古くなった Netgear ルーターを DD-WRT にアップグレードしたばかりで、組み込みの OpenVPN サーバー コンポーネントを使用して、自宅のプライベートな単一サブネットにサービスを提供したいと考えています。
そこで、次のような設定をしています: [public-Internet]----[dynamic dns host]<---ISP--->[DD-WRT/OpenVPN-Server router 192.186.0.1 with home private subnet 192.168.0.0/24 clients]
自宅のインターネット接続を安全に使用し、公共のインターネットやセキュリティ保護されていない Wi-Fi を使用しているときに、自宅のプライベート サブネット マシンに安全にアクセスできるようにしたいと考えています。
私の DD-WRT は OpenVPN サーバーになる機能を持っています。
これまで私が読んだガイドの多くは、OpenVPN クライアントに、単一のプライベート サブネットのアドレスとは異なるプライベート IP を持たせることを求めているようです。その多くは、クライアント IP として 10.xxx のようなものを指示しているようです。
これが実際に機能するための要件ですか?
10.xxx タイプのネットワークは、2 番目のルーターが必要な実際の物理サブネットですか、それとも DD-WRT の OpenVPN サーバーがそれ自体のために「作成」する仮想サブネットですか?
それとも、物理的に所有する単一のプライベートサブネットでこれらすべてを実行できますか?
OpenVPN の設定に関する私の最初の試みについて、貴重なご意見をいただき、ありがとうございます。
答え1
OpenVPN IPアドレスしなければならない自宅のネットワークの IP 範囲と異なる必要があります。そうでないと問題が発生します。
一方、openVPN IP アドレスは、openVPN サーバーと接続デバイス (ラップトップなど) の間でのみ使用されます。したがって、ラップトップには 10.8.0.2 が割り当てられ、openVPN サーバーには 10.8.0.1 が割り当てられます。両方の IP アドレスは (基本的に) VPN トンネル内にのみ存在します。その理由は、openVPN がサーバーとクライアントに仮想ネットワーク インターフェイス (tun0 など) を作成し、それらの IP アドレスを割り当てるためです。構成する「物理」ネットワーク 10.8.0.0 はありません。
openVPN(サーバーまたはクライアント)を設定して、自宅のIP範囲192.168.0.0/24へのルートを知ることができます。
- VPNを接続する
- あなたのラップトップにはVPNトンネル用に10.8.0.2が割り当てられます
- ブラウザ、SSH、またはMicrosoftターミナルサービスを開くことができます
- 192.168.0.xを指定します
openVPN サーバー/ルーター自体は、10.8.0.1 と 192.168.0.1 の 2 つの IP アドレスで認識されます。
ルートに対応するステートメントは次のとおりです。
push "route 192.168.0.0 255.255.255.0"
サーバー上で
route 192.168.0.0 255.255.255.0
それぞれクライアント側で設定します。必要なのはどちらか 1 つだけです。シナリオによっては、どの設定ファイルを置くかは好みの問題です。iptables の IP マスカレード (openWRT にはすでに備わっていると思います) と組み合わせると、リモートから自宅のネットワークに接続したり、リモートからインターネットを閲覧したりできるようになります。簡単な例:
Your laptop -> unencrypted, public WIFI -> internet
すると
Your laptop -> encrypted VPN -> openWRT -> internet.
したがって、暗号化されていないパブリック Wi-Fi プロバイダーまたはその Wi-Fi 内のスニファーはトラフィックを読み取ることができません。
たとえば、ポートスキャン、スクリプトキディなどから保護するために、別のポートで openVPN サーバーを実行する場合は、port 9411例として使用します。
(編集: この回答の下のコメントからの質問と回答をこの回答に追加しました。)