CA証明書とサーバ証明書がすでに準備できている状態で、残りの手順をGeminiに解説してもらい、少しだけ編集を加えた。
--------------------------------------------------------------------
残りの設定手順を、大きく5つのステップに分けて解説します。
これまでの確認事項(OPNsense 26.1.6、英語UI、IPv4限定、全通信をVPS経由にしてセキュリティDNSで保護する構成)をすべて反映した、決定版の設定手順書です。
手元での整理や今後の運用の記録としてお役立てください。
OpenVPN Remote Access Setup Guide (OPNsense 26.x)
Step 1: Create a User & Client Certificate
現在のバージョンでは、ユーザー作成と証明書の発行を個別のメニューで行い、Common Name を使ってシステム内部で紐付けます。
1-1. Create the User
System > Access > Users に移動し、右上の
+(Add) をクリックします。以下の項目を入力します。
Username: 任意のユーザー名(例:
vpnuser)Password: 任意のパスワード
画面最下部の Save をクリックします。
1-2. Create the Client Certificate
System > Trust > Certificates に移動し、右上の
+(Add) をクリックします。以下の通り設定します。
Method:
Create an internal CertificateDescriptive name: 識別しやすい名前(例:
vpnuser_cert)Issuer: 事前に作成済みの CA証明書 を選択
Type:
Client CertificateCommon Name: Step 1-1で作成した
Usernameと完全に一致する文字列 を入力
画面最下部の Save をクリックします。
Step 2: Configure the OpenVPN Instance (Server)
すべてのトラフィックとDNSクエリをVPS上のOPNsenseに集約するための核心的な設定です。
VPN > OpenVPN > Instances に移動し、右上の
+(Add) をクリックします。各セクションの項目を以下のように設定します。
[General Settings]
Description: 任意の識別名(例:
VPS_Secure_VPN)Role:
ServerProtocol:
UDPPort:
1194(デフォルト)
[Cryptographic Settings]
SSL/TLS Service Certificate: 事前に作成済みの サーバ証明書 を選択
[Authentication Settings]
Authentication:
Local Databaseを選択
[Server Settings]
Server (IPv4): VPNクライアントに割り当てる仮想IP帯(例:
10.8.0.0/24)⚠️ 自宅のLAN環境(
192.168.x.xなど)と絶対に重複しない独立したネットワークを入力してください。
[Routing Settings]
Local Network: 【空欄】(すべての通信をRedirectするため指定不要)
Redirect gateway: default を選択
💡 これにより、出先や自宅からのすべてのインターネット通信がOPNsense(VPS)を経由するようになります。
[DNS Settings]
DNS Servers:
1.1.1.2,9.9.9.9など(セキュリティ機能付きDNSのIPを個別に入力)
画面最下部の Save をクリックし、ページ上部に表示される Apply changes を押します。
Step 3: Configure Firewall Rules
外からのVPN接続を受け入れ、接続後にインターネット(WAN)へ通信を抜くためのファイアウォールとNATの設定です。
3-1. WAN Side Rule (外部からの接続許可)
Firewall > Rules > WAN に移動し、
+(Add) をクリックします。以下の通り設定します。
Action:
PassProtocol:
UDPDestination:
WAN addressDestination port range: From
1194To1194
Save をクリックします。
3-2. OpenVPN Side Rule (VPNからインターネットへの通信許可)
Firewall > Rules > OpenVPN に移動し、
+(Add) をクリックします。以下の通り設定してVPNからの全通信を通します。
Action:
PassProtocol:
anySource:
anyDestination:
any
Save をクリックし、画面上部の Apply changes を押して反映させます。
3-3. Outbound NATの確認
Firewall > NAT > Outbound を確認します。
モードが
Automaticであれば自動でVPNセグメントもNATされます。もしManualやHybridにしている場合は、Step 2で設定したVPNの仮想IP帯(例:10.8.0.0/24)がWANへ抜ける(Interface: WAN, Source: VPNネットワーク, Translation: WAN address)割当ルールが存在することを確認してください。
Step 4: Export Client Configuration
PCやスマホにインポートするための設定ファイル(.ovpn)を出力します。
VPN > OpenVPN > Client Export に移動します。
Remote Access Server: Step 2で作成したインスタンスを選択。
Export type:
File Onlyを選択。画面下部の Accounts / Certificates に Step 1 のユーザー名が表示されていることを確認します。
HostnameにターゲットVPNサーバのホスト名またはIPアドレスを設定します。
その横にある
Cloud/Downloadボタン(ダウンロードアイコン) をクリックしてファイルを保存します。
Step 5: Client Connection Test
利用するクライアント端末(PC、スマホ等)に公式アプリ OpenVPN Connect をインストールします。
Step 4で出力した
.ovpnファイルをアプリにインポートします。Step 1-1で決めた Username と Password を入力し、トグルスイッチをONにして接続します。
接続後の確認
接続完了後、クライアント端末のブラウザ等で以下の確認を行ってください。
「確認君」などのIP確認サイトにアクセスし、表示されるグローバルIPアドレスがVPS(OPNsense)のものに変わっていること。
DNSの漏洩確認サイト(dnsleaktest.com など)で、クエリの送信元が Step 2 で指定したセキュリティDNS(CloudflareやQuad9)になっていること。
No comments:
Post a Comment