Conohaで使用しているCentOS7のVPSにL2TP/IPSecでVPN接続できるようにした時のメモです。Conoha標準の(コントロールパネルから設定できる)ファイアウォールではL2TPに必要なポート開放ができないのでこちらを無効(全て許可)にしてCentOS側でfirewalldにて設定します(人生初firewalld)。
L2TPサーバー
Conohaのコントロールパネルでプライベートネットワークを追加
必須かどうかわからないですが、L2TP周りの設定にLAN側インターフェイスが必要だろうということでコントロールパネルから追加し。IPアドレス範囲が自宅などのセグメントとかぶらないように192.168.123.0/24などとします。すると192.168.123.1〜192.168.123.254のLANが構築されます。
サーバーにログインし、インターフェイスをeth1として固定IPアドレスを設定するには、/etc/sysconfig/network-scripts/ifcfg-eth1を作成します。
TYPE=Ethernet
BOOTPROTO=none
IPADDR=192.168.12.1
NETMASK=255.255.255.0
DEVICE=eth1
ONBOOT=yes
xl2tpdを使用
OpenVPNやSoftEtherを使う方法もあるみたいですが、xl2tpdが機能的に過不足なさそうだったのでチョイス。
こちらのエントリを参考に、サーバー設定周りをすっとばして未設定分のみ実行。
https://qiita.com/yume_yu/items/09f57a8923341c5b2316
ただし、xl2tpd.confとl2tp-ipsec.confのとこで「サーバーのローカルIP」と書いてあるところは実際にはグローバルIPアドレスを指定する必要がありました。
firewalld
こちらのエントリが非常に参考になりました。ありがとうございます。
インストール済みでしたが起動はしてないので起動。
# systemctl start firewalld
# systemctl enable firewalld
初期状態ではeth0,eth1ともにpubicグループに登録されていたので、eth1は除外するためにinternalへ割当変更。
firewall-cmd --zone=internal --change-interface=eth1
以下、暗黙的にpublicに対する設定になります。sshとdhcp6-clientは標準で有効化されていたので、WebとL2TP/IPSecに必要なもの(下3つ)を追加。
firewall-cmd --zone=public --add-service=http
firewall-cmd --zone=public --add-service=httpd
firewall-cmd --zone=public --add-service=ipsec
firewall-cmd --zone=public --add-port=1701/udp
firewall-cmd --zone=public --add-port=4500/udp
firewall-cmd --add-masquerade
あえて一旦--publicをつけないことでオンメモリの一時ルールになるので、動作確認後にまとめて永続化します。
firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: eth0
sources:
services: dhcpv6-client ssh http https ipsec
ports: 1701/udp 4500/udp
protocols:
masquerade: yes
forward-ports:
source-ports:
icmp-blocks:
rich rules:
追加前はWebにアクセスできなかったのができるようになりました。保存(永続化)します。
firewall-cmd --runtime-to-permanent
ログの確認
firewall-cmd --set-log-denied all
firewall-cmd --set-log-denied off