VyOS で OpenVPN を使用する場合の運用メモです。ここでは、接続そのものよりも、ログに出やすい WARNING、証明書検証、CRL、replay 系ログの見方を整理します。
参考
書籍
書籍
参考書籍
マスタリング TCP/IP ルーティング編
ルーティング、NAT、VPN、ネットワーク設計の基礎を体系的に確認したい場合の参考書籍です。価格や在庫はリンク先で確認してください。
Amazon で見るこのリンクは Amazon アソシエイトリンクです。
この記事は、現在の主軸である VyOS 1.5 で読むことを前提に、過去記事の内容も整理しています。OpenVPN のログ確認 はバージョン番号そのものより、ルーターとして管理しやすい状態をどう作るかが重要です。細かなコマンドや表示は利用している ISO で確認してください。
証明書検証の WARNING
No server certificate verification method has been enabled は、クライアント側でサーバー証明書の用途確認が不足している場合に出る WARNING です。接続できる場合もありますが、中間者攻撃対策として無視しない方がよいログです。
show log openvpn | match 'No server certificate verification'
configure
set interfaces openvpn vtun0 openvpn-option 'remote-cert-tls server'
commit
saveCRL と証明書失効
CRL を使っている場合は、証明書の有効期限だけでなく CRL の有効期限も確認します。証明書は正しくても、CRL の配置や期限がずれていると認証まわりのトラブルになります。
show log openvpn | match 'CRL'
show configuration commands | match 'openvpn'replay 系エラー
AEAD Decrypt error や replay 系のログは、パケット重複、経路の揺らぎ、鍵・暗号設定、時刻差など複数の要因で発生します。継続的に出る場合は MTU と経路も含めて確認します。
show log openvpn
show interfaces openvpn
show system ntpまとめ
OpenVPN のログは、接続できるかどうかだけでなく、証明書検証、CRL、時刻、MTU、経路の品質を示す手がかりになります。WARNING を単に消すのではなく、何を警告しているかを確認します。
VyOS OpenVPN のログと証明書検証の注意点
