- - PR -
ひとつのサーバでのOpenVPN+Apache使用時のファイアウォール
投稿者 | 投稿内容 | ||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2007-11-09 09:50
OpenVPNサーバ(rl0,tap0)--------ルータ----プロバイダA,B----クライアント
PC1-------------------------------| NASファイルサーバ---------------| ルータはAterm WR7600H ルータアドレス192.168.5.1 LAN内にあるサーバ FreeBSD6.2 OpenVPN+Apache2.2 クライアントとOpenVPNをブリッジ接続 OpenVPNサーバでifconfig すると rl0 192.168.5.3 bridge0 192.168.5.3 member=rl0 member=tap0 tap0 (ipは割り振られていない) こういった環境下でipfを有効にしてみました ipf.rulesを見てみると bridge0に対する記述はありますがrl0に対する記述がありません さらにipfを何も設定せずLAN内のPC1からWebサーバにアクセスすると アクセスできてしまいました ファイアウォールがきいているはずで、アクセスできないのが 正しい挙動だと思っていたのでまずいのではないかと思っております また、ipfを設定するにはbridge0にもrl0にも設定するのでしょうか? アドバイスをいただけたらと思います [ メッセージ編集済み 編集者: number14 編集日時 2007-11-09 11:50 ] [ メッセージ編集済み 編集者: number14 編集日時 2007-11-09 11:52 ] | ||||||||||||
|
投稿日時: 2007-11-09 10:19
回答しようとする方に判り易く書きなおした方が宜しいかと思います。
# はっきり書くと状況が全く判りません。 >ルータは市販 >OpenVPNはブリッジ接続 >ファイアウォールがきいているはずで、 この辺りなど全くもって「何のことやら?」です。 可能ならネットワーク図を付けて頂くと幸いです。 | ||||||||||||
|
投稿日時: 2007-11-09 11:30
質問者です
申し訳ありませんでした OpenVPNサーバ(rl0,tap0)--------ルータ----プロバイダA,B----クライアント PC1-------------------------------| NASファイルサーバ---------------| ブリッジを選んだ理由は、外からNASへのアクセスをするためです ルータはAterm WR7600H ルータの設定↓ 192.168.5.1 255.255.255.0 ポートマッピング 1194 udp 静的ルーティング 送信元192.168.5.3(サーバのアドレス) PPPoEマルチセッションを使用しているため静的ルーティングを使用 サーバ専用固定IP プロバイダA その他 動的IP プロバイダB OpenVPNサーバ 192.168.5.3 255.255.255.0 よろしくお願いいたします | ||||||||||||
|
投稿日時: 2007-11-09 12:44
こういうことですね。
OpenVPNは実際に使用したことはありませんが、何となく仕様を 都合よく解釈されていませんか? http://freescitech.net/2/ovpn2_howto_ja.html#vpntype インターネット上からもアクセス可能にする状況下でブリッジ設定など もってのほかだと思います。 「外からNASへのアクセス」など可能にすべきではありません。 外部から参照可能にするのはOpenVPNサーバだけとし、参照必要な情報は そこだけに置くべきだと思います。 # 余計なお世話かも知れませんが、PKIも確実に行なっておかないと # 痛い目に遭う危険性は高いと思いますよ。 http://freescitech.net/2/ovpn2_howto_ja.html#pki 蛇足ですが、指摘があってもこのスレッドの最初の質問投稿は直す必要は ありません。 直さない方が後から見た方には全体の流れが理解しやすいと思います。 [ メッセージ編集済み 編集者: BackDoor 編集日時 2007-11-09 12:45 ] | ||||||||||||
|
投稿日時: 2007-11-09 14:07
返信ありがとうございます NASを外部へ公開したくないためにOpenVPNを選んだのですが 考え方を間違えているのでしょうか? 仮想LANが築けるからOpenVPNを使ってみようと思いました PKIはなんとか大丈夫だと思います | ||||||||||||
|
投稿日時: 2007-11-09 15:21
???
本当はどっちなのですか? | ||||||||||||
|
投稿日時: 2007-11-09 15:34
NASを外部へ公開するということは
ftpなどを使い、外部からNASへ通信するという認識です ftpなどを使いたくないため、安全に外部からNASファイルサーバへ アクセスしたいために、OpenVPNを選びました OpenVPNネットワークを築けば、仮想LAN環境になります 外部へ公開しているのではなく仮想LAN内でのファイル共有を目的としております | ||||||||||||
|
投稿日時: 2007-11-09 15:48
そういう意味なら納得です。
OpenVPNサーバの設定をルーティングVPNにしてサーバとクライアントの設定ファイル を作成すれば大丈夫でしょう。 http://freescitech.net/2/ovpn2_howto_ja.html#config 接続するクライアントに配布するバーチャルなアドレスを192.168.5.0/24に読み替え れば良いと思います。 編集:以下を追記 ところでファイアウォール部分が展開からすっかり抜けてましたがこれは何処の 部分の話ですか? Aterm WR7600Hの部分の場合、UDP1194以外の余計なポートを開かなければ大丈夫 ですが、OpenVPNサーバに独自のそれが入っている場合の話でしょうか? [ メッセージ編集済み 編集者: BackDoor 編集日時 2007-11-09 15:59 ] |