「OpenVPNの設定(静的鍵共有)」 静的鍵(statick key)方式のOpenVPNの設定はもっとも簡単です。また、公開鍵方式(X509 PKI)の鍵の維持管理作業が不要です。しかし、静的鍵方式では、1対1の接続しかできないことのほか、共有鍵を平文で格納する必要があり、その鍵が暴露したときのセキュリティリスクがあります。従って鍵の配布には十分に気をつける必要があります。 静的鍵の生成 共有鍵は openvpn コマンドで次のようにして生成できます。 # openvpn --genkey --secret static.key 生成した鍵は安全な方法で、両方のVPNサーバに設置します。 最小限のサーバの設定ファイル例 -- dev tun ifconfig 10.8.0.1 10.8.0.2 secret static.key -- 最小限のクライアントの設定ファイル例 -- dev tun ifconfig 10.8.0.2 10.8.0.1 secret static.key remote myremote.mydomain -- クライアントとサーバとで設定ファイルの基本的な違いは、ifconfig 行のアドレスが逆になっていることと、remote システムの指定 があることだけです。 OpenVPNの通信にはデフォルトでUDP1194ポートが使われます。ルータなどでフィルタリングをしている場合はポートを開いてください。 これら設定ファイルを使って、openvpn を起動するとVPNが張られます。テストをするには、サーバ側からは 10.8.0.2 に、クライアント側からは 10.8.0.1 に、接続(pingなど)ができれば開通です。 性能改善 OpenVPNの性能を良くするために、まず、圧縮プロトコルを使う設定があります。 -- comp-lzo -- また、NATルータなどをお使いの場合は、以下の設定を追加することがお勧めです。 -- keepalive 10 60 ping-timer-rem persist-tun persist-key -- また、OpenVPNをデーモンとして動かすためには、以下の設定がセキュリティを向上します。 -- user nobody group nobody daemon -- ネットワーク同士の接続をしたい場合は、それぞれ相手側LANのサブネットへのルーティングの設定をすることができます。 -- route 192.168.1.0 255.255.255.0 -- それから、それぞれLANのゲートウェイにOpenVPNマシンの10.8.0.x へのルーティングの設定をして、OpenVPNマシンでは、IP転送設定をすること(Linuxでは以下のとおり)で開通となります。 # echo 1 > /proc/sys/net/ipv4/ip_forward 最後に実際の設定例を載せておきます。 サーバ側の設定例 -- dev tun ;proto udp|tcp-server ;port 1194 ifconfig 10.8.0.1 10.8.0.2 route 192.168.1.0 255.255.255.0 10.8.0.2 secret /usr/local/etc/openvpn/static.key comp-lzo keepalive 10 60 ping-timer-rem persist-tun persist-key user nobody group nobody daemon management localhost 7505 ;verb 9 -- クライアント側の設定例 -- dev tun ;proto udp|tcp-server ;port 1194 remote swan.example.jp ifconfig 10.8.0.2 10.8.0.1 route 172.16.0.0 255.255.0.0 10.8.0.1 secret /etc/openvpn/static.key comp-lzo keepalive 10 60 ping-timer-rem persist-tun persist-key ;chroot /var/openvpn --