DebianでOpenVPNサーバーをセットアップする方法

編集済み 3 数週間前 によって ExtremeHow 編集チーム

ディストリビューション型オペレーティングシステムOpenVPNサーバー設定ネットワーキングセキュリティリナックスVPNシステム管理オープンソースコマンドラインインターフェース

DebianでOpenVPNサーバーをセットアップするのは複雑に思えるかもしれませんが、いくつかのステップを注意深く追うことで、安全なVPNを構成できます。このガイドは、コマンドラインの基本的な知識があり、Debianがインストールされていることを前提としています。各ステップを詳しく見ていき、OpenVPNサーバーを起動して動作させるために必要なすべてのコマンドと構成を提供します。これには、VPNサーバーのセットアップ、設定、およびテストが含まれます。

1. 必要条件

始める前に、次のことを確認してください：

• ルート権限を持つDebianサーバーがあること。
• システムが最新であること。次を実行してシステムを更新できます：

sudo apt update && sudo apt upgrade -y

システムが更新されていることを確認した後、次のステップはファイアウォールの構成です。

2. シンプルファイアウォール（UFW）の設定

Uncomplicated Firewall（UFW）は、ファイアウォール設定を管理するための簡単な方法です。UFWがまだインストールされていない場合、次を使用してインストールします：

sudo apt install ufw

次に、ファイアウォールを介したSSH接続を許可します（まだ許可されていない場合）：

sudo ufw allow OpenSSH

OpenVPN接続を許可します：

sudo ufw allow 1194/udp

ファイアウォールを有効にします：

sudo ufw enable

UFWのステータスを確認して、ルールが正しく設定されていることを確認します：

sudo ufw status

3. OpenVPNのインストール

次のコマンドでDebianにOpenVPNパッケージをインストールします：

sudo apt install openvpn

インストール後、サーバーを構成します。認証局とクライアント/サーバー証明書の作成を容易にするeasy-rsaパッケージが必要です。

4. Easy-RSAのセットアップ

公開鍵基盤（PKI）を管理するためのスクリプトを含むeasy-rsaパッケージをダウンロードします：

sudo apt install easy-rsa

次に、すべてのキーと証明書を保存するための新しいディレクトリにeasy-rsaスクリプトをコピーします：

make-cadir ~/openvpn-ca

新しいディレクトリに移動します：

cd ~/openvpn-ca

このディレクトリ内の'vars'ファイルを編集して、証明書作成に必要な変数を設定します：

nano vars

編集する主要な変数は次のとおりです：

export KEY_COUNTRY="US" export KEY_PROVINCE="CA" export KEY_CITY="SanFrancisco" export KEY_ORG="Example" export KEY_EMAIL="email@example.com" export KEY_OU="MyOrganizationalUnit"

CTRL + X、Yを押し、Enterを押して、エディタを保存して終了します。

5. 認証局（CA）の構築

公開鍵基盤（PKI）ディレクトリを開始します：

./easyrsa init-pki

次のようにして認証局（CA）を作成します：

./easyrsa build-ca

パスワードやCAの共通名などの詳細を入力するよう求められます。お好みに応じて設定してください。

6. サーバー証明書とキーの生成

次に、サーバー証明書とキーを作成します。実行：

./easyrsa gen-req server nopass

このコマンドは 'server.key'という名前のプライベートサーバーキーを生成します。

次に、CAで証明書を署名します：

./easyrsa sign-req server server

署名要求を確認するよう求められます。"yes"と入力してEnterを押します。

7. クライアント証明書とキーの生成

同様に、クライアント用の証明書を準備します：

./easyrsa gen-req client1 nopass

クライアント証明書に署名します：

./easyrsa sign-req client client1

必要に応じて、より多くのクライアント証明書を作成するためにこれらの手順を繰り返します。

8. Diffie-HellmanパラメータとHMAC署名の生成

Diffie-Hellmanファイルを生成します：

./easyrsa gen-dh

また、サーバーのTLS整合性検証機能を強化するために静的HMAC署名を生成します：

openvpn --genkey secret ta.key

9. OpenVPNサーバーの構成

OpenVPNサーバーの新しい構成ファイルを作成します：

sudo nano /etc/openvpn/server.conf

以下の構成をファイルに貼り付けます：

port 1194 proto udp dev tun ca ca.crt cert server.crt key server.key dh dh.pem server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 8.8.8.8" push "dhcp-option DNS 8.8.4.4" keepalive 10 120 tls-auth ta.key 0 cipher AES-256-CBC user nobody group nogroup persist-key persist-tun status openvpn-status.log verb 3

すべてのファイルパスが正しいファイルを指していることを確認します。ファイルを保存し、エディタを終了します。

10. ネットワーク設定の調整

トラフィック転送を許可するためにネットワークに変更を加える必要があります。`/etc/sysctl.conf`を開きます：

sudo nano /etc/sysctl.conf

この行のコメントを外します：

net.ipv4.ip_forward=1

変更を適用します：

sudo sysctl -p

UFWルールを追加します：

sudo nano /etc/ufw/before.rules

ファイルの先頭に追加します：

# START OPENVPN RULES *nat :POSTROUTING ACCEPT [0:0] -A POSTROUTING -s 10.8.0.0/8 -o eth0 -j MASQUERADE COMMIT # END OPENVPN RULES

IPマスカレードを許可します：

sudo nano /etc/default/ufw

`DEFAULT_FORWARD_POLICY`を次のように変更します：

DEFAULT_FORWARD_POLICY="ACCEPT"

最後に、UFWルールを適用します：

sudo ufw allow 1194/udp

UFWを再起動します：

sudo ufw disable

sudo ufw enable

11. OpenVPNの開始と有効化

OpenVPNサービスを開始し、有効にします：

sudo systemctl start openvpn@server

sudo systemctl enable openvpn@server

ステータスを確認して、エラーなしに実行されているか確認します：

sudo systemctl status openvpn@server

12. クライアントの構成

最後のステップはクライアントの構成です。クライアントのオペレーティングシステムに対応したインストールコマンドを実行してOpenVPNクライアントをインストールします。次に、クライアント証明書と認証用の秘密鍵を含む、サーバー情報すべてが含まれた通常は .ovpnファイルを作成します。

クライアントマシン上で新しいクライアント構成ファイル（client1.ovpn）を作成します：

client dev tun proto udp remote your-server-ip 1194 resolv-retry infinite nobind persist-key persist-tun remote-cert-tls server cipher AES-256-CBC auth SHA256 auth-nocache tls-auth ta.key 1 verb 3 # paste ca.crt content here # paste client1.crt content here # paste client1.key content here # paste ta.key content here

証明書を転送し、クライアントマシン上でクライアント構成を設定します。

13. VPNのテスト

最後に、テストの時間です。作成した構成ファイルを使用して、マシン上でOpenVPNクライアントを実行します。すべてが正しく構成されている場合、問題なく接続でき、ネットワークトラフィックはVPNを通じてルーティングされるはずです！

接続後、外部IPアドレスがサーバーのIPを反映しており、オリジナルのクライアントIPではないことを確認します。

結論

これらの詳細な手順に従うことで、Debianマシン上にOpenVPNサーバーを正常にインストールしました。このセットアップは、潜在的に安全でないネットワーク上でのデータの安全な通信を保証します。常にサーバーとクライアントを最新の状態に保ち、セキュリティアップデートを絶えず監視することを忘れないでください。

  この記事をシェアする

記事の内容に誤りがある場合, あなたは 更新をリクエストできます