written by ミキロウ

無料でVPNサーバ構築をしよう

実践編

VPNサーバ構築

まずは余ったPCを社内ネットワークのハブに接続してください。
そしてそれをVPNサーバにします。そのVPNサーバのOSは「CentOS7 minimal」をインストールします。

2-1-centos7-installer

言語を日本語に選択、、、ここは迷いませんね。

2-2-1-language

インストール先はインストールディスクを選択してください。

3-install-tasks
cent76-inst-3-3-1

ネットワーク設定でIPアドレスを「192.168.1.8」にする。デフォルトゲートウェイを「192.168.1.1」に。これでIPv4でインターネットにつながります。
ここまでは普通に社内ネットワークにPCを参加させているだけですね。
完了→インストールボタン押下しましょう。

インストール中ですが、rootのパスワードを入力しましょう。

インストール完了したら、そのまま再起動ボタンを押下

その後OSを最新にして、再起動

yum -y update
reboot
Fedoraさんがまたやらかしてます】LibreOfficeのアップデートが ...

その後、OPENVPNの証明書発行モジュール、ブリッジ系のモジュールをインストール。
※ブリッジ系の設定は今回はしないので、不要ですが、念のため。

yum --enablerepo=epel install openvpn easy-rsa bridge-utils

証明書発行をするため、作業ディレクトリを作成し、サンプルを作業ディレクトリにコピーする。
※「3.0.7」の部分は適宜変更してください。

mkdir /etc/openvpn/easy-rsa
cp /usr/share/easy-rsa/3.0.7/* /etc/openvpn/easy-rsa/ -R

初期化し、OPENVPNの認証局の作成、サーバ証明書、クライアントの証明書を発行する。

cd /etc/openvpn/easy-rsa
./easyrsa init-pki
./easyrsa build-ca
./easyrsa gen-dh
./easyrsa build-server-full server nopass
./easyrsa build-client-full mikiro nopass

TLS認証キーの作成

cd /etc/openvpn/
openvpn --genkey --secret ta.key

OpenVPNのサンプル設定をコピーしてくる

cp /usr/share/doc/openvpn*/sample/sample-config-files/server.conf /etc/openvpn/server.conf
vi ./server.conf

ここではOpenVPNをルーティング方式で接続する設定にしています。

port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key  # This file should be kept secret
dh /etc/openvpn/easy-rsa/pki/dh.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.1.0 255.255.255.0"
client-to-client
keepalive 10 120
tls-auth ta.key 0 # This file is secret
cipher AES-256-CBC
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn-status.log
log         /var/log/openvpn.log
log-append  /var/log/openvpn.log
verb 3
explicit-exit-notify 1
systemctl start openvpn@server
systemctl enable openvpn@server

ここまでの設定でmikiroアカウントが自宅ネットワークから社内ネットワークに存在する仮想ネットワークに参加することができます。しかし、これでは仮想ネットワーク(10.8.0.0/24)にいるだけで閉じ込められたネットワークにしかいません。仮想ネットワークから社内ネットワークへバイパスをするためにはマスカレードの設定を行い、仮想ネットワークと社内ネットワークが通信できるようにする必要があります。
下記はそのバイパスを通すための設定です。
※「eno16777984」の部分はVPNサーバが実際に社内ネットワークで利用しているネットワークアダプタ名に適宜変更すること。

firewall-cmd --permanent --add-service=openvpn
firewall-cmd --permanent --direct --passthrough ipv4 -t nat -A POSTROUTING -s 10.8.0.0/24 -o eno16777984 -j MASQUERADE
firewall-cmd --permanent --direct --get-all-passthrough
firewall-cmd --permanent --zone=trusted --add-interface=tun+
firewall-cmd --permanent --zone=trusted --add-source=10.8.0.0/24
firewall-cmd --permanent --zone=trusted --add-service=openvpn
firewall-cmd --reload

次に社内ネットワークで外部から「33333」ポートで接続しにきたら、VPNサーバにルーティングする設定を行います。

これでサーバの設定は完了です。お疲れ様でした。
次はクライアントの設定です。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です