作成日:2009年03月01日、更新日:2009年03月01日 作成:鷹の巣

OpenVPN(仮想プライベートネットワーク)用ルータの設定例を示します。


新作 OpenVPN(仮想プライベートネットワーク)用ルータの設定

このページでは、OpenVPN(仮想プライベートネットワーク)を構築する場合のルータの設定例を示します。

LAN内の2台のPCのVPN 接続試験時に、ネットワークアナライザのSqueezer Ver.2(フリーウェア)を使用して、パケットを捕捉した結果(DNSパケットは、後で消去)を見て下さい。OpenVPNのパケットは、全てUDPパケットですし、VPNサーバー機は、送受信共、UDP1194番ポートしか使用していません。VPNクライアント機は、UDP1024番以上のポートが使用されています。これらを踏まえて、2拠点間のルータの設定を行う必要があります。

VPN では、2拠点のIP アドレスは、固定IP アドレスというのが常識です。セキュリティ的に見ますとVPN クライアント機側も固定IP アドレである方がパケットフィルタリングが容易です。動的IP アドレスの場合は、次項 e の様に設定しておき、Windows ファイアウォールで、こまめにアクセス元を制限して下さい。

1. ルータの設定について

  1. VPNサーバー側ルータの設定は、以下の様になります。
    WAN→LAN方向のUDPポート1194番の全パケットをサーバー機(192.168.0.11)へ転送(ポートフォワード)する。
    VPN サーバー側パケットフィルタリングの設定は、

  2. VPN クライアント側ルータの設定は、以下の様になります。
    ポートフォワードは不要
    パケットフィルタリングの設定は、
      WAN→LAN方向:UDPの終点が1024番ポート以上なら通過
      LAN→WAN方向:UDPの始点が1024番ポート以上なら通過[LAN→WAN方向の全(TCP/UDP)パケットは、通過させても良い]

  3. ポートフォワードの設定例( NetGenesis SuperOPT100 無印の場合)
    NetGenesis SuperOPT100 無印のポートフォワードの設定例

  4. ファイアウォール設定のIPフレームのフィルタリング設定例( NetGenesis SuperOPT100 無印 の場合)
    以下の設定例は、パソコンおやじさんのルータの設定例(OPT90)を改造させて頂きました。(UDPパケットのセキュリティが甘くなりました。)

    ファイアウォール設定のIPフレームのフィルタリング設定例

  5. 会社側のルータで、UDPポート1194番の全パケットをサーバー機(192.168.0.11)へ転送(ポートフォワード)できない場合は、基本的にあきらめる。会社のネットワーク管理者の許可を受けずに自宅側にVPN サーバー機を設置し、会社側をVPN クライアント機にすると、犯罪行為になります。尚、客先に了解を取って、客先のPC機をリモートデスクトップ接続で保守する場合、客先のPC機にVPN クライアント機能をインストールし、客先にVPN の接続と切断を依頼することは、ありえます。

目次▲頁先頭