yamata::memo

[続] シングルボードPC VPNパフォーマンス対決 - Raspberry Pi 2 参戦

2015-06-02T13:21:00.001+09:00

以前、Raspberry Pi B+、pcDuino 3、PCEngines APUでのパフォーマンス対決を行いましたが、せっかくなので Raspberry Pi 2 Model B でも検証してみました。CPUのパフォーマンスは最大6倍、メモリも2倍という触れ込みですので期待も膨らみますが、OpenVPNのパフォーマンスにはどれぐらいの影響があるでしょうか？

Raspberry Pi 2 Model B

Raspberry Piの最新機種で、2015年2月から発売開始になりました。以前のバージョンと大きく異なる点は、

CPUが900MHz quad-core ARM Cortex-A7 CPUに
メモリが1GBに

という2点です。こちらの記事によればCPUのパフォーマンスは最大で6倍になるとのことで、ちょっと期待してしまいます。

テスト環境のOSとしては前回同様、標準のRaspbianを使用しています。OpenVPNも前回同様にAPTを使ってインストールします。

Raspberry Pi 2 Model Bは￥5,000程度で購入できます。以前の機種に比べると若干価格は上昇していますが、まだまだ魅力的な価格帯です。

ネットワークスループット

まずはEthernetで直接接続した場合のスループットをiperfを使って測定してみましょう。

Raspberry Pi側でiperfをサーバーとして起動し、ギガビット対応のスイッチングハブだけを介したクライアントPC（Windows 7）がiperfクライアントとして接続するという前回と同様の構成です。

今回の結果は、だいたい90～91Mbps程度で落ち着きました。前回のRaspberry Piよりもちょっと下がっているのが謎ですが、前回とまったく同一の検証環境にはできなかったため、若干の違いが出ることはあり得るかもしれません。概ね妥当な数値だと思います。

OpenVPNスループット

さて、いよいよOpenVPNを使用した場合のスループットを計測してみましょう。

こちらも前回同様、Raspberry PiでOpenVPNサーバーを起動し、クライアントPCからOpenVPNを使って接続した上で、VPNアドレスに対してiperfを実行します。条件も前回同様です。

さて、結果はいかに？！

	Raspberry Pi 2
No.1	30.3
No.2	31.5
No.3	34.4
No.4	38.3
No.5	29.3
No.6	30.6
平均	32.4

お、なんか早くなっているのでは？
確認のために前回の結果とまとめると、こんな感じになります。

	Raspberry PI	Raspberry PI 2	pcDuino	APU
No.1	12.8	30.3	37.9	63.8
No.2	12.8	31.5	44.8	57.4
No.3	12.9	34.4	40.1	63.0
No.4	13.0	38.3	42.7	53.3
No.5	13.0	29.3	43.8	56.7
No.6	12.9	30.6	47.7	58.5
平均	12.9	32.4	42.8	58.8

総合まとめ

4機種での最終的なOpenVPNのスループットは、Raspberry Pi < Raspberry Pi 2 < pcDuino < APUという結果になりました。

Raspberry Pi 2は、さずがにpcDuinoを追い越すとまではいきませんでしたが、Raspberry Piの2倍～3倍ほどのスループットをたたき出しています。CPUが変わったことはVPNのパフォーマンス面でもいい効果が出ているようです。旧機種から価格もそれほど大きくは上昇していないことを考慮すると、なかなかのアップデートではないでしょうか。

なお、今回も基本的な設定のままでテストしていますので、まだチューンナップの余地はあります。また、Raspberry Piにはオーバークロックの機能もあるので（連続稼働環境ではさすがに怖いですが）、もう少し上も狙えるかもしれません。

TLSの脆弱性「Logjam」のOpenVPNへの影響

2015-05-22T11:05:00.000+09:00

HTTPSやSSH、もちろんOpenVPNでも使用されるTLSプロトコルに、新たな脆弱性「Logjam」が発見されました。すでにさまざまなメディアから内容が発表されています。

今回の脆弱性はDHパラメータ（Diffie-Hellman parameter）に関連したものです。DHパラメータは暗号化接続の初期段階で、クライアントとサーバーが暗号鍵を共有するために使用されるもので、OpenVPNでも使用しています。脆弱性の内容としては前回の「FREAK」と類似しており、中間者攻撃によって暗号化の強度を下げさせ、通信内容の傍受や改ざんが可能になる、というものです。

この脆弱性の詳細については、piyologさんがいつものようにまとめてくださっていますので、そちらをご参照ください。

TLSの脆弱性ですので、「OpenVPNへの影響は...？」と気になるところですが、公式MLでのやり取りをまとめると、次のようになります。

OpenVPNでは、サーバーセットアップ時に openssl dhparam コマンドを使ってOpenVPN専用のDHパラメータを生成しているため、DHパラメータを別個に生成しない使用方法よりは安全といえる。
openssl dhparam コマンドの実行時に鍵長を 2048ビット以上にしていれば安全（こちらを参照）。1024ビットの場合は攻撃される可能性は否定できないが、それでも簡単ではない。
TLS-Authが有効になっていればこの種のTLSのダウングレード攻撃は回避できる。

最近はDHパラメータは2048ビット以上で生成するのが一般的ですし、OpenVPNではそれほど大きな問題にはならなさそうです。ただし、以前から使用しているサーバーなど、DHパラメータを1024ビット以下で生成している場合には2048ビット以上で生成し直し、設定を変更することをお勧めします。サーバー側だけの調整です。

openssl dhparam -out dh3072.pem 3072

でDHパラメータファイルを生成し、設定ファイルを

dh dh3072.pem

と変更して、OpenVPNサーバーを再起動します。

FREAKとは異なりOpenSSLの実装の問題ではないので、OpenVPNやOpenSSLのアップデートは必要はありません。

やはり「TLS-Auth最強！」ということですね。

TLS/SSLの脆弱性「FREAK」がOpenVPNに与える影響について

2015-03-06T15:45:00.000+09:00

OpenSSLをはじめとしたTLS/SSL実装に存在する脆弱性「FREAK」について各所で取り上げられています。アメリカの暗号輸出規制に伴って1990年代から残っていた問題とのことでも話題を集めていますが、この脆弱性がOpenVPNに与える影響について、公式なアナウンスが出ています。

Windows版をお使いの方はすぐに最新版（2.3.6-I002/I602）にアップデートされることをお勧めします。

公式アナウンスの日本語訳を掲載します。

OpenVPN Windows用インストーラ（バージョン 2.3.6-I002/I602以前のもの）に組み込まれているOpenSSLには、FREAKの脆弱性があります。
このバージョンを利用しているすべてのユーザーは最新版のOpenVPN Windows用インストーラでアップグレードするか、この脆弱性の影響を回避するための対策（後述）を取るようにお勧めします。
なお、*NIX環境においては、OpenSSLの最新版へのアップデートが正しく行われていれば、OpenVPN自体のアップデートは不要です。

この脆弱性がOpenVPNに与える影響についてですが、下記に示すように大きくはありません。

OpenVPNでTLS-Authが有効になっていればこの攻撃は防止できます。
サーバー側設定ファイルの tls-cipher ディレクティブに !EXP を追加すると攻撃の影響を避けられます。お勧めの tls-cipher ディレクティブの値は DEFAULT:!EXP:!LOW:!PSK:!SRP:!kRSA です。この設定にすると、輸出グレード暗号、弱い暗号（DESなど）、RSA鍵交換（RSA認証ではありません）が無効化され、より強力な暗号のみが利用できます。
2.3.6-I002/I602以前のバージョンを使用しているクライアント側の対策としては、tls-cipher ディレクティブに !kRSA を追加します。
攻撃者は中間者攻撃（Man-In-The-Middle）攻撃が可能でなければなりません。
攻撃者はOpenVPN接続を攻撃しようとする場合、OpenVPNインスタンス（再起動）ごとに攻撃する必要があり、かなりの手間と労力が必要になります。OpenVPNは独自の鍵交換メカニズムによってPFSを提供しており、仮に以前 RSA_EXPORT 暗号を使用していたとしても、一時的鍵を因数分解して以前のセッションのデータを解読することはできません。

TLS-Authが有効なら影響を回避できるとのことです。これまでの実績を考慮すると、やはりTLS-Authは有効にしておきたいですね。

ChromebookでOpenVPNを使ってみよう（基本編）

2015-03-04T15:51:00.000+09:00

昨年11月頃から国内でもChromebookが購入できるようになりましたが、Chromebookでは標準でOpenVPNが利用できます。Chromebookにはデバイスを集中管理するためのツールも用意されていることもあり、企業や教育機関などでも今後使用されるケースが増えていくかもしれません。

今回はChromebookでOpenVPNを使用する方法について説明しましょう。

押さえておくべきポイント

ChromebookにはOpenVPNが標準搭載されており、ソフトウェアのインストールなどを行わずにGUIで設定できます。しかし、GUIのみで設定できるようにしたい場合は、設定にいくつかの制限があります。主に注意すべき点として以下の点があります。

使用できるプロトコルはUDPのみ
使用できるポートは1194のみ
TLS-Authは使用できない
LZO圧縮が使用できない
ユーザーIDとパスワードでの認証が必須（証明書認証も使用できますが、ユーザーIDとパスワードを使った認証を併用しなければなりません）

なお、これらの制約の一部はoncファイル（Open Network Configurationファイル）と呼ばれる設定ファイルを使うと回避できるようになりますが、その方法については後日取り上げたいと思います。

最もシンプルな構成：ユーザーID/パスワード認証のみ

VPNサーバーの設定

VPNサーバー側で、ユーザーIDとパスワードでの認証を行えるように設定します（設定方法の例についてはこちらをご参照ください）。また、前述の制約にマッチするようにVPNサーバーを設定してください。Chromebookでの設定に必要なファイルはCA証明書（ca.crt）のみです。

Chromebookの設定

1. CA証明書をインストールする

ChromebookにCA証明書ファイル（ca.crt）をインストールします。

Chromebookでブラウザから「chrome://certificate-manager」にアクセスします。

「認証局」タブを選択し、「インポート」ボタンをクリックします。

ダイアログでインポートしたいca.crtファイルを選択し、「開く」をクリックします。このとき、インポートしたCAを認証局として信頼するかどうかを確認するダイアログが表示されますが、すべてOFFのままで使用できます。

インポートが完了すると、「認証局」の一覧にインポートしたCA証明書が表示されます。

2. OpenVPNを設定する

Chromebookの画面右下をクリックし、メニューから「設定」をクリックします。

「インターネット接続」にある「接続を追加」をクリックし、「プライベートネットワークを追加」をクリックします。

表示される設定画面でVPNの設定を入力します。

サーバーホスト名	接続先のVPNサーバーのホスト名/IPアドレスです。（例：vpn.example.org）
サービス名	接続先を識別するためのわかりやすい名前をつけます（例：Office）
プロバイダの種類	「OpenVPN」を選択します。
サーバーCA証明書	ドロップダウンリストから先ほどインポートしたCA証明書を選択します。
ユーザー証明書	「インストールされていません（未選択）」のまま。
ユーザー名	VPNに接続するためのユーザー名です。
パスワード	VPNに接続するためのパスワードです。
IDとパスワードを保存する	接続用のIDとパスワードを保存したい場合はONにします。

設定が完了したら「接続」で接続できます。一度設定したVPNはスクリーン右下のメニューからいつでも接続できます。

OpenVPNの脆弱性（CVE-2014-8104）について

2014-12-02T12:13:00.000+09:00

OpenVPNに関連する脆弱性（CVE-2014-8104）についての情報が公開されています。この脆弱性への対応が行われたOpenVPNの新しいバージョン（2.3.6）がリリースされていますので、なるべく早くアップデートするようにしてください。

OpenVPN公式サイトでこの脆弱性に関する情報が掲載されていましたので、日本語訳を掲載します（誤訳がある可能性もありますので、原文もご覧になることをお勧めします）。

概要

2014年11月下旬、Dragana Damjanovic によってOpenVPNのサービス拒否攻撃に関連する脆弱性（CVE-2014-8104）の報告がありました。この脆弱性を突くことにより、TLS認証済みのクライアントが小さなコントロールチャンネルパケットを送信することでOpenVPNサーバーをクラッシュさせることが可能になります。この脆弱性は「サービス拒否攻撃」にあたります。

修正されたバージョンであるOpenVPN 2.3.6が2014年12月1日 18:00 UTC にリリースされました。この修正はOpenVPN 2.2ブランチおよびリリース済みのOpenVPN 2.2.3 にもバックポートされています。

影響範囲

この脆弱性は 2005年以降にリリースされたOpenVPN 2.x のすべてのバージョンに影響を与えます（これ以前のバージョンにも影響を与える可能性があります）。なお、この脆弱性の影響を受けるのはサーバー機能のみです。トラフィックの機密性や信ぴょう性には影響を与えません。

OpenVPN Connectクライアント（Android、iOS）で使用されている OpenVPN 3.x コードベースはこの脆弱性はありませんし、サーバー側では使用されていません。

緩和する要素

OpenVPN サーバーの脆弱性を攻撃できるのは TLSで認証されたクライアントだけです。したがって、すべてのOpenVPNクライアントが信頼できるものであれば（流出/悪用されていなければ）、クライアント証明書とTLS-Authによってこの攻撃から防御することができることになります。ユーザー名/パスワードによる認証ではこの攻撃の防御はできません。また、サーバーで --client-cert-not-required を指定すると、攻撃の防御となるクライアント証明書が不要になるため、防御できなくなります。

クライアント証明書やTLS-Authの鍵を誰でも入手できる一部のVPNサービスプロバイダはこの脆弱性の影響を受けます。

OpenVPNの攻撃の実現性

認証されたクライアントによるこの脆弱性への攻撃によって、OpenVPNが簡単にクラッシュさせられることが確認されています。しかし、修正されたバージョン 2.3.6 のリリース以前にこの攻撃が行われたという情報はありません。

修正方法

修正されたバージョンのOpenVPNをインストールしてください。公式リリース版を使用している場合は、OpenVPN 2.3.6 または最新版の Git "master" を使用してください。OSのリポジトリからインストールしている場合は、そのリポジトリから最新版を取得してください。

OpenVPN 2.2ベースのパッケージを使用している場合は、Gitリポジトリのrelease/2.2ブランチにあるバックポートされたパッチを適用してください。

Access Serverへの影響

Access Serverのバージョン 2.0.11 以前にはこの脆弱性があります。修正後にリリースされた最初のバージョンは 2.0.11 になります。できるだけ早くアップデートを適用してください。

Image courtesy of Stuart Miles / FreeDigitalPhotos.net

シングルボードPC VPNパフォーマンス対決

2014-11-10T10:00:00.000+09:00

OpenVPNはLinuxをはじめとした幅広いプラットフォームで動作実績があるのが特徴の一つです。
今回は、最近の電子工作ブームでも話題のシングルボードPC 3機種をOpenVPNサーバーとしてセットアップし、OpenVPNのVPNパフォーマンスを測定してみましょう。

[追記（2015/6/2）] こちらに、Raspberry Pi 2を含めた結果をまとめました。

Raspberry Pi B+

泣く子も黙る、最近注目を浴びているシングルボードPCで、国内でも広く知られた機種です。もともとは教育用途での活用を想定して開発が進められてきましたが、その低価格と応用性の広さを強みに、電子工作などの分野で使用されてきています。今回は、今年6月から出荷開始されたRaspberry Pi B+を使って測定しています。

テスト環境のOSとしては、Raspberry Piでは標準的なRaspbianを使用しています。このOSはDebianベースなので、OpenVPNはAPTを使ってインストールできます。

Raspberry Pi B+は国内でも￥4,000程度で購入できます。この低価格はやはり魅力ですね。

pcDuino 3

Arduino互換の入出力コネクタを備えたシングルボードPCです。OSとしてLinux（Debian）だけでなく、Androidも使用できることが特徴です。

SoCとしてAllwinner A20を搭載。CPUコアはARM Cortex A7 ディアルコア（1GHz）です。このボードもRaspberry PIと同様、HDMIポートやUSBポートを備えており、小型PCとしても利用できます。

pcDuinoではOSとしてUbuntuを使用できますので、APTを使ったOpenVPNのインストールが可能です。OSのインストールは、こちらで公開されているカーネルとOSをSDカードを使ってインストールします。

国内では￥8,000程度で購入できます。

PCEngines APU

他の２機種とは別カテゴリーのプロダクトで、ネットワークアプライアンスのプラットフォームが想定されたボードです。

製造元であるPCEnginesは以前からこのカテゴリーの製品を販売しており、IPPBXであるAsteriskを組み込んだアプライアンスやFAXサーバー、セキュリティ機器などに広く使用されたALIXが有名です。このAPUは、その後継として製品化されたボードです。ALIXと同様、このAPUもあくまでもアプライアンス用途を前提としており、ディスプレイやキーボードなどを直接接続することはできないので、厳密な意味でシングルボードPCとは呼べませんが、BSDやLinuxなどのOSを入れたSDカードを使ってブートすることができます。

CPUとしてはAMD T40E デュアルコア（1GHz）を搭載しています。ネットワークアプライアンスでの用途を想定し、ギガビット対応のEthernetポートを3つ備えており、アプライアンスサーバーとしてだけではなく、ルータやファイアウォールなどでの使用も可能です。

今回は4GBのメモリを搭載したapu1c4にvoyage Linuxをインストールして計測しました。voyage LinuxもDebianベースのため、OpenVPNのインストールにAPTが使用できます。

公式サイトのオンラインショップでは $130 程度で、国内では￥20,000 程度で購入できます。

サイズ比較

この3つを並べると、このような大きさになります。

最も小さいのがRaspberry Pi、次にpcDuinoですが、この両者のサイズの違いはそれほど大きくありません。これらと比べるとAPUはだいぶ大きめで、CDジャケットよりも少し大きいぐらいのサイズです。こうやって並べてみると、Raspberry Piの小ささが際立ちますね。

ネットワークスループット

さて、いよいよパフォーマンス測定です。まず、Ethernetで直接接続した場合のスループットをiperfを使って測定してみましょう。

各ボードでiperfをサーバーとして起動し、ギガビット対応のスイッチングハブだけを介したクライアントPC（Windows 7）がiperfクライアントとして接続します。

	Raspberry PI	pcDuino	APU
No.1	94.9	94.8	935.0
No.2	94.7	94.9	935.0
No.3	94.8	94.9	931.0
No.4	94.9	94.9	930.0
No.5	94.9	94.9	931.0
No.6	94.8	94.9	931.0
平均	94.8	94.9	932.7

このような結果になりました。ギガビット対応のAPUが930Mbps程度のスループットを出しています。Raspberry PIとpcDuinoはいずれも100Baseのインターフェイスなので、95Mbps程度の値になっています。

OpenVPNスループット

次に今回の目的であるOpenVPNを使用した場合のスループットを計測してみましょう。

ネットワーク構成は直接接続時と同様ですが、各ボードでOpenVPNサーバーを起動し、クライアントPCからOpenVPNを使って接続した上で、VPNアドレスに対してiperfを実行します。

なお、以下のような条件で測定しました。

各ボードの標準的なOSを使用し、標準のパッケージマネージャ（今回はすべてAPT）でOpenVPNをインストール
サーバー設定ファイルはすべてのボードで同一のものを使用
クライアント設定ファイルは同一のものを使用し、接続先アドレスだけを変更して使用
MTUの調整などのチューンナップはなし
AES-NIなどのOpenSSLアクセラレータは使用しない

	Raspberry PI	pcDuino	APU
No.1	12.8	37.9	63.8
No.2	12.8	44.8	57.4
No.3	12.9	40.1	63.0
No.4	13.0	42.7	53.3
No.5	13.0	43.8	56.7
No.6	12.9	47.7	58.5
平均	12.9	42.8	58.8

まとめ

OpenVPNのスループットは、Raspberry Pi < pcDuino < APUという結果になりました。

OpenVPNのようなソフトウェアVPNの場合、暗号化や署名処理などのパフォーマンスはCPUのスペックに大きく依存するため、CPUのパフォーマンスにほぼ比例します。

ギガビットへの対応も含め、ネットワークアプライアンスへの利用をメインターゲットとしているAPUのパフォーマンスはやはり頭ひとつ抜けていますが、Raspberry PiとpcDuinoのスループットの差が意外に大きいのも興味深い点です。VPNパフォーマンス上ではpcDuinoがなかなか善戦していると言えるかもしれません。

VPNサーバーとして利用する場合で、社内LANへのルーティングなどで柔軟なネットワーク構成を行いたい場合は、ギガビット対応＋複数LANポートのAPUはかなり強力な選択肢になりそうです。

あまりトラフィックが多くなく、高いスループットが要求されないちょっとしたVPNサーバーとして、また拠点間接続時のサテライト側のVPNクライアントとしてなどの用途などでは、低価格＋低消費電力のシングルボードPCは魅力です。これらのシングルボードPCを活用したVPN構築も十分に検討候補になると言えるでしょう。

[追記（2015/6/2）] こちらに、Raspberry Pi 2を含めた結果をまとめました。

「Shellshock」のOpenVPNへの影響について - 補足

2014-10-08T16:30:00.000+09:00

前回の記事「bashの脆弱性「Shellshock」のOpenVPNへの影響について」でも取り上げたthreatpostの「OpenVPN Vulnerable to Shellshock Bash Vulnerability」において、OpenVPNの開発者の一人である Gert Doering の説明が引用されていました。その内容がちょっと分かりにくくて気になっていたのですが、OpenVPN Users MLのユーザーから関連した問い合わせがあり、本人が補足していました。重要な点なので、取り上げてみたいと思います。

threatpostの「OpenVPN Vulnerable to Shellshock Bash Vulnerability」の Gert による説明部分（一部）は次のようになっています。

Gert Doering, speaking on behalf of the OpenVPN open source community version, said that OpenVPN is vulnerable only on systems where /bin/sh points to /bin/bash, or if a script that runs using bash as an interpreter is called explicity.

“What you want to do from OpenVPN’s point of view is to ensure that you’re not using a 2.2.x version anymore, *and* that you just do not run your scripts using bash (“#!/bin/bash”) but use a shell that is better suited to script usage, like ash/dash,” Doering said.

ざっくり訳すとこんな感じでしょうか。

OpenVPN オープンソースコミュニティ版の開発者である Gert Doering は、OpenVPNがこの脆弱性の影響を受けるのはシステムが /bin/sh が /bin/bash を指しているか、スクリプトがインタープリタとして明示的に bash を使った場合に限られると述べた。

また、Gert は「OpenVPNの観点からすれば、2.2.x バージョンを使用していないこと、さらにはスクリプトを bash（"#!/bin/bash"）ではなく、ash/dash のようなシェルを使用するように」と述べた。

ここでいきなりOpenVPNのバージョン（2.2.x）の話が出てきてしまい、かつ詳細が述べられていなかったため、一部のユーザーが混乱したようです（私も唐突な印象がありました）。

これについて、Gert Doering 本人が以下のように補足しています。

2.2.x はスクリプトの実行に system() を使用しており、/bin/sh が bash へのエイリアスとなっている場合には shellshock の影響を受けることになります（これは、system() が内部的に "/bin/sh -c $yourcommand" を呼び出しているためです）。

それで、コマンド自体が安全だとしても、以下の条件が揃った場合には shellshock の脆弱性があります。バージョン 2.2.x を使用しており、かつ設定ファイル内で "script-security system" を使用しており、さらに /bin/sh が bash を指している場合です。このように条件が多いため、私自身がより明確に説明すべきだと考えました。

バージョン 2.3.0 では David（訳注：David Sommerseth）によって system() のサポートが削除され、fork()/exec()/wait() を明示的に使用するように変更されました。

-----------------------------------------------------------------
commit 3cb9f1a62b4a84dbf4acd1957c900a5b06fd6ac2
Author: David Sommerseth <davids@.....>
Date: Thu Oct 25 14:22:30 2012 +0200

外部プログラム/スクリプト実行時の system() 使用のサポートの削除

このパッチでは system() 呼び出しのサポートが削除され、*nix プラットフォームでは execve() 、Windows では CreateProcessW() の使用が強制されました。
これは外部スクリプト呼び出し時のセキュリティを向上させるためのものです。system() はセキュリティ上の欠陥につながる傾向があります。
これはコミット a82813527551f0e79c6d6ed5a9c1162e3c171bcf 以降で execve()アプローチがデフォルトになっていた理由ですが、2008年11月に system() が再度導入されました。
-----------------------------------------------------------------

混乱を生じさせてしまって申し訳なかったと思います。この質問はかなり急な問い合わせだったのですが、もう少し時間をかけて回答を精査すべきだったかもしれません（不明な点があれば追加の問い合わせがあると思ったのですが、そのまま記事内で使用されてしまいました）。

というわけで、OpenVPN 2.2.x から 2.3.x では外部スクリプトの呼び出し方法が変更されており、セキュリティの向上が図られていることが分かります。

なお、このメールではMac OS用OpenVPNクライアントである Tunnelbrick への影響についても触れられています。メールの原文はこちらを参照してください。

Image courtesy of Stuart Miles / FreeDigitalPhotos.net

bashの脆弱性「Shellshock」のOpenVPNへの影響について

2014-10-01T17:30:00.000+09:00

今回は、広く使用されているシェル「bash」に見つかった「ShellShock」がOpenVPNに与える影響について取り上げます。

この脆弱性は、環境変数に悪質なコードを埋め込んでbashに渡すことにより、標的のコンピュータからデータを取得したり、他のコンピュータにアクセスしたりできてしまう、という問題です。

ShellShockについてはメディアでも広く取り上げられています。

OpenVPNに与える影響が気になるところですが、threatpostの「OpenVPN Vulnerable to Shellshock Bash Vulnerability」で説明されています。

【追記】
threatpostのこの記事の内容については、こちらの記事で補足しています。

結論としては「OpenVPNサーバーの設定次第では影響がある」ということになります。

脆弱性と関連する設定

OpenVPNには、接続開始時や認証時などの特定のタイミングで外部コマンドを呼び出す仕組みがあります。この機能が最もよく使用されるのはOpenVPNサーバーがID/パスワードで認証を行うときで、クライアントから送られてきたユーザーIDやパスワードを外部コマンドに渡すことで認証を行います（具体的な方法については、このブログ内の「[OpenVPN TIPS] 証明書認証ではなく、ID/パスワード認証を使用する」などをご参照ください）。

OpenVPNからスクリプトを呼び出す際、データを渡すために環境変数が使用されますので、この環境変数に悪質なコードが含まれているとShellShockの影響を受ける可能性が出てきます。

OpenVPNが扱う環境変数のうち、外部からデータを入れられる可能性が最も高いのは、ユーザー認証時に使用する username と password です。これらの環境変数には接続時にクライアントが設定してきたものがそのまま渡されますので、悪意のあるクライアントがユーザーIDやパスワードとして悪質なコードを含めれば、それがそのまま環境変数経由で外部コマンドに渡されることになります。

ShellShockの影響を受ける条件

したがって、OpenVPNサーバーがShellShockの影響を受ける可能性があるのは、以下の条件がいずれも満たされた場合です。

ユーザーID/パスワードによる認証を使用している（auth-user-pass-verifyディレクティブを使用しており、methodとして「via-env」を使っている）
認証を実行する外部コマンドとして、bashを使用するシェルスクリプトを使用している

この2つの条件が満たされているケースはそれほど多くはないかもしれませんが、いずれにしてもbashのアップデートをしておきましょう。

＜補足＞

こちら（pastebin）に検証コードが公開されています。

Image courtesy of stockimages / FreeDigitalPhotos.net

LZOライブラリの脆弱性がOpenVPNに与える影響について

2014-06-30T12:50:00.000+09:00

OpenVPNがデータ圧縮に使用しているLZOについて、バッファオーバーフローの脆弱性（CVE-2014-4607）があることが発表されました。Linuxカーネルも含めて広く使用されていることもあり、その影響が気になるところですが、OpenVPNについては「影響なし」とのことです。

この脆弱性は、悪意あるデータを展開しようとするときに、バッファオーバーフローを起こす可能性がある、という問題ですが、この影響を受ける可能性があるのは、以下の条件がすべて揃っている場合です。

展開するデータのブロックサイズが16MiB以上であり、そのデータを一回のLZOのファンクション呼び出しで渡すこと
信頼されていないデータソースからのデータであること
32ビットのシステムであること

OpenVPNではパケットごとに圧縮処理を行うため、このようなサイズの大きなデータをLZOに渡すことはありません。データの最大サイズは、UDPの場合で64KB、TCPの場合はMTUの設定値によって決まりますが、数MiBという値になることはまずありません。

というわけで、OpenVPNについては今回のLZOの脆弱性（CVE-2014-4607）の影響はありません。OpenVPNのコミュニティサイト上でも同様に結論づけられています。

作者もLZOのWebサイトで

Also I personally do not know about any client program that uses such a huge logical block size and actually is affected.

と述べているように、このような大きなサイズのデータをLZOに渡すことはまずあり得ないと思いますので、この件での影響はそれほど心配する必要はなさそうです。

なお、今回の脆弱性対応のためにLZOはアップデートされていますので、（実質的な影響はないものの）Windows版パッケージに含まれているLZOを最新版に差し替える可能性はあるようです。

OpenVPNのインストール方法（CentOS 6.5 RPM編）

2014-06-24T19:00:00.000+09:00

OpenVPN.JPでCentOS 6.5のOpenVPN最新版のパッケージ配布を開始しました。このパッケージを使うと最新版が簡単にインストールできます。

1. まずはシステムを最新の状態に

[root@localhost ~]# yum -y update

2. パッケージの作成やビルドに必要なツールをインストール

[root@localhost ~]# yum -y install openssl lzo pam

これらはOpenVPNに必要な（依存関係にある）ファイルです。develパッケージでなくてOKです。

3. OpenVPNのパッケージをダウンロード/インストール

OpenVPN.JPのダウンロードページで、32ビット版/64ビット版のRPMパッケージを配布しています。お使いの環境に合わせてダウンロードしてください。

◆ 32ビットの場合

[root@localhost ~]# rpm -ivh http://www.openvpn.jp/files/download.php?f=openvpn-2.3.4-1.i386.rpm
準備中...                 ########################################### [100%]
  1:openvpn               ########################################### [100%]

◆ 64ビットの場合

[root@localhost ~]# rpm -ivh http://www.openvpn.jp/files/download.php?f=openvpn-2.3.4-1.x86_64.rpm
準備中...                 ########################################### [100%]
  1:openvpn               ########################################### [100%]

あっけないほど簡単になりました。ぜひお試しください！

OpenVPN TLS-Auth とは？

2014-04-10T17:58:00.000+09:00

OpenSSLのHeartbeat Extensionの脆弱性がOpenVPNに与える影響についてはTwitterでも取り上げましたが、TLS-Authが有効になっていればこの脆弱性による影響を回避できます。それで、今回はOpenVPNのマニュアルから、TLS-Authオプションに関する部分の日本語訳を掲載します。

--tls-auth file [direction]

Dos攻撃対策のため、TLSコントロールチャンネルの最上位にHMAC認証の追加レイヤーを追加します。

簡単に言うと、--tls-authはOpenVPNのTCP/UDPポートの「HMACファイアウォール」の一種で、正しくないHMAC署名に基づくTLSコントロールチャネルのパケットが届いた場合は、応答することなく、すぐに破棄します。

file（必須）は以下のいずれかのキーファイルを指定します。

(1) OpenVPNのスタティックキーファイル。--genkey オプションで生成できます（directionパラメータを使用する場合は必須です）。
(2) 任意の形式のパスフレーズファイル。この場合、HMACキーは指定されたファイルのハッシュ（md5sum(1) や sha1sum(1) と同様です）が利用されます。

OpenVPNはまず (1) のスタティックキーが利用できるか試した上で、利用できない場合は (2) を使用します。

オプションの direction パラメータについての詳細は --secret オプションの説明を参照してください。

OpenVPNが任意のアドレスからの接続を受け付ける場合（--remote が指定されていない場合）、また --remote が指定されていても --float が利用されている場合は、--tls-auth を利用することをお勧めします。

この機能の基本的な概念について説明しましょう。TLSでは、通信相手先の認証の前に複数のパケット交換を行う必要があり、認証前のこのタイミングで、OpenVPNはメモリやCPUなどのリソースを確保することになります。通信相手側も送信されるパケットに対してOpenVPN、OpenSSLライブラリの一部を開示することになります。近年成功しているネットワーク経由の攻撃は、プログラム上のバグを見つけて攻撃する（バッファオーバーフロー攻撃など）か、プログラムに大量にリソースを消費させてサービスを提供できなくなるようにする、というものです。もちろん、これらの攻撃に対する最初の防御策は、質の高いプログラムを作成することです。OpenVPNの開発においても、バッファオーバーフロー攻撃対策を最重要事項として開発されています。しかし、事実が示しているように、ネットワーク上で使用されている多くのプログラムがこの脆弱性を持っており、実際に攻撃されています。

そこで2番目の防御策として、OpenVPNではTLSコントロールチャンネルの最上位に認証用の特殊なレイヤーを設け、コントロール上のすべてのパケットをHMAC署名とユニークIDで認証することでリプレイ攻撃対策を行うことができるようにしています。この署名はDoS攻撃に対する対策としても有効です。DoS攻撃の脆弱性を最小限に抑えるには、攻撃可能な立場にあるクライアントのうち、正しく認証されていないクライアントのために割り当てるリソースを最小化することが大切です。

--tls-auth により、TLSコントロールチャンネル上のパケットすべて（TLSレベルでの認証が行われる前のパケットも含む）に対してHMAC署名で署名することができます。その結果、正しい署名が行われていないパケットはすべて破棄されることにより、TLSハンドシェイクの初期化時などに不正なアクセスによってシステムリソースを消費されることを防ぐことができます。--tls-auth オプションに加えて --replay-persist を使用することにより、リプレイ防御状態をファイルに保存し、OpenVPNを再起動したときにもその状態を維持できるようにすることもでき、よりセキュリティを強化できます。

この機能はオプションであり、--tls-auth で指定されたパスフレーズ/キーファイルはピアに対するTLSハンドシェイクの初期化時に使用されるものです。トンネルデータの暗号化や認証には使用されません。

Image courtesy of Stuart Miles / FreeDigitalPhotos.net

easy-rsa 3 で認証局を構築する

2014-01-23T17:00:00.000+09:00

現在ダウンロードできるOpenVPNでは、今まで認証局の構築で使用していたeasy-rsaが含まれなくなっています。OpenVPN.netのダウンロードページにも

Note that easy-rsa is no longer bundled with OpenVPN source code archives. To get it, visit the easy-rsa page on GitHub, or download it from our Linux software repositories.

と記載されており、別途入手する必要があります。今回はインストール手順と使用法についてご説明します。

以前のバージョンとの違い

以前のeasy-rsa（バージョン2）と大きく異なるのは以下の点です。

実行コマンドは easyrsa のみとなり、続く引数で実行する処理を切り替えるようになりました。
コマンド実行前に vars を呼び出す必要はなくなりました。easyrsaと同じディレクトリにvarsというファイルを配置し、その中で設定値を指定しておけば、自動的に読み込まれます（ただ、後述する「X509 DNモード」の新設により、以前とは異なりvarsファイルは作成しなくてもよいケースが多くなりました）。
秘密鍵や証明書を作成する際に含める情報を制御するための「X509 DNモード」と呼ばれるパラメータが追加されました。デフォルトは「cn_only」となっており、秘密鍵や証明書の作成にはCN（共通名）の情報だけが必要になりました（組織名や都道府県名などを設定する必要がなくなりました）。今まで同様にすべてのデータを含められるようにするには、このモードを「org」に変更します。

easy-rsaのダウンロード

easy-rsaの最新版はGitHubから入手できます。使用する環境に合わせたパッケージをダウンロードしてください。今回の例ではLinux環境への導入手順を説明します。

ダウンロードしたファイルを展開しておきましょう。

[root@localhost ~]# tar xzf EasyRSA-3.0.0-rc1.tgz
[root@localhost ~]# cd EasyRSA-3.0.0-rc1
[root@localhost EasyRSA-3.0.0-rc1]# ls
COPYING  ChangeLog  Licensing  README.quickstart.md  doc  easyrsa
openssl-1.0.cnf vars.example  x509-types

初期化

init-pkiコマンドで認証局を初期化します。

[root@localhost EasyRSA-3.0.0-rc1]# ./easyrsa init-pki

init-pki complete; you may now create a CA or requests.
Your newly created PKI dir is: /root/EasyRSA-3.0.0-rc1/pki

これは認証局設置時にのみ実行します。
このコマンドを実行すると、easyrsaと同じディレクトリにpkiディレクトリが生成されます。認証局によって生成されるデータはここに保存されます。

認証局の作成

build-caコマンドで認証局を作成します。

[root@localhost EasyRSA-3.0.0-rc1]# ./easyrsa build-ca
Generating a 2048 bit RSA private key
.....................................................................+++
.....+++
writing new private key to '/root/EasyRSA-3.0.0-rc1/pki/private/ca.key'
Enter PEM pass phrase: [パスフレーズを入力]
Verifying - Enter PEM pass phrase: [パスフレーズを入力]
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Common Name (eg: your user, host, or server name) [Easy-RSA CA]:

CA creation complete and you may now import and sign cert requests.
Your new CA certificate file for publishing is at:
/root/EasyRSA-3.0.0-rc1/pki/ca.crt

デフォルトのX509 DNモードが「cn_only」のため、共通名（Common Name）のみが問い合わせられます。デフォルト値でよければそのまま[Enter]キーを押していただいてもかまいません。

DHパラメータの生成

gen-dhコマンドでDHパラメータを生成します。

[root@localhost EasyRSA-3.0.0-rc1]# ./easyrsa gen-dh
Generating DH parameters, 2048 bit long safe prime, generator 2
This is going to take a long time
...............................................................
......................................................+........
.........................................................+.....
...............................................................
...............................................................
...............................................................
....................................................+..........
..........................................+....................
..............+........+.......................................
...............................................................
...............................................................
...............................................................
..............................................++*++*
DH parameters of size 2048 created at /root/EasyRSA-3.0.0-rc1/pki/dh.pem

サーバー用秘密鍵/証明書の作成

以前のバージョンのbuild-key-serverコマンドと同様に、秘密鍵の作成から証明書の署名までまとめて行うには、build-server-fullコマンドを使用します。
デフォルトの動作では、パスフレーズの入力が求められ、そのパスフレーズによって秘密鍵が暗号化されます。パスフレーズを不要にしたい場合はnopassオプションを追加します。

[root@localhost EasyRSA-3.0.0-rc1]# ./easyrsa build-server-full server1 nopass
Generating a 2048 bit RSA private key
.....................................+++
.............+++
writing new private key to '/root/EasyRSA-3.0.0-rc1/pki/private/server1.key'
-----
Using configuration from /root/EasyRSA-3.0.0-rc1/openssl-1.0.cnf
Enter pass phrase for /root/EasyRSA-3.0.0-rc1/pki/private/ca.key: [CAの署名用パスフレーズを入力]
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
commonName            :PRINTABLE:'server1'
Certificate is to be certified until Jan 21 05:57:57 2024 GMT (3650 days)

Write out database with 1 new entries
Data Base Updated

クライアント用秘密鍵/証明書の作成

以前のバージョンのbuild-keyコマンドと同様に、秘密鍵の作成から証明書の署名までまとめて行うには、build-client-fullコマンドを使用します。
サーバーの場合と同様、デフォルトの動作では、パスフレーズの入力が求められ、そのパスフレーズによって秘密鍵が暗号化されます。パスフレーズを不要にしたい場合はnopassオプションを追加します。

[root@localhost EasyRSA-3.0.0-rc1]# ./easyrsa build-client-full client1 nopass
Generating a 2048 bit RSA private key
...............................+++
...............................................................
...............................................................
..+++
writing new private key to '/root/EasyRSA-3.0.0-rc1/pki/private/client1.key'
-----
Using configuration from /root/EasyRSA-3.0.0-rc1/openssl-1.0.cnf
Enter pass phrase for /root/EasyRSA-3.0.0-rc1/pki/private/ca.key: [CAの署名用パスフレーズを入力]
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
commonName            :PRINTABLE:'client1'
Certificate is to be certified until Jan 21 06:04:42 2024 GMT (3650 days)

Write out database with 1 new entries
Data Base Updated

各コマンドによって生成されたファイルは、pkiディレクトリ内の各サブディレクトリに格納されています。

private ：秘密鍵
reqs ：証明書要求
issued ：証明書

この他に使用できるコマンドやオプションについては、Readmeファイルやヘルプを参照してください。

[root@localhost EasyRSA-3.0.0-rc1]# ./easyrsa

または

[root@localhost EasyRSA-3.0.0-rc1]# ./easyrsa help [コマンド名]

でヘルプが参照できます。

秘密鍵/証明書作成時に共通名のみでOKになったので、今までより少し簡単になりましたね。

Image courtesy of Sharron Goodyear / FreeDigitalPhotos.net

OpenVPN Connect for iOS (1.0.2) リリースノート

2013-12-26T20:00:00.000+09:00

12/24にiOS版OpenVPN Connectが更新されました（1.0.2 ⇒ 1.0.3）。今回の更新により、対応するiOSのバージョンが6.1以降になりました。

12/16にあった前回の更新（1.0.1 ⇒ 1.0.2）ではさまざまな変更や修正が加えられました（一番重要なのはarm-64プロセッサへの対応でしょう）。ちょっと時間が経ってしまいましたが、1.0.2 での変更点をまとめておきましょう。

iPhone 5s、iPad Airに搭載されているARM-64への対応を追加。
スタティックなチャレンジ/レスポンスプロファイルにおけるパスワードの保存に対応。
iOSプラグインがキーチェインから証明書チェインを正しく取得できなかったときに発生する問題を修正。ただし、iOSキーチェインはPKCS#12ファイルをバンドルとしてインポートできないため、今回の対応も完全なものではない。インポートされるのはリーフ証明書/鍵のみで、その他は無視される。したがって、今回の修正による効果を得るためには、PKCS#12ファイル内の各ルート/中間証明書を別々の.crtファイルに手動で展開し、それぞれをインポートする必要がある。
サーバーからプロキシオプションをプッシュできる機能を追加。
```
push "dhcp-option PROXY_HTTP 10.144.5.14 3128"
push "dhcp-option PROXY_HTTPS 10.144.5.14 3128"
push "dhcp-option PROXY_BYPASS www.openvpn.net www.openvpn.org"
push "dhcp-option PROXY_AUTO_CONFIG_URL http://www.openvpn.net/proxy.pac"
```
これはHTTPプロキシ経由でのVPN接続機能とは異なるもので、この機能を使うと、VPNセッション中のSafari（他のアプリケーションでも使用できると思われる）のプロキシオプションを設定することができる。
このオプションは以下のようにプロファイルに直接記述することもできる。
```
dhcp-option PROXY_HTTP 10.144.5.14 3128
```
または、サーバーからプッシュすることもできる。
```
push "dhcp-option PROXY_HTTP 10.144.5.14 3128"
```
PolarSSLのバージョンを1.2.10にアップデート。このバージョンではPKCS#8秘密鍵の対応が追加されている。
再接続時に一部のプッシュされたオプションの設定が保持されなかった問題を修正。
繰り返し発生するリプレイエラーのために再接続したTCPセッションがロックアップしてしまうことのあった問題を修正。
サーバーからプッシュされたキープアライブ設定（ping、ping-restart）が無視される問題を修正。
"Session invalidated" エラーが発生したときにエラーの理由を示すコードを参照できるように変更。
"setenv CLIENT_CERT 0"の別名として"client-cert-not-required"ディレクティブへの対応を実装。
tun-mtuディレクティブへの対応を追加。
プロファイル内に非集合オプションが指定されたとき（サーバーからプッシュされた場合も含む）に、オプションのパース時にエラーが発生していた問題を修正。
"inactive"ディレクティブの実装。
オプションをパースする際のチェックを緩和（OpenVPN 2.xの動作に近くなった）。ある1つのオプションに対して何度か値が設定されたりした場合には、最後の設定が有効になるように変更。今までは例外が発生していた。
tls-version-minディレクティブの追加。サーバーがサポートする最低のTLSバージョンを指定するもの。以下のように記述する。
```
tls-version-min 1.2
```
このように設定すると、サーバーに接続するためにTLS 1.2以降が必要になる。サーバーがこの条件を満たせない場合には、接続できない。
ディレクティブの接頭辞 "setenv opt" のサポートを追加。この接頭辞をつけると、そのディレクティブはオプション扱いとなり、クライアントがこのディレクティブを認識できない場合は単純に無視されるようになる。
使用されていないオプションをログに記録するように変更。設定ファイルに記述されているものオプションのうち、認識されなかったもの、無視されたもの、使用されなかったものが記録される。
この動作は 2.xブランチとはやや異なっている（2.xブランチでは、認識できないオプションがあった場合には重大な例外（Fatal Exception）が発生する）。

けっこう大規模なアップデートになりましたね。
プロキシオプションの追加はなかなか興味深い機能です。

iPhone 5SでのOpenVPNサポートについて

2013-12-04T22:00:00.000+09:00

メーリングリストでもお問い合わせいただきましたが、OpenVPN ConnectがiPhone 5Sで動作しないという問題が報告されています。

この問題については既にフォーラムでも取り上げられており、新しい arm64 プロセッサに起因する問題で、現在対応を進めているとのことです。フォーラムの書き込みによれば、他のSSL VPN（Cisco AnyConnect、JunOS Pulse、SonicWall Mobile Connect）も使用できなくなっているようです。

気になる対応予定ですが、OpenVPN Technologiesの公式Twitterアカウントによれば、12月中にはリリースできるのではないかとのこと。なるべく早くリリースされるといいですね。

【追記】
12月16日にアップデートが公開され、この問題が解決されたというご報告をメーリングリストでいただきました。ご報告ありがとうございました。

OpenVPN Connect for iOSでのID/パスワード認証

2013-06-17T19:00:00.000+09:00

前回の記事「OpenVPN Connect for iOS 1.0.1 リリースノート」でも取り上げましたが、バージョン 1.0.1から、iOS版クライアントについてもID/パスワード認証が可能になりました。リリースノートには以下のように記載されています。

OpenVPNサーバーが許可していて、かつクライアントプロファイルに「setenv CLIENT_CERT 0」が指定されている場合は、証明書や鍵なしでのVPN接続に対応

では、実際の設定を解説しましょう。

OpenVPNサーバー側の設定

OpenVPNサーバー側では特に追加設定はありません。WindowsなどのPC版クライアントでID/パスワード認証が利用できている状態であれば、基本的にそれ以外の設定は不要です。

もし、OpenVPNサーバーがまだ証明書認証しかできていない設定になっているようであれば、ID/パスワード認証を可能にするための設定が必要です。OpenVPNサーバーでID/パスワード認証を利用するための設定方法については、このブログでの過去の記事、「[OpenVPN TIPS] 証明書認証ではなく、ID/パスワード認証を使用する」や「OpenVPN sqlite認証プラグイン」を参考にしてください。

OpenVPNクライアント（OpenVPN Connect for iOS）側での設定

以前「チュートリアル：iPhoneでOpenVPNを使ってみよう！」でご紹介したように、クライアント用の設定は、PC上で作成した設定ファイルをOpenVPN Connect for iOSにインポートすることで設定します。ID/パスワード認証を使用するために追加する必要があるディレクティブは以下の2つです。

auth-user-pass

OpenVPNクライアントがID/パスワード認証を使用することを指定します。これはPC用設定ファイルでも必要な設定です。

setenv CLIENT_CERT 0

OpenVPN Connect for iOSでID/パスワード認証を利用する際に必要になるもので、PC用設定ファイルでは使用しません（前述のリリースノートに書かれていた設定項目です）。

OpenVPN Connect for iOSでの接続

これらの設定を追加した設定ファイルをOpenVPN Connect for iOSでインポートすると、接続画面はこのようになります。

「User ID」欄にIDを、「Password」欄にパスワードを入力し、接続スイッチをタップすると接続が開始されます。

無事につながりました。

認証に失敗するとこんな感じになります。

既にOpenVPN環境をID/パスワード認証で運用している場合は、サーバー側には特に変更なく導入が可能です。セキュリティの観点からすれば証明書認証のほうがより安全ではありますが、iOS版でもID/パスワード認証が利用できるようになったのは朗報です。ぜひ活用してみてください。

なお、手元の環境で試した限りでは、OpenVPN Connect for iOSは証明書とID/パスワードの両方を使った認証には対応していないようです。ご注意ください。

Image courtesy of foto76 / FreeDigitalPhotos.net

OpenVPN Connect for iOS 1.0.1 リリースノート

2013-05-23T20:00:00.000+09:00

5/20にOpenVPN Connect for iOSがアップデートされました。結構な数のアップデート項目となっていますので、まとめてみました。

プロキシエラー "NTLM phase-2 Content-Length is not zero" の修正
PolarSSLを1.1.6にアップデート
対応するディレクティブを追加： "tls-remote", "route-nopull", "remote-random", "cipher none", "auth none"
複数のアドレスとして解決されるDNS名に接続した場合、接続先を順番に試行できるように変更
アップル社からのリクエストにより、最初のVPN接続の前にユーザーの確認を行うように変更
サーバーから不正なルーティング情報やDHCPオプションがプッシュされたときに、切断せずにログに記録するように変更
デバイスのネットワークがWiFi⇔回線に切り替わったときにVPNを再接続するように変更
静的鍵モードなど、非対応のモードを使用としたときにエラーを発生するように変更
「tcp-client」オプションの対応（使用例： remote foo.bar 1194 tcp-client）
OpenVPN 2.xブランチとの互換性のため、IPv6トランスポートを使用している場合でも、クライアントがUDPv4またはTCPv4_CLIENTをプロトコルとしてレポートするように変更
Windows UTF-8 BOMを使用したクライアントプロファイルへの対応
"Reconnect on wakeup（スリープ解除時に再接続）" 設定の追加（デフォルトでON）
OpenVPN 2.xブランチとの互換性のため、「key-direction」ディレクティブのデフォルトを「bidirectional」に変更。不整合を防ぐため、1.0.0でインポートされたプロファイルについては以前のデフォルトである「1」のまま保持される。ただし、以前インポートされたVPN-on-Demandプロファイルについては保持されないため、設定が正しく行われていない場合に接続できない問題が発生する可能性がある。これを避けるには、このディレクティブが使用されたOpenVPN設定を使用する場合には、VPN-on-Demandプロファイルにおいて「key-direction」のキー/値設定を明示的に設定する。
プッシュされたifconfigサブネットがトンネルにルーティングされない問題を修正
スプリット・トンネルVPN構成が使用されている場合（redirect-gateway以外など）で、最低1つのプッシュされたDNSサーバーが存在する場合には (a) 検索ドメインが追加されていない場合は、すべてのDNSリクエストをプッシュされたDNSサーバーを通るようにルーティングする、(b) 1つ以上の検索ドメインが追加されている場合は、指定された検索ドメイン用のDNSリクエストをルーティングするように変更
subjectSummaryにnilが指定された証明書がデバイスのキーチェインに含まれているとアプリケーション起動時にクラッシュする問題を修正
「reneg-sec 0」が指定されていると再接続がループし続ける問題を修正
ifconfigで指定されていないプロトコル（IPv4またはv6）のルートを追加しないように変更
まれなケースとして、セッションIDトークンを使用するサーバー（Access Serverなど）に接続する、保存されたパスワード付きのプロファイルの場合に、長い無通信時間が経過（デバイスがスリープに入ったときなど）すると自動再接続に失敗する問題を修正
OpenVPNサーバーが許可していて、かつクライアントプロファイルに「setenv CLIENT_CERT 0」が指定されている場合は、証明書や鍵なしでのVPN接続に対応
「dhcp-option」ディレクティブにおいて、「dhcp-option DOMAIN ...」のようにスペースで区切って複数のドメインをプッシュできるように変更
いくつかのOSイベントをOpenVPNログファイルに記録するように変更：(a) ネットワークが利用可能/利用不可に切り替わった (b) スリープ/スリープ解除

大きな変更点としては、証明書/鍵なしでの接続に対応したことでしょうか。既にVPN on Demandを使用している場合には、key-direction関連の設定にご注意ください。

OpenVPNをお勧めできる6つの理由

2013-04-12T17:30:00.000+09:00

「VPNっていろいろあるけど、OpenVPNのメリットって何？」という疑問は多くの方が持たれますよね。この点は公式サイトなどにもいろいろ書かれているのですが、実際に使ってきたユーザー側としてメリットと思う部分をまとめてみました。

幅広い対応OS

PC向け主要OSとも言えるWindows、Linux、MacOSXはもちろん、BSDやSolaris、現在ではAndroidやiOSでも利用できます。やっぱり、スマートフォンで使えるっていうのは大きいですね。

各OSとも同じコードベースなので、OSが異なる場合でもまったく問題なく相互接続が可能です。同一VPN上にLinux、MacOS、Windows、iOSを混在、なんてことも簡単です。設定ファイルも基本的には共通です。IPsecなどで時々起きる「機器間の相性の問題」がまったくないのは本当に便利ですよ！

: Johan Larsson / Foter.com / CC BY

比較的低コストで実現可能

オープンソースであることのメリットの一つは、ライセンス費用がかからないということですね。自分で導入、設定してしまえばほとんどコストはかかりません。ライセンス費用がかからないのは、ユーザー数が多い場合には特に大きなメリットになります。

もう一つ、OpenVPNサーバーを設置するために使用するPCもそんなに高スペックじゃなくても大丈夫、という点もコスト削減につながります。「とりあえず試験運用なので、社内にあった余ったPCで立ててます」なんてケースもそんなに珍しくありません。

OpenVPNはソフトウェアVPNですので、PCのスペックがVPNのスループットに直接影響しますが、それでもそれなりのスペックのサーバーでも実用的には問題ないスループットが期待できます。

PCのスペックとスループットについては、「OpenVPNのスループット」、「OpenVPNのスループットと最適化 - 1」と「OpenVPNのスループットと最適化 - 2」もご参照ください。

: bitzcelt / Foter.com / CC BY-NC-ND

高い柔軟性

設定の自由度が高く、さまざまな運用スタイルやネットワーク構成に柔軟に対応できます。

たとえば、OpenVPNは認証部分についても、標準的な証明書認証だけでなく、プラグイン形式での拡張にも対応しています。ですから、既存の認証データベースやLDAPサーバーと連携させたり、ワンタイムパスワードを導入したりといったことも柔軟に対応できます。

OpenVPNで利用できる認証方法については、「OpenVPN 認証方法についてのまとめ - 前編」や「OpenVPN 認証方法についてのまとめ - 後編」もご参照ください。

また、ネットワーク構成も、モバイルPC⇒社内LANといった形式はもちろん、複数拠点のLAN同士をVPNでつなぐ（LAN⇔LAN）こともできますし、VPNに接続してきたクライアントPCの通信をすべてVPN経由にするといった設定も可能です。

さらに、同一PC上で複数のOpenVPNを起動することもできますので、接続するクライアントによってセキュリティレイヤーを分割したい場合などにも柔軟に対応できます。

最近ではOpenVPNをAWSなどのクラウド環境に導入するケースも増えてきています。これもハードウェアベースのVPNでは実現できない利点ですね。

: Foter.com / GNU Free Documentation License

安全性と安定性

OpenVPNのセキュリティ機能は広く使用されているセキュリティ基盤であるSSLに基づいています。また、OpenVPN自体のセキュリティについても、公式サイトのFAQにもあるように、OpenVPNバージョン1.1.0の公開以降、脆弱性の指摘はありません。さらに、ここ数年でOpenSSLに見つかった脆弱性に関するトピックでも明らかになったように、仮にOpenSSLなどのSSLライブラリに脆弱性があっても、その悪影響がOpenVPNに及びにくいような設計になっていることも注目できます（OpenSSLで見つかった脆弱性がOpenVPNに与える影響については、このブログでも 2011年9月、2012年5月、2013年2月に取り上げましたが、すべてOpenVPNは脆弱性の影響を受けないとの結論です）。

手軽に使えるVPNとして以前はPPTPもよく使われていましたが、使用されている認証プロトコルであるMS-CHAPv2の脆弱性が公表されたことは記憶に新しいところです。

VPNシステムにおいて特に重要となる安定性についても、OpenVPNは世界中で広く使用されており、長期間の連続稼動や大規模なVPNでも安定した稼働を続けてきた実績があります。

: DaveBleasdale / Foter / CC BY

回線やキャリアの制限なし

OpenVPNは回線やキャリアの制限がありません。回線付帯のVPNサービスの場合はその回線でしか利用できませんので、回線の切り替えが難しくなります。

OpenVPNはサーバー/クライアントともどんな回線やキャリアでも利用できます。ダイナミックDNSを利用することで、DHCPのようにアドレスが変化する環境でサーバーを立てることもできます。

: FutUndBeidl / Foter.com / CC BY

設定が（そんなに）難しくない

最後のこれには「おいおい、簡単じゃないだろ！」と異論がある方もいらっしゃるかもしれませんね。確かに、テキストファイルでの設定になりますので、慣れるまではちょっとハードルが高いところもあるかもしれません。ただ、どうしても設定しなければいけない項目はそれほど多くないので、とてもシンプルな構成から初めて、徐々に設定を追加していくという方法が取れるのは大きなメリットです（クライアント側の設定についてはvpnux Connector Liteなどをお使いいただくことで簡単になりますよ！）。

もう一つ、VPNを構築する際に考慮する必要がある点は、VPN自体の設定とは別に、VPNサーバーを設置するネットワーク上の設定（ファイアウォールの設定など）が必要になる、ということです。この点でもOpenVPNは比較的簡単です。たとえば、複数のポートを使用するIPsecとは異なり、OpenVPNは単一のポート（TCP、UDPのいずれかで、好きなポートを使用可能）だけで接続できます。このメリット、地味ではありますが、設定の難易度が下がると同時に、トラブルシュートの難易度も格段に下がるんです！

: Éole / Foter.com / CC BY-NC-SA

いかがでしょうか？正直なところ、OpenVPNについては国内にまだまだ情報源が少ないという点がハードルではありますが、OpenVPN.JPだけでなく、インターネット上には実際に導入された方の設定例などもたくさん出てきています。こういった参考情報も助かりますね。

もちろん、「あらゆるケースでOpenVPNが最適！」とまでは言い切りませんが、VPNの導入や切り替えを検討するときには、一度試してみる価値はあるソリューションだと思います。プラムシステムズ株式会社でも、導入や運用にあたってのコンサルティングなどもご提供していますので、どうぞお気軽にお問い合わせください。

Image courtesy of Master isolated images / FreeDigitalPhotos.net

チュートリアル：iOSでVPN on Demand (VoD) を設定してみよう！【Windows編】

2013-04-02T23:40:00.000+09:00

さて、いよいよWindows版iPhone構成ユーティリティでの設定です。MacOS版と同様、事前準備編で説明している準備は事前に終えておいてください。

Windowsで設定する場合には、iPhone構成ユーティリティで設定を始める前に、もう一つ作業が必要です。

Windows証明書ストアへのインポート

Windowsで設定する場合には、iOSで使用するOpenVPNの証明書と秘密鍵（.p12ファイル）をいったんWindows証明書ストアにインポートする必要があります（MacOS版とは異なり、iPhone構成ユーティリティから直接.p12ファイルを指定することができません）。では、まずはこの作業から始めましょう。

まず、事前準備編で作成したPKCS#12ファイル（拡張子は.p12）をWindows PCにコピーしておいてください。そのファイルで右クリックし、コンテキストメニューから［PFXのインストール］を選択します。

すると、証明書のインポートウィザードが開始されます。順番に進めていきましょう。

［次へ］をクリックして先に進みます。

選択された.p12ファイルを確認して［次へ］をクリック。

作成時に指定した、秘密鍵のパスワードを入力します。また、この後の手順でエクスポートすることになりますので、［このキーをエクスポート可能にする］に必ずチェックしてください。［次へ］で次に進みます。

次に、格納する証明書ストアを選択します。自動でも問題ありませんが、念のため、「個人」証明書ストアに格納しておきます。

［完了］をクリックすると、証明書がインポートされます。

証明書が無事にインポートされました。

Internet Explorerから証明書ストアを表示してみると、無事にインポートされていることが確認できます。これで、iPhone構成ユーティリティで設定するための準備が整いました。

iPhone構成ユーティリティを起動する

この後の作業は基本的にMacOSのときと同様です（証明書の指定方法のみが異なります）。設定したいiPhoneやiPadをUSBで接続して、iPhone構成ユーティリティを起動します。

構成プロファイルを作成する

左側のツリーで「構成プロファイル」を選択し、上部ツールバーの［新規］ボタンを押すと、新しく構成プロファイルを作成できます。まずは「一般」の項目を設定していきましょう。

名前

プロファイルの名前です。インストール時や、デバイスの［設定］-［一般］-［プロファイル］で表示されるもので、自由に設定できます。

識別子

プロファイルの識別子で、デバイス上でユニークである必要があります。Javaのパッケージ名などと同様、ドメイン名を逆順につないだもの（リバースDNSフォーマット）を使用します。

ここでの設定は以上です。MacOS版と同様、「VPN」の設定に進む前に、先に「資格情報」の設定に進んでください。

資格情報を設定する

ここで設定するのは、VoDで自動的にOpenVPN接続するときに使用する秘密鍵と証明書です。

「資格情報」を選択すると、右側のペインに「資格情報を構成」という画面が表示されます。ここにある［構成］ボタンをクリックします。

Windows版ではここで、Windows証明書ストアに格納されている証明書が表示され、使用する証明書を選択することになります。

ここでWindows証明書ストアに格納された証明書がリストされます。この中から先ほどインポートした証明書を選択します...が困ったことに、表示される証明書の数がものすごく多いのです。何も信頼済みの証明機関の証明書まで表示してもらわなくてもいいし、このユーザーインターフェイスはどうにかならないのかと思ってしまいますが、文句を言っても仕方ありません。見つかるまでひたすら探してください...。（スクロールバーで言うと、半分からちょっと下あたりがポイントになりそうです）

無事に見つかったら、［OK］で次に進んでください。続いて、エクスポート用のパスワードを入力します。

これで無事に資格情報が設定できました。

パスワード

ここで、PKCS#12を作成したときに設定したエクスポート用パスワードを設定することもできます。設定しておくと、デバイス側でプロファイルをインポートする際にパスワードを入力する必要がなくなります。今回は直接デバイスを接続してプロファイルをインストールするので入力しておいても問題ありませんが、他の方法でプロファイルを配布するような場合は、万が一プロファイルが第三者に渡った時の安全性を考慮すると、ここは空欄にしておいて、インストールのたびに手動で入力するようにしたほうが安全ですね。

VPNを設定する

ここまででだいぶお腹いっぱいかと思いますが、やっとVPN設定です。「VPN」を選択し、設定を入力していきます。

接続名

VPN設定の名前です。自由に設定できるので、接続先のネットワークの名前など、わかりやすい名前にしておきましょう。

接続のタイプ

「カスタムSSL」を選択します。この選択によって以降の設定項目が変化します。

識別子

接続のタイプで「カスタムSSL」を選択した場合に、使用するVPNの種別を識別するための識別子を入力する必要があります。OpenVPNの場合はここに「net.openvpn.OpenVPN-Connect.vpnplugin」と入力します。

サーバ

接続先のDNSサーバーを指定しますが、OpenVPNの場合は接続先は別項目で設定しますので、ここは「DEFAULT」にしてください。

アカウント

指定しません。

カスタムデータ

VoD設定の最大のハードルがやってきました。OpenVPN設定を1つずつ追加していきます。OpenVPN設定ファイルで記述するディレクティブを1つずつ設定していくようなイメージですね。「キー」がディレクティブ、「値」が設定値ですね。最低限必要なのは「remote」と「ca」です。［＋］ボタンをクリックして項目を追加し、1つずつ入力していきます。正直面倒ですが、コツコツとやっていきましょう。

remote

接続先のVPNサーバーのアドレスです。FAQにもあるように、複数設定したい場合は、キーを「remote.1」「remote.2」というように末尾に連番を付加して記述します。

ca

CA証明書のデータ（テキスト）を記述します。残念ながらカスタムデータの値の欄には複数行のデータは入れられないので、次のように細工して、1行のテキストデータとして入れてください。

改行は「\n」に置換
「\」は「\\」に置換

その他

接続先のVPNサーバーの設定に合わせて、必要なディレクティブを追加してください。「comp-lzo」のように値のないディレクティブの場合は、「値」の欄には「NOARGS」を設定します。

カスタムデータの設定が終われば、あとは簡単です。

ユーザー認証

認証タイプとして「証明書」を選択します。

資格情報

先ほど、資格情報に登録したPKCS#12の秘密鍵/証明書がリストされていますので、その資格情報を選択します。

オンデマンドVPNを有効にする

チェックボックスをチェックします。その下に、自動的にVPNに接続するアクセス先を指定していきます。「該当するドメインまたはホスト名」の欄では、以下のようなフォーマットが使用できます。

internal.example.com
*.example.com
172.16.1.80

これで設定は完了です。いよいよデバイスへのインストールです。

デバイスへのインストール

作成された構成プロファイルをデバイスにインストールします。

接続されたデバイスが左側のツリーの下側にある「デバイス」の下に表示されているはずですので、そのデバイスを選択します。

「構成プロファイル」タブを選択すると、デバイスに既にインストールされた構成プロファイルと、iPhone構成ユーティリティ上で作成された構成プロファイルがリストされています。作成した構成プロファイルの右側にある［インストール］ボタンをクリックすると、あとはデバイス側でインストール操作を行います。あ、［インストール］ボタンを押す前にデバイスのロックを解除しておいてくださいね！

デバイス側でのインストール手順

iPhone構成ユーティリティからインストールを開始すると、デバイスの画面が自動的にプロファイルインストール画面に切り替わります。

［インストール］ボタンを押してインストールを開始します。

警告メッセージが表示されますので［インストール］を押します。

プロファイルのインストールにはデバイスのパスコードを入力する必要があります。さらに、資格情報の登録時にPKCS#12のエクスポート用パスワードを設定しなかった場合は、ここでパスワードを聞かれますので、入力してください。

この画面が表示されればインストールは完了です。

インストールしたプロファイルがリストされていますね。

Windowsでの設定では、特に証明書の設定がちょっとややこしいですね。MacOS版と同様に.p12ファイルをそのまま選択できるだけでも少し楽になるのですが、現在のiPhone構成ユーティリティの仕様上はこの手間はやむを得ないようです。OpenVPNの開発者としても今後もっと簡単にVoDを設定できるようにしたい、とのことですなので、ぜひ期待しましょう。

OpenVPN 2.3.1 リリース

2013-04-01T12:20:00.000+09:00

OpenVPN 2.3.1がリリースされました。今回は主にPolarSSL 1.2への対応が中心で、あとはバグフィックスやドキュメントの更新などとなっています。ダウンロードはこちらからどうぞ。
http://www.openvpn.jp/download/

大まかなアップデートは以下のとおりです。

PolarSSL 1.2のサポート
openvpn_decrypt関数におけるHMAC比較時のサイドチャンネル攻撃への対応
不要なコードや関数等の削除
NTLM認証の問題の修正
FreeBSDでのTCP_NODELAYの対応や、Solarisでの"topology subnet"指定時の問題の修正
READMEやINSTALLなどのドキュメントの修正
その他

すべての変更点はChange Logに記載されていますので、興味のある方はこちらもどうぞ。
https://community.openvpn.net/openvpn/wiki/ChangesInOpenvpn23

チュートリアル：iOSでVPN on Demand (VoD) を設定してみよう！【MacOS編】

2013-03-27T16:30:00.000+09:00

では、いよいよiPhone構成ユーティリティでVoDの設定をしてみましょう。あ、前の記事での準備はきちんとやっておいてくださいね！

今回は、MacOS上のiPhone構成ユーティリティで設定方法を説明します。「なんでWindowsじゃないの？」との声が聞こえてきそうですが、実はMacOSでの設定のほうが簡単だからです。もちろん、Windows版、MacOS版とも同じ「iPhone構成ユーティリティ」というツールを使用しますし、基本的な機能は同じなのですが、両者の動作にはちょっとした違いがあり、手順が少しだけ異なります。それで、今回はまず手順が簡単なMacOS版から説明したいと思います。
Windows版のiPhone構成ユーティリティを使った設定についても後日まとめたいと思いますので、しばしご辛抱ください（基本的な設定方法は同じなので、Windows版をご使用の場合でもこの記事は参考にしていただけると思います）。

【追記 4/2 : Windows版での設定手順をこちらにまとめました。ご参照ください。】

iPhone構成ユーティリティを起動する

設定したいiPhoneやiPadをUSBで接続して、iPhone構成ユーティリティを起動します。デバイスが正しく認識されていれば、接続しているデバイスが「デバイス」欄に表示されるはずです。

構成プロファイルを作成する

名前

プロファイルの名前です。インストール時や、デバイスの［設定］-［一般］-［プロファイル］で表示されるもので、自由に設定できます。

識別子

必須なのはこれぐらいですね。次に、「VPN」に行きたいところですが、残念、ここは最後です。先に「資格情報」の設定に進んでください。

資格情報を設定する

すると、PKCS#12ファイルを選択するための「資格情報を追加」ダイアログが表示されます。事前準備編で作成した、PC上に保存されているPKCS#12ファイル（拡張子は.p12）を選択して、［開く］をクリックしてください。

資格情報が登録されました。資格情報名などは自動的に設定されてますね。

パスワード

VPNを設定する

さて、いよいよ本番のVPN設定です。「VPN」を選択し、設定を入力していきます。

接続名

VPN設定の名前です。自由に設定できるので、接続先のネットワークの名前など、わかりやすい名前にしておきましょう。

接続のタイプ

「カスタムSSL」を選択します。この選択によって以降の設定項目が変化します。

識別子

サーバ

接続先のDNSサーバーを指定しますが、OpenVPNの場合は接続先は別項目で設定しますので、ここは「DEFAULT」にしてください。

アカウント

指定しません。

カスタムデータ

remote

ca

改行は「\n」に置換
「\」は「\\」に置換

その他

カスタムデータの設定が終われば、あとは簡単です。

ユーザー認証

認証タイプとして「証明書」を選択します。

資格情報

先ほど、資格情報に登録したPKCS#12の秘密鍵/証明書がリストされていますので、その資格情報を選択します。

オンデマンドVPNを有効にする

internal.example.com
*.example.com
172.16.1.80

これで設定は完了です。いよいよデバイスへのインストールです。

デバイスへのインストール

作成された構成プロファイルをデバイスにインストールします。

接続されたデバイスが左側のツリーの下側にある「デバイス」の下に表示されているはずですので、そのデバイスを選択します。

デバイス側でのインストール手順

iPhone構成ユーティリティからインストールを開始すると、デバイスの画面が自動的にプロファイルインストール画面に切り替わります。

［インストール］ボタンを押してインストールを開始します。

警告メッセージが表示されますので［インストール］を押します。

この画面が表示されればインストールは完了です。

インストールしたプロファイルがリストされていますね。

長丁場でしたが、どうもお疲れさまでした！初回はちょっとタイヘンですが、慣れてくれば手順そのものはそれほど難しくはありません。ただ、かなり面倒なのと、難易度がやや高いのは開発側も認識しているようで、今後もっと簡単にVoDを設定できるようにしたい、とのことです。期待しましょう。

チュートリアル：iOSでVPN on Demand (VoD) を設定してみよう！【事前準備編】

2013-03-27T13:00:00.000+09:00

長らくお待たせしました（あ、誰も待ってないですね...）。OpenVPN Connect for iOSでVPN on Demand (VoD) を設定してみましょう。

iOSのVPN on Demand (VoD) とは？

VPN on Demand (VoD) とは、特定の接続先（ホストやドメインなど）にアクセスするときに自動的にVPNに接続してくれる機能です。VPNで接続できる社内サーバー等のホスト名をVoDの設定で登録しておけば、Safariなどでそのホストにアクセスしようとしたときに自動的にVPNにつないでくれます。

日常的に使用するサービスを登録しておけば、毎回手動で接続する手間を省くことができますね。

VoDを使用するための前提

こちらのFAQでも説明されていますが、iOSのVoDを使用するためにはいくつかの前提条件があります。まとめてみましょう。

現在のOpenVPN Connect for iOSの仕様上、証明書認証のみに対応しています。また、秘密鍵/証明書ファイルはPKCS#12形式で準備しておく必要があります。詳細についてはこの後で説明します。
VoDを設定するためには、iPhone構成ユーティリティを使用する必要があります。iPhoneやiPadと接続するPCにインストールしておいてください。Windows版（3.6.2）はこちら、MacOS版（3.5）はこちらからダウンロードできます。

秘密鍵/証明書ファイルの準備

前述のとおり、秘密鍵/証明書ファイルはPKCS#12形式で準備しておく必要があります。PKCS#12ファイルは、秘密鍵ファイルと証明書ファイルをまとめて、パスワードで保護/暗号化したものです。

新しく秘密鍵/証明書を作成する場合

easy-rsaにはbuild-key-pkcs12というスクリプトが用意されています。build-keyスクリプトの代わりにこれを使えば、PKCS#12形式の秘密鍵/証明書ファイル（拡張子は.p12）を作成してくれます。

既に秘密鍵/証明書がある場合

OpenSSLを使って変換します。拡張子は.p12としておきましょう。

openssl pkcs12 -export -in <証明書ファイル> -inkey <秘密鍵ファイル> -out <出力先PKCS#12ファイル>

どちらの方法でも、エクスポート用のパスワードを聞かれます。これは今後の設定の際に必要になりますので、覚えておいてください。

さて、準備ができました。いよいよiPhone構成ユーティリティでの設定を始めましょう。

OpenVPN 2.3.0 Windows build I005 リリース

2013-03-12T10:40:00.000+09:00

Windows用OpenVPN 2.3.0のインストーラ修正版（I005）がリリースされました。今回も前回のアップデートと同様、Windows用インストーラパッケージのみの変更なので、OpenVPN自体のバージョンコードには変更ありません。

修正された点は、以下のとおりです。

Windows 64ビット版で、OpenVPN GUIがクラッシュすることがある問題の修正

ダウンロードはこちら(OpenVPN.JP)からどうぞ。

[OpenVPN TIPS] OpenVPNの死活監視を行うには

2013-02-27T21:30:00.000+09:00

VPNサーバーに障害が発生したらすぐに知りたい、というニーズはありますよね。また、ファイアウォールなどを使用している場合に、疎通チェックが必要な場合もあります。

もちろん、OpenVPNクライアントを実際にセットアップし、それを使ってチェックするのが確実ではありますが、チェック用の証明書などを発行したりというのもなかなか面倒です。

今回はOpenVPNサーバーが落ちているかどうか、つまり、稼働しているはずのOpenVPNのポートにアクセスできるかどうかをチェックする方法について取り上げましょう。

プロトコルとしてTCPを使用している場合

OpenVPNをTCP上で運用している場合は単純で、稼働しているはずのポートにTCPで接続（telnetなどでもOKです）してみて、接続できればOpenVPNサーバーは稼働中、接続できなければ停止中、と判断できます。

これはシンプルで簡単ですね。

プロトコルとしてUDPを使用している場合

一方、UDPの場合はちょっと悩みどころです。残念ながらTCPのように簡単にはいきません。

具体的な方法については serverfault.com の「How to check that an OpenVPN server is listening on a remote port without using OpenVPN client?」で取り上げられていますが、稼働しているはずのポートにUDPで接続し、「0x38 0x01 0x00 0x00 0x00 0x00 0x00 0x00 0x00」という9バイトのデータを送り込むと、もしOpenVPNが稼働していれば何らかのレスポンスがある、ということです。

Pythonのコードで記述するとこんな感じになります。

#!/usr/bin/python
import socket
import sys
from time import time

senddata= "\x38\x01\x00\x00\x00\x00\x00\x00\x00"
def checkserver(ip,port):
   print('Checking %s:%s' %(ip,port)) # <------
   sock = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
   sock.settimeout(5) # in seconds
   time_start = time()
   sock.connect((ip, int(port)))
   print("Sending request...") # <------
   sock.send(senddata)
   try:
      dta=sock.recv(100)
      time_end = time()
      ret = 0
      print("OpenVPN Connection OK : %f sec response time." %(time_end - time_start))
   except:
      ret = 2
      print("OpenVPN Connection failed.")
   sock.close()
   sys.exit(ret)
def main():
   argvs = sys.argv
   argc = len(argvs)
   if(argc != 3):
      print 'Invalid args!'
      sys.exit(3)
   checkserver(argvs[1], argvs[2])
if __name__ == "__main__":
   main()

なお、上記のコードをちょっといじる（「# <------」というコメントのある行を削除するかコメントアウトする）と、Nagiosのプラグインとしても動作します。あくまでも無保証ですが、よろしければお使いください。

もう一つ補足で。OpenVPNサーバーで管理コンソール（Management Console）を有効にしている場合は、そのポートにTCPで接続できるかどうかをチェックすることで、OpenVPNが稼働しているかを判断するという方法もあります。管理コンソールを使用すれば、単に稼働しているかのチェックだけではなく、現在接続しているクライアントのリストなどを取得することもできます。ただし、ファイアウォールなどで管理コンソールに接続できる接続元を制限したり、アクセス制限をきちんと設定しておかないととても危険ですので、その点はどうぞご注意を。

Image courtesy of digitalart / FreeDigitalPhotos.net

チュートリアル：iPhoneでOpenVPNを使ってみよう！

2013-02-19T05:00:00.000+09:00

OpenVPN Connect for iOSがリリースされましたので、それを記念（？）して、OpenVPNサーバーにiPhoneから接続する手順をまとめてみましょう。

まずは準備から。

iOSから接続できるためのOpenVPNサーバーの条件

iOSから接続できるOpenVPNサーバーは以下の条件を満たしている必要があります。この条件さえ満たしていれば、クライアントはPCとiOS（Androidも）が混在していてももちろん問題ありません。

仮想NICドライバとしてTUNデバイスを使用していること（TAPデバイスは不可）
証明書認証を使用していること（ID/パスワード認証等は不可）

ただし、ID/パスワード認証については、今後対応する予定とのことです。

OpenVPN設定ファイルの準備

クライアント（iOS）にインポートするOpenVPN設定ファイルを作成します。といってもOpenVPN Connect for iOS独自形式というわけではなく、PCで使用する通常のテキストファイル形式のものと同じです。ただし、CA証明書、クライアントの秘密鍵/証明書は別ファイルにするのではなく、設定ファイルに埋め込んでしまうのが簡単です。

この方法についてはこちらの記事でも取り上げましたが、現在は [INLINE] を使わずに直接書き込んでしまうことができます。たとえばこんな感じです。

<ca>
-----BEGIN CERTIFICATE-----
MIID0TCCAzqgAwIBAgIJAPqGBlghO9ltMA0GCSqGSIb3DQEBBQUAMIGiMQswCQYD
HYhsg2k288s7s6TTSgkSGGKSuaAGlajsbPOisulASuhsla382lLASI8sSSyqMBMG
...(省略)...
VQQDEwhjaGFuZ2VtZTERMA8GAREwDwYDVQQLEwhjaGFuZ2VtZTERMA8GA1UEAxMI
YkkWu76TYGhSGhOg7ATRSGMVwlHO
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
MIIEMjCCA5ugAwIBAgIBBDANBgkqhkiG9w0BAQUFADCBqTELMAkGA1UEBhMCSlAx
ETAPBgNVBAgTCEthbmFnYXdhMREwDwYDVQQHEwhLYXdhc2FraTEaMBgGA1UEChMR
...(省略)...
2MUHlnZv9MosDWNoU7rDnQAIC7lGG9fwzG6qYchJpjzEFk8x3lmvQyVeAI7HK9GZ
STWHPtw7RrG7HmevMNdbRcQAPjvfjw==
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN RSA PRIVATE KEY-----
MIICXgIBAAKBgQC/hJVwJ/E1Uze70vTIG5z3oeDRpf3zD49VZJkNndd1l/n1r6KN
KW/yF7HLSjnIrnTFs9/WzQ8Jq2mPYrdCLMDZ66SMmo+ruBEWiPzmmHb7kWUfLdt5
...(省略)...
vkw6z3xcYuOqym5Rfe4RnQJAJnCI8BPztVDWFYNYHYYGi+bQRBxGeZB63xxZ3LuX
XGQRRcMyX3RpBy94JlPU9qo+KfGDDLVWXHdRcoObZSzvFA==
-----END RSA PRIVATE KEY-----
</key>

OpenVPN設定ファイルはPC上で作成します。この設定ファイルの拡張子は「.ovpn」としておいてください。さて、設定ファイルが準備できたら、いよいよiPhoneにインポートです。

OpenVPN設定ファイルのインポート

OpenVPN設定ファイルをiPhoneにインポートするにはいくつかの方法がありますが、iTunes経由で行うのが手軽だと思います。その手順を解説しましょう。

まず、 OpenVPN Connect for iOSをインストールしておいてください。

次に、iTunesを起動し、同期するためにデバイスと接続してください。接続したら、左のツリーからデバイスを選択し、ウィンドウ右側のペインで「App」を選択します。

ウィンドウ右側のペインを下にスクロールすると、「ファイル共有」があります。この「App」欄にあるOpenVPNを選択します。右側にある「OpenVPN個の文書」（この訳は？？）の欄に、OpenVPN設定ファイルをドラッグします。

これでiTunesでの作業は終了です。あとはiPhone本体での操作になります。

iPhone本体でのインポート

iPhoneでOpenVPN Connectを起動します。インポートするプロファイルがない場合は、起動画面はこのようになります。プロファイルをインポートするための方法が説明されています。

インポートするプロファイルが存在する場合（前述の手順を行なっている場合）は、インポートするための画面が表示されます。

インポートできるプロファイルが表示されます。今回はテストサーバー（192.168.0.8）に接続するプロファイルを作ってインポートしたので、そのプロファイルが表示されています。

ここで「+」マークをタップすると、プロファイルをインポートできます。インポートはこれだけです。簡単！

いよいよ接続！

インポートが完了すると、OpenVPN Connectの起動画面はこのようになります。

「Disconnected」の下にあるスイッチをタップすると、接続が開始されます。

「Connected」と表示されれば、無事に接続完了！ iPhoneの通知領域にも「VPN」アイコンが表示されています。接続完了後にスイッチをもう一度タップすれば、接続が切断されます。

なお、「Connecting」「Connected」と表示されている右側の「＞」をタップすると、OpenVPNログが表示されます。これはトラブルシュートにも便利ですね。

いかがでしょうか？設定ファイルさえ作れれば、あとは意外に簡単ですよね？もちろん、iPadでも同様に使えます。
これでOpenVPNの活用の幅が広がりますね！

OpenVPN 認証方法についてのまとめ - 後編

2013-02-18T22:00:00.000+09:00

前回から、OpenVPNで使用できる認証方法について取り上げています。前回は静的鍵（Static Key）と証明書認証の2つの方法を取り上げました。今回は残る2つ、ID/パスワード認証と二要素認証（PKCS#12）を取り上げましょう。

ID/パスワード認証

OpenVPNでは証明書認証に次いでよく使用される認証方式です。ユーザーが接続時にID/パスワードを入力し、両者が正しかった場合にVPN接続が開始されることになります。
OpenVPNでは、ID/パスワード認証はプラグイン方式になっています。認証の仕組みはプラグインとして実装しておき、それを呼び出すことで認証を実行します。プラグインの作成も比較的容易です。

ID/パスワード認証の基本的な設定についてはこちらを、ユーザーデータベースにsqliteを利用した認証プラグインのサンプルについてはこちらの記事を参照してください。

利点

ユーザーにとってわかりやすいこと、証明書などのファイル管理が不要なことなどは、管理者にとって大きなメリットです。
また、認証処理自体はプラグイン方式になっているため、さまざまな認証方法（ユーザー情報データベースからの検索や、LDAP認証、ワンタイムパスワードなど）を柔軟に使用できるというメリットもあります。

欠点

手軽であることの裏返しとして、セキュリティ面での安全性は証明書認証にはかないません。ID/パスワードが流出すれば、第三者がVPNに接続できてしまうというリスクが伴います。
また、認証プラグインの導入が必要になります。セットアップは初回導入時だけとはいえ、やや手間がかかるのは避けられません。LDAPを認証に使うopenvpn-auth-ldapなどが公開されていますが、使用できるプラットフォームが限定されていたりと、手軽に使える認証プラグインがまだあまり存在していないというのも事実です。

二要素認証（PKCS#12）

PKCS#12の機構を利用して、セキュリティトークンなどを使った二要素認証にも対応できます。

利点

安全性の高さはトップクラスと言えます。

欠点

とにかく、セットアップが非常に難しいのが最大の問題です。ユーザーに配布するセキュリティトークンの導入などに伴うコストも他の認証方式にはない問題です。

というわけで、ざっとまとめるとこんな感じでしょうか。

方式	安全性	拡張性	管理の簡単さ
静的鍵	★★☆☆☆	★☆☆☆☆	★★★★★
証明書認証	★★★★☆	★★★★★	★★★☆☆
ID/パスワード認証	★★★☆☆	★★★★☆	★★★★☆
二要素認証（PKCS#12）	★★★★★	★★★★☆	★☆☆☆☆

では、どれを選択すべきか...

ユーザー数が少ない場合、安全性を特に重要視する場合は、証明書認証が第一候補になります。認証用プラグインも不要ですので、追加のソフトウェアもインストールせずにすぐに使えます。ユーザー数がある程度多くなってくると判断に迷うところですが、流用したいユーザーデータベースなどが存在していないのであれば、安全性の面からは証明書認証から検討するのが望ましいと思います。初回の導入はちょっと面倒でもいいから、今後の管理の手間を削減したい、ということであればID/パスワード認証が有力でしょう。

既にActive Directoryなどで大規模なユーザーデータベースが存在している場合は、ID/パスワード認証を使って既存のデータベースを参照するのが最善でしょう。もしセキュリティをさらに高めたければ、データベース内のパスワードをそのまま使わず、そのパスワードをベースにしたワンタイムパスワードを使うという方法もあります（時刻ベースのワンタイムパスワード（TOTP）の仕組みについてはこちらを参照してください）。

yamata::memo

[続] シングルボードPC VPNパフォーマンス対決 - Raspberry Pi 2 参戦

Raspberry Pi 2 Model B

ネットワークスループット

OpenVPNスループット

総合まとめ

TLSの脆弱性「Logjam」のOpenVPNへの影響

TLS/SSLの脆弱性「FREAK」がOpenVPNに与える影響について

ChromebookでOpenVPNを使ってみよう （基本編）

押さえておくべきポイント

最もシンプルな構成：ユーザーID/パスワード認証のみ

VPNサーバーの設定

Chromebookの設定

1. CA証明書をインストールする

2. OpenVPNを設定する

OpenVPNの脆弱性（CVE-2014-8104）について

概要

影響範囲

緩和する要素

OpenVPNの攻撃の実現性

修正方法

Access Serverへの影響

シングルボードPC VPNパフォーマンス対決

Raspberry Pi B+

pcDuino 3

PCEngines APU

サイズ比較

ネットワークスループット

OpenVPNスループット

まとめ

「Shellshock」のOpenVPNへの影響について - 補足

bashの脆弱性「Shellshock」のOpenVPNへの影響について

脆弱性と関連する設定

ShellShockの影響を受ける条件

＜補足＞

LZOライブラリの脆弱性がOpenVPNに与える影響について

OpenVPNのインストール方法（CentOS 6.5 RPM編）

1. まずはシステムを最新の状態に

2. パッケージの作成やビルドに必要なツールをインストール

3. OpenVPNのパッケージをダウンロード/インストール

◆ 32ビットの場合

◆ 64ビットの場合

OpenVPN TLS-Auth とは？

--tls-auth file [direction]

easy-rsa 3 で認証局を構築する

以前のバージョンとの違い

easy-rsaのダウンロード

初期化

認証局の作成

DHパラメータの生成

サーバー用秘密鍵/証明書の作成

クライアント用秘密鍵/証明書の作成

OpenVPN Connect for iOS (1.0.2) リリースノート

iPhone 5SでのOpenVPNサポートについて

OpenVPN Connect for iOSでのID/パスワード認証

OpenVPNサーバー側の設定

OpenVPNクライアント（OpenVPN Connect for iOS）側での設定

auth-user-pass

setenv CLIENT_CERT 0

OpenVPN Connect for iOSでの接続

OpenVPN Connect for iOS 1.0.1 リリースノート

OpenVPNをお勧めできる6つの理由

幅広い対応OS

比較的低コストで実現可能

高い柔軟性

安全性と安定性

回線やキャリアの制限なし

設定が（そんなに）難しくない

チュートリアル：iOSでVPN on Demand (VoD) を設定してみよう！ 【Windows編】

Windows証明書ストアへのインポート

iPhone構成ユーティリティを起動する

構成プロファイルを作成する

名前

識別子

資格情報を設定する

パスワード

VPNを設定する

接続名

接続のタイプ

識別子

ChromebookでOpenVPNを使ってみよう（基本編）

チュートリアル：iOSでVPN on Demand (VoD) を設定してみよう！【Windows編】

チュートリアル：iOSでVPN on Demand (VoD) を設定してみよう！【MacOS編】

チュートリアル：iOSでVPN on Demand (VoD) を設定してみよう！【事前準備編】