OpenVPN

**名無しさん＠お腹いっぱい。** · 2006/01/02(月) 09:22:15

**名無しさん＠お腹いっぱい。** · 2009/11/05(木) 01:06:19

WinXPでブリッジモードで鯖立ち上げたけど、
TAP上の表示は「ネットワークが接続されていない」
になっているのですが、設定の間違いでしょうか？
仮想アダプタはブリッジ接続してます。

**名無しさん＠お腹いっぱい。** · 2009/11/08(日) 17:18:48

OpenVPNってRC4使えないの？
pfsense On Alixで使いたいんだけど、AESだと10Mbps強しか出ないみたい
だから、出来ればRC4を使いたいんです。

**名無しさん＠お腹いっぱい。** · 2009/11/19(木) 16:54:19

これを見てbridge接続してるんだけど、
http://freescitech.net/2/wiki/index.php?OpenVPN%202%20Ethernet%20Bridging%20%E6%97%A5%E6%9C%AC%E8%AA%9E%E8%A8%B3

1. bridge-start を実行
2. openvpn を実行

ってなっているが、chkconfigでopenvpnをonにして、
再起動したら、自動的に立ち上がってほしいのだが、
なにかいい方法はありませんか？

**名無しさん＠お腹いっぱい。** · 2009/11/19(木) 23:05:00

>>481
openvpn-startup使ってできないかな？
/etc/openvpn/openvpn-startupってシェルスクリプトがあると、起動時に呼び出してくれたと思う。

OpenVPNの起動スクリプトの中を見てみて。

**481** · 2009/11/20(金) 16:35:42

centosの/etc/rc.d/init.d/openvpn
を見たらxx.confと同じ名前のxx.shがあると
openvpnの前に実行してくれる見たい。
debianにはそんな表記はなかったけど。。。

**名無しさん＠お腹いっぱい。** · 2009/11/20(金) 20:42:08

>>481
Debianなら/etc/network/interfacesが

iface br0 inet static
固定IPの設定は省略

pre-up /usr/sbin/openvpn --mktun --dev tap0
pre-up /sbin/ifconfig eth0 0.0.0.0 promisc mtu 1448 up
pre-up /sbin/ifconfig tap0 0.0.0.0 promisc mtu 1448 up

pre-up /usr/sbin/brctl addbr br0
pre-up /usr/sbin/brctl addif br0 eth
pre-up /usr/sbin/brctl addif br0 tap0

な感じでできてる

**名無しさん＠お腹いっぱい。** · 2009/12/03(木) 13:36:44

CentOSでOpenVPNサーバーを構築しました。
bridge(tap0)でうまく接続できておりますが、腑に落ちない点があり、教えていただければと思います。

クライアント（Windows）より自宅外よりサーバーにアクセスし、ipconfigをたたいたときに(VPNサーバーより割り当てられるIPアドレスは192.168.10.210)
1、DefaultGateWayが空欄になる
2、DHCPサーバーが192.168.10.0になる（当然、そんなアドレスにはなにもない）。
3、確認くんでみると、グローバルIPアドレスが自宅のものではなく、出先のものとなる。

現状、問題ないと言えば問題ないのですが、、、
1～3について、参考サイトなりございましたら教えていただければと考えております。

[環境]
[ONU]
|
[ルーター]
| 192.168.0.X
[FireWall]
| 192.168.10.Y
[VPNサーバー] 192.168.10.200　（固定IPアドレス）
(server-bridge 192.168.10.200 255.255.255.0 192.168.10.210 192.168.10.220)

**名無しさん＠お腹いっぱい。** · 2009/12/03(木) 21:27:25

>>485

1、3、redirect-gateway　ttp://freescitech.net/2/ovpn2_howto_ja.html#redirect
2、知らん、自分DHCPサーバのアドレスも無い値になる

**名無しさん＠お腹いっぱい。** · 2009/12/04(金) 08:08:53

>>486
レスありがとうございます。

その後、自分でも調べてみたらredirect-gatewayをデフォルトで行わないのは、
VPN以外のネットへの接続が遅くなるからであるとのこと、、、ありがとうございます。

2については、DHCPアドレスがVPNサーバーのアドレスにならないのはわかりませんでした。
間違っているかもしれませんが、クライアントから見て、VPNサーバーが192.168.0.0以外の値を持つと、2つアドレスを持つことになり、ダミーとして上記のような値を通知してきているのかもしれません、、、、

いろいろ勉強になりました。

**名無しさん＠お腹いっぱい。** · 2010/01/06(水) 17:56:30

というかついに2.1.1出たな、鯖更新してみた

**名無しさん＠お腹いっぱい。** · 2010/01/11(月) 18:00:30

CentOS 5上でopenvpn導入を行いました．
% service openvpn stop
したときに，下記のようなエラーがログファイルに出ます．
------------------
Mon Jan 11 13:12:17 2010 /sbin/ip route del 10.8.0.0/24
RTNETLINK answers: Operation not permitted
Mon Jan 11 13:12:17 2010 ERROR: Linux route delete command failed: shell command exited with error status: 2
-------------------
上記のようなエラーが出ていますが，routeコマンドでルーティングテーブルを確認すると10.8.0.0/24のルーティングは消去されています．

/etc/openvpn/server.conf内のuser nobodyとgroup nobodyをコメントアウトすると，上記のようなエラーは出なくなるのですが，
user nobody, group nobodyをコメントアウトする以外に上記のエラーが出なくなるようにする方法はあるのでしょうか？

**名無しさん＠お腹いっぱい。** · 2010/01/26(火) 12:52:32

VMware storeからOpenVPNアプライアンス（Cent5.3でOpenVPNくみ上げたGuestOS）落としてきてVPN作ろうとしてます。

クライアントとして使おうと思っているeeePC(windowsXP home)にOpenVPN GUIいれてみたが、
http://www.openvpn.jp/images/stories/10.jpg
の「プロキシ設定」「OpenVPN GUIについて」「終了」しか表示されないんだが、これなんてイジメ？

一応本家　http://openvpn.se/　のstable落としていれなおしてもだめ。これなんぞ？

それとVista Businessで管理者権限でやってみてもだめだった。
斜め読みだがマニュアルみたけど、OpenVPN GUIってインストールするだけじゃないん？

**名無しさん＠お腹いっぱい。** · 2010/01/26(火) 13:01:01

↑質問とりけし　やっちまった。

.ovpnの拡張子でTYPOしてたわ
2時間悩んだ俺ｱﾌｫすぎる

盛大に吊ってくるλ...

**名無しさん＠お腹いっぱい。** · 2010/01/29(金) 09:12:50

クライアントからは172.31.34.10へアクセスできるけど、
172.31.34.1や172.31.34.100へのpingすらできない。もうお手上げ。。。

bridge-startもsample-scriptsのを以下のように書き換えた。
eth="eth0"
eth_ip="172.31.34.10"
eth_netmask="255.255.255.0"
eth_broadcast="172.31.34.255"
---------------------------------
port 1194
proto udp
dev tap0
ca ca.crt
cert server.crt
dh dh1024.pem
server-bridge 172.31.34.10 255.255.255.0 172.31.34.12 172.31.34.15
ifconfig-pool-persist ipp.txt
push "route-gateyway 172.31.34.100"
client-to-client
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
log-append openvpn.log
verb 3
crl-verify crl.pem

**名無しさん＠お腹いっぱい。** · 2010/01/30(土) 11:28:59

接続後のクライアントの route はどうなってる？

**492** · 2010/02/01(月) 08:58:14

自分のIPは172.25.1.201です。
vpnからは172.31.34.12が割り当てられています。
FWは無効にしているのですが。。。

% route print
ネットワーク宛先ネットマスクゲートウェイインターフェスメトリック
172.25.0.0 255.255.0.0 リンク上 172.25.1.201 266
172.25.1.201 255.255.255.255 リンク上 172.25.1.201 266
172.25.255.255 255.255.255.255 リンク上 172.25.1.201 266
172.31.34.0 255.255.255.0 リンク上 172.31.34.12 286
172.31.34.12 255.255.255.255 リンク上 172.31.34.12 286
172.31.34.255 255.255.255.255 リンク上 172.31.34.12 286

**名無しさん＠お腹いっぱい。** · 2010/02/01(月) 11:48:23

なんか大丈夫そうだね。
サーバ側(172.31.34.10)からクライアント側に ping は飛ぶ？
もしくは172.31.34.1 から 172.31.34.12 宛に traceroute してみるとか。

**名無しさん＠お腹いっぱい。** · 2010/02/01(月) 21:04:16

こんな感じでつなげてるけどな
port 1194
proto udp
dev tap2
ca keys/ca.crt
cert keys/server.crt
dh keys/dh1024.pem
server-bridge 192.168.0.100 255.255.255.0 192.168.0.105 192.168.0.110
ifconfig-pool-persist ips/1194.txt

client-to-client
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun

log-append /var/log/openvpn/1194.log
verb 3
crl-verify keys/crl.pem

key keys/server.key
tls-auth keys/ta.key
cipher BF-CBC
log /var/log/openvpn/1194.log

とりあえず、push "route-gateyway 172.31.34.100" はずして、redirect-gatewayは無くしてみたら？

**492** · 2010/02/15(月) 13:16:56

>>495 >>496
ありがとうございます。
ついに繋がりました。
原因はiptablesでした。br0のforwardを許可していませんでした!

**名無しさん＠お腹いっぱい。** · 2010/02/15(月) 13:50:31

　　　　　　　　∧∧
　　　　　　ヽ(･ω･)/　　ｽﾞｺｰ
　　　　　＼(.＼ノ
　　　　､ﾊ,,､　￣
　　　　￣

まあ、つながってよかったね。

**496** · 2010/02/16(火) 01:26:59

ついでなので、皆さんに聞いてみたいのですが496.の設定でWindowsクライアントから
FTPでVPNサーバにアクセスすると、途中で転送が止まってしまうんですが心当たりってあります？

一瞬だけ20Mbpsぐらいでて、それ以後そのFTPセッションだけ通信ができない状況です。
サーバ側のログを見ると、Rwwwwみたいな感じでパケットを送り続けている？状態です。

**名無しさん＠お腹いっぱい。** · 2010/03/05(金) 15:33:50

howtoの http://freescitech.net/2/ovpn2_howto_ja.html#dynamic に

OpenVPNサーバーにDynamicDNSでアクセス出来るようにする場合は
ddclientがパブリックIPアドレスの変化を知ったときに，DDNSのIPアドレスの更新＆
OpenVPNサーバーデーモンの再起動

って書いてあるんだけど，これはどういう理由？

OpenVPNサーバーって自身のパブリックIPアドレスを記憶してるの？

**名無しさん＠お腹いっぱい。** · 2010/03/18(木) 10:38:44

テストをしていて一つ疑問に思ったんだけど、

サーバが172.25.1.31で
server-bridge 172.25.1.31 255.255.255.0 172.25.1.34 172.25.1.35

クライアントが172.25.1.174
でvpnからもらったアドレスが172.25.1.34

vpnの意味がまったくなくてテストをしてるだけなんだけど、
172.25.1.31から172.25.1.34にpingできないのは正常?

**名無しさん＠お腹いっぱい。** · 2010/03/18(木) 11:44:21

ブリッジしたいんだと思うんだけど，なんでクライアントのIPアドレスが2つになってるんだろう？

もしクライアントが本当にVPNにつながってて，172.25.1.0/24のアドレスをもってるならping
が通らないとおかしい

**名無しさん＠お腹いっぱい。** · 2010/03/22(月) 10:42:23

LAN内でまともにテストしたいならやはりvpn鯖以外の物理NICの通信を遮断するのは必須かと
めんどうなら2回線用意していきなりインターネット越しにつないでしまったほうが良い

**名無しさん＠お腹いっぱい。** · 2010/09/26(日) 09:27:09

>>502
172.16.abc.defじゃなくて？

**名無しさん＠お腹いっぱい。** · 2010/10/17(日) 02:21:16

さくらVPSでOpenVPNを使いたいのですが、centossrv.comを参照して、
クライアント－サーバ間は接続できました。が、クライアントから
VPNサーバ経由でインターネットに接続ができません。
centossrv.comの内容はVPNネットワーク内の話なので、VPNサーバ経由で
外界に出るところの説明がありません。
VPNサーバ上で、VPNネットワークからLANネットワークへのroutingが必要
だと思うのですが、これはどのように行えばよいでしょうか？

**505-2** · 2010/10/17(日) 02:22:22

さくらサーバ：59.100.100.100
さくらサーバ側gw: 59.100.100.1
VPS側サーバ：10.8.0.1
VPSクライアント：10.8.0.6

server.conf（抜粋）
dev tun
server 10.8.0.0
;push "route ..."の設定は無し
push "dhcp-option DNS 8.8.8.8"

client.ovpn
remote 59.100.100.100 1194

**505-3** · 2010/10/17(日) 02:25:33

サーバ側route -n
Destination Gateway Genmask Flags Metric Ref Use Iface
10.8.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
10.8.0.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0
59.100.100.0 0.0.0.0 255.255.254.0 U 0 0 0 eth0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0
0.0.0.0 59.100.100.1 0.0.0.0 UG 0 0 0 eth0

クライアント側ipconfig
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : TAP-Win32 Adapter V9
Dhcp Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IP Address. . . . . . . . . . . . : 10.8.0.6
Subnet Mask . . . . . . . . . . . : 255.255.255.252
Default Gateway . . . . . . . . . : 10.8.0.5
DHCP Server . . . . . . . . . . . : 10.8.0.5
DNS Servers . . . . . . . . . . . : 8.8.8.8

**名無しさん＠お腹いっぱい。** · 2010/10/17(日) 09:06:43

>>505
natは？

**名無しさん＠お腹いっぱい。** · 2010/10/17(日) 11:51:06

「接続できません」じゃなくて、どうできないのか書こうぜ。VPNに経路が向かないのか、向いてるけど出て行けないのか。

で、push "redirect-gateway" は設定してる？使う場合は注意な。サーバ側configのコメントをよく嫁。

**名無しさん＠お腹いっぱい。** · 2010/10/22(金) 14:58:43

異なるLAN（例えば、192.168.1.0/24, 192.168.2.0/24, 192.168.3.0/24のような）から同じOpenVPNサーバを利用したい場合、server.confはどのようにしますか？
MULTI: Bad source address from client[192.168.0.xxx], packet dropped のエラーを回避するために
server.confに
client-config-dir ccd
route 192.168.1.0 255.255.255.0
route 192.168.2.0 255.255.255.0
route 192.168.3.0 255.255.255.0

を追加して、
ccdディレクトリのuserファイルに
iroute 192.168.1.0 255.255.255.0
iroute 192.168.2.0 255.255.255.0
iroute 192.168.3.0 255.255.255.0
と追加してみましたが、これは複数を指定するものではないようです。
logを見たところ、適切に割り当てられていません。

user-1 (user@192.168.1.0/24の意味）, user-2, user-3のようにアカウントを分けるのが適当でしょうか？

**名無しさん＠お腹いっぱい。** · 2010/10/23(土) 00:39:49

>>510
異なるネットワークから接続するために、ｓｅｒｖｅｒ.ｃｏｎｆを触る必要はないはず。
そうじゃなきゃ、事前に調査設定済みネットワーク以外からVPN張れないでしょ

同時に複数のクライアントを接続するならば、ユーザを分けないと無理じゃないかな

**名無しさん＠お腹いっぱい。** · 2010/10/23(土) 09:46:04

>>511
ありがとうございます。確かにその通りですが、実際にMULTIのエラーが出ます。アクセス元が限定されるのは構わないので、解決策はありませんでしょうか？

**名無しさん＠お腹いっぱい。** · 2010/10/23(土) 11:22:40

>>512
とにかく動けばOKならば、OpenVPNの鍵を分けて複数のポートで動作させるとか。
自分は同時にという目的ではないが、複数のポートで待ち受けさせてる。

多分、正しい解決方法は、同時アクセス数分ユーザを作るのだと思う
つttp://w3.doshisha.ac.jp/~kueda/index.php?OpenVPN
これとか見ると失効ユーザとかの処理がある

**名無しさん＠お腹いっぱい。** · 2010/10/23(土) 13:37:30

serverが2.09で、クライアントが2.13だと問題ありますか？
接続開始直後はいいのですが、間もなくvpnサーバへのpingが通らなくなります。
もしファイアウォールの問題なら最初から通らないはずだし。openvpnのlogにも何も問題は出ていません。

**514** · 2010/10/23(土) 13:40:57

vpnサーバのグローバルipへは通ります。
プライベートipへが通らなくなります。
全く通らないなら、まだ手が付けられるのですが。

**名無しさん＠お腹いっぱい。** · 2010/10/23(土) 13:53:51

>>515
それ vpn 通ってないだろ

**514** · 2010/10/23(土) 15:48:58

>>516
いや、接続直後の数分間はpingも通るし、下界にも出れます。また、通らなくなって暫くすると、また通ることもあります。が、また通らなくなりますが。

**514** · 2010/10/23(土) 15:53:49

あと1194ポートに何らかの操作が入っているかと思い、443に変えたところ、不正なパケット、のようなエラーが出ます。vpnによる通信ではなく、httpsに対する不正アクセスのパケットが干渉していると推測していますが、こういうことはありえますか？

**名無しさん＠お腹いっぱい。** · 2010/10/23(土) 19:21:58

UDP、光同士の対向でOpenVPNでVPN張ると黙っちゃうことは経験ある。
VPN張った後、FTPとかでデータ大量に流すと、pingも通らなくなる。
その場合TCPだと大丈夫だった。

**514** · 2010/10/23(土) 20:05:41

>>519
Reply window-backtrack occuredというエラーがクライアントログに出たときに、tcpに変更しています。
サーバ側を最新にしてみます。

**514** · 2010/10/23(土) 20:09:22

あとtcp-que-limit 128を追加しています。

**名無しさん＠お腹いっぱい。** · 2010/10/24(日) 00:52:04

# Set the appropriate level of log
# file verbosity.
#
# 0 is silent, except for fatal errors
# 4 is reasonable for general usage
# 5 and 6 can help to debug connection problems
# 9 is extremely verbose
verb 4

増やしてみるとか。

**名無しさん＠お腹いっぱい。** · 2010/10/24(日) 05:30:25

>>524
ありがとうございます。
やってみます。

**名無しさん＠お腹いっぱい。** · 2010/10/24(日) 05:31:14

しまった。>>522でした。

2011/08/04(木) 05:19:09.20

　　　, -∧,,∧-- 、
　　　/ (-ω-｀ )　/
　　 r-くっ⌒cソ、 /　ん、起きてるよ？　大丈夫起きてるよ。
　ノ '、 , 、 _, ' / /　　ちょっと横になるだけ。ちょっと目を瞑るだけ…
.（_,. 　　　　 ././　　　　
,(.,_ ｀'ー-、_,,..ノ/
　　~`''ー--‐'

**名無しさん＠お腹いっぱい。** · 2011/08/18(木) 00:41:37.19

「OpenVPNで構築する超簡単VPN入門」の通りにインストールしましたが
redirect-gateway を設定しようとしてハマり申した。
(openvpn-2.1.4.tar.gz → CentOS Linux 5.6)

インストールされてるwebminには「Linux ファイヤウォール」
という項目があるのでそこから何か設定をするのでしょうか？

**名無しさん＠お腹いっぱい。** · 2011/08/18(木) 17:55:16.10

せめて openvpn の config および NW 構成くらいは晒せ

> 「OpenVPNで構築する超簡単VPN入門」

そんな本見ている人はほとんどいないんだし
挙げ句に webmin でなにしているかなんてわからん

**名無しさん＠お腹いっぱい。** · 2011/12/05(月) 17:09:12.94

ほす

**名無しさん＠お腹いっぱい。** · 2011/12/11(日) 11:41:31.09

ccdで固定アドレス振ろうとして変だなーっと思ったんで
easy-rsaで./build-key clientして
client.crt見たら
Issuer:
Subject:
の2行にそれぞれCN=hogeとCN=geboが書いてあったんだけど
これって固定アドレス振るのに影響あるのかな～っと
クライアントとしてはSubjectのCNだけ見る筈なんだけど
むー良くわからない