Tangerina.jp

IPoE化で使えなくなったL2TPの代わりにOpenVPNクローンサーバーを立てた

Fri 12 Feb 2021 12:00:00 PM JST By yuzurihara

このまえ構築したSoftEther VPNサーバーに接続できなくなってしまいました。どうやらサーバーを置いてある場所の光回線がIPoEに移行したタイミングで接続できなくなったようです。 IPv6接続に変更したことによって使えなくなったVPNをOpenVPNで使えるようにしたお話によると、IPoE環境とL2TP/IPSecは取り合わせがよくないことと、 OpenVPNなら問題なさそうなことがわかりました。幸いなことにSoftEther VPNサーバーはOpenVPNの機能が実装されていますので、これを使うことにします。構築時と同じようにCLIだけで設定してみました。環境すでにSoftEther VPNサーバーがインストールされている環境で作業します。サーバーのインストールについては以前の記事をご覧ください。第1回: 環境編第2回: ビルド編第3回: 設定編一応、現在の環境を載せておきます。 $ uname -a Linux megmin 5.4.0-65-generic #73-Ubuntu SMP Mon Jan 18 17:25:17 UTC 2021 x86_64 x86_64 x86_64 GNU/Linux $ lsb_release -a No LSB modules are available. Distributor ID: Ubuntu Description: Ubuntu 20.04.2 LTS Release: 20.04 Codename: focal 前回のサーバーと同じですが、ソフトウェアがすこしだけバージョンアップしています。ルーターのポート開放 OpenVPN用にUDPポートを開けます。IPoE環境では1024番以上のポートにする必要があるようです。今回は1194番にしました。準備 SoftEther VPNサーバーは /opt/vpnserver にインストールしていましたので、まずはそこに移動しておきます。 $ cd /opt/vpnserver SoftEther VPNサーバーのパスワード入力が面倒なので ServerPasswordSet コマンドで一時的に削除します。 $ sudo ./vpncmd localhost /server /cmd ServerPasswordSet vpncmd command - SoftEther VPN Command Line Management Utility SoftEther VPN Command Line Management Utility (vpncmd command) Version 4.34 Build 9745 (English) Compiled 2020/04/05 23:39:56 by buildsan at crosswin Copyright (c) SoftEther VPN Project. All Rights Reserved. Password: *************** Connection has been established with VPN Server "localhost" (port 443). You have administrator privileges for the entire VPN Server. VPN Server>ServerPasswordSet ServerPasswordSet command - Set VPN Server Administrator Password Please enter the password. To cancel press the Ctrl+D key. Password: Confirm input: The command completed successfully. 途中で3回プロンプトが表示されて入力を促されます。 1回目の Password: プロンプトには現在のパスワードを入力します。 2回目の Password: と Confirm input: には何も入力せずに [enter] を押すとパスワードなしになります。設定が終わったら、必ずパスワードを設定しなおしましょう。 OpenVPNクローンサーバー機能の有効化 OpenVpnEnable コマンドを使用して OpenVPNクローンサーバー機能を有効化しましょう。 $ sudo ./vpncmd localhost /server /cmd OpenVpnEnable vpncmd command - SoftEther VPN Command Line Management Utility SoftEther VPN Command Line Management Utility (vpncmd command) Version 4.34 Build 9745 (English) Compiled 2020/04/05 23:39:56 by buildsan at crosswin Copyright (c) SoftEther VPN Project. All Rights Reserved. Connection has been established with VPN Server "localhost" (port 443). You have administrator privileges for the entire VPN Server. VPN Server>OpenVpnEnable OpenVpnEnable command - Enable / Disable OpenVPN Clone Server Function Enables OpenVPN Clone Server Function (yes / no): yes UDP Ports to Listen for OpenVPN (Default: 1194 / Multiple Accepted): 1194 The command completed successfully. ここでは2回プロンプトが表示されています。 Enables OpenVPN Clone Server Function (yes / no): では OpenVPNクローンサーバー機能を使うかどうかを聞かれています。 yes を入力してください。 UDP Ports to Listen for OpenVPN (Default: 1194 / Multiple Accepted):では使用するポート番号を入力します。ルータに開けておいたのポート番号の 1194 を指定しています。 OpenVpnGet コマンドで設定を確認します。 $ sudo ./vpncmd localhost /server /cmd OpenVpnGet vpncmd command - SoftEther VPN Command Line Management Utility SoftEther VPN Command Line Management Utility (vpncmd command) Version 4.34 Build 9745 (English) Compiled 2020/04/05 23:39:56 by buildsan at crosswin Copyright (c) SoftEther VPN Project. All Rights Reserved. Connection has been established with VPN Server "localhost" (port 443). You have administrator privileges for the entire VPN Server. VPN Server>OpenVpnGet OpenVpnGet command - Get the Current Settings of OpenVPN Clone Server Function Item |Value ----------------------------+----- OpenVPN Clone Server Enabled|Yes UDP Port List |1194 The command completed successfully. よさそうですね。設定ファイルの作成次にVPNクライアントに読み込ませるための設定ファイルを生成します。 OpenVpnMakeConfig コマンドを実行しましょう。 $ sudo ./vpncmd localhost /server /cmd OpenVpnMakeConfig vpncmd command - SoftEther VPN Command Line Management Utility SoftEther VPN Command Line Management Utility (vpncmd command) Version 4.34 Build 9745 (English) Compiled 2020/04/05 23:39:56 by buildsan at crosswin Copyright (c) SoftEther VPN Project. All Rights Reserved. Connection has been established with VPN Server "localhost" (port 443). You have administrator privileges for the entire VPN Server. VPN Server>OpenVpnMakeConfig OpenVpnMakeConfig command - Generate a Sample Setting File for OpenVPN Client Output Filename of Setting Files (ZIP compressed file): vpnconfig The sample setting file was saved as "vpnconfig.zip". You can unzip this file to extract setting files. The command completed successfully. Output Filename of Setting Files (ZIP compressed file):プロンプトには出力ファイル名を指定します。ここでは vpnconfig と入力しています。すると vpnconfig.zip ファイルができているはずです。このzipファイルから xxxxx_openvpn_remote_access_l3.ovpn を取り出します。 xxxxxの部分にはサーバー名が入っています。このファイルの中に remote vpnXXXXXXXXX.v4.softether.net 1194 のような行があります。この行の v4 を v6 に書き換えて下のようにします。 remote vpnXXXXXXXXX.v6.softether.net 1194 編集が済んだらファイルをクライアントに送っておきます。 VPNクライアント(Android)の設定 VPNクライアントに設定をしますが、VPNのアカウントを作っておきます。作りかたは、 L2TP/IPsecサーバの構築 (3/3) 設定編にある UserCreate と UserPasswordSet コマンドの部分を参照してください。すでに何らかのアカウントが設定されていれば、それを使うこともできます。次にVPNクライアントになるAndroidにアプリをインストールします。 Google Playの OpenVPN Connect – Fast & Safe SSL VPN ClientからAndroid用のクライアントをダウンロードしました。アプリを立ち上げて、メニューから Import Profileで、先ほどの設定ファイルを読み込みます。 VPNアカウントのユーザー名とパスワードを設定すれば完了です。接続してみましょう。あとしまつ最後にVPNサーバーの Administrator のパスワードを設定します。 $ sudo ./vpncmd localhost /server /cmd ServerPasswordSet <> コマンドヒストリにパスワードなどが残っているので消去しておきましょう。 $ history -c $ history 1 history [おわり]
Read more
L2TP/IPsecサーバの構築 (3/3) 設定編

Mon 12 Oct 2020 12:20:01 PM JST By yuzurihara

SoftEther VPN のサーバーを導入してiPadやAndroidから接続できるようにします。 CLIだけで構築してみました。前回 vpnserver が起動したところからの続きです。まずはインストールした vpncmd の場所へ移動しておきましょう。その後いろいろな設定を行います。 $ cd /opt/vpnserver 仮想ハブ設定 SoftEther VPNには DEFAULT という名前の仮想ハブが最初から用意されています。この DEFAULT ハブとローカルブリッジ専用にしたネットワークカード(今回はens10)を接続します。 $ sudo ./vpncmd localhost /server /cmd bridgecreate default /device:ens10 コマンドが成功していれば最後の行に The command completed successfully. と表示されます。以下同じ。次は DEFAULT ハブのユーザーを作ります。 $ sudo ./vpncmd localhost /server /hub:default /cmd usercreate <> /group:none /realname:none /note:none <>部分にはユーザー名を記述します。次に <> のパスワードを設定します。 $ sudo ./vpncmd localhost /server /hub:default /cmd userpasswordset <> /password:<> コマンド内の <> 部分は実際のパスワードを記述します。ここで作成したユーザーとパスワードはVPNに接続する際に使用します。 L2TP/IPsecの有効化 SoftEther VPNのL2TP/IPsecを有効化します。コマンド内の <> は IPSecの事前共有キー(iOSでは"シークレット"と呼ぶようです)になります。 $ sudo ./vpncmd localhost /server /cmd ipsecenable /l2tp:yes /l2tpraw:no /etherip:no /psk:<> /defaulthub:default 接続テストここまででL2TP/IPsecが有効になっているはずです。 SoftEther VPNにはダイナミック DNS機能があり、初期状態で有効になっているようです。割り当てられているホスト名を DynamicDnsGetStatus コマンドで確認してみましょう。 $ sudo ./vpncmd localhost /server /cmd dynamicdnsgetstatus vpncmd command - SoftEther VPN Command Line Management Utility SoftEther VPN Command Line Management Utility (vpncmd command) Version 4.34 Build 9745 (English) Compiled 2020/04/05 23:39:56 by buildsan at crosswin Copyright (c) SoftEther VPN Project. All Rights Reserved. Connection has been established with VPN Server "localhost" (port 443). You have administrator privileges for the entire VPN Server. VPN Server>DynamicDnsGetStatus DynamicDnsGetStatus command - Show the Current Status of Dynamic DNS Function Item |Value ----------------------------------------+------------------------------------- Assigned Dynamic DNS Hostname (Full) |vpn=========.softether.net Assigned Dynamic DNS Hostname (Hostname)|vpn========= DNS Suffix |.softether.net Global IPv4 Address |***.***.***.*** Global IPv6 Address |****:****:****:****:****:****:****:**** The command completed successfully. ホスト名がAssigned Dynamic DNS Hostname (Full)に表示されています。このホスト名とユーザー名とパスワードおよび事前共有キーを、クライアントとなるデバイスに設定して接続してみます。ログファイルが /opt/vpnserver/server_log/ に1日ごとに作られます。問題がある場合は確認してみましょう。 DNSが返すレコードのTTLは60秒ぽいですね。パスワードの設定最後にVPNサーバーの Administrator のパスワードを設定します。 $ sudo ./vpncmd localhost /server /cmd serverpasswordset <> これ以降 vpncmd を実行にするたびにパスワードの入力が求められます。最後にコマンドヒストリにパスワードなどが残っているので消去しておきましょう。 $ history -c $ history 1 history 使用したメモリとディスク今回は次のようになりました。ディスク使用量(抜粋): $ df -h Filesystem Size Used Avail Use% Mounted on /dev/mapper/ubuntu--vg-ubuntu--lv 20G 4.4G 15G 24% / /dev/vda2 976M 103M 806M 12% /boot メモリ使用量: $ free -h total used free shared buff/cache available Mem: 980Mi 166Mi 107Mi 0.0Ki 706Mi 664Mi Swap: 1.9Gi 0.0Ki 1.9Gi [おわり]
Read more
L2TP/IPsecサーバの構築 (2/3) ビルド編

Mon 12 Oct 2020 12:10:00 PM JST By yuzurihara

SoftEther VPN のサーバーを導入してiPadやAndroidから接続できるようにします。 CLIだけで構築してみました。前回からの続きです。 SoftEther VPNのインストール公式のダウンロードページから必要なものをダウンロードします。今回の目的と環境に適合するのは... ダウンロードするソフトウェア: SoftEther VPN(Freeware) コンポーネント: SoftEther VPN Server プラットフォーム: Linux CPU: Intel x64 / AMD64 (64bit) ダウンロード可能なファイルがたくさん表示されますが、最新のRTM版を使用することにします。今回は SoftEther VPN Server (Ver 4.34, Build 9745, rtm)でした。適当なディレクトリにダウンロードした後、ファイルを展開します。 $ zcat softether-vpnserver-v4.34-9745-rtm-2020.04.05-linux-x64-64bit.tar.gz | tar xf - ファイルは vpnserver ディレクトリに展開されるので、その中に入ってビルドします。 $ cd vpnserver/ $ make make するとビルドが始まりますが最初に次の3つの質問がされます。 License Agreementを読みますか？ License Agreementを読んで理解しましたか？ License Agreementに同意しますか？ライセンスに同意すればビルドが続行されます。ビルドのログ: make[1]: Entering directory '/home/yuzu/vpnserver' Preparing SoftEther VPN Server... ranlib lib/libcharset.a ranlib lib/libcrypto.a ranlib lib/libedit.a ranlib lib/libiconv.a ranlib lib/libintelaes.a ranlib lib/libncurses.a ranlib lib/libssl.a ranlib lib/libz.a ranlib code/vpnserver.a gcc code/vpnserver.a -fPIE -O2 -fsigned-char -pthread -m64 -lm -lrt -lpthread -L./ lib/libssl.a lib/libcrypto.a lib/libiconv.a lib/libcharset.a lib/libedit.a lib/libncurses.a lib/libz.a lib/libintelaes.a -ldl -o vpnserver ranlib code/vpncmd.a gcc code/vpncmd.a -fPIE -O2 -fsigned-char -pthread -m64 -lm -lrt -lpthread -L./ lib/libssl.a lib/libcrypto.a lib/libiconv.a lib/libcharset.a lib/libedit.a lib/libncurses.a lib/libz.a lib/libintelaes.a -ldl -o vpncmd ./vpncmd /tool /cmd:Check vpncmd command - SoftEther VPN Command Line Management Utility SoftEther VPN Command Line Management Utility (vpncmd command) Version 4.34 Build 9745 (English) Compiled 2020/04/05 23:39:56 by buildsan at crosswin Copyright (c) SoftEther VPN Project. All Rights Reserved. VPN Tools has been launched. By inputting HELP, you can view a list of the commands that can be used. VPN Tools>Check Check command - Check whether SoftEther VPN Operation is Possible --------------------------------------------------- SoftEther VPN Operation Environment Check Tool Copyright (c) SoftEther VPN Project. All Rights Reserved. If this operation environment check tool is run on a system and that system passes, it is most likely that SoftEther VPN software can operate on that system. This check may take a while. Please wait... Checking 'Kernel System'... Pass Checking 'Memory Operation System'... Pass Checking 'ANSI / Unicode string processing system'... Pass Checking 'File system'... Pass Checking 'Thread processing system'... Pass Checking 'Network system'... Pass All checks passed. It is most likely that SoftEther VPN Server / Bridge can operate normally on this system. The command completed successfully. -------------------------------------------------------------------- The preparation of SoftEther VPN Server is completed ! *** How to switch the display language of the SoftEther VPN Server Service *** SoftEther VPN Server supports the following languages: - Japanese - English - Simplified Chinese You can choose your prefered language of SoftEther VPN Server at any time. To switch the current language, open and edit the 'lang.config' file. Note: the administrative password is not set on the VPN Server. Please set your own administrative password as soon as possible by vpncmd or the GUI manager. *** How to start the SoftEther VPN Server Service *** Please execute './vpnserver start' to run the SoftEther VPN Server Background Service. And please execute './vpncmd' to run the SoftEther VPN Command-Line Utility to configure SoftEther VPN Server. Of course, you can use the VPN Server Manager GUI Application for Windows / Mac OS X on the other Windows / Mac OS X computers in order to configure the SoftEther VPN Server remotely. *** For Windows users *** You can download the SoftEther VPN Server Manager for Windows from the http://www.softether-download.com/ web site. This manager application helps you to completely and easily manage the VPN server services running in remote hosts. *** For Mac OS X users *** In April 2016 we released the SoftEther VPN Server Manager for Mac OS X. You can download it from the http://www.softether-download.com/ web site. VPN Server Manager for Mac OS X works perfectly as same as the traditional Windows versions. It helps you to completely and easily manage the VPN server services running in remote hosts. *** PacketiX VPN Server HTML5 Web Administration Console (NEW) *** This VPN Server / Bridge has the built-in HTML5 Web Administration Console. After you start the server daemon, you can open the HTML5 Web Administration Console is available at https://127.0.0.1:5555/ or https://ip_address_of_the_vpn_server:5555/ This HTML5 page is obviously under construction, and your HTML5 development contribution is very appreciated. -------------------------------------------------------------------- make[1]: Leaving directory '/home/yuzu/vpnserver' ビルドが完了したらインストール先へのコピーとパーミッションの設定をしましょう。今回は /opt/vpnserver/ にインストールします。 $ cd .. $ sudo mv vpnserver/ /opt $ cd /opt $ sudo chown -R root /opt/vpnserver/ $ sudo chmod 600 /opt/vpnserver/* $ sudo chmod 700 /opt/vpnserver/vpncmd $ sudo chmod 700 /opt/vpnserver/vpnserver 参考: Linux へのインストールと初期設定 - SoftEther VPN プロジェクト SoftEther VPNの自動起動設定 SoftEther VPNの公式サイトには init の起動スクリプトがありますが、Ubuntu 20.04 LTS には systemd スクリプトが必要です。先人が貴重な情報をシェアしてくださっているので、ありがたく使わせてもらいましょう。 SoftEther VPN Serverをsystemd対応にする - Qiitaを参考にしました。今回の環境用に編集した結果 /etc/systemd/system/softether-vpn.service はこうなりました。 [Unit] Description=Softether VPN Server Service After=network.target [Service] Type=forking User=root ExecStart=/opt/vpnserver/vpnserver start ExecStop=/opt/vpnserver/vpnserver stop Restart=on-abort WorkingDirectory=/opt/vpnserver/ ExecStartPre=/sbin/ip link set dev ens10 promisc on [Install] WantedBy=multi-user.target 変更点: インストール先を /opt/vpnserver に変更ローカルブリッジ用インターフェイス名を ens10 に変更それでは vpnserver を設定するために起動しておきましょう。 $ sudo systemctl start softether-vpn $ sudo systemctl status softether-vpn ● softether-vpn.service - Softether VPN Server Service Loaded: loaded (/etc/systemd/system/softether-vpn.service; disabled; vendor preset: enabled) Active: active (running) since Sun 2020-10-10 10:10:10 UTC; 10s ago Process: 2175 ExecStartPre=/sbin/ip link set dev ens10 promisc on (code=exited, status=0/SUCCESS) Process: 2186 ExecStart=/opt/vpnserver/vpnserver start (code=exited, status=0/SUCCESS) Main PID: 2191 (vpnserver) Tasks: 33 (limit: 629145) Memory: 16.2M CGroup: /system.slice/softether-vpn.service ├─2191 /opt/vpnserver/vpnserver execsvc └─2192 /opt/vpnserver/vpnserver execsvc (以下略) active (running)とあるので正常に起動できているようです。 ens10 がプロミスキャスモードになっていることも確認しておきましょう。 $ ip link show ens10 3: ens10: mtu 1500 qdisc fq_codel state UP mode DEFAULT group default qlen 1000 link/ether 52:54:00:f2:7e:d7 brd ff:ff:ff:ff:ff:ff 応答内容に PROMISC があるので大丈夫なようです。 [つづく] →SoftEtherでL2TP IPSecのVPNサーバを構築その3
Read more
L2TP/IPsecサーバの構築 (1/3) 環境編

Mon 12 Oct 2020 12:00:00 PM JST By yuzurihara

SoftEther VPN のサーバーを導入してiPadやAndroidから接続できるようにします。 CLIだけで構築してみました。環境 Ubuntu server上に構築します。 $ uname -a Linux vpnsvr 5.4.0-48-generic #52-Ubuntu SMP Thu Sep 10 10:58:49 UTC 2020 x86_64 x86_64 x86_64 GNU/Linux $ lsb_release -a No LSB modules are available. Distributor ID: Ubuntu Description: Ubuntu 20.04.1 LTS Release: 20.04 Codename: focal ネットワークカードは2つ使います。 $ ip link 1: lo: mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 2: ens3: mtu 1500 qdisc fq_codel state UP mode DEFAULT group default qlen 1000 link/ether 52:54:00:5a:89:88 brd ff:ff:ff:ff:ff:ff 3: ens10: mtu 1500 qdisc fq_codel state UP mode DEFAULT group default qlen 1000 link/ether 52:54:00:f2:7e:d7 brd ff:ff:ff:ff:ff:ff ens3 と ens10 として見えていますね。今回は ens10 の方をローカルブリッジ専用にします。 MACアドレスで分かるかもしれませんがQEMU/KVM上のマシンです。インストールしているパッケージは build-essential のみ。次のコマンドでインストールしました。 $ sudo apt install build-essential ネットワークの設定ローカルブリッジ専用となるネットワークインターフェイスには"プロトコルスタックを使用しない"(公式サイトの3.6 ローカルブリッジを参照)だそうです。なのでそのように設定します。Ubuntu 20.04 LTS では netplan でネットワークの設定をしています。 ens10 がIPアドレスを持たないように設定します。 /etc/netplan/00-installer-config.yaml の中身: # This is the network config written by 'subiquity' network: ethernets: ens10: dhcp4: false dhcp6: false accept-ra: false link-local: [ ] ens3: addresses: - 172.20.1.160/12 dhcp6: true gateway4: 172.20.250.250 nameservers: addresses: - 9.9.9.9 - 8.8.8.8 version: 2 ens3 の部分は運用するネットワークに合わせて設定します。L2TP/IPSecは500番と4500番のUDPポートを使用します。NATやファイアウォールを設定して ens3 にパケットが届くようにしておきます。できたら netplan apply で設定を反映させます。 $ sudo netplan apply $ ip addr show dev ens10 3: ens10: mtu 1500 qdisc fq_codel state UP group default qlen 1000 link/ether 52:54:00:f2:7e:d7 brd ff:ff:ff:ff:ff:ff ens10 にはIPアドレスが振られなくなりました。 [つづく] →SoftEtherでL2TP IPSecのVPNサーバを構築その2
Read more

« Page 2 / 10 »