ConoHaとSoftEther VPNで遊んでみる(設定編-1)

ConoHa VPS上へインストールしたSoftEther VPN Serverを設定する。
設定は基本Windows端末上のSoftEther VPN Server Manager for WindowsからGUIで実施する。
VPNサーバへの接続はCisco1812JからのL2TPoverIPsecを想定。

参考にしたサイト
Cisco ルータからの L2TPv3 を用いた VPN 接続方法 - SoftEther VPN プロジェクト

手順

SoftEther VPN Server Manager for Windowsのダウンロード
VPS上のiptablesでポート開放
SoftEther VPN Server Manager for WindowsによるGUI設定
1. 簡易セットアップでの初期設定
2. 不要サービスの停止
3. tapデバイスの作成
VPS上のtapデバイス(仮想IF)へのIPアドレス設定
VPS上のiptablesでVPN経由の通信許可設定追加
VPS上でStaticルートの設定

SoftEther VPN Server Manager for WindowsをDownload

SoftEther ダウンロードセンターへアクセス

コンポーネントは「SoftEther VPN Server Manager for Windows」を選択
プラットフォームは「Windows」もしくは「zip Package」を選択

今回はZIP 「Package of vpnsmgr.exe and vpncmd.exe (without installers) (Ver 4.06, Build 9437, beta)」をダウンロード

VPS上のiptablesでポート開放

SoftEther VPN Server Manager for WindowsでGUI設定するためにはVPSとTCP443で通信できる必要があるのでiptablesでポート開放する。
ついでにVPN通信で必要なUDP500,UDP4500も開放しておく。

[root@ConoHa ~]# iptables-save
# Generated by iptables-save v1.4.7 on Sun Jun  1 04:10:30 2014
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [194:19592]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Sun Jun  1 04:10:30 2014
[root@ConoHa ~]# iptables -I INPUT 5 -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
[root@ConoHa ~]# iptables -I INPUT 6 -p udp -m udp --dport 500 -j ACCEPT
[root@ConoHa ~]# iptables -I INPUT 7 -p udp -m udp --dport 4500 -j ACCEPT
[root@ConoHa ~]#
[root@ConoHa ~]# iptables-save
# Generated by iptables-save v1.4.7 on Sun Jun  1 04:12:36 2014
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [11:1076]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -p udp -m udp --dport 500 -j ACCEPT
-A INPUT -p udp -m udp --dport 4500 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Sun Jun  1 04:12:36 2014
[root@ConoHa ~]# /etc/init.d/iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[  OK  ]
[root@ConoHa ~]#

SoftEther VPN Server Manager for WindowsによるGUI設定

簡易セットアップでの初期設定

vpnsmgr.exeを起動

「新しい接続設定(N)」をクリック

接続設定名：適当で後でわかる様に
ホスト名：VPSサーバ上のIPアドレスを入力
管理パスワード：入力不要(あとで初期ログイン時に自動で設定される)
「OK」クリック

接続設定名を選択して「接続(c)」クリック

初期管理パスワードは未設定なのでなにも入力せずに「OK」をクリック

ここではじめて管理パスワードを設定する。

「OK」をクリック

拠点間接続VPNサーバまたはブリッジ(S)をチェック
役割は拠点間接続VPNの中心となり、他拠点からの接続を受け入れるVPN Server(M)を選択
「次へ(N)」をクリック

「はい(Y)」クリック

仮想HUB名を入力。
「OK」をクリック

そのまま「閉じる(X)」クリック
DDNS設定はGUIでは止めれない...

EtherIP / L2TPv3 over IPsecサーバ機能有効　へチェックを入れる
IPSec 事前共有鍵(P)を入力→(接続するCisco1812Jと合わせる必要がある)
サーバ機能の詳細設定(D)をクリック

「追加(A)」をクリック

ISAKMP Phase 1 ID 入力。今回は'*'(アスタリスク)
接続先の仮想HUBは先ほど作成したのを選択。
ユーザ名とパスワードはこの後に作成するユーザ名のと同一である必要がある

追加されているのを確認したら「閉じる(X)」をクリック

VPN Azureは使わないので無効にする(D)を選択
「OK」をクリック

「ユーザを作成する(U)」をクリック

ユーザ名(U): (先ほど入力したユーザ名とあわせる)
認証方法は：パスワード認証を選択
パスワード：（これも先ほど入力したユーザとあわせる）
「OK」をクリック

「OK」をクリック

ユーザが追加されていることを確認
「閉じる(X)」をクリック

3.ローカルブリッジの設定はなにも選択しない。
「閉じる(X)」をクリック

不要サービスの停止

TCP992/TCP1194/TCP5555 は不要なので「停止(P)」でサービス停止にする

OpenVPNも不要なので「OpenVPN/MS-SSTP設定」をクリック

チェックを外して「OK」をクリック

インターネット接続の維持機能(keep alive)も不要なので
「暗号化と通信関係の設定(W)」をクリック

インターネット接続の維持機能を利用する(K)のチェックを外す
「OK」をクリック

tapデバイスの作成

VPS上に仮想IFを設定する。VPN経由でVPSへアクセスするには必要。

「ローカルブリッジ設定(B)」をクリック

仮想 HUB(H):先ほど設定した仮想HUB名を選択
新しい tapデバイスとブリッジ接続(T)を選択
新しいデバイス名(V):仮想IF名を入力。"vpn"と入力した場合VPS上では "tap_vpn"と認識される
「ローカルブリッジを追加(A)」をクリック

「はい(Y)」をクリック
※本当に続行する

「OK」をクリック
※tapデバイス(GuestOS上の仮想IF)なので問題ない

「OK」をクリック

ローカルブリッジが設定されていることを確認したら
「閉じる(X)」をクリック

VPS上でtapデバイス(仮想IF)が作成されたことを確認する

[root@ConoHa init.d]# ifconfig -a
(省略)
tap_vpn   Link encap:Ethernet  HWaddr 00:AC:65:E9:25:68  
          inet6 addr: fe80::2ac:65ff:fee9:2568/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:8 errors:0 dropped:0 overruns:0 frame:0
          TX packets:26 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:500 
          RX bytes:688 (688.0 b)  TX bytes:2124 (2.0 KiB)
[root@ConoHa init.d]#

つづきは（設定編-2）へ