VPNpiへのアクセス方法
VPNpiはRaspberry Piを使ったVPNサーバーです。sshは鍵認証です。VNCでGUI画面も使えます。VPNのローカルブリッジ設定は新しいtapデバイスで。この記事はそれなりに知識がありマニュアル公開まで待てない御人柱様向けの先行情報です。(管理画面のデモ)
■■■ 2015.12.4 追記:マニュアル公開しました。公開ページをご参照下さい。
1)LAN内からsshでアクセスする場合、sshdの設定でパスワード認証を禁止していますので鍵認証でしかログインできません。そのためのRSA鍵ペアをSAMBAの隠し共有 smb://vpnpi1000.local/private に置いてあります。ログインユーザーは pi で秘密鍵 id_rsa のパスワードは pi のデフォルトと同じです。外からアクセスする方法は3)VPNを御参照下さい。
2)ユーザー pi のGUI画面へはVNCでアクセスできます。画面NOは1(ポート 5901 )です。VNCパスワードも pi のデフォルトと同じですが、8文字なので最後の y は不要です。
3)VPNは SoftEther VPN を入れてありますが、利用するためにはサーバー設定を行う必要があります。サーバー設定はコマンドラインから行うことも可能ですが、Windows用サーバーマネージャーを使った方が圧倒的に分かりやすいです。SoftEther VPN Server Manager for Windows を SoftEther VPN サイトのダウンロードからたどって入手して下さい。
設定方法は同サイトに詳細なマニュアルがあります。VPNpiを使用する上で大事なポイントはサーバーマネージャー管理画面のローカルブリッジ設定で仮想HUBのブリッジ先に新しいtapデバイスを指定する必要があることです。既存のeth0やbr0を選ぶとVPNpi本体にアクセスできません。設定後 vpnserver を再起動すると起動スクリプトがtapデバイスとeth0 をブリッジしてアクセス可能になります。
SoftEther VPN の提供するサービスでダイナミックDNSを利用できます。サーバーマネージャー設定中にDDNSホスト名を設定する箇所があり、vpnpi1000xxx.softether.net( vpnpi1000xxxは例、好きな名前を設定できる)で外からアクセスできるようになります。
外からアクセスするためにはルーターの穴開けが必要で、VPNpi にはUPnPで自動的に穴開けする機能が設定されています。インストール直後はオフですが、 //vpnpi1000.local/CTRL/ にアクセスし「VPNサーバー管理」で「禁止」、反映されたら「許可」と操作することで有効になります。(CPU温度の横にUPnPと表示されます)
UPnPで開放するポートは L2TP/IPsec 用に udpの 500と 4500、OpenVPN用に udpの 1194、ssh用にtcpの 20022の4つです。SoftEtherクライアントを利用する場合は VPN Azure サービスを利用した方が便利なので関連ポートは開けていません。
4)エコーウエアから不正アクセスされない? ...いや遠隔サポートと言って下さいw
autosshでリモート操作する機能は搭載していますが利用するためには設定が必要です。autosshは初期状態では無効です。ダウンロードしたサーバーイメージを稼働させただけでは弊社から遠隔サポートすることは不可能です。
サポートが必要な際は以下の方法で設定します。sshでログインするかディスプレイとキーボードをつないで次のコマンドを入力します。
sudo /home/echowear/setup.sh 新しいホスト名 管理番号
管理番号は弊社から指定する4桁の数字で autossh で使うポート番号の末尾です。初めてこのコマンドを使うとRSA鍵ペアを作成し公開鍵をSAMBA共有の ¥¥vpnpi1000¥livecam にコピーします。この公開鍵はご連絡頂いて弊社管理サーバーに設定する必要があります。
ホスト名を変更せずに管理番号を設定する場合は「新しいホスト名」を「0」にします。また「管理番号」を「0」でコマンド実行すると autossh が無効の初期状態に戻り弊社からアクセスできなくなります。なお、ホスト名の変更を反映させるためには再起動が必要です。
5)イントラサーバーとして設定しています。FWは設定していないのでルーターの内側で使って下さい。