AWS上にpfsenceのインスタンスを立ち上げOpenVPN接続用に利用する。
1.インスタンスの作成
・AMI : pfSense-netgate-ec2-2.4.4-RELEASE-p1-amd64
・ネットワークインターフェースは、EIPを紐づけるFrontendのサブネットをeth0(プライマリインターフェース)へ設定する。
社内環境等からL2L VPNで接続する場合等はBackendのサブネットをeth1へ紐づける。
※pfSenseによってeth0がをWANサイドとして設定されてしまうため、上記のように構成しないとNIC2枚構成がうまく機能しない。
EIP経由でGUIへログイン
・username : admin
・初期パスワードはAWSコンソールのシステムログから確認する。
2.OpenVPNの設定
[VPN] > [OpenVPN] > [Wizards]より設定
- プライベートCAの作成
- サーバ証明書の作成
- OpenVPN設定
・Protocol : UDP on IPv4 only
・TLS Authentication: none
・Encryption Algorithm : AES-256-CBC
・Compression : Omit Oreference (Use Open VPN Default) - Wizardsに従ってFirewallルール(WAN/OpenVPN)を追加
- ユーザの追加
・[System] > [User Manager]より追加
・Certificateにチェックを入れ「Certificate authority」より作成したプライベートCAを指定
・証明書、キーは[System] > [Certificate Manager] > [Certificates]より取得可能 - ovpnファイルの作成しsecure point等のOpenVPNクライアントへインポート
ovpnファイル
client float nobind persist-key persist-tun auth-nocache auth-user-pass dev tun tun-mtu 1500 remote ZZZ.XXX.CCC.VVVV 31194 ※ ZZZ.XXX.CCC.VVVVは接続先のIP proto udp ns-cert-type server cipher AES-256-CBC auth sha256 mssfix 1300 route-method exe verb 3 route-delay 2 mute 20 -----BEGIN CERTIFICATE----- [プライベートCAの証明書] -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- [ユーザの証明書] -----END CERTIFICATE----- -----BEGIN PRIVATE KEY----- [ユーザの秘密鍵] -----END PRIVATE KEY-----