序章

OpenVPNは、トラフィックが盗聴されないようにするための優れたツールです。 これを使用して、ラップトップからDigitalOcean VPS(ドロップレット)への安全な接続、およびクラウドサーバー間の安全な接続を確保できます。 両方を同時に行うこともできます。

これは、絶対確実で、決定的な、完全に安全な、人生に依存する一連の指示ではありません。 ここでは3つのショートカットを使用します。これは、使いやすさとセキュリティの間の合理的なトレードオフであると思いますが、これらの指示に従った場合でも、私もDigitalOceanもVPSのセキュリティに責任を負いません。

暗号化のロックスターを引用するには、「構想からインストールまでのすべてのステップで何をしているのかを知る必要があります。」 — Bruce Schneier

この記事は、仮想プライベートネットワークのセットアップを開始するのに役立ちます。 あなたは警告されました。 ‘は、付録1 で、これらのショートカットを作成しないようにするためのショートカットと一般的な順序を示します。

相互に接続するクラウドサーバーを2つだけにしたい場合は、より単純な(ただし安全性は低い)チュートリアルを見つけることをお勧めします。ただし、これはセットアップの容易さとセキュリティの間の適切な妥協点です。

ノート: このチュートリアルでは、IPv4セキュリティについて説明します。 Linuxでは、IPv6のセキュリティはIPv4とは別に維持されます。 たとえば、「iptables」はIPv4アドレスのファイアウォールルールのみを維持しますが、「ip6tables」と呼ばれるIPv6の対応物があり、IPv6ネットワークアドレスのファイアウォールルールを維持するために使用できます。

VPSがIPv6用に構成されている場合は、IPv4とIPv6の両方のネットワークインターフェイスを適切なツールで保護することを忘れないでください。 IPv6ツールの詳細については、次のガイドを参照してください。LinuxVPSでIPv6を使用するようにツールを構成する方法

入門

このOpenVPNセットアップには少なくとも2つのドロップレットまたはVPSが必要であり、大きな変更を加えることなく最大約60VPSで動作します。 したがって、開始するには、2つの液滴を作成します。 このチュートリアルの残りの部分では、これらをドロップレット1およびドロップレット2と呼びます。

ドロップレット1について

•Ubuntu13.04×32でドロップレットを作成します。

これは、DigitalOceanが提供するUbuntuのどのバージョンでも変更なしで機能するはずですが、13.04でのみテストされました。

セキュアシェルを介してVPSに接続します。 パッケージを更新し、いくつかのものをインストールします。

aptitude update && aptitude dist-upgrade -y && aptitude install openvpn firehol -y && reboot

この間にシェルが紫色になった場合は、「パッケージメンテナのバージョンのインストール」を2回選択するだけです。

一方、ドロップレット2では

•Ubuntu13.04×32でドロップレットを作成します。

繰り返しますが、これはどのバージョンのUbuntuでも機能するはずです。

セキュアシェルを介してVPSに接続します。 いくつかのインストールでパッケージを更新します。

aptitude update && aptitude dist-upgrade -y && aptitude install openvpn -y && reboot

繰り返しになりますが、この間にシェルが紫色になった場合は、「パッケージメンテナーのバージョンのインストール」を2回選択するだけです。

キーの生成

キーの生成は、Droplet1でのみ実行されます。 シェルに次のコマンドを入力します。

cd /etc/openvpn/
mkdir easy-rsa
cd easy-rsa
cp -r /usr/share/doc/openvpn/examples/easy-rsa/2.0/* .

次に、キー生成プロセスを大幅に高速化するいくつかのプリセットを入力します。 次のコマンドを入力します。

nano /etc/openvpn/easy-rsa/vars

先に進み、次の値を編集します(さらにいくつか存在しますが、これらに対して行う必要があるだけです)。

  •   KEY_COUNTRY
  •   KEY_PROVINCE
  •   KEY_CITY
  •   KEY_ORG and
  •   KEY_EMAIL

保護を強化するために、KEY_SIZEを2048以上に調整できます。

Control-O、Enter、およびControl-Xを使用して保存し、終了します。

認証局の証明書とキーを作成する

次に、次のコマンドを入力します。

source vars
./clean-all
./build-ca

すべての質問でEnterキーを押すことができるはずです。

注:戻ってさらにキーを作成する必要がある場合は、’ source vars