ウェブサイト検索

PiVPN - Raspberry Pi 向けに設計された最もシンプルな OpenVPN セットアップと構成


少し前に、openvpn-install というスクリプトを使用して OpenVPN をインストールおよび設定する最も簡単な方法を説明したガイドを公開しました。このスクリプトを使用すると、初心者でも誰でも、DEB ベースおよび RPM ベースのシステムで動作する OpenVPN セットアップを数分以内に実装できます。先日、読者の 1 人が、Raspberry Pi で OpenVPN をセットアップするために使用される、「PiVPN」 と呼ばれる別の同様のスクリプトがあることを示唆しました。主に Raspberry Pi 用に設計されていますが、Debian や Ubuntu でも動作します。現在、Ubuntu 14.04 LTS のみをサポートしています。

PiVPN はどの程度安全ですか?

インストール部分に進む前に、セキュリティ機能のいくつかについて説明しましょう。インストールは非常に簡単ですが、PiVPN が運用環境で使用するのに十分な安全性がないという意味ではありません。サーバーとクライアントのセキュリティを強化するために、デフォルト設定を超えてすべてがすぐにアップグレードされています。これにより、サーバーにセキュリティ更新プログラムを自動的に適用する無人アップグレードを有効にすることができます。また、サーバー構成では最新の TLS 1.2 プロトコルのみが使用されます。データ チャネルと制御チャネルの両方で、アップグレードされた AES および SHA256 暗号化およびハッシュ アルゴリズムが使用されます。

試して、Ubuntu 14.04 LTS サーバー エディションでどのように機能するかを確認したいと思います。それでは、行きましょう。

PiVPN - 最も簡単な OpenVPN セットアップと構成

OpenVPN をインストールする

取り付けは非常に簡単です。ターミナルを開き、次のコマンドを実行します。

curl -L https://install.pivpn.io | bash

はい、それはとても簡単です。数秒後、sudo ユーザーのパスワードを入力します。上記のコマンドは、システムに必要なすべての依存関係とともに最新の OpenVPN をダウンロードしてインストールします。 PiVPN は途中で一連の質問をします。動作する OpenVPN サーバーをセットアップするだけで十分なので、デフォルトのままにしてください。

[OK] をクリックして続行します。

PiVPN が適切に機能するには、静的 IP アドレスが必要です。

複数のネットワーク インターフェイスがある場合は、いずれかを選択して構成します。

Raspberry Pi デバイスを使用していない場合、PiVPN は静的 IP アドレスを構成しません。このガイドでは Ubuntu 14.04 を使用するため、静的 IP は構成されません。

次に、ovpn 構成を保持するローカル ユーザーを選択します。

セキュリティ更新プログラムを自動的に更新するには、無人アップグレードを有効にすることをお勧めします。無人アップグレードを有効にするには、[はい] を選択します。

プロトコルを選択します。

OpenVPN ポートを選択します。ほとんどの場合、デフォルト値で十分です。

希望の暗号化レベルを選択します。私はデフォルト値を使用します。

[OK] をクリックして Diffie-Hellman キーを生成します。

次に、クライアントがサーバーへの接続にパブリック IP を使用するか DNS 名を使用するかを選択します。

VPN クライアントの DNS プロバイダーを選択します。独自のものを使用するには、[カスタム] を選択します。

おめでとう! OpenVPN がサーバーにインストールされています。

最後に、「はい」をクリックしてシステムを再起動します。

OpnVPN サービスが実行されているかどうかを確認するには、次のコマンドを入力します。

sudo service openvpn status
 * VPN 'server' is running

OpenVPN がサーバーをリッスンしているかどうかを確認します。

ps auxww | grep openvpn
nobody 936 0.0 0.3 28624 2428 ? Ss 16:15 0:00 /usr/sbin/openvpn --writepid /run/openvpn/server.pid --daemon ovpn-server --cd /etc/openvpn --config /etc/openvpn/server.conf --script-security 2
sk 1206 0.0 0.1 11740 940 pts/1 S+ 16:15 0:00 grep --color=auto openvpn

ご覧のとおり、OpenVPN サーバーは稼働しています。クライアントを構成してみましょう。

クライアントの ovpn プロファイルを作成する

サーバーを再起動した後、次のコマンドを実行してクライアント ovpn プロファイルを作成します。

pivpn add

または、

pivpn -a

クライアント システムの名前と強力なパスワードを入力します。

Enter a Name for the Client: client ##ENTER client certificate name
Enter the password for the client: ##ENTER password
Enter the password again to verify: ##ENTER password again 
spawn ./easyrsa build-client-full client

Note: using Easy-RSA configuration from: ./vars
Generating a 2048 bit RSA private key
..................................................+++
.....................................+++
writing new private key to '/etc/openvpn/easy-rsa/pki/private/client.key.YlVMZrBWgj'
Enter PEM pass phrase:ubuntu

Verifying - Enter PEM pass phrase:ubuntu

-----
Using configuration from /etc/openvpn/easy-rsa/openssl-1.0.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
commonName :PRINTABLE:'client'
Certificate is to be certified until Jul 9 09:47:17 2027 GMT (3650 days)

Write out database with 1 new entries
Data Base Updated
Client's cert found: client.crt
Client's Private Key found: client.key
CA public Key found: ca.crt
tls-auth Private Key found: ta.key

========================================================
Done! client.ovpn successfully created! 
client.ovpn was copied to:
 /home/sk/ovpns
for easy transfer.
========================================================

クライアント証明書のパスワードが不要な場合は、次のコマンドを使用してパスワード オプションをスキップできます。

pivpn add nopass

クライアント プロファイルは /home/username/ovpns に保存されます。それを確認するには、次を実行します。

ls /home/sk/ovpns/
client.ovpn

OpenVPN サーバーに接続するには、プロファイルをクライアント システムにコピーする必要があります。

たとえば、次のように scp コマンドを使用してクライアント プロファイルをコピーします。

cd /home/sk/ovpns/
scp client.ovpn sk@192.168.43.150:/etc/openvpn/

ここで、192.168.43.150 は私の openvpn クライアントの IP アドレスです。

すべての証明書をリストする

有効な証明書と取り消された証明書をすべてリストするには、次を実行します。

pivpn list

または、

pivpn -l

出力例:

: NOTE : The first entry should always be your valid server!

::: Certificate Status List :::
 :: Status || Name :: 
 Valid :: server
 Valid :: client

クライアントの ovpn プロファイルを取り消す

クライアント ovpn プロファイルを取り消すには、次を実行します。

pivpn revoke

または、

pivpn -r

PiVPN を削除する

PiVPN が気に入らないですか?次のコマンドを実行してアンインストールできます。

pivpn -u

または、

pivpn uninstall

そして、今のところはここまでです。次のガイドでは、OpenVPN クライアントを認証する方法について説明します。お役に立てれば。私たちのガイドが役立つと思われた場合は、ソーシャルネットワークやプロフェッショナルネットワークで共有し、OSTechNix をサポートしてください。

乾杯!

リソース:

  • PiVPN ウェブサイト

関連記事