VyOS の OpenVPN site-to-site TLS 構成を整理します。site-to-site では、拠点間のトンネルアドレス、証明書、暗号方式、MTU をまとめて考える必要があります。
参考
書籍
書籍
参考書籍
マスタリング TCP/IP ルーティング編
ルーティング、NAT、VPN、ネットワーク設計の基礎を体系的に確認したい場合の参考書籍です。価格や在庫はリンク先で確認してください。
Amazon で見るこのリンクは Amazon アソシエイトリンクです。
OpenVPN 設定例
configure
set interfaces openvpn vtun1 mode 'site-to-site'
set interfaces openvpn vtun1 protocol 'udp'
set interfaces openvpn vtun1 local-address '192.168.101.1'
set interfaces openvpn vtun1 remote-address '192.168.101.2'
set interfaces openvpn vtun1 local-port '30000'
set interfaces openvpn vtun1 encryption cipher 'aes256gcm'
set interfaces openvpn vtun1 hash 'sha512'
set interfaces openvpn vtun1 persistent-tunnel
set interfaces openvpn vtun1 openvpn-option 'auth-nocache'
commit
saveMTU の考え方
OpenVPN は UDP/IP の上にトンネルを作るため、物理インターフェイス上の MTU より実効 MTU が小さくなります。断片化や MSS の問題が出る場合は、トンネル MTU と TCP MSS を合わせて確認します。
show interfaces openvpn vtun1
ping <remote-tunnel-ip> size 1400 do-not-fragment
show log openvpnまとめ
site-to-site OpenVPN は、疎通するだけなら簡単ですが、安定運用には MTU、MSS、証明書、ルート、firewall を合わせて見る必要があります。
VyOS OpenVPN Site-to-Site TLS 設定と MTU の考え方
Related posts:
VyOS 1.4 の nat66 masquerade と IPv6 NAT の考え方
VyOS PPPoE 利用時の MTU と MSS
OpenVPN tls-auth を活用したセキュリティ強化
VyOS OpenVPN のログと証明書検証の注意点
VyOS Azure 版 OpenVPN
OpenVPN の iPhone アプリ
EAP-TLS と EAP-TTLS 何が違う?
CentOS 7 SSL 証明書 – 自己署名 CA と内部向け TLS の基本
CentOS 7 Apache TLS 設定 – 自己署名証明書で HTTPS 化する
CentOS 7 Apache TLS 設定 – Let’s Encrypt で HTTPS 化する
Ubuntu 22.04 Apache TLS – 内部 CA 証明書で HTTPS を有効化する
Chrome でのみ TLS 証明書エラーが発生