クラウドサーバと結ぶVPN環境を「OpenVPN」で構築する(後編)DRBDの仕組みを学ぶ(9)(1/3 ページ)

災害対策システムのための「VPN環境を構築する方法」を解説する本稿。前編は、「OpenVPN」のインストールと設定方法を解説しました。後編では、その設定を済ませ、実際にシステムを稼働させるまでを解説します。

» 2016年03月17日 05時00分 公開
[澤田健株式会社サードウェア]

連載バックナンバー

(前編に戻る)

 「災害対策システム」を実現するには、メインサーバと遠隔地のサーバを結ぶVPN環境を構築する必要があります。

 前編では準備編として、オープンソースのVPNソフトウェアである「OpenVPN」のインストール方法と設定方法を説明しました。後編では、OpenVPNの設定を済ませ、実際にシステムを稼働させるまでを解説します。


前回のおさらい

 今回構築する災害対策システムにおけるVPN環境は、本社にある一号機と、遠隔地に置く二号機を安全に接続するために用います(図1)。

photo 図1 2台のサーバをVPNで接続する災害対策システムの構成イメージ

二号機(VPNクライアント)の「OpenVPN」設定

 前編で紹介したVPNサーバとする「一号機」の設定と同じように、VPNクライアントにする「二号機」の「/etc/openvpn/client.conf」ファイルを修正していきます。

  • 16行目:VPNクライアントであることを定義します
client
/etc/openvpn/client.conf :16
  • 24行目:デバイス名を指定します
dev tun0
/etc/openvpn/client.conf :24
  • 37行目:使用するプロトコルを指定します
proto udp
/etc/openvpn/client.conf :37
  • 42行目:接続先となるVPNサーバを指定します。今回の構築例では、一号機のグローバルIPアドレスを指定します。
remote <VPNサーバのグローバルIPアドレス> 1194
/etc/openvpn/client.conf :42

グローバルIPアドレスに関するワンポイント

 サーバ1台ごとにグローバルアドレスを振っていることはあまりないと思います。ここでは、前述した図1の東京支店にあるグローバルアドレスを記載します。そして、別途拠点内にあるルーターなどで外部からの1194ポートを使った通信を一号機に転送する設定をします。

 一方、小規模な環境やテスト用環境など、一号機を設置する拠点にグローバルアドレスがない場合は、VPNサーバとVPNクライアントの扱いを逆にしても問題はありません。クラウド環境のサーバならば、大抵はグローバルIPアドレスが付与されます。一号機をVPNクライアントに、二号機をVPNサーバとして、一号機側で二号機のグローバルアドレスを指定します。


  • 61〜62行目:セキュリティを強化するための権限設定を記述します。
user nobody
group nobody
/etc/openvpn/client.conf :61
  • 88〜90行目:CA証明書とクライアントの証明書および秘密鍵の場所を指定します。
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/client.crt
key /etc/openvpn/keys/client.key
/etc/openvpn/client.conf :88
  • 108行目:TLS認証鍵の場所を指定します。
tls-auth /etc/openvpn/keys/ta.key 1
/etc/openvpn/client.conf :108
  • 118行目:圧縮を有効にする設定を記述します。
comp-lzo
/etc/openvpn/client.conf :118
  • 121行目:ログの出力先を指定します。
verb 4
/etc/openvpn/client.conf :121

 以上で、OpenVPNの設定は完了です。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。