OPNsenseでのOpenVPNリモートアクセス設定

CA証明書とサーバ証明書がすでに準備できている状態で、残りの手順をGeminiに解説してもらい、少しだけ編集を加えた。
--------------------------------------------------------------------

残りの設定手順を、大きく5つのステップに分けて解説します。

これまでの確認事項（OPNsense 26.1.6、英語UI、IPv4限定、全通信をVPS経由にしてセキュリティDNSで保護する構成）をすべて反映した、決定版の設定手順書です。

手元での整理や今後の運用の記録としてお役立てください。

OpenVPN Remote Access Setup Guide (OPNsense 26.x)

Step 1: Create a User & Client Certificate

現在のバージョンでは、ユーザー作成と証明書の発行を個別のメニューで行い、Common Name を使ってシステム内部で紐付けます。

1-1. Create the User

1. System > Access > Users に移動し、右上の ＋ (Add) をクリックします。

2. 以下の項目を入力します。

   • Username: 任意のユーザー名（例: vpnuser）

   • Password: 任意のパスワード

3. 画面最下部の Save をクリックします。

1-2. Create the Client Certificate

1. System > Trust > Certificates に移動し、右上の ＋ (Add) をクリックします。

2. 以下の通り設定します。

   • Method: Create an internal Certificate

   • Descriptive name: 識別しやすい名前（例: vpnuser_cert）

   • Issuer: 事前に作成済みの CA証明書 を選択

   • Type: Client Certificate

   • Common Name: Step 1-1で作成した Username と完全に一致する文字列 を入力

3. 画面最下部の Save をクリックします。

Step 2: Configure the OpenVPN Instance (Server)

すべてのトラフィックとDNSクエリをVPS上のOPNsenseに集約するための核心的な設定です。

1. VPN > OpenVPN > Instances に移動し、右上の ＋ (Add) をクリックします。

2. 各セクションの項目を以下のように設定します。

[General Settings]

• Description: 任意の識別名（例: VPS_Secure_VPN）

• Role: Server

• Protocol: UDP

• Port: 1194（デフォルト）

[Cryptographic Settings]

• SSL/TLS Service Certificate: 事前に作成済みの サーバ証明書 を選択

[Authentication Settings]

• Authentication: Local Database を選択

[Server Settings]

• Server (IPv4): VPNクライアントに割り当てる仮想IP帯（例: 10.8.0.0/24）

  ⚠️ 自宅のLAN環境（192.168.x.xなど）と絶対に重複しない独立したネットワークを入力してください。

[Routing Settings]

• Local Network: 【空欄】（すべての通信をRedirectするため指定不要）

• Redirect gateway: default を選択

  💡 これにより、出先や自宅からのすべてのインターネット通信がOPNsense（VPS）を経由するようになります。

[DNS Settings]

• DNS Servers: 1.1.1.2, 9.9.9.9 など（セキュリティ機能付きDNSのIPを個別に入力）

3. 画面最下部の Save をクリックし、ページ上部に表示される Apply changes を押します。

Step 3: Configure Firewall Rules

外からのVPN接続を受け入れ、接続後にインターネット（WAN）へ通信を抜くためのファイアウォールとNATの設定です。

3-1. WAN Side Rule (外部からの接続許可)

1. Firewall > Rules > WAN に移動し、＋ (Add) をクリックします。

2. 以下の通り設定します。

   • Action: Pass

   • Protocol: UDP

   • Destination: WAN address

   • Destination port range: From 1194 To 1194

3. Save をクリックします。

3-2. OpenVPN Side Rule (VPNからインターネットへの通信許可)

1. Firewall > Rules > OpenVPN に移動し、＋ (Add) をクリックします。

2. 以下の通り設定してVPNからの全通信を通します。

   • Action: Pass

   • Protocol: any

   • Source: any

   • Destination: any

3. Save をクリックし、画面上部の Apply changes を押して反映させます。

3-3. Outbound NATの確認

1. Firewall > NAT > Outbound を確認します。

2. モードが Automatic であれば自動でVPNセグメントもNATされます。もし Manual や Hybrid にしている場合は、Step 2で設定したVPNの仮想IP帯（例: 10.8.0.0/24）がWANへ抜ける（Interface: WAN, Source: VPNネットワーク, Translation: WAN address）割当ルールが存在することを確認してください。

Step 4: Export Client Configuration

PCやスマホにインポートするための設定ファイル（.ovpn）を出力します。

1. VPN > OpenVPN > Client Export に移動します。

2. Remote Access Server: Step 2で作成したインスタンスを選択。

3. Export type: File Only を選択。

4. 画面下部の Accounts / Certificates に Step 1 のユーザー名が表示されていることを確認します。

5. HostnameにターゲットVPNサーバのホスト名またはIPアドレスを設定します。

6. その横にある Cloud/Download ボタン（ダウンロードアイコン） をクリックしてファイルを保存します。

Step 5: Client Connection Test

1. 利用するクライアント端末（PC、スマホ等）に公式アプリ OpenVPN Connect をインストールします。

2. Step 4で出力した .ovpn ファイルをアプリにインポートします。

3. Step 1-1で決めた Username と Password を入力し、トグルスイッチをONにして接続します。

接続後の確認

接続完了後、クライアント端末のブラウザ等で以下の確認を行ってください。

• 「確認君」などのIP確認サイトにアクセスし、表示されるグローバルIPアドレスがVPS（OPNsense）のものに変わっていること。

• DNSの漏洩確認サイト（dnsleaktest.com など）で、クエリの送信元が Step 2 で指定したセキュリティDNS（CloudflareやQuad9）になっていること。