Ubuntu 22.04でOpenVPNをセットアップおよび構成するためのステップバイステップガイド
適切なセキュリティと最適化の実践を備えた Ubuntu 22.04 上で OpenVPN サーバーをセットアップおよび構成するための完全なガイド。.

Ubuntu 22.04でOpenVPNをセットアップおよび構成するためのステップバイステップガイド

  • 12 ビュー
  • 5分の読み物
この記事では、Ubuntu 22.04にOpenVPNサーバーをインストールして設定する方法を説明します。パッケージのインストール、ファイアウォールの設定、セキュリティのヒントなど、さまざまな手順を網羅しています。.
エラヘ
  • 2025年12月16日
0 株式
0
0
0
0
0
株式
0
0
0
0
  1. Ubuntu 22.04 で OpenVPN を設定する必要があるのはなぜですか?
  2. 前提条件
  3. パート1 — OpenVPNとEasyRSAのインストール
  4. パート2 - CA、キー、証明書の作成
  5. パート3 — OpenVPNサーバーの設定
  6. パート4 — ルーティングとNATの有効化
  7. UFW 構成 (有効な場合)
  8. パート5 — OpenVPNサービスの設定
  9. パート6 - インライン証明書を使用したクライアントファイル(.ovpn)の作成
  10. 第7章 — ユーザー管理、証明書の失効、およびセキュリティ
  11. セクション8 — アプリケーションの技術的なヒントと最適化
    1. 取引/外国為替および暗号通貨
    2. ゲーム用
    3. 人工知能とレンダリング
  12. 第9節 立地とインフラの比較
  13. 第10節 監視と保守
  14. クイックトラブルシューティング
  15. 概要とセキュリティに関する推奨事項
  16. 提供されるインフラと場所の利点
  17. よくある質問

Ubuntu 22.04 で OpenVPN を設定する必要があるのはなぜですか?

このガイドでは、セットアップと構成に関する実用的かつ包括的なチュートリアルを提供します。 オープンVPN の上 ウブントゥ 22.04 システム管理者、DevOps担当者、トレーダー、ゲーマー向けに設計されています。手順には、パッケージのインストール、EasyRSAを使用したPKIの作成、サーバーとクライアントの設定、ファイアウォール(ufw/iptables)の設定、ルーティングの有効化、セキュリティソリューション(例: TLS暗号化、証明書失効リスト(CRL)の管理と使用 失敗2禁止 そうなる。.

前提条件

このガイドに従うには、次のものが必要です。

  • サーバー ウブントゥ 22.04 アクセス権を持つユーザーの場合 須藤
  • パブリック IP アドレスまたは専用 IP 範囲 (必要に応じて IPv4/IPv6)
  • フリーポート(推奨: UDP 1194 またはスキャンの可能性を減らすためのカスタムポート)
  • ベースロードには少なくとも 1 GB の RAM が必要。エンタープライズでの使用や数百の接続の場合はリソースを増やす必要があります。

パート1 — OpenVPNとEasyRSAのインストール

まず、パッケージを更新し、次に OpenVPN と EasyRSA をインストールします。.

sudo apt update && sudo apt upgrade -y
sudo apt install -y openvpn easy-rsa

EasyRSA テンプレートをコピーして PKI を準備します。

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa
./easyrsa init-pki

パート2 - CA、キー、証明書の作成

EasyRSA を使用して CA、キー、証明書を作成する手順:

./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
./easyrsa gen-req client1 nopass
./easyrsa sign-req client client1
./easyrsa gen-dh
openvpn --genkey --secret /etc/openvpn/ta.key
./easyrsa gen-crl
cp pki/crl.pem /etc/openvpn/crl.pem
chmod 644 /etc/openvpn/crl.pem

サーバーに必要なファイル:

  • /etc/openvpn/server.crt
  • /etc/openvpn/server.key
  • /etc/openvpn/ca.crt
  • /etc/openvpn/dh.pem
  • /etc/openvpn/ta.key
  • /etc/openvpn/crl.pem

パート3 — OpenVPNサーバーの設定

サンプル設定ファイル /etc/openvpn/server/server.conf 作成します。次の例は、AES-256-GCM と tls-crypt を使用した基本的な安全な構成です。.

port 1194
proto udp
dev tun

ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh.pem
tls-crypt /etc/openvpn/ta.key

server 10.8.0.0 255.255.255.0
ifconfig-pool-persist /var/log/openvpn/ipp.txt

push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 1.1.1.1"
push "dhcp-option DNS 8.8.8.8"

keepalive 10 120
cipher AES-256-GCM
auth SHA256
ncp-ciphers AES-256-GCM
persist-key
persist-tun

user nobody
group nogroup

status /var/log/openvpn/status.log
log /var/log/openvpn/openvpn.log
verb 3

crl-verify /etc/openvpn/crl.pem

ヒント:

  • の使用 AES-256-GCM そして SHA256認証 推奨。.
  • 取引やゲームなどの機密ネットワークでの遅延を最小限に抑えるには、 UDP より適しており、限られたネットワークでも可能 TCP それは必要かもしれません。.
  • あなたはできる tls-version-min 1.2 または tls-version-min 1.3 さらに、より厳格な暗号のリストを追加します。.

パート4 — ルーティングとNATの有効化

転送を有効にし、クライアント トラフィックをインターネットに渡すように NAT を構成する必要があります。.

IPv4 転送を一時的に有効にします。

sudo sysctl -w net.ipv4.ip_forward=1

永続的にするには:

echo "net.ipv4.ip_forward=1" | sudo tee /etc/sysctl.d/99-openvpn.conf
sudo sysctl --system

iptables を使用して NAT ルールを追加する (出力インターフェイス eth0 を想定):

sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

ルールを永続化するには、iptables-persistent または netfilter-persistent を使用します。

sudo apt install -y iptables-persistent
sudo netfilter-persistent save

もしから nftables nft では NAT と同等のものを定義します。.

UFW 構成 (有効な場合)

もしから ufw NATを有効にする前に、ファイルを使用します /etc/ufw/before.rules NATセクションを編集して追加します。簡単な例:

*nat
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
COMMIT

そして、 /etc/default/ufwIPV4_転送 に "“はい” または sysctl を使用します。次に、OpenVPN ポートを開き、ufw を有効にします。

sudo ufw allow 1194/udp
sudo ufw enable

パート5 — OpenVPNサービスの設定

サービスを実行して有効にします (サービス名はディストリビューションによって異なる場合があります)。

sudo systemctl start [email protected]
sudo systemctl enable [email protected]

ステータスとログを確認するには:

sudo systemctl status openvpn-server@server
journalctl -u openvpn-server@server -f

パート6 - インライン証明書を使用したクライアントファイル(.ovpn)の作成

配布を容易にするために、すべての.ovpnファイルを作成します。 証明書/キー はインラインで記述されています。生成された値に基づいて、次の例を置き換えてください。

client
dev tun
proto udp
remote YOUR_SERVER_IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-GCM
auth SHA256
verb 3

<ca>
-----BEGIN CERTIFICATE-----
(محتوای ca.crt)
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
(محتوای client1.crt)
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
(محتوای client1.key)
-----END PRIVATE KEY-----
</key>
<tls-crypt>
-----BEGIN OpenVPN Static key V1-----
(محتوای ta.key)
-----END OpenVPN Static key V1-----
</tls-crypt>

このファイルをWindows、Mac、Linuxクライアントに転送します。LinuxではNetworkManagerまたはコマンドを使用します。 openvpn --config クライアント.ovpn 使用。.

第7章 — ユーザー管理、証明書の失効、およびセキュリティ

ユーザー管理とセキュリティには次のものが含まれます。

  • 新しいユーザーを追加: キーを生成し、client1 と同様に署名します。.
  • 証明書の失効(取り消し): ./easyrsa revoke client1 && ./easyrsa gen-crl 次に、crl.pem を /etc/openvpn/crl.pem にコピーし、サーバーをリロードします。.
  • 証明書ベースと認証ユーザーパスの組み合わせ使用: PAM または RADIUS を使用して、OTP/2FA を追加し、セキュリティを強化できます。.
  • フェイル2バン: ログを監視し、侵入の試みをブロックするためのインストールと構成。.
  • ログ管理: 運用中のログ レベルを下げ、logrotate を使用してログ ファイルを維持します。.
sudo apt install -y fail2ban
# create a custom jail for openvpn as needed

セクション8 — アプリケーションの技術的なヒントと最適化

さまざまなシナリオに対する実用的な提案:

取引/外国為替および暗号通貨

  • RTT を削減するには、取引所または取引サーバーに近い場所を選択します (例: ロンドン、フランクフルト、ニューヨーク、東京)。.
  • 低い ping、専用リソース、および DDoS 対策サーバーを備えた取引専用の VPS を使用します。.
  • 断片化を防ぐために、UDP を使用し、適切な MTU (例: tun-mtu 1500 以下) を設定します。.

ゲーム用

  • ping が最も低い場所を選択し、高速ネットワークを備えた VPS または高速サーバーを使用します。.
  • VPN が実際にルーティングを改善し、ping を削減するかどうかを確認するための A/B テスト。.

人工知能とレンダリング

  • 大規模なデータ転送の場合は、クラウド プライベート ネットワーク (VPC) または BGP を使用したネットワーク レベル VPN を使用することをお勧めします。.
  • GPU サーバーに接続するには、10Gbps ネットワークを備えたサーバーを使用します。.

第9節 立地とインフラの比較

地域別のメリット例:

  • ヨーロッパ(フランクフルト、ロンドン、アムステルダム): ヨーロッパのトレーダーに適しており、取引所へのレイテンシーが低いです。.
  • アメリカ(ニューヨーク、ニュージャージー、マイアミ): 北米市場および遅延に敏感な負荷に適しています。.
  • アジア(東京、シンガポール、ソウル): APAC 市場およびその地域のゲームや AI サービスに適しています。.

当社は、 世界85か所BGP および CDN ネットワークを提供し、レイテンシの削減、安定性の向上、DDoS 攻撃の防止に効果的です。.

第10節 監視と保守

メンテナンスとスケーラビリティに関するヒント:

  • Prometheus/Grafana または Zabbix を使用した OpenVPN モニタリング (エクスポーターまたはログ分析を使用)。.
  • CRL の定期的なメンテナンスと接続ログのチェック。.
  • クライアントの数が多い場合は、ロード バランサと、HA と共有 CA を備えた複数の OpenVPN サーバーを使用します。.

クイックトラブルシューティング

  • ログを確認します: sudo journalctl -u openvpn-server@server -e
  • トンネル点検: ip a show tun0
  • ポートチェック: sudo ss -ulpn | grep 1194
  • NAT テスト: VPN クライアントから、8.8.8.8 とサーバーのパブリック IP を ping します。.

概要とセキュリティに関する推奨事項

主な推奨事項:

  • 常に TLS (tls-crypt) と強力な CA を使用してください。.
  • 強力な暗号化 (AES-256-GCM) と少なくとも TLS 1.2 を使用してください。.
  • キーが漏洩した場合にアクセスを削除するための取り消しおよび CRL 手順を実装します。.
  • ファイアウォールで fail2ban とレート制限ルールを使用します。.
  • ログを監視し、定期的に確認することを忘れないでください。.

提供されるインフラと場所の利点

複数の拠点に既製のインフラストラクチャを導入することで、pingの低減、安定性の向上、DDoS対策などのメリットが得られます。また、トレーディングVPS、ゲーミングサーバー、GPUサーバー、アンチDDoSサーバーなどのオプションも提供しており、特殊なシナリオにも対応可能です。.

よくある質問

この記事の内容:
,
投稿者:
フォローする
前の記事
次の記事
あなたも気に入るかもしれない