無償UTM Untangle OpenVPN

設置したルータを、WAN側から管理したいという要件が出てきました。セキュリティポリシー上、LAN側からwebサイト管理はできますが、WAN側ではポートも公開されておらず接続する事は出来ません。

そこで、Untangle上で無償で利用できるOpenVPNを利用してみました。

Screenshot of wiki.untangle.com

サーバ
OpenVPNのサーバ機能が提供されています。
サイトURLは、リモートクライアントがこのサーバーに接続するために使用するURLを示します。

リモートクライアント
[リモートクライアント]サブタブでは、このOpenVPNサーバーに接続できるすべてのリモートクライアントが構成されます。リモートクライアントは、クライアントとして、このOpenVPNのサーバに接続する任意のエンティティです。これには、リモートデスクトップ、ラップトップ、デバイスが含まれます。

Untangleを触っていると時々感動するのですが、OpenVPNのクライアントは証明書込みのインストーラがダウンロードでき、クライアントパソコンでインストーラを実行するだけで設定可能になります。すごすぎです。

サーバ有効にチェック
NATOpenVPNトラフィックにチェック

openvpn01.jpg

[OpenVPNアプリ]⇒[サーバ]⇒[リモートクライアント]⇒[追加]

[ダウンロードクライアント]ボタンからインストーラをダウンロード

openvpn02.jpg

ダウンロードされたインストーラにてインストール
(これだけで設定は完了している)

openvpn03.jpg

後はクライアントから接続すると、接続されます。

Wed Aug 14 10:16:40 2019 Initialization Sequence Completed
Wed Aug 14 10:16:40 2019 Register_dns request sent to the service

Initialization Sequence Completed

が表示されたら接続完了です。

OpenVPNのアイコンが緑色になったら接続されています。

接続した後は、そのネットワーク内と同じように扱ってもらえます。WAN側から管理画面を覗いて、どんな接続状態になっているかを確認したいというのが要件だったのですが、無事この要件も満たすことができそうです。WAN側にOpenVPNで接続して、管理画面IPアドレスをURLで開くと、いとも簡単に管理画面が開きました。LAN内にいるのと同じです。

クライアント側からルート設定する必要があります。最初テストした時は、この設定必要なかったんですけど、クライアントWindowsでVPNセッションが張れてからOpenVPNへのルートを書いてあげます。

Microsoft Windows [Version 10.0.14393]
(c) 2016 Microsoft Corporation. All rights reserved.

C:\WINDOWS\system32>route add 192.168.15.0 mask 255.255.255.0 172.16.240.5
OK!

C:\WINDOWS\system32>

172.16.240.5はデフォルトで持つOpenVPN側のIPアドレスです。

192.168.15.254にUntangleがいるため、192.168.15.0ネットワーク到達するためには、OpenVPNサーバを通ってというルートになります。このルートが通っていると、

http://192.168.15.254

こちらでUntangleのログイン画面が表示できるようになります。

備考 OpenVPNのクライアント側は、172.16.240.6のIPアドレスが割り当てられます。

OpenVPNのクライアント接続状況の確認画面です

openvpn05.jpg

ちょっと感動ものでした。Untangleを利用すれば、OpenVPNサーバ機能が無償で提供され、証明書ファイルを含んだインストーラも提供されるので、高いSSLVPNアプライアンスなんかいらないなと。

Untangleを使っていると、時々感動する事があるのですが、このVPN機能もびっくりしちゃいました。

 私は無料で利用できるMyDNSをよく利用させてもらっています。
 
 
利用方法はこちらをご覧ください。

 

 
UntangleOS上でもCRONちゃんと動きます。正規サポートではないと思うので、何かの拍子に使えなくなることもあるかもしれませんが、Debianのアップグレードでも特にCRONがおかしくなったりしたことはないので、大丈夫かと。
 
私は毎時 DDNSを更新するように設定しています。
 
0 0 * * * /usr/bin/wget -O - 'http://mydns****:*********@www.mydns.jp/login.html'

DDNSのホスト名は、ダウンロードされたクライアントのコンフィグには反映されていないため手動で設定変更を行います。

インストールしたクライアントのOpenVPN コンフィグファイルフォルダは、

C:\Program Files\OpenVPN\config

ここになります。拡張子 .ovpn が一つ一つの接続設定ファイルです。

client
resolv-retry 20
keepalive 10 60
nobind
mute-replay-warnings
ns-cert-type server
comp-lzo
max-routes 500
verb 1
persist-key
persist-tun
explicit-exit-notify 1
dev tun
proto udp
port 1194
cipher AES-128-CBC
cert keys/untangle-01-test.crt
key keys/untangle-01-test.key
ca keys/untangle-01-test-ca.crt
remote ここを変える 1194 # public address 

remote の後にDDNSで登録しているホスト名を入れます。

これで、遠隔地に設置したUntangleルータをリモートからweb管理画面を開いて監査・確認する事ができるようになります。

関連コンテンツ