Remote-Hand2VPN

最初に

Remote-Hand2VPNとは、VMware Playerと1CDLinuxをベースにGUIでOpenVPNの設定を手軽に行いVPN越しにRemote-Handを実現させる、VMware Applianceです。
OpenVPNの情報サイトは数多あるが、ドキュメントを読み進めないと簡単に構築できないのではないでしょうか。ややネットワークの知識がいるがWebUIでサーバ/クライアントの鍵の生成・廃止・ダウンロードなどが5分程度で設定出来るようにしました。
それとOpenVPNは会社から自宅PCなどへ簡単に接続が出来てしまう優れものである反面、セキュリティ上企業にとって大変危険です、これらをよく理解して正しい目的で使いましょう。
サーバPC(WindowsXP)とクライアントPCを用意、VMware Playerが事前にインストールされていて、満足に操作が出来ることを前提として、下記にリモートハンドの使用説明をします。

remote-hand2vpn_kousei.png

サーバの用意(WindowsXP)

  1. URLから別途、PepoLinux-0.34.iso より大きいバージョンのISOファイルをダウンロードします。 http://sourceforge.jp/projects/pepolinux/releases/?package_id=3225
  2. 展開した remote-hand フォルダへダウンロードした PepoLinux-XX.iso コピーします。 (Remote-Hand.vmx をテキストエディタで開き、下記項目をISOイメージ名に合わせ編集します。:2009.4.6現在不要) ide1:0.fileName = "PepoLinux-0.34.iso"
  3. VMware Playerで remote-hand →開く→展開したフォルダの Remote-Hand.vmx を選択→開く、起動します。この時、『コピーしました』が選択されている状態で→OK
  4. 何も操作しない状態で約2分程で立ち上がります。

remote-hand_1.png

  1. 立ち上がったら画面の表示に従い→ login https://xxx.xxx.xxx.xxx:8443 へアクセスします。
  2. Welcome PepoLinuxのHP一番下の『GUIでRemote-Handの設定をします。』を選択します。
  3. Web認証画面でユーザー名:remote パスワード:hand でログオンします。

remote-hand_5.png

  1. 『OenVPN管理者パスワード設定』画面で、ユーザー名:root パスワード:kujiraでログインします。(必要であればこの画面でパスワードの変更が出来ます。)

remote-hand_6.png

  1. 『Remote-Hand Control Pannel』で『Server Make』タブを選択
  2. 『OpenVPNサーバの設定をします。』画面で各項目入力し『処理実行』ボタンでサーバの設定をします。 クライアント1~5の設定は、クライアント同士の接続する必要がある時に必要、空欄でも可 『処理実行』ボタン押下後、約3分程必要です。

remote-hand_8.png

  1. 『Client Make』タブを選択し『OpenVPNクライアント』の設定を作成します。
  2. 『OpenVPNクライアントの設定をします。』画面で各項目入力し『処理実行』ボタンでクライアントの設定します。 ここでは個別情報(ホスト名、メールアドレス)を変えてクライアント数の設定 ここで作成するクライアント名は後程のダウロードに必要です、必ず記録しておく 国名~組織名がサーバの情報と一致しないとここではエラーにならないが、接続出来ない。

remote-hand_24.png

  1. 『Client Download』タブを選択します。
  2. サーバで設定した、クライアント名を入力して『処理実行』ボタンでクライアントの設定をダウンロードします。
  3. サーバの操作はこれ迄です、『Server Control』タブ選択します。
  4. 『Server Control』の画面で『VPN Server起動』を選択して『処理実行』ボタンでOpenVPNを起動します。 メッセージに [ OK ] が表示されたら正常です。

remote-hand_16.png

クライアントがインターネット経由で接続される時にサーバ側では使用するVPNポート番号をブロードバンドルータ等でOpenVPNサーバへポート・フォワーディングさせる設定が必要です。 VPNポート番号は推奨『443』ですが、これ以外を設定したら別途『Filtering Setup』タブでIPフィルタの一時設定を変更します。

クライアントの用意(WindowsXP)

  1. Serverの『Client Download』でダウンロードしたファイル、例として『pepo1.zip』ファイルを『OpenVPNクライアント』へアップロードします。
  2. サーバと同様にログイン後、『ClientUpload』タブを選択
  3. 『クライアントの設定情報をアップロードします。』画面で『参照』ボタンで『pepo1.zip』を選択して、『処理実行』ボタンでアップロードします。

remote-hand_10.png

  1. サーバの15,16項と同様にOpenVPNを起動します。
  2. EthernetSetupで』タブでインターフェース『tun0』とサーバで設定した『VPNネットワーク』アドレスが表示されたらVPNサーバへ正常に接続されています。 クライアントPCのWindowsのDOSプロント画面から route add コマンドでサーバLAN側のroute情報を追加 例 route add 192.168.123.0 mask 255.255.255.0 192.168.234.128 サーバのLAN側へPINGを飛ばし確認します。
  3. Serverの『Client Download』でダウンロードしたファイル、例『pepo1.zip』はWindows版のOpenVPNのクライアント設定内容も含みます。圧縮とパスワードで暗号化されているのでWindowsXPで所定のフォルダへ移動させて解凍する パスワードは『ユーザ名:パスワード』ユーザ名とパスワードを:コロンで連結したもので、初期値で『root:kujira』です。
  4. 正常に稼動するのを確認してログオフして下さい。この時VPNの設定情報のみバックアップします。再起動してもVPNの設定情報は保持するがIP、routeなどは初期値へ

接続されない場合の確認

  • サーバ~クライアント間にIP通信ルートとポートフォワーディングが出来ていること 『Server Control』でping、tcptracerouteテストを行う tcptracerouteテストは、デバック用にクライアントが接続出来ない時に使うものでiptablesの停止とOpenVPNの再起動が必要
  • アンチウィルスの種類によりファイヤーウォールを無効にする必要がある
  • クライアント・サーバが無線LANの場合、簡易設定で接続出来ない場合がある?
  • 『Server Log』でシステムログの確認
  • iptablesを停止してみる

参考

  • サーバに対してクライアント時計が2時間程遅れると接続不可で下記エラーログを表示
Apr 3 11:27:17 (none) openvpn2791: VERIFY ERROR: depth=1, error=certificate is not yet valid:
  • サーバから接続クライアント単独だけでなくクライント・ネットワーク全体と通信したい場合の操作
    • クライアント側のネットワークアダプタ3を『ホストオンリー』から『ブリッジ』接続へ変更
    • クライアント側のVPN接続方法を『VPN Client起動』から『VPN Server起動』へ変更して操作する
    • サーバ側の操作は変わりません

その他

2010.1.16 Copyright by IZAMUKARERA

http://sourceforge.jp/projects/pepolinux/