おはようございます!マネジメントオフィスいまむらの今村敦剛です。
この度、IDCフロンティアのIaaS型パブリッククラウドサービスを使い、OpenVPNサーバを構築しました。その構築方法を記録する第5回目です。今回は、CentOSの仮想マシンにOpenVPNサーバとEasy-rsaをインストールします。
スポンサーリンク
この連載の全体的な構成
この連載は、全10回を予定しています。今回は第5回目「VPNサーバインストール」です。
連載記事一覧
- 全体構想
- IaaS設定 - 仮想マシン作成
- IaaS設定 - IaaSネットワーク設定
- IaaS設定 - 操作環境整備
- IaaS設定 - DDNS設定
- VPNサーバ設定 - インストール
- VPNサーバ設定 - 鍵・証明書作成
- VPNサーバ設定 - server.conf作成
- VPNクライアント設定 - 鍵・証明書作成
- VPNクライアント設定 - client.ovpn作成
- VPNクライアント設定 - windows自動起動設定
IDCFクラウドの仮想マシンにインストールする理由
今回の試みは、最終的に、自宅LANから事務所LANの端末にリモートデスクトップすることです。そう聞くと、直感的には「事務所LANの端末をサーバにするのかな?」と思ってしまいますが、IaaS側(本記事ではIDCFクラウド側)の仮想マシンをOpenVPNサーバにします。自宅LAN側の端末と事務所LANの端末(=いつも仕事に使っているwindows機)はクライアントとして設定をします。
事務所LANの端末をサーバにするとなると、事務所のルータにポートフォワーディング設定をするとか、端末をDMZに設置するなどの手段を取らなければなりません。事務所LAN側のセキュリティレベルを下げるだけではなく、ネット環境が変わった時(回線事業者やプロバイダを変えたりした時に)、VPNまわりの制約もかわり、設定をその都度見直さなければならないのが面倒くさかったりします。
一方、今回の試みでは、基本的にはネット環境が変わってもVPNまわりの設定を見直す必要はありませんし、事務所LAN側のセキュリティレベルを下げることもないので安心なのです。
OpenVPNサーバとEasy-rsaのインストール
まずはトップのディレクトリ(ルートディレクトリ)に戻ります。[root@仮想マシン名 /]#という表示になるまで、以下のコマンドを何度か入力します。
command
cd ..
「ls」(エル・エス)とコマンドを打って、下記のディレクトリ構成が出てくれば、ルートディレクトリに戻っているはずです。
まずはepel-releaseパッケージをインストールします。epel-releaseをインストールすればRedHat向けの高品質なアドオンパッケージが使えるようになります。要は何かの機能拡張のインストールをしていると思ってください(雑な説明)。ちなみにyumというコマンドは、パッケージを扱うための管理コマンドです。
command
yum install epel-release
インストールしてOKかどうかを訊いてきますので、yと入力してenterを押します。
続いてyumのパッケージをアップデートします。
command
yum update
仮想マシン全体のアップデートが走っているようで、まずまず時間がかかります。ぼくがやった時は179個もアップデートが走りました。179/179までアップデートが終わると、なぜか固まってしまいますので、その時はctrl-cで止めてもよいと思います。(もう1回yum updateをしてたら、no packages marked for updateと出るので、固まったとしてもアップデート自体は終わっていると思います)
いよいよOpenVPNサーバのインストールです。ここでは、OpenVPNとEasy-rsaの両方をインストールします。Easy-RSAは、VPN接続に必要な「鍵」を管理するためのユーティリティです。(後述します)
command
yum install openvpn easy-rsa
「完了しました!」というメッセージが出ると安心しますよね😊
OpenVPNを使う証明書と鍵のイメージ
OpenVPNで、サーバがクライアントの認証に使うのはSSL認証です。一般的なユーザーIDとパスワードの組み合わせよりも、もっと安全な方法です。SSL認証をするためには「証明書」や「鍵」の役割を果たすファイルが必要になります。
SSL認証のやり方は複雑ですが、ごく簡単に説明すると、下記の図のようなイメージです。認証局は、サーバー証明書が正しいことを認証する役割を果たしています。そして認証局、サーバ、クライアントの3者それぞれが該当する鍵や証明書を持ち寄ることで、通信相手が正しいことを確認しています。
今回は認証局のインストールまでで解説は終わりですが、ここに書かれている証明書や鍵類を、次回作成することになります。