[index] AT-AR2010V コマンドリファレンス 5.4.6

VPN / OpenVPN

Note - OpenVPNトンネルインターフェースは同時に2つまで使用可能です（TunモードとTapモードを1つずつ）。なお、2つ同時に使用する場合は、各トンネルインターフェースで異なるUDPポート番号を使用するよう設定してください（tunnel openvpn portコマンド）。

1. ローカルRADIUSサーバーにOpenVPNユーザーを登録します。
   ここでは、userA、userB、userCという3人のユーザーを登録するものとします。
   
   
   • ローカルRADIUSサーバーの設定を開始します。これには、radius-server localコマンドを実行します。
     初回実行時のみ、ローカルCA（ローカルなルート認証局）の初期設定（自署ルートCA証明書の発行など）やサーバー証明書の発行などが自動的に行われ、またローカルホスト（127.0.0.1）をRADIUSクライアント（NAS）として自動登録します。
     

     awplus(config)# radius-server local ↓ Creating Local CA repository.....OK Enrolling Local System to local trustpoint..OK

     
     
   • ネットワーク設定情報を提供するため、ユーザーごとにユーザーグループを作成し、IPアドレスやスタティック経路、DNSサーバーアドレスなどの指定を行います。ユーザーグループの作成はgroupで、各種情報の指定はattributeでおこないます。
     ユーザーuserA
     

     awplus(config-radsrv)# group userA ↓ awplus(config-radsrv-group)# attribute Service-Type Authenticate-Only ↓ awplus(config-radsrv-group)# attribute Framed-IP-Address 192.168.254.231 ↓ awplus(config-radsrv-group)# attribute Framed-IP-Netmask 255.255.255.0 ↓ awplus(config-radsrv-group)# attribute Framed-Route "192.168.10.0/24 192.168.254.1" ↓ awplus(config-radsrv-group)# attribute MS-Primary-DNS-Server 192.168.10.5 ↓ awplus(config-radsrv-group)# exit ↓

     
     ユーザーuserB
     

     awplus(config-radsrv)# group userB ↓ awplus(config-radsrv-group)# attribute Service-Type Authenticate-Only ↓ awplus(config-radsrv-group)# attribute Framed-IP-Address 192.168.254.232 ↓ awplus(config-radsrv-group)# attribute Framed-IP-Netmask 255.255.255.0 ↓ awplus(config-radsrv-group)# attribute Framed-Route "192.168.10.0/24 192.168.254.1" ↓ awplus(config-radsrv-group)# attribute MS-Primary-DNS-Server 192.168.10.5 ↓ awplus(config-radsrv-group)# exit ↓

     
     ユーザーuserC
     

     awplus(config-radsrv)# group userC ↓ awplus(config-radsrv-group)# attribute Service-Type Authenticate-Only ↓ awplus(config-radsrv-group)# attribute Framed-IP-Address 192.168.254.233 ↓ awplus(config-radsrv-group)# attribute Framed-IP-Netmask 255.255.255.0 ↓ awplus(config-radsrv-group)# attribute Framed-Route "192.168.10.0/24 192.168.254.1" ↓ awplus(config-radsrv-group)# attribute MS-Primary-DNS-Server 192.168.10.5 ↓ awplus(config-radsrv-group)# exit ↓

     
     
   • ユーザーを登録します。これには、userの各コマンドを使います。
     ユーザー名、パスワードに加え、groupパラメーターでネットワーク設定情報を含むユーザーグループを指定しています。
     

     awplus(config-radsrv)# user userA password passwordA group userA ↓ awplus(config-radsrv)# user userB password passwordB group userB ↓ awplus(config-radsrv)# user userC password passwordC group userC ↓

     
     
   • ローカルRADIUSサーバーを有効化します。これには、server enableコマンドを使います。
     

     awplus(config-radsrv)# server enable ↓ awplus(config-radsrv)# exit ↓

   
   
2. OpenVPNで使用するRADIUSサーバーを登録します。これには、radius-server hostコマンドとaaa authentication openvpnコマンドを使います。
   

   awplus(config)# radius-server host 127.0.0.1 key awplus-local-radius-server ↓ awplus(config)# aaa authentication openvpn default group radius ↓

   
   
3. トンネルインターフェースtunnel0を作成します。これにはinterfaceコマンドを使います。
   

   awplus(config)# interface tunnel0 ↓

   
   
4. トンネリング方式としてopenvpn tunを指定します。これには、tunnel mode openvpn tunコマンドを使います。
   

   awplus(config-if)# tunnel mode openvpn tun ↓

   
   
5. トンネルインターフェースtunnel0にIPアドレスを設定して、同インターフェースでIPv4パケットのルーティングが行われるようにします。これには、ip addressコマンドを使います。
   

   awplus(config-if)# ip address 192.168.254.1/24 ↓

client dev tun proto udp remote 10.1.1.1 topology subnet nobind ca cacert.pem persist-key persist-tun cipher AES-128-CBC verb 3 auth-user-pass

Note - 上記の設定ファイル例は参考のために示した最小限の設定であり、動作を保証するものではありません。使用するクライアントやそのバージョン、OS、ネットワーク環境などによって必要な設定は異なりますので、あらかじめご了承ください。なお、OpenVPNを使用するための具体的かつ全体的な設定については「設定例集」もご参照ください。

Note - iOS版クライアントを使用する場合はクライアント設定ファイルの変更が必要です。詳しくは「iOS版クライアントを使用する場合」をご覧ください。

Note - caオプションで指定するCA証明書ファイルの配布方法については、「CA証明書ファイルの配布方法」をご覧ください。

Note - Android版およびiOS版クライアントではTap(L2)モードでのOpenVPN接続が未サポートのため、本構成は使用できません。

1. ローカルRADIUSサーバーにOpenVPNユーザーを登録します。
   ここでは、userA、userB、userCという3人のユーザーを登録するものとします。
   
   
   • ローカルRADIUSサーバーの設定を開始します。これには、radius-server localコマンドを実行します。
     初回実行時のみ、ローカルCA（ローカルなルート認証局）の初期設定（自署ルートCA証明書の発行など）やサーバー証明書の発行などが自動的に行われ、またローカルホスト（127.0.0.1）をRADIUSクライアント（NAS）として自動登録します。
     

     awplus(config)# radius-server local ↓ Creating Local CA repository.....OK Enrolling Local System to local trustpoint..OK

     
     
   • ユーザーを登録します。これには、userの各コマンドを使います。
     この例ではIP設定情報をDHCPで提供するためユーザーグループの設定は不要です。
     

     awplus(config-radsrv)# user userA password passwordA ↓ awplus(config-radsrv)# user userB password passwordB ↓ awplus(config-radsrv)# user userC password passwordC ↓

     
     
   • ローカルRADIUSサーバーを有効化します。これには、server enableコマンドを使います。
     

     awplus(config-radsrv)# server enable ↓ awplus(config-radsrv)# exit ↓

   
   
2. OpenVPNで使用するRADIUSサーバーを登録します。これには、radius-server hostコマンドとaaa authentication openvpnコマンドを使います。
   

   awplus(config)# radius-server host 127.0.0.1 key awplus-local-radius-server ↓ awplus(config)# aaa authentication openvpn default group radius ↓

   
   
3. IP設定情報を提供するため、DHCPサーバーの設定を行います。
   DHCPサーバー機能の詳細については「IP付加機能」/「DHCPサーバー」をご覧ください。
   

   awplus(config)# ip dhcp pool pool254 ↓ awplus(dhcp-config)# network 192.168.254.0 255.255.255.0 ↓ awplus(dhcp-config)# range 192.168.254.231 192.168.254.240 ↓ awplus(dhcp-config)# default-router 192.168.254.1 ↓ awplus(dhcp-config)# dns-server 192.168.10.5 ↓ awplus(dhcp-config)# lease 0 2 0 ↓

   
   
4. トンネルインターフェースtunnel0を作成します。これにはinterfaceコマンドを使います。
   

   awplus(config)# interface tunnel0 ↓

   
   
5. トンネリング方式としてopenvpn tunを指定します。これには、tunnel mode openvpn tunコマンドを使います。
   

   awplus(config-if)# tunnel mode openvpn tap ↓

   
   
6. トンネルインターフェースtunnel0にIPアドレスを設定して、同インターフェースでIPv4パケットのルーティングが行われるようにします。これには、ip addressコマンドを使います。
   

   awplus(config-if)# ip address 192.168.254.1/24 ↓

client dev tap proto udp remote 10.1.1.1 nobind ca cacert.pem persist-key persist-tun cipher AES-128-CBC verb 3 auth-user-pass

Note - 上記の設定ファイル例は参考のために示した最小限の設定であり、動作を保証するものではありません。使用するクライアントやそのバージョン、OS、ネットワーク環境などによって必要な設定は異なりますので、あらかじめご了承ください。なお、OpenVPNを使用するための具体的かつ全体的な設定については「設定例集」もご参照ください。

Note - Android版およびiOS版クライアントではTap(L2)モードでのOpenVPN接続は未サポートです。

Note - caオプションで指定するCA証明書ファイルの配布方法については、「CA証明書ファイルの配布方法」をご覧ください。

Note - Android版およびiOS版クライアントではTap(L2)モードでのOpenVPN接続が未サポートのため、本構成は使用できません。

1. ローカルRADIUSサーバーにOpenVPNユーザーを登録します。
   ここでは、userA、userB、userCという3人のユーザーを登録するものとします。
   
   
   • ローカルRADIUSサーバーの設定を開始します。これには、radius-server localコマンドを実行します。
     初回実行時のみ、ローカルCA（ローカルなルート認証局）の初期設定（自署ルートCA証明書の発行など）やサーバー証明書の発行などが自動的に行われ、またローカルホスト（127.0.0.1）をRADIUSクライアント（NAS）として自動登録します。
     

     awplus(config)# radius-server local ↓ Creating Local CA repository.....OK Enrolling Local System to local trustpoint..OK

     
     
   • ユーザーを登録します。これには、userの各コマンドを使います。
     この例ではIP設定情報をLAN上に存在するDHCPで提供するためユーザーグループの設定は不要です。
     

     awplus(config-radsrv)# user userA password passwordA ↓ awplus(config-radsrv)# user userB password passwordB ↓ awplus(config-radsrv)# user userC password passwordC ↓

     
     
   • ローカルRADIUSサーバーを有効化します。これには、server enableコマンドを使います。
     

     awplus(config-radsrv)# server enable ↓ awplus(config-radsrv)# exit ↓

   
   
2. OpenVPNで使用するRADIUSサーバーを登録します。これには、radius-server hostコマンドとaaa authentication openvpnコマンドを使います。
   

   awplus(config)# radius-server host 127.0.0.1 key awplus-local-radius-server ↓ awplus(config)# aaa authentication openvpn default group radius ↓

   
   
3. トンネルインターフェースtunnel0を作成します。これにはinterfaceコマンドを使います。
   

   awplus(config)# interface tunnel0 ↓

   
   
4. トンネリング方式としてopenvpn tapを指定します。これには、tunnel mode openvpn tapコマンドを使います。
   

   awplus(config-if)# tunnel mode openvpn tap ↓

   
   
5. ソフトウェアブリッジ「1」を作成します。これには、bridgeコマンドを使います。
   

   awplus(config-if)# exit ↓ awplus(config)# bridge 1 ↓

   
   
6. ソフトウェアブリッジ「1」にeth2を追加します。これには、bridge-groupコマンドを使います。
   

   awplus(config)# interface eth2 ↓ awplus(config-if)# bridge-group 1 ↓ awplus(config-if)# exit ↓

   
   
7. ソフトウェアブリッジ「1」にtunnel0を追加します。これには、bridge-groupコマンドを使います。
   

   awplus(config)# interface tunnel0 ↓ awplus(config-if)# mtu 1500 ↓ awplus(config-if)# bridge-group 1 ↓ awplus(config-if)# exit ↓

   
   
8. ソフトウェアブリッジ「1」を表すブリッジインターフェースbr1にIPアドレスを設定し、ソフトウェアブリッジ「1」と他のインターフェースの間でルーティングを行えるようにします。これには、ip addressコマンドを使います。
   

   awplus(config)# interface br1 ↓ awplus(config-if)# ip address 192.168.10.1/24 ↓

client dev tap proto udp remote 10.1.1.2 nobind ca cacert.pem persist-key persist-tun verb 3 auth-user-pass cipher AES-128-CBC

Note - 上記の設定ファイル例は参考のために示した最小限の設定であり、動作を保証するものではありません。使用するクライアントやそのバージョン、OS、ネットワーク環境などによって必要な設定は異なりますので、あらかじめご了承ください。なお、OpenVPNを使用するための具体的かつ全体的な設定については「設定例集」もご参照ください。

Note - Android版およびiOS版クライアントではTap(L2)モードでのOpenVPN接続は未サポートです。

Note - caオプションで指定するCA証明書ファイルの配布方法については、「CA証明書ファイルの配布方法」をご覧ください。

awplus> show interface tunnel0 ↓ Interface tunnel0 Link is UP, administrative state is UP Hardware is Tunnel index 11 metric 1 mtu 1500 Bridge-group 1 (br1) <UP,BROADCAST,RUNNING,PROMISC,MULTICAST> SNMP link-status traps: Disabled Tunnel source UNKNOWN, destination UNKNOWN Tunnel name local awplus, remote UNKNOWN Tunnel ID local (not set), remote (not set) Tunnel protocol/transport openvpn tap, key disabled, sequencing disabled Tunnel TTL - Tunnel RADIUS servers: host 127.0.0.1, port 1812 Checksumming of packets disabled, path MTU discovery disabled input packets 1279, bytes 141524, dropped 0, multicast packets 0 output packets 97, bytes 9760, multicast packets 0 broadcast packets 0 Time since last state change: 0 days 00:26:27

awplus> show openvpn connections ↓ Maximum connections: 100 Interface: tunnel0 Rx Tx Username Real Address Bytes Bytes Connected Since -------------------------------------------------------------------------------- userA ::ffff:10.1.252.4 46224 29943 Tue Mar 31 05:40:57 2015 userB ::ffff:10.213.82.232 6224 4150 Tue Mar 31 06:40:57 2015 userC ::ffff:10.10.10.184 15768 11087 Tue Mar 31 06:43:22 2015

awplus> show openvpn connections detail ↓ Interface: tunnel0 Username: userA Route: 192.168.20.0 255.255.255.0 192.168.10.32 Address: 192.168.10.231 255.255.255.0 DNS Server: 192.168.10.3 DNS Server: 192.168.10.4 Username: userB Route: 192.168.20.0 255.255.255.0 192.168.10.32 Address: 192.168.10.232 255.255.255.0 Username: userC Route: 192.168.20.0 255.255.255.0 192.168.10.32 Address: 192.168.10.233 255.255.255.0

Note - ユーザー情報や提供する属性値の登録方法など、外部RADIUSサーバーの設定方法については、ご使用になるRADIUSサーバーのマニュアルをご参照ください。

1. radius-server hostコマンドでは、ローカルRADIUSサーバーを表す「127.0.0.1」ではなく、外部RADIUSサーバーのアドレスと共有パスワードを指定してください。
   

   awplus(config)# radius-server host 192.168.10.5 key external-radius-server-password ↓

   
   
2. ローカルRADIUSサーバーを使う場合、ローカルRADIUSサーバーのセットアップ過程でOpenVPNのサーバー認証に必要なCA証明書とサーバー証明書が自動的に生成されますが、外部RADIUSサーバーを使う場合は自動生成されていない可能性が高いため、必要な証明書が作られているかどうかを確認します。これには、特権EXECモードのshow crypto pki certificatesコマンドを使います。
   

   Note - 現在ローカルRADIUSサーバーを使用していなくても、過去に一度でも設定を行ったことがある場合は証明書が生成されている可能性があります。

   awplus(config)# end ↓ awplus# show crypto pki certificates ↓

   
   
   • 次のように「Local CA」（CA証明書）と「Local System」（サーバー証明書）が表示される場合は、必要な証明書が存在していますので、これで設定変更は完了です。
     

     awplus# show crypto pki certificates ↓ Certificate: Local CA Version: 3 (0x2) Serial Number: 0 (0x0) Signature Algorithm: sha1WithRSAEncryption Issuer: O=Allied-Telesis, CN=AlliedwarePlusCA Validity Not Before: Apr 22 02:26:46 2015 GMT Not After : Apr 17 02:26:46 2035 GMT Subject: O=Allied-Telesis, CN=AlliedwarePlusCA Certificate: Local System Version: 3 (0x2) Serial Number: 1 (0x1) Signature Algorithm: sha1WithRSAEncryption Issuer: O=Allied-Telesis, CN=AlliedwarePlusCA Validity Not Before: Apr 22 02:27:12 2015 GMT Not After : Apr 19 02:27:12 2025 GMT Subject: O=Allied-Telesis, CN=AlliedwarePlusSystem

     
     
   • 次のように何も表示されなかったり、「Local CA」（CA証明書）と「Local System」（サーバー証明書）のどちらか一方しか表示されない場合は、手順3に進み、不足している証明書を生成してください。
     

     awplus# show crypto pki certificates ↓ awplus#

     
     

     awplus# show crypto pki certificates ↓ Certificate: Local CA Version: 3 (0x2) Serial Number: 0 (0x0) Signature Algorithm: sha1WithRSAEncryption Issuer: O=Allied-Telesis, CN=AlliedwarePlusCA Validity Not Before: Apr 22 02:26:46 2015 GMT Not After : Apr 17 02:26:46 2035 GMT Subject: O=Allied-Telesis, CN=AlliedwarePlusCA awplus#

   
   
3. 手順2の確認で証明書が不足していた場合は、下記の手順にしたがい足りない証明書を生成してください。
   
   
   • 手順2で何も表示されなかった場合は、crypto pki trustpoint localコマンドでローカルCAをセットアップしてCA証明書を生成し、続いてcrypto pki enroll localコマンドでサーバー証明書を発行します。
     

     awplus# configure terminal ↓ Enter configuration commands, one per line. End with CNTL/Z. awplus(config)# crypto pki trustpoint local ↓ Creating Local CA repository.....OK awplus(config)# crypto pki enroll local ↓ Enrolling Local System to local trustpoint..OK

     
     
   • 手順2で「Local CA」の証明書は表示されたものの、「Local System」の証明書が表示されなかった場合は、crypto pki enroll localコマンドでサーバー証明書だけを発行します。
     

     awplus# configure terminal ↓ Enter configuration commands, one per line. End with CNTL/Z. awplus(config)# crypto pki enroll local ↓ Enrolling Local System to local trustpoint..OK

     
     
   • 手順2で「Local System」の証明書は表示されたものの、「Local CA」の証明書が表示されなかった場合、表示された「Local System」の証明書は使えないため、何も表示されなかった場合と同様に、crypto pki trustpoint localコマンドでローカルCAをセットアップしてCA証明書を生成し（このとき既存のサーバー証明書は削除されます）、続いてcrypto pki enroll localコマンドでサーバー証明書を発行します。
     

     awplus# configure terminal ↓ Enter configuration commands, one per line. End with CNTL/Z. awplus(config)# crypto pki trustpoint local ↓ Creating Local CA repository.....OK awplus(config)# crypto pki enroll local ↓ Enrolling Local System to local trustpoint..OK

   
   証明書を生成したら、手順2に戻って必要な証明書が揃っているか再確認してください。問題がなければ、これで設定変更は完了です。
   

OpenVPNサーバー（本製品）	サーバー証明書
OpenVPNクライアント	CA証明書（サーバー証明書の検証に使う）

• クライアント認証にローカルRADIUSサーバー機能を使用する場合、これらの証明書はローカルRADIUSサーバーをセットアップする過程で自動的に生成されます。
  
  
• 一方、クライアント認証に外部RADIUSサーバーを使用する場合は環境によって状況が異なるため、前項「外部のRADIUSサーバーを使用する場合」を参照し、必要な証明書が存在しているかどうかを確認し、不足している場合は手動で生成してください。
  

1. 次のいずれかの方法でCA証明書をPEM形式ファイルとして保存します。
   
   
   • show crypto pki certificatesコマンドにlocal-caを指定して実行し、その出力をコピー＆ペーストなどでPC上のファイル（たとえば「cacert.pem」）として保存する。
     

     awplus# show crypto pki certificates local-ca ↓ ... (中略) ... -----BEGIN CERTIFICATE----- MIICXDCCAcWgAwIBAgIBADANBgkqhkiG9w0BAQUFADA0MRcwFQYDVQQKEw5BbGxp ZWQtVGVsZXNpczEZMBcGA1UEAxMQQWxsaWVkd2FyZVBsdXNDQTAeFw0xNTA0MDIw NzExMzZaFw0zNTAzMjgwNzExMzZaMDQxFzAVBgNVBAoTDkFsbGllZC1UZWxlc2lz MRkwFwYDVQQDExBBbGxpZWR3YXJlUGx1c0NBMIGfMA0GCSqGSIb3DQEBAQUAA4GN ADCBiQKBgQCnkAKQX8Ql/kM1Y7HxHeI4URUQQuueMZA4u4wjl8PnnaWz2C3dkD2H O2sPK0iH3sLlBxpxSb+GUr0CGgf/yhQJkWneowdXrPT/3UelJjpel8ZumMWRZMYj X0y4wgad88UzMWIb6sC9YWB/giMin85xiHBc9r2aYlmzB3f8XIKrCwIDAQABo34w fDAMBgNVHRMEBTADAQH/MCwGCWCGSAGG+EIBDQQfFh1PcGVuU1NMIEdlbmVyYXRl ZCBDZXJ0aWZpY2F0ZTAdBgNVHQ4EFgQUAqM5QngSwBUBZ/ADUJE5OBRTA2IwHwYD VR0jBBgwFoAUAqM5QngSwBUBZ/ADUJE5OBRTA2IwDQYJKoZIhvcNAQEFBQADgYEA NjM2YVSm+DLS3hdetVF4DW7v3Qhv2DOuAu4VWRJTgHTy3tTaG/AEBo41shZlId+P Gz2nAdjW1mS9GBjb7qcA6GcpdCxKJ0G1r0issEn7r4mP/k2BVHF5UsBiSFFZGzl7 jqG4zh9zJuSzxwza93HfvyIZQwm0BxpidmC/KxSZSX8= -----END CERTIFICATE-----

     上記操作により端末画面に表示された内容をPC上のテキストエディターなどにコピー＆ペーストして保存します。
     

     Note - コピーするのは、-----BEGIN CERTIFICATE----- から -----END CERTIFICATE----- の行までだけでかまいません（他の行を含んでいても問題はありません）。

     
     
   • crypto pki export local pem urlコマンドで本製品のファイルシステムにCA証明書をPEM形式で書き出し（この例では「flash:/cacert.pem」としてエクスポート）、そのファイルをcopyコマンドでサーバーなどにリモートコピーする。
     

     awplus(config)# crypto pki export local pem url cacert.pem ↓ Copying... Successful operation awplus(config)# exit ↓ awplus# dir ↓ 2917 -rw- Apr 2 2015 07:19:09 cacert.pem 1193 -rw- Apr 2 2015 07:14:51 default.cfg 39419519 -rw- Mar 24 2015 05:13:51 AR4050S-5.4.5-0.1.rel awplus# copy cacert.pem scp://zein@public.example.com/tmp/ ↓

   
   
2. 手順1の操作によりPCやサーバー上に保存したPEM形式のCA証明書ファイルを、任意の方法でOpenVPNクライアントのユーザーに配布します。
   
   
3. OpenVPNクライアントの設定ファイルでは、配布されたPEM形式のCA証明書ファイルを「ca」パラメーターで指定してください。
   

   ca cacert.pem

• 経路情報の追加
  iOS版クライアントで経路情報の設定を行うには、クライアント設定ファイル（.ovpnファイル）に以下の行を追加してください。
  

  route NETADDR NETMASK

  NETADDRには宛先のネットワークアドレスを、NETMASKにはネットマスクを指定します。
  次に具体例を示します。
  

  route 192.168.10.0 255.255.255.0

  
  経路情報は複数行記述することが可能です。
  
  
• 環境変数の追加
  iOS版クライアントでOpenVPN接続を行う場合は、クライアント設定ファイル（.ovpnファイル）に次の記述を追加してください。
  

  setenv CLIENT_CERT 0

(C) 2016 アライドテレシスホールディングス株式会社

PN: 613-002311 Rev.A