ドキュメント1.6.1。 サーバー上の高度なルーテッドVPN構成
上記は非常に単純なVPNです。 クライアントは、暗号化されたトンネルを介してVPNサーバーマシン上のサービスにアクセスできます。 より多くのサーバーまたは他のネットワークの何かに到達したい場合は、いくつかのルートをクライアントにプッシュします。 たとえば、会社のネットワークをネットワーク192.168.0.0/16に要約できる場合は、このルートをクライアントにプッシュできます。 ただし、戻る方法のルーティングも変更する必要があります。サーバーは、VPNクライアントネットワークへのルートを知っている必要があります。
または、デフォルトゲートウェイをすべてのクライアントにプッシュして、すべてのインターネットトラフィックを最初にVPNゲートウェイに送信し、そこから会社のファイアウォールを介してインターネットに送信することもできます。 このセクションでは、いくつかの可能なオプションを示します。
ルートをクライアントにプッシュして、サーバーの背後にある他のプライベートサブネットに到達できるようにします。 これらのプライベートサブネットは、OpenVPNクライアントアドレスプール(10.8.0.0/24)をOpenVPNサーバーにルーティングすることも知っている必要があることに注意してください。
「route10.0.0.0」を押します
有効にすると、このディレクティブはすべてのクライアントがVPNを介してデフォルトのネットワークゲートウェイをリダイレクトするように構成し、WebブラウジングやDNSルックアップなどのすべてのIPトラフィックがVPNを通過するようにします(OpenVPNサーバーマシンまたは中央ファイアウォールはTUNをNATする必要がある場合があります)これが正しく機能するためのインターネットへの/ TAPインターフェース)。
「redirect-gatewaydef1bypass-dhcp」をプッシュします
サーバーモードを構成し、OpenVPNがクライアントアドレスを取得するためのVPNサブネットを提供します。 サーバー自体は10.8.0.1を使用し、残りはクライアントが利用できるようになります。 各クライアントは、上のサーバーに到達できるようになります
10.8.0.1。 イーサネットブリッジを使用している場合は、この行をコメントアウトしてください。
サーバー10.8.0.0 255.255.255.0
このファイルで、クライアントと仮想IPアドレスの関連付けの記録を維持します。 OpenVPNがダウンしたり再起動したりした場合、再接続するクライアントには、以前に割り当てられたプールから同じ仮想IPアドレスを割り当てることができます。
ifconfig-pool-persist ipp.txt
DNSサーバーをクライアントにプッシュします。
push "dhcp-option DNS 10.0.0.2" push "dhcp-option DNS10.1.0.2"
クライアント間の通信を許可します。
クライアントからクライアントへ
VPNリンクで圧縮を有効にします。
コンプ・ルゾ
当学校区の 生き続ける ディレクティブを使用すると、pingのようなメッセージがリンクを介して前後に送信されるため、各側は相手側がダウンしたことを認識できます。 1秒ごとにpingを実行し、3秒間にpingを受信しなかった場合は、リモートピアがダウンしていると想定します。
キープアライブ1 3
初期化後にOpenVPNデーモンの権限を減らすことをお勧めします。
ユーザー 誰も グループ nogroup
OpenVPN 2.0には、OpenVPNサーバーが接続しているクライアントからユーザー名とパスワードを安全に取得し、その情報をクライアントの認証の基礎として使用できるようにする機能が含まれています。 この認証方法を使用するには、最初にauth-user-passディレクティブをクライアント構成に追加します。 OpenVPNクライアントにユーザー名/パスワードを照会するように指示し、安全なTLSチャネルを介してサーバーに渡します。
#クライアント設定! auth-user-pass
これにより、OpenVPNサーバーは、ログインPAMモジュールを使用してクライアントが入力したユーザー名/パスワードを検証するように指示されます。 Kerberosなどを使用した集中認証がある場合に便利です。
プラグイン/usr/lib/openvpn/openvpn-plugin-auth-pam.soログイン
OpenVPN強化セキュリティガイドをお読みください1 さらなるセキュリティアドバイスのために。