GL-iNet GL-AR750S OpenWRTにOpenConnectサーバをインストール

自宅の GL-iNet GL-AR750S には現在OpenVPNを入れているのですが、速度がイマイチ。OpenWRTには、CiscoのAnyConnect互換の OpenConnect サーバを立てられると散見したので、早速挑戦してみます。実は速度の伸びないOpenVPN代替VPNとして、Wireguardを試しました。ところがこれが繋がったり繋がらなかったりととても微妙で、そのトラブルシューティングにデバッグログ見たかったのですが、それにはソースからコンパイルしないと出力されないらしく、不完全燃焼のまま断念しました。

CiscoのAnyConnectは昔、クライアントとして少し触ったことがある程度ですが、導入に当たりOpenWRTでのわかりやすい解説を見付けたので、ほぼそれに沿って進めます。

Tommy 的自留地

在 OpenWrt 上搭建 OpenConnect (ocserv) 服务器

https://tommy.net.cn/2016/07/18/setting-up-openconnect-server-ocserv-on-openwrt/

前言以前连接回公司，经常都是使用 OpenVPN、PPTP、L2TP 什么的，感觉不是很难用，但也说不上很好用。但是因为大家都知道的原因，在 iOS 上 OpenVPN 基本上无法正常下载，这对于公司员工来说就比较麻烦了，因为并不是每个人都需要科学上网的。后来无意中发现了 OpenConnect VPN Server，感觉还不错，后来就用到公司网络上了。使用过一段时间，就考虑把家里的 OpenWr

パッケージのインストールはLuCI上から「luci-app-ocserv」を選んでインストールすれば、付随する必要なパッケージも同時にインストールされます。DDNSは既に使用しているので省略。

図1.luci-app-ocservパッケージの検索

図2.luci-app-ocservインストール中

インストール終了後、ブラウザをリロードすると、Servicesメニュー下にOpenConnect VPNという項目が追加されているはずです。

図3.OpenConnect VPN 設定ページ

今回の仕様は、Basic認証でVPN接続先をデフォルトルートとし、外向きトラフィックも含め全てVPNトンネルへ通すこととします。設定は基本的にデフォルトのままで、下のDNSにルータのLAN IPアドレスを追加、ルーティングは削除します。

図4.DNS & Routing設定

設定テンプレートタブでは、以下の項目を変更するのみ。

図5.Edit Template

# A banner to be displayed on clients
#banner = "Welcome to OpenWRT"


# The Certificate Authority that will be used to verify
# client certificates (public keys) if certificate authentication
# is set.
ca-cert = /etc/ocserv/ca.pem


# The object identifier that will be used to read the user ID in the client
# certificate. The object identifier should be part of the certificate's DN
# Useful OIDs are:
#  CN = 2.5.4.3, UID = 0.9.2342.19200300.100.1.1
cert-user-oid = 2.5.4.3

# A banner to be displayed on clients

#banner = "Welcome to OpenWRT"

# The Certificate Authority that will be used to verify

# client certificates (public keys) if certificate authentication

# is set.

ca-cert = /etc/ocserv/ca.pem

# The object identifier that will be used to read the user ID in the client

# certificate. The object identifier should be part of the certificate's DN

# Useful OIDs are:

# CN = 2.5.4.3, UID = 0.9.2342.19200300.100.1.1

cert-user-oid = 2.5.4.3

次にUser Settingsにて、必要なUser IDとパスワードを登録します。パスワードは保存後、下図のように暗号化されてしまうので忘れずに。

図6.User Settings

続いてFirewallの設定です。トンネルに使われるサブネット（192.168.100.0/24）が適切に通過出来るよう、/etc/firewall.userの末尾に以下を追加します。

iptables -t nat -I POSTROUTING -s 192.168.100.0/24 -j MASQUERADE
iptables -I FORWARD -i vpns+ -s 192.168.100.0/24 -j ACCEPT
iptables -I INPUT -i vpns+ -s 192.168.100.0/24 -j ACCEPT

iptables -t nat -I POSTROUTING -s 192.168.100.0/24 -j MASQUERADE

iptables -I FORWARD -i vpns+ -s 192.168.100.0/24 -j ACCEPT

iptables -I INPUT -i vpns+ -s 192.168.100.0/24 -j ACCEPT

Port Forwarding は、外向きの443番をOpenConnectが待ち受けている4443番へと交換するように設定します。

図7.Port Forwards

OpenConnectの設定は以上です。System -> Startupから「ocserv」サービスをEnabled かつ Startさせるか、CLIで次のコマンドを実行してサービスを有効・開始させます。

# /etc/init.d/ocserv enable
# /etc/init.d/ocserv start

1 2	# /etc/init.d/ocserv enable # /etc/init.d/ocserv start

図8.InitScripts

正しく機能しているか、Anrdoid端末で接続試験してみます。PlayストアからCisco謹製AnyConnectをインストール。新しい接続を作成し、ルータのDDNS名を入れて接続します。その際、サーバ証明書が出自不明なので警告が毎回出ますが続行。ユーザIDとパスワードを入力すると接続します。

図9.AnyConnectアプリ

今回はここまで。次回Ubuntuから接続して、スピードテストをOpenVPNの時と比較してみたいと思います。

参考と鳴謝）

www.ioiox.com

OpenWRT 路由器 OpenConnect VPN 详细图文教程 - 基础配置篇 - 思有云 - IOIOX

https://www.ioiox.com/archives/89.html

前言博主早年一直认为在家中部署VPN并没有实际意义,使用体验也不佳.随着宽带和网络技术的进步,家用 NAS 等设备的普及,加上对不可描述的网络需求,使用OpenWRT软路由作为网络核心,使得整个...

www.ioiox.com

OpenWRT 路由器 OpenConnect VPN 详细图文教程 - 证书配置篇 - 思有云 - IOIOX

https://www.ioiox.com/archives/90.html

前言上文详细介绍了 OpenWRT 路由器 OpenConnect VPN 的基础配置,本文将介绍通过部署自签 CA 根证书和客户端用户证书来实现更安全和方便的登录方式.i> 作为完美主义...

日	月	火	水	木	金	土
			1	2	3	4
5	6	7	8	9	10	11
12	13	14	15	16	17	18
19	20	21	22	23	24	25
26	27	28	29	30	31

GL-iNet GL-AR750S OpenWRTにOpenConnectサーバをインストール

関連記事

コメントを残すコメントをキャンセル

共有:

関連記事

コメントを残す コメントをキャンセル

コメントを残すコメントをキャンセル