VPNの導入の続き。
・openvpnインストール(記述略)
・基本設定:検索するといくつも見つかるが、直近(2021-12-29)に書かれたページがあったので、それを参考にさせてもらう。わかりやすい。
・上からの変更点:ポイントはsakuraのスイッチで構成しているLAN内部とクライアント側から通信だけできればいいので、次のように設定する。
/etc/ufw/before.rules
*nat
:POSTROUTING ACCEPT [0:0]
#tun0=>LAN側
-A POSTROUTING -s tun0のセグメント/24 -o LANのdevice名 -j MASQUERADE
COMMIT
/etc/openvpn/server.conf
push "route LANセグメント 255.255.255.0"
#mkdir /etc/openvps/ccdする
#/etc/openvpn/ccd/<vpnで設定したCN名>のファイル
client-config-dir ccd
route xxx.xxx.xxx.0 255.255.255.0<====クライアント側のLANセグメント
route 172.23.0.0 255.255.0.0<====wls2の割当セグメント
/etc/openvpn/ccd/<vpnで設定したCN名>のファイル
iroute xxx.xxx.xxx.0 255.255.255.0
iroute 172.23.0.0 255.255.0.0
あとはlocalからsakura側LANにpingがかかるか確認後、
・ssh configのSSHProxy をすべて廃止
・更に今まで某ホストでglobal ipで空けていたssh portを閉じる。
・各ホストにはlocalセグメントに限ってsshポートを許可する(これはいままでと同じ)。
・vpnホストのsshは、vpnのトンネル側ipセグメント(10.8.0.0だった場合は ufw allow from 10.0.8.0/24 to any port sshポート番号)のみに許す(vpn動かしているだけだから、これも閉じていてOKだと思うが、とりあえず)。
VPNホストのufw status
Status: active
To Action From
-- ------ ----
VPN接続ポート/udp ALLOW Anywhere
SSH接続ポート ALLOW xx.xx.xx.0/24<==tun0の所属セグメント
ホントは、数台なのでxx.xx.xx.0/29 程度(tunnel gateway含めて8台分)でいい。
それでは、事務用サイトはどうするか?。別記事で書く。