OpenVPN（仮想プライベートネットワーク）用ルータの設定

OpenVPN（仮想プライベートネットワーク）用ルータの設定例を示します。

このページでは、OpenVPN（仮想プライベートネットワーク）を構築する場合のルータの設定例を示します。

LAN内の2台のPCのVPN 接続試験時に、ネットワークアナライザのSqueezer Ver.2(フリーウェア)を使用して、パケットを捕捉した結果（DNSパケットは、後で消去）を見て下さい。OpenVPNのパケットは、全てUDPパケットですし、VPNサーバー機は、送受信共、UDP1194番ポートしか使用していません。VPNクライアント機は、UDP1024番以上のポートが使用されています。これらを踏まえて、2拠点間のルータの設定を行う必要があります。

VPN では、2拠点のIP アドレスは、固定IP アドレスというのが常識です。セキュリティ的に見ますとVPN クライアント機側も固定IP アドレである方がパケットフィルタリングが容易です。動的IP アドレスの場合は、次項 e の様に設定しておき、Windows ファイアウォールで、こまめにアクセス元を制限して下さい。

1. ルータの設定について

VPNサーバー側ルータの設定は、以下の様になります。
WAN→LAN方向のUDPポート1194番の全パケットをサーバー機(192.168.0.11)へ転送(ポートフォワード)する。
VPN サーバー側パケットフィルタリングの設定は、

VPNクライアント側が非固定IPアドレスの場合（非推奨）、
　WAN→LAN方向：UDPの終点が1194番ポートなら通過
　LAN→WAN方向：UDPの始点が1194番ポートなら通過［LAN→WAN方向の全(TCP/UDP)パケットは、通過させても良い］
VPNクライアント側が固定IPアドレスの場合（推奨）、
　WAN→LAN方向：始点のIPアドレスがクライアント(固定IPアドレスの 203.212.55.105)で、UDPの終点が1194番ポートなら通過
　LAN→WAN方向：UDPの始点が1194番ポートで、終点のIPアドレスがクライアント(固定IPアドレスの 203.212.55.105)なら通過
　　　　　　　　　　　　　※［LAN→WAN方向の全(TCP/UDP)パケットは、通過させても良い］

VPN クライアント側ルータの設定は、以下の様になります。
ポートフォワードは不要。
パケットフィルタリングの設定は、
　　WAN→LAN方向：UDPの終点が1024番ポート以上なら通過
　　LAN→WAN方向：UDPの始点が1024番ポート以上なら通過［LAN→WAN方向の全(TCP/UDP)パケットは、通過させても良い］

ポートフォワードの設定例（ NetGenesis SuperOPT100 無印の場合）
NetGenesis SuperOPT100 無印のポートフォワードの設定例

ファイアウォール設定のIPフレームのフィルタリング設定例（ NetGenesis SuperOPT100 無印の場合）
以下の設定例は、パソコンおやじさんのルータの設定例(OPT90)を改造させて頂きました。（UDPパケットのセキュリティが甘くなりました。）

ファイアウォール設定のIPフレームのフィルタリング設定例

会社側のルータで、UDPポート1194番の全パケットをサーバー機(192.168.0.11)へ転送(ポートフォワード)できない場合は、基本的にあきらめる。会社のネットワーク管理者の許可を受けずに自宅側にVPN サーバー機を設置し、会社側をVPN クライアント機にすると、犯罪行為になります。尚、客先に了解を取って、客先のPC機をリモートデスクトップ接続で保守する場合、客先のPC機にVPN クライアント機能をインストールし、客先にVPN の接続と切断を依頼することは、ありえます。