covid19 騒ぎで安全な遠隔作業を構築する必要が出てきた。個人的には ssh でいいのだが、他の人と強調するときに ssh では難しい。ということで OpenVPN 導入の検討を始めた。
普段使っているのは Windows 10
Windows 10 では VPN が標準でサポートされている。IPSec/IKEv2 のようだ。普段外部サーバとして Azure もつかってたりするが、Azure が用意しているVPN ゲートウェイで一番安いのが Basic で IKEv2 対応だ。以前は Windows で使えればいいという事で Azure のそれをつかっていた。
基本的には マイクロソフトの公式ドキュメントを参照してこつこつ書いていけば VPN は構築できる。ただし、Windows の世界観丸出しになる。
以前の事でうろ覚えだが、次の感じ。
Azure の VPN ゲートウェイを GUI から生成。確かこの過程でパスワードなどを設定する。
Azure で接続用のドライバ(設定ファイル?)が zip 形式で自動的に出来るのでそれをダウンロード
zip を解凍してインストール。その時パスワードを聞かれるので入力
以後、VPN が使えるようになる。(1年くらいすると期限切れになるはず)
どうやら VPN(IKEv2) を構築すると裏で Linux が立ち上がってゲートウェイを構築するみたいだ。そして、そのゲートウェイは Azure の GUI で構築できるもののGUI では停止が出来ない。(PowerShell では停止できるみたい)
OpenVPN を使うよ
久々に VPN を使おうとしたらどうも期限切れだったようで使えなかった。そして、Linux をクライアントにしようとすると OpenVPN などはオプションでそれらをサポートする SKU はちょっと高い。
どうせ、なかで Linux 立ち上げるのだから OpenVPN サーバを自分で作れば Azure の VPN に煩わされずに済みそう。ということで OpenVPN を構築することにした。
なぜ OpenVPN?
この世界に詳しくないけど、vpnmentor の「VPN プロトコルの比較: PPTP vs. L2TP vs. OpenVPN vs. SSTP vs. IKEv2」を読むと OpenVPN がよさそう。L2TP でもいいのだけど、「エドワード・スノウデンはL2TPが解読されていると示唆しています。」「しかしNSAに関する疑いがあるのでできる限り避けることをおすすめします。」とある。ほんとかどうかは知らない。そして vpnmentor がどうもいわゆるコピーペ記事の気がする。元記事の一部は見つけた。
OpenVPNがいいのか?
OpenVPN がいいのだろうか?OpenVPN プロトコルを用いた VPN Gate への接続方法というのが筑波大学の学術実験プロジェクトとしてある。ここでのお勧めはなぜか SoftEther (そうか筑波の出身の人の製品だ。手前味噌感たっぷり)。そしてそれ以外では L2TP/IPsec をお勧めしている。
いや OpenVPN でいこう。SoftEther は私から見たら存在価値がない。
でどうするの?
すいません。これからです。情報を集めただけ。そして、ちょっと前に構築した VPN についての作業を思い出し始めている。次設定したらちゃんと記録します。
リンク集
これを最初からやっていけば Azure + IPSec/IKEv2 で Windows 環境で VPN が構築できるはず。ただし、VPN のゲートウェイの分 お金を取られる。
OpenVPN 本家。Azure でも AWS でも Google でも用意されている。 接続2つまでは無料らしいぞ(未確認)。
誰かは知らないけど、VPNmentor というサイトの説明。 これをうのみにしていいかどうかは不明。 どうも、寄せ集め記事の気がする。
似たような内容のサイト。ワードプレス?なんだかな~。 どうも日本語訳したっぽいので、元の英語の記事がどっかにあるんだろうな。 複数の寄せ集め記事があるところにこの業界の陰の部分が垣間見れる。
おなじ VPNmentor の記事。ハッキングの話が書かれている。 どうも、寄せ集め記事の気がする。
YAMAHA のルータ。IKEv1 のみに対応と書いてある。おしい。
Windows で OpenVPN は標準で使えないのでソフトをインストールする必要がある。
上との違いがわからないが、こっちは GUI があるのか?
こんなうわさを集めて意味があるか知らんが、 「大手ベンダーのVPN製品に脆弱性が見つかった。」 らしいぞ。
L2TP という選択肢もあるけど。IPSec のどの辺を使っているのか?
L2TP というクライアント側の選択肢。 「ikev1を一旦ikev2にして接続してみてから戻す、とかするとなぜかわかりませんがうまくいくことがあります。わけも分からず唱えるの、お祈りの儀式っぽい。」 おいおい。使うのやめておこう。(セキュリティ関連で儀式はナンセンス)
むかしこの辺見て Windows にインストールしていた気がする。 microsoft の情報が非常にわかりづらい。
Azure の設定はこの辺見ればよさそうだ。どこでパスワードを入れていたのか、、、 全く記憶にない。ドキュメントにもない。もう一度この情報だけで 再設定できる気がしない。
Azure の VPN ゲートウェイ と Linux をつなぐときはこの辺を見ればいいのだろう ね。やったことありませんが。
ちょっと思い出してきた。そいういえば PowerShell をつかって パスワードをいれていたような。 たぶん、Windows PC で PowerShell でファイルを作って それを Azure にインストールしていた気がする。
使ったことのない機能だけど、重要そう。 Azure の Gateway を止められるみたい。あれ?Application Gateway になっていて VPN じゃないな。