフェースににとどいたパケットがどのインターフェースに行くかを制御できます。

Yes, you can further control which packets from a specific interface go to which other interface by using firewall rules. On Linux systems, this is typically done using iptables or nftables. Here is a basic example using iptables:

こんな感じでね。

sudo iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT

こんなこともできる。

sudo iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 80 -j ACCEPT
sudo iptables -A FORWARD -i eth0 -o eth1 -j DROP

ufwがonになっている環境では次をやる必要もあります

/etc/default/ufw

- DEFAULT_FORWARD_POLICY="DROP"
+ DEFAULT_FORWARD_POLICY="ACCEPT"

/etc/ufw/sysctl.conf

- # net.ipv4.ip_forward=1
+ net.ipv4.ip_forward=1

クライアント側の設定

上のフォワーディング設定をやっておけば問題ないです。最高や!!

はー最高やー。

ちなみに、クライアントの公開鍵にパスワードを付けた時、自動で読み込むようにする方法は

あります。調べてください。頑張って。クライアントをデーモン化することも簡単です。普通にできます。

別のクライアントとして接続してきたclientをpermanently connected clientに流す方法

これはね、serverの方でそういう設定をしないとだめそうだね。これはなかなか難しい。しかし、ネットワークの知識がある人なら簡単にできるんだろうなー

仮想ネットワーク:10.8.0.0/24 自宅のネットワーク:100.64.0.0/22

解決方法。 別のクライアント証明書を発行する。 つまり、site to site routingの一方のルータとなる方のクライアントは別でクライアント証明書を発行する。 それ以外のユーザには別で証明書を発行する。それだけです。以上です。 これやれば、VPNサーバに接続するだけで、site2siteのもう片方のVPNクライアントのネットワークと疎通できるようになる。これはえぐい話です。 site2siteのVPNクライアントのクライアント証明書を使いまわしていたからなんかうまくいかなかったけど、別々にすることで解決。

MTUが大きすぎる問題

read UDPv4 [EMSGSIZE Path-MTU=1460]: Message too long (fd=7,code=90)

です。

indicates an issue with packet size being too large to be transmitted without fragmentation. Here’s what’s likely happening and how you can address it

EMSGSIZE: This error occurs when a packet that is larger than the maximum transmission unit (MTU) tries to pass through a network segment with a smaller MTU without the ability to fragment. Path-MTU: This is the maximum packet size (including IP headers) that can be transmitted over a path without needing to be fragmented. In your case, it’s set to 1460 bytes.

Adjust MTU Settings on the VPN: Lower the MTU setting on your OpenVPN configuration. This can help prevent the server from sending packets that are too large for the network path. You can do this by adding the following line to both your server and client configuration files:

tun-mtu 1400

これで通信が安定化された。