ConoHaとSoftEther VPNで遊んでみる(設定編-1)
ConoHa VPS上へインストールしたSoftEther VPN Serverを設定する。
設定は基本Windows端末上のSoftEther VPN Server Manager for WindowsからGUIで実施する。
VPNサーバへの接続はCisco1812JからのL2TPoverIPsecを想定。
参考にしたサイト
Cisco ルータからの L2TPv3 を用いた VPN 接続方法 - SoftEther VPN プロジェクト
手順
- SoftEther VPN Server Manager for Windowsのダウンロード
- VPS上のiptablesでポート開放
- SoftEther VPN Server Manager for WindowsによるGUI設定
- 簡易セットアップでの初期設定
- 不要サービスの停止
- tapデバイスの作成
- VPS上のtapデバイス(仮想IF)へのIPアドレス設定
- VPS上のiptablesでVPN経由の通信許可設定追加
- VPS上でStaticルートの設定
SoftEther VPN Server Manager for WindowsをDownload
今回はZIP 「Package of vpnsmgr.exe and vpncmd.exe (without installers) (Ver 4.06, Build 9437, beta)」をダウンロード
VPS上のiptablesでポート開放
SoftEther VPN Server Manager for WindowsでGUI設定するためにはVPSとTCP443で通信できる必要があるのでiptablesでポート開放する。
ついでにVPN通信で必要なUDP500,UDP4500も開放しておく。
[root@ConoHa ~]# iptables-save # Generated by iptables-save v1.4.7 on Sun Jun 1 04:10:30 2014 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [194:19592] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT # Completed on Sun Jun 1 04:10:30 2014 [root@ConoHa ~]# iptables -I INPUT 5 -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT [root@ConoHa ~]# iptables -I INPUT 6 -p udp -m udp --dport 500 -j ACCEPT [root@ConoHa ~]# iptables -I INPUT 7 -p udp -m udp --dport 4500 -j ACCEPT [root@ConoHa ~]# [root@ConoHa ~]# iptables-save # Generated by iptables-save v1.4.7 on Sun Jun 1 04:12:36 2014 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [11:1076] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT -A INPUT -p udp -m udp --dport 500 -j ACCEPT -A INPUT -p udp -m udp --dport 4500 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT # Completed on Sun Jun 1 04:12:36 2014 [root@ConoHa ~]# /etc/init.d/iptables save iptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK ] [root@ConoHa ~]#
SoftEther VPN Server Manager for WindowsによるGUI設定
簡易セットアップでの初期設定
vpnsmgr.exeを起動
「新しい接続設定(N)」をクリック
接続設定名:適当で後でわかる様に
ホスト名:VPSサーバ上のIPアドレスを入力
管理パスワード:入力不要(あとで初期ログイン時に自動で設定される)
「OK」クリック
初期管理パスワードは未設定なのでなにも入力せずに「OK」をクリック
拠点間接続VPNサーバまたはブリッジ(S)をチェック
役割は拠点間接続VPNの中心となり、他拠点からの接続を受け入れるVPN Server(M)を選択
「次へ(N)」をクリック
そのまま「閉じる(X)」クリック
DDNS設定はGUIでは止めれない...
EtherIP / L2TPv3 over IPsecサーバ機能有効 へチェックを入れる
IPSec 事前共有鍵(P)を入力→(接続するCisco1812Jと合わせる必要がある)
サーバ機能の詳細設定(D)をクリック
ISAKMP Phase 1 ID 入力。今回は'*'(アスタリスク)
接続先の仮想HUBは先ほど作成したのを選択。
ユーザ名とパスワードはこの後に作成するユーザ名のと同一である必要がある
VPN Azureは使わないので無効にする(D)を選択
「OK」をクリック
ユーザ名(U): (先ほど入力したユーザ名とあわせる)
認証方法は:パスワード認証を選択
パスワード:(これも先ほど入力したユーザとあわせる)
「OK」をクリック
不要サービスの停止
TCP992/TCP1194/TCP5555 は不要なので「停止(P)」でサービス停止にする
OpenVPNも不要なので「OpenVPN/MS-SSTP設定」をクリック
tapデバイスの作成
VPS上に仮想IFを設定する。VPN経由でVPSへアクセスするには必要。
「ローカルブリッジ設定(B)」をクリック
仮想 HUB(H):先ほど設定した仮想HUB名を選択
新しい tapデバイスとブリッジ接続(T)を選択
新しいデバイス名(V):仮想IF名を入力。"vpn"と入力した場合VPS上では "tap_vpn"と認識される
「ローカルブリッジを追加(A)」をクリック
「OK」をクリック
※tapデバイス(GuestOS上の仮想IF)なので問題ない
ローカルブリッジが設定されていることを確認したら
「閉じる(X)」をクリック
VPS上でtapデバイス(仮想IF)が作成されたことを確認する
[root@ConoHa init.d]# ifconfig -a (省略) tap_vpn Link encap:Ethernet HWaddr 00:AC:65:E9:25:68 inet6 addr: fe80::2ac:65ff:fee9:2568/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:8 errors:0 dropped:0 overruns:0 frame:0 TX packets:26 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:500 RX bytes:688 (688.0 b) TX bytes:2124 (2.0 KiB) [root@ConoHa init.d]#
つづきは(設定編-2)へ