[index] AT-AR1050V コマンドリファレンス 5.5.4
NoteOpenVPNトンネルインターフェースは同時に2つまで使用可能です(TunモードとTapモードを1つずつ)。なお、2つ同時に使用する場合は、各トンネルインターフェースで異なるUDPポート番号を使用するよう設定してください(tunnel openvpn portコマンド)。
awplus(config)# radius-server local ↓ Created trustpoint "local". Generating 2048-bit key for local CA... Automatically authenticated trustpoint "local". Automatically enrolled the local server to trustpoint "local".
awplus(config-radsrv)# group userA ↓ awplus(config-radsrv-group)# attribute Service-Type Authenticate-Only ↓ awplus(config-radsrv-group)# attribute Framed-IP-Address 192.168.254.231 ↓ awplus(config-radsrv-group)# attribute Framed-IP-Netmask 255.255.255.0 ↓ awplus(config-radsrv-group)# attribute Framed-Route "192.168.10.0/24 192.168.254.1" ↓ awplus(config-radsrv-group)# attribute MS-Primary-DNS-Server 192.168.10.5 ↓ awplus(config-radsrv-group)# exit ↓
awplus(config-radsrv)# group userB ↓ awplus(config-radsrv-group)# attribute Service-Type Authenticate-Only ↓ awplus(config-radsrv-group)# attribute Framed-IP-Address 192.168.254.232 ↓ awplus(config-radsrv-group)# attribute Framed-IP-Netmask 255.255.255.0 ↓ awplus(config-radsrv-group)# attribute Framed-Route "192.168.10.0/24 192.168.254.1" ↓ awplus(config-radsrv-group)# attribute MS-Primary-DNS-Server 192.168.10.5 ↓ awplus(config-radsrv-group)# exit ↓
awplus(config-radsrv)# group userC ↓ awplus(config-radsrv-group)# attribute Service-Type Authenticate-Only ↓ awplus(config-radsrv-group)# attribute Framed-IP-Address 192.168.254.233 ↓ awplus(config-radsrv-group)# attribute Framed-IP-Netmask 255.255.255.0 ↓ awplus(config-radsrv-group)# attribute Framed-Route "192.168.10.0/24 192.168.254.1" ↓ awplus(config-radsrv-group)# attribute MS-Primary-DNS-Server 192.168.10.5 ↓ awplus(config-radsrv-group)# exit ↓
awplus(config-radsrv)# user userA password passwordA group userA ↓ awplus(config-radsrv)# user userB password passwordB group userB ↓ awplus(config-radsrv)# user userC password passwordC group userC ↓
awplus(config-radsrv)# server enable ↓ awplus(config-radsrv)# exit ↓
awplus(config)# radius-server host 127.0.0.1 key awplus-local-radius-server ↓ awplus(config)# aaa authentication openvpn default group radius ↓
awplus(config)# interface tunnel0 ↓
awplus(config-if)# tunnel mode openvpn tun ↓
awplus(config-if)# ip address 192.168.254.1/24 ↓
# OpenVPNサーバー(ルーター)と接続先ポートの指定 remote 10.1.1.1 1194 udp # 経路情報等をサーバーから取得する pull # TLSクライアントを有効にする tls-client # openvpnバージョンの指定 compat-mode 2.4.0 # 使用する暗号形式 data-ciphers AES-256-GCM:AES-128-GCM:Chacha20-Poly1305 cipher AES-128-CBC # デジタル署名形式 auth SHA1 # TLSのバージョン tls-version-min 1.2 # TLSの形式 tls-cipher TLS-DHE-RSA-WITH-AES-256-CBC-SHA explicit-exit-notify # ユーザー名・パスワード認証を有効にする auth-user-pass # ルーターから取得したローカルCAの自署ルート証明書 ca cacert.pem # keepaliveの送信間隔とタイムアウトの時間 keepalive 10 120 # アイドル時間 inactive 300 100000 # 使用するモード(Tunモード) dev tun # インターフェースのIPをサーバーから取得する float # IPv6のトンネリングを有効にする(Tunモードのみ) tun-ipv6 # トンネルを有効にする(Tunモード時必須) topology subnet # 暗号化前のパケットのTOS値を暗号化後のパケットにコピーする passtos # 接続に使用するポート番号 port 1194 # ログのレベル(0~7)。0はログを生成せず、数が大きくなるほど詳細なログを表示する verb 3 # パスワードの保存を無効にする setenv ALLOW_PASSWORD_SAVE 0
Note上記の設定ファイル例は参考のために示した最小限の設定であり、動作を保証するものではありません。使用するクライアントやそのバージョン、OS、ネットワーク環境などによって必要な設定は異なりますので、あらかじめご了承ください。なお、OpenVPNを使用するための具体的かつ全体的な設定については「設定例集」もご参照ください。
NoteiOS版クライアントを使用する場合はクライアント設定ファイルの変更が必要です。詳しくは「iOS版クライアントを使用する場合」をご覧ください。
Notecaオプションで指定するCA証明書ファイルの配布方法については、「証明書の準備と配布」をご覧ください。
NoteAndroid版およびiOS版クライアントではTap(L2)モードでのOpenVPN接続が未サポートのため、本構成は使用できません。
awplus(config)# radius-server local ↓ Created trustpoint "local". Generating 2048-bit key for local CA... Automatically authenticated trustpoint "local". Automatically enrolled the local server to trustpoint "local".
awplus(config-radsrv)# user userA password passwordA ↓ awplus(config-radsrv)# user userB password passwordB ↓ awplus(config-radsrv)# user userC password passwordC ↓
awplus(config-radsrv)# server enable ↓ awplus(config-radsrv)# exit ↓
awplus(config)# radius-server host 127.0.0.1 key awplus-local-radius-server ↓ awplus(config)# aaa authentication openvpn default group radius ↓
awplus(config)# ip dhcp option 121 name Classless-Static-Route hex ↓ awplus(config)# ip dhcp pool pool254 ↓ awplus(dhcp-config)# network 192.168.254.0 255.255.255.0 ↓ awplus(dhcp-config)# range 192.168.254.231 192.168.254.240 ↓ awplus(dhcp-config)# dns-server 192.168.10.5 ↓ awplus(dhcp-config)# option Classless-Static-Route 18c0a80ac0a8fe01 ↓ awplus(dhcp-config)# lease 0 2 0 ↓
Note本製品のDHCPサーバー機能を利用してOpenVPNクライアントにIPアドレスを提供する場合は、ip dhcp optionコマンドで定義した DHCPオプション121(Classless Static Route Option)を用いてスタティック経路を通知してください。
optionコマンドで指定している18c0a80ac0a8fe01
は、各経路の「宛先ネットワークマスク長、宛先ネットワークアドレス、ネクストホップアドレス」を16進数表記で連結したもので、次のように解釈します。
16進表記 10進表記 説明 経路エントリー #1 (宛先 192.168.10/24 ネクストホップ 192.168.254.1) 18
24
宛先マスク長 c0 a8 0a
192 168 10
宛先アドレス c0 a8 fe 01
192 168 254 1
ネクストホップアドレス
awplus(config)# interface tunnel0 ↓
awplus(config-if)# tunnel mode openvpn tap ↓
awplus(config-if)# ip address 192.168.254.1/24 ↓
# OpenVPNサーバー(ルーター)と接続先ポートの指定 remote 10.1.1.1 1194 udp # 経路情報等をサーバーから取得する pull # TLSクライアントを有効にする tls-client # openvpnバージョンの指定 compat-mode 2.4.0 # 使用する暗号形式 data-ciphers AES-256-GCM:AES-128-GCM:Chacha20-Poly1305 cipher AES-128-CBC # デジタル署名形式 auth SHA1 # TLSのバージョン tls-version-min 1.2 # TLSの形式 tls-cipher TLS-DHE-RSA-WITH-AES-256-CBC-SHA explicit-exit-notify # ユーザー名・パスワード認証を有効にする auth-user-pass # ルーターから取得したローカルCAの自署ルート証明書 ca cacert.pem # keepaliveの送信間隔とタイムアウトの時間 keepalive 10 120 # アイドル時間 inactive 300 100000 # 使用するモード(Tapモード) dev tap # インターフェースのIPをサーバーから取得する float # トンネルを有効にする topology subnet # 暗号化前のパケットのTOS値を暗号化後のパケットにコピーする passtos # 接続に使用するポート番号 port 1194 # ログのレベル(0~7)。0はログを生成せず、数が大きくなるほど詳細なログを表示する verb 3 # パスワードの保存を無効にする setenv ALLOW_PASSWORD_SAVE 0
Note上記の設定ファイル例は参考のために示した最小限の設定であり、動作を保証するものではありません。使用するクライアントやそのバージョン、OS、ネットワーク環境などによって必要な設定は異なりますので、あらかじめご了承ください。なお、OpenVPNを使用するための具体的かつ全体的な設定については「設定例集」もご参照ください。
NoteAndroid版およびiOS版クライアントではTap(L2)モードでのOpenVPN接続は未サポートです。
Notecaオプションで指定するCA証明書ファイルの配布方法については、「証明書の準備と配布」をご覧ください。
NoteAndroid版およびiOS版クライアントではTap(L2)モードでのOpenVPN接続が未サポートのため、本構成は使用できません。
awplus(config)# radius-server local ↓ Created trustpoint "local". Generating 2048-bit key for local CA... Automatically authenticated trustpoint "local". Automatically enrolled the local server to trustpoint "local".
awplus(config-radsrv)# user userA password passwordA ↓ awplus(config-radsrv)# user userB password passwordB ↓ awplus(config-radsrv)# user userC password passwordC ↓
awplus(config-radsrv)# server enable ↓ awplus(config-radsrv)# exit ↓
awplus(config)# radius-server host 127.0.0.1 key awplus-local-radius-server ↓ awplus(config)# aaa authentication openvpn default group radius ↓
awplus(config)# interface tunnel0 ↓
awplus(config-if)# tunnel mode openvpn tap ↓
awplus(config-if)# exit ↓ awplus(config)# bridge 1 ↓
awplus(config)# interface vlan1 ↓ awplus(config-if)# bridge-group 1 ↓ awplus(config-if)# exit ↓
awplus(config)# interface tunnel0 ↓ awplus(config-if)# mtu 1500 ↓ awplus(config-if)# bridge-group 1 ↓ awplus(config-if)# exit ↓
awplus(config)# interface br1 ↓ awplus(config-if)# ip address 192.168.10.1/24 ↓
# OpenVPNサーバー(ルーター)と接続先ポートの指定 remote 10.1.1.1 1194 udp # 経路情報等をサーバーから取得する pull # TLSクライアントを有効にする tls-client # openvpnバージョンの指定 compat-mode 2.4.0 # 使用する暗号形式 data-ciphers AES-256-GCM:AES-128-GCM:Chacha20-Poly1305 cipher AES-128-CBC # デジタル署名形式 auth SHA1 # TLSのバージョン tls-version-min 1.2 # TLSの形式 tls-cipher TLS-DHE-RSA-WITH-AES-256-CBC-SHA explicit-exit-notify # ユーザー名・パスワード認証を有効にする auth-user-pass # ルーターから取得したローカルCAの自署ルート証明書 ca cacert.pem # keepaliveの送信間隔とタイムアウトの時間 keepalive 10 120 # アイドル時間 inactive 300 100000 # 使用するモード(Tapモード) dev tap # インターフェースのIPをサーバーから取得する float # トンネルを有効にする topology subnet # 暗号化前のパケットのTOS値を暗号化後のパケットにコピーする passtos # 接続に使用するポート番号 port 1194 # ログのレベル(0~7)。0はログを生成せず、数が大きくなるほど詳細なログを表示する verb 3 # パスワードの保存を無効にする setenv ALLOW_PASSWORD_SAVE 0
Note上記の設定ファイル例は参考のために示した最小限の設定であり、動作を保証するものではありません。使用するクライアントやそのバージョン、OS、ネットワーク環境などによって必要な設定は異なりますので、あらかじめご了承ください。なお、OpenVPNを使用するための具体的かつ全体的な設定については「設定例集」もご参照ください。
NoteAndroid版およびiOS版クライアントではTap(L2)モードでのOpenVPN接続は未サポートです。
Notecaオプションで指定するCA証明書ファイルの配布方法については、「証明書の準備と配布」をご覧ください。
awplus> show interface tunnel0 ↓ Interface tunnel0 Link is UP, administrative state is UP Hardware is Tunnel index 11 metric 1 mtu 1500 Bridge-group 1 (br1) <UP,BROADCAST,RUNNING,PROMISC,MULTICAST> SNMP link-status traps: Disabled Tunnel source UNKNOWN, destination UNKNOWN Tunnel name local awplus, remote UNKNOWN Tunnel ID local (not set), remote (not set) Tunnel protocol/transport openvpn tap, key disabled, sequencing disabled Tunnel TTL - Tunnel RADIUS servers: host 127.0.0.1, port 1812 Checksumming of packets disabled, path MTU discovery disabled input packets 1279, bytes 141524, dropped 0, multicast packets 0 output packets 97, bytes 9760, multicast packets 0 broadcast packets 0 Time since last state change: 0 days 00:26:27
awplus> show openvpn connections ↓ Maximum connections: 100 Interface: tunnel0 Rx Tx Username Real Address Bytes Bytes Connected Since -------------------------------------------------------------------------------- userA ::ffff:10.1.252.4 46224 29943 Tue Mar 31 05:40:57 2015 userB ::ffff:10.213.82.232 6224 4150 Tue Mar 31 06:40:57 2015 userC ::ffff:10.10.10.184 15768 11087 Tue Mar 31 06:43:22 2015
awplus> show openvpn connections detail ↓ Interface: tunnel0 Username: userA Route: 192.168.20.0 255.255.255.0 192.168.10.32 Address: 192.168.10.231 255.255.255.0 DNS Server: 192.168.10.3 DNS Server: 192.168.10.4 Username: userB Route: 192.168.20.0 255.255.255.0 192.168.10.32 Address: 192.168.10.232 255.255.255.0 Username: userC Route: 192.168.20.0 255.255.255.0 192.168.10.32 Address: 192.168.10.233 255.255.255.0
Noteユーザー情報や提供する属性値の登録方法など、外部RADIUSサーバー、LDAPサーバーの設定方法については、ご使用になるRADIUSサーバー、LDAPサーバーのマニュアルをご参照ください。
awplus(config)# radius-server host 192.168.10.5 key external-radius-server-password ↓参照:「運用・管理」/「RADIUSクライアント」
awplus(config)# ldap-server our_directory ↓ awplus(config-ldap-server)# host 192.168.10.3 ↓ awplus(config-ldap-server)# bind authenticate root-dn cn=Administrator,cn=Users,dc=example,dc=local password 1ih3eaToo ↓ awplus(config-ldap-server)# base-dn dc=example,dc=local ↓ awplus(config-ldap-server)# login-attribute sAMAccountName ↓ awplus(config-ldap-server)# exit ↓ awplus(config)# aaa authentication openvpn default group ldap ↓参照:「運用・管理」/「LDAPクライアント」
Note現在ローカルRADIUSサーバーを使用していなくても、過去に一度でも設定を行ったことがある場合は証明書が生成されている可能性があります。
awplus(config)# end ↓ awplus# show crypto pki certificates ↓
awplus# show crypto pki certificates ↓ -------------------- Trustpoint "local" Certificate Chain -------------------- Server certificate Subject : /O=Allied-Telesis/CN=AlliedwarePlusSystem Issuer : /O=Allied Telesis, Inc./CN=AlliedWarePlusCAXXXXXXXXXXXXXXXX Algorithms : Public Key : rsaEncryption, 2048 bits : Signature : sha256WithRSAEncryption Valid From : Jul 30 10:56:08 2015 GMT Valid To : Jul 28 10:56:08 2020 GMT Fingerprint : 3A5B3E3B C0A4AE91 96386D8F 45A52EDA 60BA2084 Self-signed root certificate Subject : /O=Allied Telesis, Inc./CN=AlliedWarePlusCAXXXXXXXXXXXXXXXX Issuer : /O=Allied Telesis, Inc./CN=AlliedWarePlusCAXXXXXXXXXXXXXXXX Algorithms : Public Key : rsaEncryption, 2048 bits : Signature : sha256WithRSAEncryption Valid From : Jul 30 10:56:08 2015 GMT Valid To : Jul 27 10:56:08 2025 GMT Fingerprint : 8E668937 D96ABC7C A537CA93 E4FFFC60 1CB02C6C
awplus# show crypto pki certificates ↓ There are no trustpoints defined.
awplus# show crypto pki certificates ↓ -------------------- Trustpoint "local" Certificate Chain -------------------- Self-signed root certificate Subject : /O=Allied Telesis, Inc./CN=AlliedWarePlusCAXXXXXXXXXXXXXXXX Issuer : /O=Allied Telesis, Inc./CN=AlliedWarePlusCAXXXXXXXXXXXXXXXX Algorithms : Public Key : rsaEncryption, 2048 bits : Signature : sha256WithRSAEncryption Valid From : Jul 30 12:23:22 2015 GMT Valid To : Jul 27 12:23:22 2025 GMT Fingerprint : 89FAF3C8 FAD1773A 3D34DFA1 2BF4C600 A076B443
awplus# configure terminal ↓ Enter configuration commands, one per line. End with CNTL/Z. awplus(config)# crypto pki trustpoint local ↓ Created trustpoint "local". Generating 2048-bit key for local CA... Automatically authenticated trustpoint "local". awplus(ca-trustpoint)# end ↓ awplus# crypto pki enroll local ↓ Using private key "server-default"... Successfully enrolled the local server.
awplus# crypto pki enroll local ↓ Using private key "server-default"... Successfully enrolled the local server.
awplus# configure terminal ↓ Enter configuration commands, one per line. End with CNTL/Z. awplus(config)# crypto pki trustpoint local ↓ Created trustpoint "local". Generating 2048-bit key for local CA... Automatically authenticated trustpoint "local". awplus(ca-trustpoint)# end ↓ awplus# crypto pki enroll local ↓ Using private key "server-default"... Successfully enrolled the local server.
Note「ユーザー名・パスワード認証」は必須です。無効にはできません。
awplus(config)# interface tunnel0 ↓ awplus(config-if)# tunnel openvpn verify-client-certificate trustpoint local ↓
awplus(config)# interface tunnel0 ↓ awplus(config-if)# no tunnel openvpn verify-client-certificate strict-common-name-check ↓
CA証明書、サーバー証明書 | CA証明書、サーバー証明書 | |
CA証明書 | CA証明書、クライアント証明書 |
CA証明書、サーバー証明書 | |
CA証明書 |
awplus# crypto pki export local pem terminal ↓ -----BEGIN CERTIFICATE----- MIIDdDCCAlygAwIBAgIJAMiyUsFb3mfKMA0GCSqGSIb3DQEBCwUAMEoxHTAbBgNV BAoMFEFsbGllZCBUZWxlc2lzLCBJbmMuMSkwJwYDVQQDDCBBbGxpZWRXYXJlUGx1 c0NBQTA1MDQ5MDAwMDAwMDAwMDAeFw0xNTA3MzAxMjI3NDhaFw0yNTA3MjcxMjI3 NDhaMEoxHTAbBgNVBAoMFEFsbGllZCBUZWxlc2lzLCBJbmMuMSkwJwYDVQQDDCBB bGxpZWRXYXJlUGx1c0NBQTA1MDQ5MDAwMDAwMDAwMDCCASIwDQYJKoZIhvcNAQEB BQADggEPADCCAQoCggEBAO1PtX5iOAP8fIOwHy1Gb1D2ZnNTGDVA/6/mWE7UJCU2 RA2pk6nwcTSyKtFIHKYMW+Zfu+K07NZzoNIENwVJoPSwdI4kSAVu6NBnWvQyTd1e yOvia6saU743p7eeiAUNOBNEFHw10wjvH0bG/8XdYZ+ZsKUroIozSKrakh0uCT/H /luAEAwuTNRxWWyfyNKOjCfC7eunPREubyVeKhnVdjZOYJllzf7y62baxfFmmRx3 FhzYZ8fI7fgvsZXmOu648jlEJzZvB+NT2hIc6Zrr/OQdpvfpa1R1e84RYcdQpI84 QjzDkxKj5xXGR25PqIqbm1Hha49HbgGLP1RgfWfPircCAwEAAaNdMFswHQYDVR0O BBYEFDKQyulFnc+P+cKNyoSUq2DiBCyvMB8GA1UdIwQYMBaAFDKQyulFnc+P+cKN yoSUq2DiBCyvMAsGA1UdDwQEAwIBBjAMBgNVHRMEBTADAQH/MA0GCSqGSIb3DQEB CwUAA4IBAQDsLgLmtZTLutmwQn9IvVxMHOZt1lR55y4Ol2gaScb2qUZ8Ow8+AxXA NfPevFPXwhs+0KwidOeJi1qrnBsbkrhea2T6AD13yHjLi+V/9xoL4QNaoP1C76e/ afYadCePY5KTcBw3J1uqZiIIZ8ZnuNLbWUEQPGoQhEwL2wbU1iQH9Xl1VfZZU477 bKgcQ/xwAn41MzH2kwbfe4iNfVhD6rcoFmFt+6x61oK/lsdyGHcJcXeR549Oaq6r a3J7+poja/k6P95uGKNq9gYIOkyATryot917Fjby16P3THmdg/eNlHPSpEExAnW0 5ZIw3kPC6CWlYqzYGLya73Ogh66h0Qra -----END CERTIFICATE-----上記操作により端末画面に表示された内容をPC上のテキストエディターなどにコピー&ペーストして保存します。
Noteコピーするのは、-----BEGIN CERTIFICATE-----
から-----END CERTIFICATE-----
の行までだけでかまいません(他の行を含んでいても問題はありません)。
awplus# crypto pki export local pem cacert.pem ↓ Copying... Successful operation awplus# dir ↓ 2917 -rw- Apr 2 2015 07:19:09 cacert.pem 1193 -rw- Apr 2 2015 07:14:51 default.cfg 39419519 -rw- Mar 24 2015 05:13:51 AR4050S-5.4.5-0.1.rel awplus# copy cacert.pem scp://zein@public.example.com/tmp/ ↓
ca cacert.pem
awplus# crypto pki export local pem terminal ↓ -----BEGIN CERTIFICATE----- MIIDdDCCAlygAwIBAgIJAMiyUsFb3mfKMA0GCSqGSIb3DQEBCwUAMEoxHTAbBgNV BAoMFEFsbGllZCBUZWxlc2lzLCBJbmMuMSkwJwYDVQQDDCBBbGxpZWRXYXJlUGx1 c0NBQTA1MDQ5MDAwMDAwMDAwMDAeFw0xNTA3MzAxMjI3NDhaFw0yNTA3MjcxMjI3 NDhaMEoxHTAbBgNVBAoMFEFsbGllZCBUZWxlc2lzLCBJbmMuMSkwJwYDVQQDDCBB bGxpZWRXYXJlUGx1c0NBQTA1MDQ5MDAwMDAwMDAwMDCCASIwDQYJKoZIhvcNAQEB BQADggEPADCCAQoCggEBAO1PtX5iOAP8fIOwHy1Gb1D2ZnNTGDVA/6/mWE7UJCU2 RA2pk6nwcTSyKtFIHKYMW+Zfu+K07NZzoNIENwVJoPSwdI4kSAVu6NBnWvQyTd1e yOvia6saU743p7eeiAUNOBNEFHw10wjvH0bG/8XdYZ+ZsKUroIozSKrakh0uCT/H /luAEAwuTNRxWWyfyNKOjCfC7eunPREubyVeKhnVdjZOYJllzf7y62baxfFmmRx3 FhzYZ8fI7fgvsZXmOu648jlEJzZvB+NT2hIc6Zrr/OQdpvfpa1R1e84RYcdQpI84 QjzDkxKj5xXGR25PqIqbm1Hha49HbgGLP1RgfWfPircCAwEAAaNdMFswHQYDVR0O BBYEFDKQyulFnc+P+cKNyoSUq2DiBCyvMB8GA1UdIwQYMBaAFDKQyulFnc+P+cKN yoSUq2DiBCyvMAsGA1UdDwQEAwIBBjAMBgNVHRMEBTADAQH/MA0GCSqGSIb3DQEB CwUAA4IBAQDsLgLmtZTLutmwQn9IvVxMHOZt1lR55y4Ol2gaScb2qUZ8Ow8+AxXA NfPevFPXwhs+0KwidOeJi1qrnBsbkrhea2T6AD13yHjLi+V/9xoL4QNaoP1C76e/ afYadCePY5KTcBw3J1uqZiIIZ8ZnuNLbWUEQPGoQhEwL2wbU1iQH9Xl1VfZZU477 bKgcQ/xwAn41MzH2kwbfe4iNfVhD6rcoFmFt+6x61oK/lsdyGHcJcXeR549Oaq6r a3J7+poja/k6P95uGKNq9gYIOkyATryot917Fjby16P3THmdg/eNlHPSpEExAnW0 5ZIw3kPC6CWlYqzYGLya73Ogh66h0Qra -----END CERTIFICATE-----
Noteコピーするのは、-----BEGIN CERTIFICATE-----
から-----END CERTIFICATE-----
の行までだけでかまいません。
<ca> -----BEGIN CERTIFICATE----- MIIDdDCCAlygAwIBAgIJAMiyUsFb3mfKMA0GCSqGSIb3DQEBCwUAMEoxHTAbBgNV BAoMFEFsbGllZCBUZWxlc2lzLCBJbmMuMSkwJwYDVQQDDCBBbGxpZWRXYXJlUGx1 c0NBQTA1MDQ5MDAwMDAwMDAwMDAeFw0xNTA3MzAxMjI3NDhaFw0yNTA3MjcxMjI3 NDhaMEoxHTAbBgNVBAoMFEFsbGllZCBUZWxlc2lzLCBJbmMuMSkwJwYDVQQDDCBB bGxpZWRXYXJlUGx1c0NBQTA1MDQ5MDAwMDAwMDAwMDCCASIwDQYJKoZIhvcNAQEB BQADggEPADCCAQoCggEBAO1PtX5iOAP8fIOwHy1Gb1D2ZnNTGDVA/6/mWE7UJCU2 RA2pk6nwcTSyKtFIHKYMW+Zfu+K07NZzoNIENwVJoPSwdI4kSAVu6NBnWvQyTd1e yOvia6saU743p7eeiAUNOBNEFHw10wjvH0bG/8XdYZ+ZsKUroIozSKrakh0uCT/H /luAEAwuTNRxWWyfyNKOjCfC7eunPREubyVeKhnVdjZOYJllzf7y62baxfFmmRx3 FhzYZ8fI7fgvsZXmOu648jlEJzZvB+NT2hIc6Zrr/OQdpvfpa1R1e84RYcdQpI84 QjzDkxKj5xXGR25PqIqbm1Hha49HbgGLP1RgfWfPircCAwEAAaNdMFswHQYDVR0O BBYEFDKQyulFnc+P+cKNyoSUq2DiBCyvMB8GA1UdIwQYMBaAFDKQyulFnc+P+cKN yoSUq2DiBCyvMAsGA1UdDwQEAwIBBjAMBgNVHRMEBTADAQH/MA0GCSqGSIb3DQEB CwUAA4IBAQDsLgLmtZTLutmwQn9IvVxMHOZt1lR55y4Ol2gaScb2qUZ8Ow8+AxXA NfPevFPXwhs+0KwidOeJi1qrnBsbkrhea2T6AD13yHjLi+V/9xoL4QNaoP1C76e/ afYadCePY5KTcBw3J1uqZiIIZ8ZnuNLbWUEQPGoQhEwL2wbU1iQH9Xl1VfZZU477 bKgcQ/xwAn41MzH2kwbfe4iNfVhD6rcoFmFt+6x61oK/lsdyGHcJcXeR549Oaq6r a3J7+poja/k6P95uGKNq9gYIOkyATryot917Fjby16P3THmdg/eNlHPSpEExAnW0 5ZIw3kPC6CWlYqzYGLya73Ogh66h0Qra -----END CERTIFICATE----- </ca>
Noteこの場合、クライアント設定ファイル内でCA証明書ファイルを指定する「ca」パラメーターを使用する必要はありません。
CA証明書、サーバー証明書 | |
CA証明書、クライアント証明書 |
awplus# crypto pki enroll local user userA ↓ Enter an export passphrase, or "abort" to cancel. XXXXXXXXXXXX ↓(実際には表示されません) Enter the export passphrase again. XXXXXXXXXXXX ↓(実際には表示されません) Generating a user private key for "userA"... Successfully enrolled user "userA". The PKCS#12 file is ready to export.
awplus# crypto pki export local pkcs12 userA flash:/userA.p12 ↓
LinuxPC$ openssl pkcs12 -in userA.p12 -nodes ↓ Enter Import Password: XXXXXXXXXXXX ↓(実際には表示されません)
Bag Attributes friendlyName: userA localKeyID: 5D A7 36 79 DD 9B FF FB A0 36 5C 91 DC 9E B8 BF 08 79 25 71 subject=O = AlliedWare Plus, CN = userA issuer=O = "Allied Telesis, Inc.", CN = AlliedWarePlusCAC6FDB7839B8348B1 -----BEGIN CERTIFICATE----- MIIDZjCCAk6gAwIBAgIJAPbTuArUiH2aMA0GCSqGSIb3DQEBCwUAMEoxHTAbBgNV BAoMFEFsbGllZCBUZWxlc2lzLCBJbmMuMSkwJwYDVQQDDCBBbGxpZWRXYXJlUGx1 c0NBQzZGREI3ODM5QjgzNDhCMTAeFw0yMzA0MjIwMzU3NDRaFw0yODA0MjAwMzU3 NDRaMCoxGDAWBgNVBAoMD0FsbGllZFdhcmUgUGx1czEOMAwGA1UEAwwFdXNlckEw ggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDKmvdAxLz+deEsBy7uYcIA ... vhcZMW9XIga3YQ== -----END CERTIFICATE-----表示された内容のうち
-----BEGIN CERTIFICATE-----
から -----END CERTIFICATE-----
の行までをコピーし、クライアント設定ファイル内にペーストします。<cert> -----BEGIN CERTIFICATE----- MIIDZjCCAk6gAwIBAgIJAPbTuArUiH2aMA0GCSqGSIb3DQEBCwUAMEoxHTAbBgNV BAoMFEFsbGllZCBUZWxlc2lzLCBJbmMuMSkwJwYDVQQDDCBBbGxpZWRXYXJlUGx1 c0NBQzZGREI3ODM5QjgzNDhCMTAeFw0yMzA0MjIwMzU3NDRaFw0yODA0MjAwMzU3 NDRaMCoxGDAWBgNVBAoMD0FsbGllZFdhcmUgUGx1czEOMAwGA1UEAwwFdXNlckEw ggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDKmvdAxLz+deEsBy7uYcIA ... vhcZMW9XIga3YQ== -----END CERTIFICATE----- </cert>
Bag Attributes: <No Attributes> subject=O = "Allied Telesis, Inc.", CN = AlliedWarePlusCAC6FDB7839B8348B1 issuer=O = "Allied Telesis, Inc.", CN = AlliedWarePlusCAC6FDB7839B8348B1 -----BEGIN CERTIFICATE----- MIIDdDCCAlygAwIBAgIJAN8HeNbORdmzMA0GCSqGSIb3DQEBCwUAMEoxHTAbBgNV BAoMFEFsbGllZCBUZWxlc2lzLCBJbmMuMSkwJwYDVQQDDCBBbGxpZWRXYXJlUGx1 c0NBQzZGREI3ODM5QjgzNDhCMTAeFw0yMjA4MDkwNjU5NDZaFw0zMjA4MDYwNjU5 NDZaMEoxHTAbBgNVBAoMFEFsbGllZCBUZWxlc2lzLCBJbmMuMSkwJwYDVQQDDCBB bGxpZWRXYXJlUGx1c0NBQzZGREI3ODM5QjgzNDhCMTCCASIwDQYJKoZIhvcNAQEB ... NI2r2/BsMGFZDm185o1u37AlaKz7Jssj -----END CERTIFICATE-----表示された内容のうち
-----BEGIN CERTIFICATE-----
から -----END CERTIFICATE-----
の行までをコピーし、クライアント設定ファイル内にペーストします。<ca> -----BEGIN CERTIFICATE----- MIIDdDCCAlygAwIBAgIJAN8HeNbORdmzMA0GCSqGSIb3DQEBCwUAMEoxHTAbBgNV BAoMFEFsbGllZCBUZWxlc2lzLCBJbmMuMSkwJwYDVQQDDCBBbGxpZWRXYXJlUGx1 c0NBQzZGREI3ODM5QjgzNDhCMTAeFw0yMjA4MDkwNjU5NDZaFw0zMjA4MDYwNjU5 NDZaMEoxHTAbBgNVBAoMFEFsbGllZCBUZWxlc2lzLCBJbmMuMSkwJwYDVQQDDCBB bGxpZWRXYXJlUGx1c0NBQzZGREI3ODM5QjgzNDhCMTCCASIwDQYJKoZIhvcNAQEB ... NI2r2/BsMGFZDm185o1u37AlaKz7Jssj -----END CERTIFICATE----- </ca>
Bag Attributes friendlyName: userA localKeyID: 5D A7 36 79 DD 9B FF FB A0 36 5C 91 DC 9E B8 BF 08 79 25 71 Key Attributes: <No Attributes> -----BEGIN PRIVATE KEY----- MIIEvQIBADANBgkqhkiG9w0BAQEFAASCBKcwggSjAgEAAoIBAQDKmvdAxLz+deEs By7uYcIAD4XHJAQp9JnCPts+HEypCT6EbHURuf7Fgq4K+31JFo4vaQwUj/HR13Wb zRXBlBomcj7ClxXZ+40zlkIqK8ktV5CFEh9aZY6rBJIH6Mz/YYdFqv6wko9Z51Tm sRxab0NCREJz+or+GOZZwzi8xMssuazgmzTL05IBGNCf7JxIgMkDfBirJh4UH0hS o4AxDTFpubowMtV66+KNy2rXDXFeXCGcCL8VhCpv+BU61Q+xgQ37uexEvHGPrDDk ... XF+KgN13JEFZbPwoxZYlk/4= -----END PRIVATE KEY-----表示された内容のうち
-----BEGIN PRIVATE KEY-----
から -----END PRIVATE KEY-----
の行までをコピーし、クライアント設定ファイル内にペーストします。<key> -----BEGIN PRIVATE KEY----- MIIEvQIBADANBgkqhkiG9w0BAQEFAASCBKcwggSjAgEAAoIBAQDKmvdAxLz+deEs By7uYcIAD4XHJAQp9JnCPts+HEypCT6EbHURuf7Fgq4K+31JFo4vaQwUj/HR13Wb zRXBlBomcj7ClxXZ+40zlkIqK8ktV5CFEh9aZY6rBJIH6Mz/YYdFqv6wko9Z51Tm sRxab0NCREJz+or+GOZZwzi8xMssuazgmzTL05IBGNCf7JxIgMkDfBirJh4UH0hS o4AxDTFpubowMtV66+KNy2rXDXFeXCGcCL8VhCpv+BU61Q+xgQ37uexEvHGPrDDk ... XF+KgN13JEFZbPwoxZYlk/4= -----END PRIVATE KEY----- </key>
NoteローカルCAでは証明書失効リスト(CRL)の発行をサポートしていないため、ユーザー証明書を無効にするには、ローカルCAの再セットアップが必要となります(crypto pki trustpointコマンドをno形式、通常形式の順に実行後、機器を再起動する)。なお、ローカルCAを再セットアップすると、それ以前に発行した証明書はすべて無効になり、再発行が必要になるので注意してください。
awplus(config)# crypto pki trustpoint openvpn_certs ↓ Created trustpoint "openvpn_certs". awplus(ca-trustpoint)# enrollment terminal ↓ awplus(ca-trustpoint)# end ↓
-----BEGIN CERTIFICATE-----
から -----END CERTIFICATE-----
の行までをコピー&ペーストして、「Enter」キーを押します。awplus# crypto pki authenticate openvpn_certs ↓ Paste the certificate PEM file into the terminal. Type "abort" to cancel. -----BEGIN CERTIFICATE----- XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX ... xaPuyjGcQ3kCjW32sO0InQxjLPCp/celKKRZbIwETAor -----END CERTIFICATE----- Complete ("END CERTIFICATE" detected). Subject : /C=JP/O=EXAMPLE/CN=SampleRootCA Issuer : /C=JP/O=EXAMPLE/CN=SampleRootCA Algorithms : Public Key : rsaEncryption, 2048 bits : Signature : sha256WithRSAEncryption Valid From : Apr 7 05:32:30 2023 GMT Valid To : Apr 4 05:32:30 2033 GMT Fingerprint : D51BB535 8CBCFE2C BDD6E56B 759BB5C9 4CF9DCBF This is a self-signed CA certificate. The certificate has been validated successfully. Accept this certificate? (y/n): y ↓ Successfully authenticated trustpoint "openvpn_certs".
-----BEGIN CERTIFICATE REQUEST-----
から -----END CERTIFICATE REQUEST-----
の行までをクリップボードにコピーしてPC上のファイル(ここでは「openvpn_server_csr.pem」とします)に保存してください。awplus# crypto pki enroll openvpn_certs ↓ Using private key "server-default"... Cut and paste this request to the certificate authority: ----------------------------------------------------------------- -----BEGIN CERTIFICATE REQUEST----- XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX ... sQCD7gbOkrMSEpDCSdB85P5on2Gs+CwpHsYlhA== -----END CERTIFICATE REQUEST----- -----------------------------------------------------------------
-----BEGIN CERTIFICATE-----
から -----END CERTIFICATE-----
の行までをコピー&ペーストして、「Enter」キーを押します。awplus# crypto pki import openvpn_certs pem terminal ↓ Paste the certificate PEM file into the terminal. Type "abort" to cancel. -----BEGIN CERTIFICATE----- XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX ... WF/C9/ijoy0UIjDFJms6uBo5gw== -----END CERTIFICATE----- Complete ("END CERTIFICATE" detected). Subject : /C=JP/O=EXAMPLE/CN=OpenVPNServer Issuer : /C=JP/O=EXAMPLE/CN=SampleRootCA Algorithms : Public Key : rsaEncryption, 2048 bits : Signature : sha256WithRSAEncryption Valid From : Apr 19 07:41:24 2023 GMT Valid To : Apr 18 07:41:24 2024 GMT Fingerprint : FAB1FC57 6CD0DC6A 7198C3F2 67E37C0F 6FAE8AFB This is not a valid CA certificate. Attempting to import as a server certificate. The certificate has been validated successfully. Accept this certificate? (y/n): y ↓ The certificate was successfully imported.
Noteここでは、外部CAにOpenVPNユーザー「userA」のクライアント証明書の発行を依頼し、userA.p12という名前のPKCS#12形式ファイルを入手したものと仮定します。同ファイルにはクライアント証明書とクライアント秘密鍵に加え、外部CA自身の証明書も含まれているものとします。tunnel openvpn verify-client-certificate strict-common-name-checkコマンドを設定する場合は一致しなくてもかまいません。
LinuxPC$ openssl pkcs12 -in userA.p12 -nodes ↓ Enter Import Password: XXXXXXXXXXXX ↓(実際には表示されません)
Noteクライアント証明書、クライアント秘密鍵、CA証明書をPEM形式で入手・保持している場合、本手順は不要です。
Noteクライアント証明書、クライアント秘密鍵、CA証明書をPEM形式で入手・保持している場合は、各ファイルの内容を適宜ペーストしてください。
Bag Attributes friendlyName: userA localKeyID: 5D A7 36 79 DD 9B FF FB A0 36 5C 91 DC 9E B8 BF 08 79 25 71 subject=C = JP, O = EXAMPLE, CN = userA issuer=C = JP, O = EXAMPLE, CN = SampleRootCA -----BEGIN CERTIFICATE----- MIIDZjCCAk6gAwIBAgIJAPbTuArUiH2aMA0GCSqGSIb3DQEBCwUAMEoxHTAbBgNV BAoMFEFsbGllZCBUZWxlc2lzLCBJbmMuMSkwJwYDVQQDDCBBbGxpZWRXYXJlUGx1 c0NBQzZGREI3ODM5QjgzNDhCMTAeFw0yMzA0MjIwMzU3NDRaFw0yODA0MjAwMzU3 NDRaMCoxGDAWBgNVBAoMD0FsbGllZFdhcmUgUGx1czEOMAwGA1UEAwwFdXNlckEw ggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDKmvdAxLz+deEsBy7uYcIA ... vhcZMW9XIga3YQ== -----END CERTIFICATE-----表示された内容のうち
-----BEGIN CERTIFICATE-----
から -----END CERTIFICATE-----
の行までをコピーし、クライアント設定ファイル内にペーストします。<cert> -----BEGIN CERTIFICATE----- MIIDZjCCAk6gAwIBAgIJAPbTuArUiH2aMA0GCSqGSIb3DQEBCwUAMEoxHTAbBgNV BAoMFEFsbGllZCBUZWxlc2lzLCBJbmMuMSkwJwYDVQQDDCBBbGxpZWRXYXJlUGx1 c0NBQzZGREI3ODM5QjgzNDhCMTAeFw0yMzA0MjIwMzU3NDRaFw0yODA0MjAwMzU3 NDRaMCoxGDAWBgNVBAoMD0FsbGllZFdhcmUgUGx1czEOMAwGA1UEAwwFdXNlckEw ggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDKmvdAxLz+deEsBy7uYcIA ... vhcZMW9XIga3YQ== -----END CERTIFICATE----- </cert>
Bag Attributes: <No Attributes> subject=C = JP, O = EXAMPLE, CN = SampleRootCA issuer=C = JP, O = EXAMPLE, CN = SampleRootCA -----BEGIN CERTIFICATE----- MIIDdDCCAlygAwIBAgIJAN8HeNbORdmzMA0GCSqGSIb3DQEBCwUAMEoxHTAbBgNV BAoMFEFsbGllZCBUZWxlc2lzLCBJbmMuMSkwJwYDVQQDDCBBbGxpZWRXYXJlUGx1 c0NBQzZGREI3ODM5QjgzNDhCMTAeFw0yMjA4MDkwNjU5NDZaFw0zMjA4MDYwNjU5 NDZaMEoxHTAbBgNVBAoMFEFsbGllZCBUZWxlc2lzLCBJbmMuMSkwJwYDVQQDDCBB bGxpZWRXYXJlUGx1c0NBQzZGREI3ODM5QjgzNDhCMTCCASIwDQYJKoZIhvcNAQEB ... NI2r2/BsMGFZDm185o1u37AlaKz7Jssj -----END CERTIFICATE-----表示された内容のうち
-----BEGIN CERTIFICATE-----
から -----END CERTIFICATE-----
の行までをコピーし、クライアント設定ファイル内にペーストします。<ca> -----BEGIN CERTIFICATE----- MIIDdDCCAlygAwIBAgIJAN8HeNbORdmzMA0GCSqGSIb3DQEBCwUAMEoxHTAbBgNV BAoMFEFsbGllZCBUZWxlc2lzLCBJbmMuMSkwJwYDVQQDDCBBbGxpZWRXYXJlUGx1 c0NBQzZGREI3ODM5QjgzNDhCMTAeFw0yMjA4MDkwNjU5NDZaFw0zMjA4MDYwNjU5 NDZaMEoxHTAbBgNVBAoMFEFsbGllZCBUZWxlc2lzLCBJbmMuMSkwJwYDVQQDDCBB bGxpZWRXYXJlUGx1c0NBQzZGREI3ODM5QjgzNDhCMTCCASIwDQYJKoZIhvcNAQEB ... NI2r2/BsMGFZDm185o1u37AlaKz7Jssj -----END CERTIFICATE----- </ca>
Bag Attributes friendlyName: userA localKeyID: 5D A7 36 79 DD 9B FF FB A0 36 5C 91 DC 9E B8 BF 08 79 25 71 Key Attributes: <No Attributes> -----BEGIN PRIVATE KEY----- MIIEvQIBADANBgkqhkiG9w0BAQEFAASCBKcwggSjAgEAAoIBAQDKmvdAxLz+deEs By7uYcIAD4XHJAQp9JnCPts+HEypCT6EbHURuf7Fgq4K+31JFo4vaQwUj/HR13Wb zRXBlBomcj7ClxXZ+40zlkIqK8ktV5CFEh9aZY6rBJIH6Mz/YYdFqv6wko9Z51Tm sRxab0NCREJz+or+GOZZwzi8xMssuazgmzTL05IBGNCf7JxIgMkDfBirJh4UH0hS o4AxDTFpubowMtV66+KNy2rXDXFeXCGcCL8VhCpv+BU61Q+xgQ37uexEvHGPrDDk ... XF+KgN13JEFZbPwoxZYlk/4= -----END PRIVATE KEY-----表示された内容のうち
-----BEGIN PRIVATE KEY-----
から -----END PRIVATE KEY-----
の行までをコピーし、クライアント設定ファイル内にペーストします。<key> -----BEGIN PRIVATE KEY----- MIIEvQIBADANBgkqhkiG9w0BAQEFAASCBKcwggSjAgEAAoIBAQDKmvdAxLz+deEs By7uYcIAD4XHJAQp9JnCPts+HEypCT6EbHURuf7Fgq4K+31JFo4vaQwUj/HR13Wb zRXBlBomcj7ClxXZ+40zlkIqK8ktV5CFEh9aZY6rBJIH6Mz/YYdFqv6wko9Z51Tm sRxab0NCREJz+or+GOZZwzi8xMssuazgmzTL05IBGNCf7JxIgMkDfBirJh4UH0hS o4AxDTFpubowMtV66+KNy2rXDXFeXCGcCL8VhCpv+BU61Q+xgQ37uexEvHGPrDDk ... XF+KgN13JEFZbPwoxZYlk/4= -----END PRIVATE KEY----- </key>
# 経路情報等をサーバーから取得する pull # TLSクライアントを有効にする tls-client
# TLSクライアントを有効にする client # クライアント証明書 setenv CLIENT_CERT 0 # 経路情報 route 192.168.10.0 255.255.255.0
Noteエンティティー定義にもとづく経路通知と他の方式の併用可否は以下のとおりです。
- (a) RADIUS属性Framed-Route
併用可能。RADIUS属性で指定した経路とエンティティー定義内の経路がすべて通知されます。
- (b) DHCPオプション121(Classless Static Route Option)(Tap(L2)の場合)
Windows版クライアント(OpenVPN GUI、vpnux Client)のみ併用可能。DHCPオプション121で指定した経路とエンティティー定義内の経路がすべて通知されます。
- (c) クライアント設定ファイルのrouteディレクティブ(iOS版クライアントの場合)
併用できません。
Noteエンティティー定義の詳細については「UTM」/「エンティティー定義」をご覧ください。
Noteサブネット定義ではインターフェースを指定しないでください。インターフェース指定付きサブネットは通知されません。
awplus(config)# zone ovpn_routes ↓ awplus(config-zone)# network private ↓ awplus(config-network)# ip subnet 10.25.0.0/16 ↓ awplus(config-network)# exit ↓ awplus(config-zone)# network public ↓ awplus(config-network)# host server ↓ awplus(config-host)# ip address dynamic fqdn cloud-server.example.com ↓ awplus(config-host)# exit ↓ awplus(config-network)# exit ↓ awplus(config-zone)# exit ↓
NoteここではOpenVPNトンネルインターフェースとしての他の設定は省いています。利用環境にあわせて適宜設定してください。
awplus(config)# interface tunnel0 ↓ awplus(config-if)# tunnel openvpn route ovpn_routes ↓
Noteエンティティー定義内の経路が通知されるのはOpenVPNクライアントが接続してきたときだけです。
OpenVPNクライアントの接続中にエンティティー定義の内容を変更しても経路情報の更新通知は行われません。
変更後に新規接続してきたOpenVPNクライアントには新しい経路情報が通知されます。
(C) 2019 - 2024 アライドテレシスホールディングス株式会社
PN: 613-002735 Rev.AD