Top / Network / VPN / Pritunl(OpenVPN Server)

PritunlはいわゆるOpenVPN ServerのWrapperみたいなもので、なかなかめんどくさかったOpenVPN サーバの構築をあっという間におこなえる便利なライブラリです。公式サイトを見ると、AWS上にいれてEC2への接続をセキュアにするなんて事も出来るようです。

https://pritunl.com/

top.png

サイトのSubscription Plansの欄をみると、フリープランやらEnterpriseプランなどあるっぽいですが、フリーのプランではOpenVPNのブリッジ接続はつかえないようで、OpenVPNサーバによるNAT接続( VPN接続はすべてOpenVPNサーバがNAT変換する) となるようです。ようするに

before.png

こんなネットワークに対して、

after.png

こんな感じのネットワークが構築され、192.168.0.50 のPritunl Serverが、クライアントの接続を中継する方式となります。*1

やってみる

今回は下記の Ubuntu Server にインストールします。

$ cat /etc/lsb-release
DISTRIB_ID=Ubuntu
DISTRIB_RELEASE=16.04
DISTRIB_CODENAME=xenial
DISTRIB_DESCRIPTION="Ubuntu 16.04.4 LTS"

環境などその他の前提事項は以下の通り。

VPNサーバ: 192.168.0.50
ルータのグローバルアドレス: 111.101.12.xxx
ルータ内のネットワーク: 192.168.0.0/24
Pritunlサーバが構築する仮想ネットワーク: 192.168.238.0/24  ← Pritunlサーバが勝手に決める(指定もできる)
Pritunlの管理WEB画面のSSLポート番号:443

とします。

OpenVPNサーバはルータのなかのLAN上に存在するので、 管理画面等を外から操作するにはPort Forwardingが必要です*2。 具体的には外のルータの設定として「ルータ外のポート443 → 192.168.0.50のポート443 にPort Forwardingする」を追加しておきます*3

管理画面でなくVPNサーバとして使用する観点でももちろんPort Forwardingが必要なのですが、まだポート番号が未定(設定時きまる)なので、後述します。

さて構築なのですが、公式が超ていねいなので、順次それを追いかけていこうと思います。

https://docs.pritunl.com/docs/installation

インストール

下記のshをつくって実行しなさいとあるのでその通りに。下記のshは 2018/07/08時点なので、適宜公式を確認してください。

$ cat  install.sh
#!/bin/bash
echo "deb http://repo.mongodb.org/apt/ubuntu xenial/mongodb-org/3.6 multiverse" \
> /etc/apt/sources.list.d/mongodb-org-3.6.list
echo "deb http://repo.pritunl.com/stable/apt xenial main" > /etc/apt/sources.list.d/pritunl.list
apt-key adv --keyserver hkp://keyserver.ubuntu.com --recv 2930ADAE8CAF5059EE73BB4B58712A2291FA4AD5
apt-key adv --keyserver hkp://keyserver.ubuntu.com --recv 7568D9BB55FF9E5287D586017AE645C0CF8E292A
apt-get --assume-yes update
apt-get --assume-yes upgrade
apt-get --assume-yes install pritunl mongodb-org
systemctl start pritunl mongod
systemctl enable pritunl mongod
$ chmod 755 install.sh
$ sudo ./install.sh

インストールは完了です。

$ sudo systemctl status mongod
$ sudo systemctl status pritunl

でサービスがrunningになってればOkです。

セットアップキーを取得

ブラウザで、 https://192.168.0.50/ にアクセスすると、データベースのセットアップ画面が表示されます。

01.png

Setup Keyというのが必要なのですが、画面に書いてあるとおり

$ sudo pritunl setup-key
xxxxxxxxxxxxxxxxxxxxx

と打つことでキーが取得できるので、その値を使用すればOKです。

DBセットアップが完了すると、ログイン画面が表示されます*4

02.png

初回は pritunl/pritunl でログインします。

ログインすると、初期セットアップ画面が表示されます。

03.png

UsernameとNew Password は適宜入力、Public Addressは、OpenVPNクライアントが接続するIPとなるので、今回の例だとルータの外の111.101.12.xxx を入力。ポート番号は、このサーバが起動しているSSLのポート番号(通常443)を指定します。

以上で基本的な初期セットアップは完了です。

環境設定

Pritunlのしくみですが、まず OpenVPNサーバ(Servers) を立てて、別途組織(Organizations )というものを作成し、そのなかにユーザ(Users)を作成します。そして、Server に Organization を関連付けることで、あるユーザがOpenVPNサーバを利用出来るようになります。

dashboard.png

組織とユーザを作成する

上部メニューの 「Users」をクリックし、「Add Organization」を選択。適当な名前(ここではtestOrg)を入れて「Add」を押します。

04.png

つづいてユーザの作成です。「Add User」を選択。Nameはとりあえず「user01」、Organizationはさきほどの「testOrg」を選択、Pinはパスワードなので任意の文字(数字のみ?っぽい)を入れておきます。

05.png

下記の通り表示されれば、ユーザの作成は完了です。

06.png

サーバを作成する

ようやくOpenVPNサーバを作成します。 上部メニューの 「Servers」をクリックし「Add Server」を選択します。 Nameは「test server」、OpenVPNが待ち受けるPortは自動選択されるっぽいですが、18680/udpを選択しました。

このUDPポートはOpenVPNとの通信に使用するので、ルータにPort Forwardingの設定が必要です。さきほどルータに443のPort Forwadingする説明をしましたが、この 18680/UDP も、Port Forwardingに設定しておきましょう。

Virtual Networkは OpenVPNサーバが適当に設定されます。ここでは 192.168.238.0/24 となっていました。

最後に「Add」を押せばOK。

07.png

下記のようになっていればOKです。

08.png

つづいてこのサーバがNATするネットワークを指定します。このOpenVPNサーバは、なかのネットワーク: 192.168.0.0/24にNATすればよいので、「Add Route」をクリックし、Networkに 192.168.0.0/24 を記述し「Attach」を押下すればOKです。

09.png

下記の通りRouteが設定されました。

10.png

ServerとOrganizationを関連付け

さいごに ServerとOrganization を Attach します。右上の「Attach Organization」を選択し、organizationとserverをそれぞれえらんで Attachを押せばOK。

11.png

右上の「Start Server」が押せるようになったので、押下してサーバを起動してください。

12.png

サーバの構築は以上です。

クライアント側の環境構築

OpenVPNの公式のクライアントでもよいんですが、ここでは http://client.pritunl.com/ よりPritunl Clientを使用します。OSにあったインストーラを使用してインストールしてください。

プロファイルの取得

さきほどのユーザ画面よりユーザのプロファイルを取得します。右上の Users をクリックし、画面の 下矢印アイコンをクリックして、プロファイル( testOrg_user01_testserver.ovpn をアーカイブしたtarファイル)をダウンロードします。

user01.png

このファイルは、さきほどインストールしたアプリに ドラッグ & ドロップするか「Import Profile」などで取り込んでください。

最後に、GUIからConnectを選択し、さきほど設定したPIN番号を入力すればOK.

13.png

接続できたら、

ping 192.168.0.50
ping 192.168.0.12 ← 初めの図のWEBサーバです 

などに疎通ができればOKです。

おつかれさまでした。

関連リンク


この記事は

選択肢 投票
おもしろかった 1  
そうでもない 0  

Top / Network / VPN / Pritunl(OpenVPN Server)

現在のアクセス:101


*1 通信的には微妙に異なるけどまあ概念的にあってればよしとしますか
*2 もちろん管理画面はLAN内でのみとするなら不要です。
*3 すでにWEBサーバとしてなど別用途で使ってたら、外のポートはあいてるポートを適宜使用してください
*4 なんかときどき出ないこともありますが、リロードすればOKぽい

添付ファイル: filedashboard.png 28件 [詳細] fileuser01.png 25件 [詳細] file13.png 24件 [詳細] file12.png 24件 [詳細] file11.png 27件 [詳細] file10.png 26件 [詳細] file09.png 27件 [詳細] file08.png 26件 [詳細] file07.png 27件 [詳細] file06.png 28件 [詳細] file05.png 25件 [詳細] file04.png 25件 [詳細] file03.png 29件 [詳細] file02.png 26件 [詳細] file01.png 26件 [詳細] fileafter.png 23件 [詳細] filebefore.png 26件 [詳細] filetop.png 25件 [詳細]

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2018-08-24 (金) 15:03:54 (27d)