OpenVPN 2.5.9 のインストール / AlmaLinux9.4 on さくらのVPS

さくらのVPS 2G にAlmaLinux9.4をインストールした覚書です。

このページは EasyRSAで証明書を用意する / AlmaLinux9.4 on さくらのVPS からの続きです。

前回までで証明書などの下準備が整いました。

本記事ではOpenVPNをインストールしてvpnサーバ側の設定をしていきます。

なお本番環境で利用される場合はここにある内容だけを鵜呑みにせずセキュリティ専門家に相談されることをお勧めします。

環境

実施日	2024-06-20
サーバ	さくらのVPS 2G
OS	AlmaLinux9.4

cat /etc/redhat-release

AlmaLinux release 9.4 (Seafoam Ocelot)

事前に証明書を用意

OpenVPNをインストールしたあと設定ファイルに証明書の設定を行うのですが、その証明書は予め作成しておく必要があります。

まだの方は下記（前記事）をご覧になり証明書を作成しておいてください。

OpenVPNのインストール

事前準備も終わりやっと「OpenVPN」までたどり着きました。
それではまずインストールしましょう。

DNFでインストール

dnf --enablerepo=epel install openvpn

設定ファイルをコピーして配置

cp /usr/share/doc/openvpn/sample/sample-config-files/server.conf /etc/openvpn/server/

設定ファイルを編集

vi /etc/openvpn/server/server.conf

次の場所を探して書き換えます。
設定しているパスは前記事のとおりに行っている場合です。

78行目

ca /etc/openvpn/easy-rsa/pki/ca.crt

79行目

cert /etc/openvpn/easy-rsa/pki/issued/server.crt

80行目

key /etc/openvpn/easy-rsa/pki/private/server.key

85行目

dh /etc/openvpn/easy-rsa/pki/dh.pem

244行目

tls-auth /etc/openvpn/ta.key 0

287行目

status /var/log/openvpn-status.log

296行目

log         /var/log/openvpn.log

最終行に下記を追記します。
※念のため「crl-verify」で検索しても出てこないと思います。

crl-verify /etc/openvpn/crl.pem

サーバーの起動と自動起動

ステータスを確認

systemctl status openvpn-server@server.service

自動起動を有効にする

ystemctl enable openvpn-server@server

起動する

systemctl start openvpn-server@server

再起動する

systemctl restart openvpn-server@server

バージョンの確認

openvpn --version

OpenVPN 2.5.9 x86_64-redhat-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Nov  9 2023
library versions: OpenSSL 3.0.7 1 Nov 2022, LZO 2.10
Originally developed by James Yonan

接続制限の許可

OpenVPNのポートをファイアウォールで許可します。

デフォルトでは、OpenVPNは UDP のポート 1194 を使用します。

ファイアウォールの設定

同時にIPマスカレードも有効に設定しておきます。

firewall-cmd --add-service=openvpn --permanent
firewall-cmd --add-masquerade --permanent

設定を再読み込み

firewall-cmd --reload

設定の確認

firewall-cmd --list-all

さくらのVPSのパケットフィルタ

パケットフィルタを設定している場合はコンパネから設定をします。