OrangePiOne+armbian+OpenVPNのconf内容メモ

投稿日: 投稿者: 6m0n カテゴリー: armbian, Orange Pi, VPN

OrangePiOne+armbian+OpenVPNの組み合わせで最初うまく接続できなくて苦戦したので、動いた時の.confの内容のメモ。
Openvpnはarmbianで
apt-get install openvpn easy-rsa
でインストールしたものを使用。

インストールから設定までは、以下サイトを参考にした。

Ubuntu 16.04 の OpenVPN サーバの設定
http://transitive.info/2016/05/21/openvpn-on-ubuntu-1604/
上記の魚拓
http://archive.fo/8bJpW
(「clean-all ./build-ca ./build-key-server server すべてデフォルトの値で進み、確認のところでは「y」を入力する。」という部分は手順を見落としがちだが、build-ca、build-key-serverも必要な作業。)

ただし、この設定だと、OpenVPNサーバのネットワークを経由しないでインターネットに接続するので、OpenVPNサーバが動いているネットワークを経由してインターネットに接続したい場合は、上記手順の元ネタである、以下のURLを参考に設定する必要がある。
https://www.digitalocean.com/community/tutorials/how-to-set-up-an-openvpn-server-on-ubuntu-16-04

当方の場合、スマホからOpenVPNを経由してサーバの管理と設定をしたいだけなので、前者の手順(http://transitive.info/2016/05/21/openvpn-on-ubuntu-1604/)を元にして、設定している。
 以下、現状動いている.confの設定内容。cipherの項目、接続ポート他、動作を確認しながら1つ1つ変更していくが、とりあえず最初に動いた設定をメモってある。

#server.confの内容。個々の環境で内容が変わる部分はxxxxで伏字にしたり、(略)で略してある。
local サーバのローカルIPアドレス
port 1194
proto udp
dev tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key  # This file should be kept secret
dh /etc/openvpn/dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
tls-auth /etc/openvpn/ta.key 0 # This file is secret
key-direction 0
cipher AES-128-CBC
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log
log         /var/log/openvpn.log
log-append  /var/log/openvpn.log
verb 3
;mute 20

———————–
#xx.ovpnの内容(このファイルをスマホに安全な方法でコピーしてOpenVPN Connectで接続できている)

client
dev tun
proto udp
remote DynamicDNSのURL 1194
resolv-retry infinite
nobind
user nobody
group nogroup
persist-key
persist-tun
remote-cert-tls server
key-direction 1
cipher AES-128-CBC
comp-lzo
verb 3


—–BEGIN CERTIFICATE—–
(略)
—–END CERTIFICATE—–

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 2 (0x2)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=JP, ST=xxxxx, L=xxxxx, O=xxxxx, OU=xxxxx, CN=xxxxx CA/name=server/emailAddress=xxxxx
        Validity
            Not Before: (略) 2018 GMT
            Not After : (略) 2028 GMT
        Subject: C=JP, ST=xxxxx, L=xxxxx, O=xxxxx, OU=xxxxx, CN=xxx/name=server/emailAddress=xxxxx
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
(略)
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            Netscape Comment:
                Easy-RSA Generated Certificate
            X509v3 Subject Key Identifier:
                (略)
            X509v3 Authority Key Identifier:
                keyid:(略)
                DirName:/C=JP/ST=xxxxx/L=xxxxx/O=xxxxx/OU=xxxxx/CN=xxxxx CA/name=server/emailAddress=xxxxx
                serial:(略)

            X509v3 Extended Key Usage:
                TLS Web Client Authentication
            X509v3 Key Usage:
                Digital Signature
            X509v3 Subject Alternative Name:
                DNS:(略)
    Signature Algorithm: sha256WithRSAEncryption
(略)
—–BEGIN CERTIFICATE—–
(略)
—–END CERTIFICATE—–

—–BEGIN PRIVATE KEY—–
(略)
—–END PRIVATE KEY—–

#
# 2048 bit OpenVPN static key
#
—–BEGIN OpenVPN Static key V1—–
(略)
—–END OpenVPN Static key V1—–