--- slug: "openssl-vpn-all-member-in-segment" title: "OpenVPN で拠点間VPNをする" description: "Ubuntu サーバに OpenVPN をインストールし、拠点間 VPN を構築した時のメモ。" url: "https://www.ytyng.com/blog/openssl-vpn-all-member-in-segment" publish_date: "2018-06-29T12:58:14Z" created: "2018-06-29T12:58:14Z" updated: "2026-02-27T03:58:16.802Z" categories: [] keywords: "" featured_image_url: "https://media.ytyng.com/resize/20230812/caefd858ad8f4df39af309fd89cfe028.png.webp?width=768" has_video: false has_music: false video_urls: [] music_urls: [] lang: "ja" --- # OpenVPN で拠点間VPNをする

サーバー

OpenVPN + Bridge

今回は、TCPで。

Ubuntu16.04LTSにOpenVPNを導入する
https://gtrt7.com/blog/linux/ubuntu-openvpn

ここが非常に参考になった。この記事の通りに行えば問題ない。

server.conf はこのようになった。

port 1194

proto tcp-server
tcp-nodelay

dev tap0

ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
tls-auth ta.key 0

ifconfig-pool-persist /var/log/openvpn/ipp.txt

server-bridge 192.168.1.50 255.255.255.0 192.168.1.20 192.168.1.49

push "route 192.168.1.0 255.255.255.0"

push "redirect-gateway def1 bypass-dhcp"

client-to-client

keepalive 10 120

cipher AES-256-CBC
auth SHA512

compress lz4-v2
push "compress lz4-v2"

user nobody
group nogroup

persist-key
persist-tun

status /var/log/openvpn/openvpn-status.log

log         /var/log/openvpn/openvpn.log
log-append  /var/log/openvpn/openvpn.log

verb 3

;mute 20

起動

sudo systemcctl start openvpn@server

このサーバで、ネットワークをブリッジ化することで、同一セグメント内と通信できる。

OpenVPN 2.0 Ethernet Bridging Japanese Translation
https://www.gsais.kyoto-u.ac.jp/staff/liang/oss/ovpn2_ether_ja.html

こちらの情報を参考に、スクリプトを作成 (そのまま)

#!/bin/bash

###########################################
# Linux上でイーサネットブリッジを起動させる
# 依存性: bridge-utils
###########################################

# ブリッジインタフェース
br="br0"

# ブリッジしたいTAPインタフェースのリスト
# 例えば tap="tap0 tap1 tap2"
tap="tap0"

# 上記のTAPインタフェースとブリッジしたい物理イーサネットインタフェース
eth="enp2s0"
eth_ip="192.168.1.50"
eth_netmask="255.255.255.0"
eth_broadcast="192.168.1.255"
gw="192.168.1.1"


for t in $tap; do
    openvpn --mktun --dev $t
done

brctl addbr $br
brctl addif $br $eth

for t in $tap; do
    brctl addif $br $t
done

sleep 1

for t in $tap; do
    ifconfig $t 0.0.0.0 promisc up
done

sleep 1

ifconfig $eth 0.0.0.0 promisc up

ifconfig $br $eth_ip netmask $eth_netmask broadcast $eth_broadcast

route add default gw $gw

サーバ側ができたら、Mac のクライアントをインストールして動作を確認してみる

Tunnelblick | Free open source OpenVPN VPN client server software for Mac OS X and macOS
https://tunnelblick.net/

クライアントルーター

クライアント側のセグメントの全員がアクセスできるよう、クライアントをNATでルーター化する。

クライアントの設定ファイル

/etc/openvpn/client.conf として保存

client

dev tap0
proto tcp

remote openvpn.example.com 1194

resolv-retry infinite
nobind

persist-key
persist-tun

ca ca.crt
cert my-client.crt
key my-client.key
tls-auth ta.key 1
cipher AES-256-CBC
auth SHA512

compress lz4-v2

verb 3

起動

sudo systemcctl start openvpn@server

起動できたら、起動しているマシンで疎通確認する。

その後、iptables でルーター化

Ubuntu 16.04 でルータつくる - Qiita
https://qiita.com/nanbuwks/items/fe8145fc8b989be9d427

この記事が参考になった。

net.ipv4.ip_forward=1

してから

sudo iptables -t nat -F
sudo iptables -F
sudo iptables -L

sudo iptables -t nat -A POSTROUTING -o tap0 -j MASQUERADE
sudo  iptables -A FORWARD -i tap0 -o enp0s1 -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo  iptables -A FORWARD -i enp0s1 -o tap0 -j ACCEPT

これで、OpenVPN サーバへのルータが完成。

あとは、クライアント拠点の静的ルーティングで

192.168.1.0/24 宛のパケットをすべて、ルータ機へルーティングする。

そうすると、拠点内の全員が設定なしでVPNを使うことができる。

1つのクライアントキーに対して1つのIPアドレスが付与されるので、

同じクライアントキーを複数の端末で使い回すことはできない。