SIP電話機向けOpenVPN設定ガイド。VPNの概要、UbuntuとWindowsでのサーバー構築、証明書生成、クライアント設定、電話機へのアップロード、VPN NATの使用方法を説明します。
仮想プライベートネットワーク VPN(virtual private network)は、公共ネットワーク上に構築される安全なネットワーク接続です。通常のネットワーク接続と異なり、専用のトンネルプロトコルを使用して、データの暗号化、完全性検査、ユーザー認証を実現します。これにより、送信中の情報が盗み見られたり、改ざんされたり、複製されたりすることを防ぎます。ネットワーク接続の安全性という観点では、公共ネットワーク上に専用線ネットワークを構築することに近いものです。ただし、この専用線は物理的なものではなく論理的なものなので、仮想プライベートネットワークと呼ばれます。VPNシステムは、VPNサーバー、VPNクライアント、トンネルで構成されます。Internetを利用した伝送は専用線を借りるよりも非常に低コストであるため、VPNにより企業はInternet経由で安全かつ経済的にプライベートな機密情報を伝送できます。
ここでは、OpenVPNを使用したVPN設定について説明します。OpenVPNはオープンソースのサードパーティ製仮想プライベートネットワーク設定ツールであり、既存設備を利用してVPNアプリケーションゲートウェイを構築できます。
OpenVPNはオープンソースのサードパーティ製仮想プライベートネットワーク設定ツールであり、既存設備を利用してVPNアプリケーションゲートウェイを構築できます。以下では、UbuntuとWindowsオペレーティングシステムでのサーバーの導入と設定をそれぞれ説明します。
2.1.1 OpenVPNサーバーのインストール
Ubuntuで以下のコマンドを入力します:
sudo apt-get -y install openvpn libssl-dev openssl
sudo apt-get -y install easy-rsa
2.1.2 証明書の作成
以下の手順でコマンドを実行し、OpenVPNが正常に動作するために必要な証明書初期化設定を生成します:
sudo mkdir /etc/openvpn/easy-rsa/
sudo cp -r /usr/share/easy-rsa/* /etc/openvpn/easy-rsa/
sudo su
sudo vi /etc/openvpn/easy-rsa/vars
----->必要に応じて証明書設定を以下のように変更できます:
export KEY_COUNTRY=”CN”
export KEY_PROVINCE=”BJ”
export KEY_CITY=”BeiJing”
export KEY_ORG=”fanvil”
export KEY_EMAIL=”fanvil@fanvil.com”
export KEY_OU=”fanvil”
export KEY_NAME=”server”
varsを実行: source vars
初回実行の場合はすべてクリア: ./clean-all
CA証明書を生成: ./build-ca
サーバー証明書を生成: ./build-key-server server
クライアント証明書を生成: ./build-key client
動的鍵ライブラリを生成: ./build-dh
サーバー環境を設定し、対応する証明書設定ファイルを指定ディレクトリに配置します:
cp keys/ca.crt /etc/openvpn/
cp keys/server.crt keys/server.key keys/dh2048.pem /etc/openvpn
mv /etc/openvpn/dh2048.pem /etc/openvpn/dh1024.pem
cp keys/client.key keys/client.crt /etc/openvpn/
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/
cd /etc/openvpn
gzip -d server.conf.gz
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/
サーバーを起動:
/etc/init.d/openvpn restart
2.3.1 OpenVPNサーバーのインストール
インターネットでWindows版OpenVPNソフトウェアを検索してダウンロードします。本構築ではOpenVPN GUIを使用します。ダウンロードしたソフトウェアをダブルクリックし、デフォルト設定でインストールします。easy-rsaコンポーネントのインストールにチェックを入れることに注意してください。デフォルトパスは C:\Program Files\OpenVPN です。
2.3.2 証明書の作成
操作を行う前に、まず初期化作業を行います:
自身の環境に合わせて C:\Program Files\OPENVPN\easy-rsa\vars.bat.sample の以下部分を変更してください:
set HOME=C:\Program Files\OPENVPN\easy-rsa
set KEY_COUNTRY=CN #(国)
set KEY_PROVINCE=BEIJING #(省・地域)
set KEY_CITY= BEIJING #(都市)
set KEY_ORG=WINLINE #(組織)
set KEY_EMAIL=admin@winline.com.cn #(メールアドレス)
上記の#で始まる部分はコメントです。ファイルに書き込まないでください。
管理者権限でcmdを開いてDOSに入り、以下のコマンドを実行して
openvpn\easy-rsa ディレクトリに入ります:
init-config
vars
clean-all
ルート証明書を生成: build-ca(デフォルト設定で生成する場合は最後までEnterを押します)
動的鍵ライブラリを生成: build-dh
サーバー証明書を生成: build-key-server server(デフォルト設定で生成する場合は最後までEnterを押します)
クライアント証明書を生成: build-key client(デフォルト設定で生成する場合は最後までEnterを押します)
2.3.3 サーバーの起動
生成された鍵はすべて OpenVPN\easy-rsa\keys ディレクトリに保存されます。
生成された証明書を OpenVPN\config ディレクトリにコピーします。
OpenVPN\sample-config 配下のサーバー設定ファイルを OpenVPN\config ディレクトリにコピーし、OpenVPNアプリケーションを起動します。
OpenVPNのインストールディレクトリで、notepad++を使用して server.ovpn または server.conf ファイルを開きます。サーバー側ファイルの例は以下のとおりです:
port 1194 # このポートはIANAがOpenVPN用に割り当てた指定ポートで、必要に応じて変更できます
proto udp # tcpも選択できます
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
server 10.8.0.0 255.255.255.0 # 仮想LANセグメント設定。必要に応じて変更してください
ifconfig-pool-persist ipp.txt
keepalive 10 120
client-to-client
comp-lzo
max-clients 100
persist-key
persist-tun
status openvpn-status.log
verb 3
より詳しい説明はOpenVPN Wikiを参照してください。
ここでのクライアントは、OpenVPNをサポートするデバイスを指します。電話機をOpenVPNサーバーに接続するには、証明書ファイルが必要です。
まず、クライアント設定ファイル client.ovpn または client.conf を編集します。クライアント設定ファイルの例は以下のとおりです:
client
dev tun
proto udp
remote 192.168.1.135 1194 # サーバードメイン/IPとポート
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key comp-lzo
verb 3
サーバー側設定に合わせて関連項目を変更できます。
次に、事前に作成したクライアントファイル ca.crt、client.crt、client.key をエクスポートし、電話機のアップグレード時に使用します。
電話機のWebページにログインし、順に ネットワーク->VPN をクリックします。OpenVPNファイル欄で client.ovpn、client.key、client.crt、ca.crt を一つずつアップロードします。アップロード完了後、OpenVPNファイル欄にはアップロードされた証明書ファイルのサイズが表示されます。以下のようになります:
VPN設定ページを開き、VPNモードで Open VPN を選択し、同時にVPNを有効にして、送信 ボタンをクリックします。サーバーに正常に接続されると、VPNページのVPNオンライン状態欄に取得したIPアドレスが表示されます。下図では、取得したIPは10.8.0.10です。
使用方法:
電話機にVPN証明書をインポートし、Enable VPN と Enable NAT を有効にします。PCを電話機のLANポートに接続します。このとき、PCのゲートウェイは電話機のIPに設定する必要があります。するとPCは電話機のVPNにアクセスできます。
PC ping10.8.0.10 はpingが通り、ping www.baidu.com もpingが通ります。10.8.0.10はVPNのIPアドレスです。
注:現在サポートしている機種は J3G/X3U/X3SG/J1P および X5S/X6/X7/X7C/X210/X210i です。電話機X3S/X4/X7は現在サポートしていません。
