tunnel openvpn tls-crypt
- モード
- インターフェースモード
- カテゴリー
- VPN / OpenVPN
構文
(config-if)# tunnel openvpn tls-crypt FILEPATH
(config-if)# no tunnel openvpn tls-crypt
コマンド説明
対象OpenVPNトンネルインターフェースでTLS-Cryptを有効にする。また、該当インターフェースで使用するTLS-Crypt用の事前共有鍵ファイルを指定する。no形式で実行した場合は該当インターフェースでTLS-Cryptを無効にする。
初期設定は無効。
TLS-Cryptは、事前共有鍵を用いてOpenVPNセッションの全パケットを暗号化する機能。通常暗号化されないTLSハンドシェイクのパケットも暗号化することで、セキュリティーをより強化することができる。
パラメーター
FILEPATH- TLS-Cryptで使用する事前共有鍵ファイルのパス。フラッシュメモリー上の絶対パス(flash:/で始まるパス)を指定すること。指定したファイルが存在しない場合は、該当インターフェースのUP時に自動生成される。事前共有鍵ファイルはOpenVPNサーバー(本製品)とすべてのクライアントに同じものをインストールしておく必要がある
使用例
OpenVPNトンネルインターフェースtunnel0でTLS-Cryptを有効にする。awplus(config)# interface tunnel0 awplus(config-if)# tunnel openvpn tls-crypt flash:/openvpn.key
注意・補足事項
事前共有鍵ファイルをクライアント側で使用可能にするには次のいずれかの方法を用いる。- クライアントに鍵ファイルを転送し、クライアント設定ファイルの「tls-crypt」パラメーターで鍵ファイルを指定する。
tls-crypt openvpn.key
- 事前共有鍵ファイル(テキストファイル)の内容をクライアント設定ファイル内にコピー&ペーストする。
コピーした内容の直前の行には <tls-crypt> を、直後の行には </tls-crypt> を記述すること。
なお、この場合「tls-crypt」パラメーターは不要。
<tls-crypt> # # 2048 bit OpenVPN static key # -----BEGIN OpenVPN Static key V1----- 5b2065decfed4fc0a0d47fa12cef9e97 8d67099b6b9939763621a1be512f73e9 dd1fd36115aec46eb8bc0bfed401bf22 a291eeb79dcf95197d6537a19c33f039 41b985a68fa7bb92dcb5076052233a77 2be437eadc5ee7c58ea6980f5eff9660 ef7e0b22da5ac0c5e14f7a3d19571a30 4ea683423becaeef819b47c744abdb59 365abc293e31d22ba20ea6e27bc1aed4 73477a1d679d47b878abc2ab15a90a6a 2c8dd57bafbe2074722d6067291bc9a2 c5a3202bd8d57a67db48486f626fda87 2c91e7246de6b064b775fe2b3f7bdecc dfbe151bddf25864152f3084fd4fc328 3e38bcfec7cb08fe126224db0bed94e7 083e8811d6f4b2dd4726dd99c3d29d4c -----END OpenVPN Static key V1----- </tls-crypt>