無償UTM Untangle OpenVPN

ネットワーク
2017.11.16

本ページは広告が含まれています。気になる広告をクリック頂けますと、サーバ運営費になります(^^

OpenVPN簡単設定で無償利用可能

設置したルータを、WAN側から管理したいという要件が出てきました。セキュリティポリシー上、LAN側からwebサイト管理はできますが、WAN側ではポートも公開されておらず接続する事は出来ません。

そこで、Untangle上で無償で利用できるOpenVPNを利用してみました。

Screenshot of wiki.untangle.com

サーバ
OpenVPNのサーバ機能が提供されています。
サイトURLは、リモートクライアントがこのサーバーに接続するために使用するURLを示します。

リモートクライアント
[リモートクライアント]サブタブでは、このOpenVPNサーバーに接続できるすべてのリモートクライアントが構成されます。リモートクライアントは、クライアントとして、このOpenVPNのサーバに接続する任意のエンティティです。これには、リモートデスクトップ、ラップトップ、デバイスが含まれます。

Untangleを触っていると時々感動するのですが、OpenVPNのクライアントは証明書込みのインストーラがダウンロードでき、クライアントパソコンでインストーラを実行するだけで設定可能になります。すごすぎです。

サーバの設定(OpenVPNサーバ機能を有効にする)

サーバ有効にチェック
NATOpenVPNトラフィックにチェック

openvpn01.jpg

サーバの設定(クライアントを追加する)

[OpenVPNアプリ]⇒[サーバ]⇒[リモートクライアント]⇒[追加]

クライアント

[ダウンロードクライアント]ボタンからインストーラをダウンロード

openvpn02.jpg

ダウンロードされたインストーラにてインストール
(これだけで設定は完了している)

openvpn03.jpg

クライアントから接続

後はクライアントから接続すると、接続されます。

Wed Aug 14 10:16:40 2019 Initialization Sequence Completed
Wed Aug 14 10:16:40 2019 Register_dns request sent to the service

Initialization Sequence Completed

が表示されたら接続完了です。

OpenVPNのアイコンが緑色になったら接続されています。

接続した後は、そのネットワーク内と同じように扱ってもらえます。WAN側から管理画面を覗いて、どんな接続状態になっているかを確認したいというのが要件だったのですが、無事この要件も満たすことができそうです。WAN側にOpenVPNで接続して、管理画面IPアドレスをURLで開くと、いとも簡単に管理画面が開きました。LAN内にいるのと同じです。

routeの設定

クライアント側からルート設定する必要があります。最初テストした時は、この設定必要なかったんですけど、クライアントWindowsでVPNセッションが張れてからOpenVPNへのルートを書いてあげます。

Microsoft Windows [Version 10.0.14393]
(c) 2016 Microsoft Corporation. All rights reserved.

C:\WINDOWS\system32>route add 192.168.15.0 mask 255.255.255.0 172.16.240.5
OK!

C:\WINDOWS\system32>

172.16.240.5はデフォルトで持つOpenVPN側のIPアドレスです。

192.168.15.254にUntangleがいるため、192.168.15.0ネットワーク到達するためには、OpenVPNサーバを通ってというルートになります。このルートが通っていると、

http://192.168.15.254
192.168.15.254

こちらでUntangleのログイン画面が表示できるようになります。

備考 OpenVPNのクライアント側は、172.16.240.6のIPアドレスが割り当てられます。

接続状況の確認

OpenVPNのクライアント接続状況の確認画面です

openvpn05.jpg

ちょっと感動ものでした。Untangleを利用すれば、OpenVPNサーバ機能が無償で提供され、証明書ファイルを含んだインストーラも提供されるので、高いSSLVPNアプライアンスなんかいらないなと。

Untangleを使っていると、時々感動する事があるのですが、このVPN機能もびっくりしちゃいました。

DDNSを利用してIPアドレスを登録

 私は無料で利用できるMyDNSをよく利用させてもらっています。
 
https://www.techlive.tokyo/archives/2016
 
利用方法はこちらをご覧ください。

 

CRONでDDNS登録

 
UntangleOS上でもCRONちゃんと動きます。正規サポートではないと思うので、何かの拍子に使えなくなることもあるかもしれませんが、Debianのアップグレードでも特にCRONがおかしくなったりしたことはないので、大丈夫かと。
 
私は毎時 DDNSを更新するように設定しています。
 
0 0 * * * /usr/bin/wget -O - 'http://mydns****:*********@www.mydns.jp/login.html'

設定ファイルのIPアドレス書き換え

DDNSのホスト名は、ダウンロードされたクライアントのコンフィグには反映されていないため手動で設定変更を行います。

インストールしたクライアントのOpenVPN コンフィグファイルフォルダは、

C:\Program Files\OpenVPN\config

ここになります。拡張子 .ovpn が一つ一つの接続設定ファイルです。

client
resolv-retry 20
keepalive 10 60
nobind
mute-replay-warnings
ns-cert-type server
comp-lzo
max-routes 500
verb 1
persist-key
persist-tun
explicit-exit-notify 1
dev tun
proto udp
port 1194
cipher AES-128-CBC
cert keys/untangle-01-test.crt
key keys/untangle-01-test.key
ca keys/untangle-01-test-ca.crt
remote ここを変える 1194 # public address

remote の後にDDNSで登録しているホスト名を入れます。

これで、遠隔地に設置したUntangleルータをリモートからweb管理画面を開いて監査・確認する事ができるようになります。

タイトルとURLをコピーしました