23.7. VPN の拡張
23.7.1. サーバー側ネットワークへのアクセス
サーバーに接続されているネットワークへのアクセスを VPN クライアントに許可します。たとえば、VPN クライアントに配布されている 10.8.0.0./255.255.255.0 のアドレスからサーバー側の 10.66.0.0/255.255.255.0 にあるコンピュータへアクセスを許可するといった場合の例で解説します。server.conf ファイルに以下の記述を追加します。
- push "route 10.66.0.0 255.255.255.0"
クライアントにサーバー側の LAN を通知しアクセスを可能にする指定です。
 | VPN サーバーとゲートウェイが異なる場合には、サーバー側のネットワークにあるゲートウェイで、10.8.0.0/255.255.255.0 から VPN サーバーへのルーティングを忘れずに追加してください。 |
| OpenVPN サーバーの IP フォワードを有効に設定しておいてください。Turbolinux 11 Server では、turbonetcfg を使用した設定が可能です。詳細は、第33章 を参照してください。また、ファイアウォールのある環境ではインターフェース tun+ の INPUT や FORWARD が許可されるように設定をしておく必要があります。 |
23.7.2. クライアント側 LAN からサーバーへのアクセス
1 台のリモートホストから VPN サーバーへのアクセスだけでなく、クライアント側の LAN 上にある複数の PC から VPN にアクセスしたり、他のクライアントとも相互にアクセスすることが可能です。ここでは、クライアント client1 側の LAN 192.168.1.0/255.255.255.0 から VPN サーバーへアクセスする場合の例で解説します。この LAN 上にある IP アドレスからのアクセスは client1 の CommonName(共通名)を用いて接続しますので client1 の設定は完了している前提です。
また、クライアント側の LAN で使用するプライベートアドレスと同じアドレスを VPN サーバー側で使用していないことを事前に確認してください。
サーバー側で、server.conf ファイルに以下の定義を追加します。
- client-config-dir ccd
クライアント設定ディレクトリの指定です。この指定により /etc/openvpn/ccd ディレクトリ以下を参照します。サンプルファイルにはコメント行として記載がありますのでコメント記号(;)を削除してください。
- route 192.168.1.0 255.255.255.0
クライアント側の LAN の IP アドレスからのアクセスを client1 にルートします。
- client-to-client
クライアント同士のアクセスを可能にする指定です。
- push "route 192.168.1.0 255.255.255.0"
他のクライアントにこのクライアントの LAN を通知しアクセスを可能にする指定です。
サーバー側で /etc/openvpn/ccd/client1 ファイルを作成します。
# mkdir /etc/openvpn/ccd # vi /etc/openvpn/ccd/client1 |
client1 ファイルには以下を記述します。
route 192.168.1.0 255.255.255.0 |
サーバー側の設定は以上で終了です。設定ファイルを変更した場合は、変更を反映するために openvpn を再起動します。
# /etc/init.d/openvpn restart |
| VPN サーバーとゲートウェイが異なる場合には、サーバー側のネットワークにあるゲートウェイで、192.168.1.0/255.255.255.0 から VPN サーバーへのルーティングを忘れずに追加してください。 |
クライアント側の設定としては、IP フォワードを有効に設定しておく必要があります。Turbolinux 11 Server では、turbonetcfg を使用した設定が可能です。詳細は、第33章 を参照してください。また、ファイアウォールのある環境ではインターフェース tun+ の INPUT や FORWARD が許可されるように設定をしておきます。
| クライアント側 LAN でも client1 (openvpn を起動するホスト)とゲートウェイが異なる場合には、ゲートウェイで、192.168.1.0/255.255.255.0 から client1 への VPN 接続が可能なようにルーティングを忘れずに追加してください。 |