投稿者: arisophy

SoftEther VPNサーバーのインストール

ConoHaのVPS(CentOS7)に、SoftEther VPNサーバーを入れた時のメモ。

(SoftEther VPN)

https://ja.softether.org/

(インストール手順)

https://ja.softether.org/4-docs/1-manual/7/7.3

1.事前準備

必要なソフトを入れる。

 yum install gcc

2.インストール

(ダウンロードページ)

https://www.softether-download.com/ja.aspx?product=softether

コンポーネント「SoftEther VPN Server」、プラットフォーム「Linux」、CPU「Intel 64 / AMD 64(64 bit)※」を選択する。(※念のため、サーバーの/proc/cpuinfoで確認)

最新のものをサーバーで取得する。

wget ダウンロードURL

後は、インストール手順通りに進める。

(インストール作業)

tar xzvf ダウンロードファイル
cd vpnserver/
make ※質問にはすべて1を入力

vpnserverディレクトリを、/usr/localに配置してパーミッションを変更する。

cd ..
mv vpnserver /usr/local  
cd /usr/local/vpnserver  
chmod 600 * 
chmod 700 vpncmd 
chmod 700 vpnserver

解凍したvpnserverフォルダがフルアクセスだったので、一応、このパーミッションも変更した。

cd ..
chmod 700 vpnserver

3.動作確認

vpncmd の check コマンドによる動作チェックを行う。

cd vpnserver
./vpncmd

コマンドで、「3」を入力して「VPN Tools」に入り、 「check」を入力して動作確認を行い、「exit」で終了。

4.サービス登録

公式ページのインストール手順では、スタートアップスクリプトとなっているが、CentOS7ではサービス登録にする。サービス登録の内容は、以下ページが参考になる。

https://qiita.com/salt_field/items/5969f7d7a8612e150bda

サービス登録までを行う。

 vi /usr/lib/systemd/system/vpnserver.service 
----------------------------------------------
[Unit]
 Description=SoftEther VPN Server
 After=network.target
 [Service]
 Type=forking
 ExecStart=/usr/local/vpnserver/vpnserver start
 ExecStop=/usr/local/vpnserver/vpnserver stop
 [Install]
 WantedBy=multi-user.target
----------------------------------------------

systemctl daemon-reload
systemctl enable vpnserver

5.NATトラバーサル、ダイナミックDNS機能 、IPv6リスナー の無効化

NATトラバーサルが有効のままでは、ファイアウオールに関係なくSoftEther VPNサーバー管理マネージャから接続できてしまうので、無効化する。

NATトラバーサル機能の無効化

コンフィグファイルを直接編集し、ダイナミックDNS機能 、IPv6リスナーも使わないので同時に無効化する。 。

cd /usr/local/vpnserver
cp -p vpn_server.config vpn_server.config.org 
vi vpn_server.config  
------------------------------- 
:
 declare DDnsClient
 {
  bool Disabled true
 :
 :
 declare ServerConfiguration
 {
  : 
  bool DisableIPv6Listener true
  bool DisableNatTraversal true
:
-------------------------------

6.管理者パスワード設定

管理者ログインのIPアドレス制限の設定を行う。

cd /usr/local/vpnserver
vi adminip.txt
-------------------------------  
127.0.0.1
XXX.XXX.XXX.XXX   ※6.で接続するクライアントIPアドレス
-------------------------------

vpnserverを起動し、コマンドにて管理者パスワードを設定する。

systemctl start vpnserver 

cd /usr/local/vpnserver
./vpncmd
 :
 Select 1, 2 or 3: ※1を入力
 :
 Specify Virtual Hub Name: ※そのままリターン

Specify Virtual Hub Name: ※そのままリターン 

 VPN Server>ServerPasswordSet
 :
 Password: ※パスワード入力 
 Confirm input:  ※パスワード再入力 
 : 
 VPN Server>quit

7. VPN サーバー管理マネージャから設定

Windows端末にて、ダウンロードページから、「SoftEther VPN Server Manager For Windows」をダウンロードして、サーバー管理ツールをインストールする。

サーバー側で必要なポートを開放する。とりあえず443ポートで接続する場合は以下を実行。

firewall-cmd --permanent --add-service=https
firewall-cmd --reload

サーバーアドレスと管理者パスワードを設定して接続して、目的に応じた設定をしする。

迷惑メールにならない対策

CentOS(7.6)サーバーからmailコマンドで、自分に機械的に送っているメール(ログイン時、yum-cron等)が、Gmail(G Suite無償版※)で迷惑メールとしてはねられないようにする。

※初期ベータ時の登録のまま無償版で使っているが、有償にしないと以下のSMTPリレーが使えない。だんだん無償版の扱いが厳しくなってきたが、できる限り無償で頑張ってみる。

https://support.google.com/a/answer/2956491

迷惑メールに入るだけでなく、最悪送信が受け付けられない。

(Googleサーバーからのメッセージ)

XXXXX@XXXXX.com: host aspmx.l.google.com[2404:6800:4008:c04::1b] said:
     550-5.7.1 This message does not have authentication information or fails to
     pass 550-5.7.1 authentication checks. To best protect our users from spam,
     the 550-5.7.1 message has been blocked. Please visit 550-5.7.1

メッセージが受け付けられないということで、以下サイトを見ろとなる。

https://support.google.com/mail/answer/81126#authentication

その対策として、とりあえず、サーバー追加時にやること。

1.SPFレコードにサーバー登録

対象ドメインDNSのTXTレコードを修正(追記)する。

v=spf1 ip4:XXX.XXX.XXX.XXX include:_spf.google.com ~all

GSuiteのツールで、DNSをチェックできるので、こちらから設定されたことを確認する。

G Suite Toolbox Check MX )

https://toolbox.googleapps.com/apps/checkmx/

上記設定後に、サーバーからのメールを「メッセージのソース」で見ると、SPFが「PASS」となる。

SPF:  PASS(IP: XXX.XXX.XXX.XXX)。詳細

2.Postfixの設定

CentOS7から、標準がPostfixになったらしい。

2.1 TLS通信設定

以前はSendmailでTLSが有効だったけど、Postfixでは標準ではTLSは無効になっている。以下を参考にして設定を変更した。

https://qiita.com/tak-onda/items/b585841e03e4619ec367

/etc/postfix/main.cfに以下を追加。

smtp_tls_security_level = may
smtp_tls_CAfile = /etc/pki/tls/cert.pem
smtp_tls_loglevel = 1

ちなみに、CAファイルが無効(あるいはsmtp_tls_CAfileを設定しない場合)でも、送信自体はできた。

 (maillog)
postfix/smtp[11228]: Untrusted TLS connection established to aspmx.l.google.com[64.233.189.27]:25: TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits)

2.2  DKIMとDMARC設定

とりあえず、TODOということで備忘録

DNS Flag Day対応

DNS Flag Dayの対応状況について、少し調べてみたこと。

(JPNICのBLOG)

https://blog.nic.ad.jp/blog/dns-flag-day/

https://blog.nic.ad.jp/blog/dns-flag-day-2019-feb-01/

自分のドメインのネームサーバーの対応状況は以下サイトでチェックできる。

(DNS Flag Day対応チェックサイト)

https://dnsflagday.net/

https://ednscomp.isc.org/ednscomp

MicrosoftのDNSの対応状況は、とりあえずは問題ないが上記サイトで実行すると
“Minor problems detected (軽微な問題が検出されました)”  となる。

(Microsoftの発表)

https://azure.microsoft.com/en-us/updates/azure-dns-flag-day/

https://azure.microsoft.com/ja-jp/updates/azure-dns-flag-day/

Azure DNSに関して、
“Minor problems detected
(軽微な問題が検出されました)”となるが、実運用上は現時点では問題なく、修正はおいおいやってくよということらしい。

Windows Server 2008R2のDNSサーバーを調べてみたら、同じ状況で
“Minor problems detected (軽微な問題が検出されました)” となる。

最近、ConoHaにサーバーを徐々に移しているので、ConoHaのDNSサーバーをこの際使わせてもらおうかと思ってチェックしたら、
“Minor problems detected (軽微な問題が検出されました)” となった。ConoHaサポートに対応予定を問い合わせたところ、今日の時点ではまだ返事はない。

ちなみに、同じGMOグループの「お名前.com」と「バリュードメイン」のDNSサーバーは”All ok (問題なし)” であった。

(バリュードメインのお知らせ)

https://www.value-domain.com/info.php?action=press&no=20190131-1

この機会に、いろいろ散らばっているDNS設定をどこかにまとめたいところだが、さてどうしようか。できればConoHaに寄せたいから、とりあえずConoHaの様子見するか。

ConoHaのVPSで、CentOSサーバー設定

ConoHaのVPSで、CentOS(7.6)サーバー追加時に最初にやることのメモ

1.サーバー追加時

「オプションを見る」ー「SSH Key」で「キーを選択」で、事前に登録したパブリックキーを選択して、鍵認証にする。

2.サーバーの基本設定

2.1 OS更新

yum update -y

2.2  hostname設定

/etc/hostnameを変更

2.3 SSHポート変更

1)/etc/ssh/sshd_configでPort指定を追加

Port ???? ※????:適当なポート

2) ファイアウォールの設定変更

元のSSHポートを閉じて、変更したポートを開ける。

cd /usr/lib/firewalld/services/
cp -p ssh.xml ssh-????.xml
vi ssh-????.xml ※port="22"の22を変更したポート????に
firewall-cmd --permanent --remove-service=ssh
firewall-cmd --permanent --add-service=ssh-????
firewall-cmd --reload

3)sshd再起動

systemctl restart sshd

2.4 rootログイン時のメール通知

.bash_profileに以下を追加する。

 date | mail -s "root login(`hostname`)" メールアドレス

3.logwatch設定

1)logwatchをインストール

yum install logwatch

2)/etc/logwatch/conf/logwatch.confを編集して、「MailTo = メールアドレス」を追加

4.yum updateの通知設定

1)yum-cronをインストール

yum install yum-cron

2)/etc/yum/yum-cron.conf,yum-cron-hourly.confの修正

「emit_via = email」「email_to = メールアドレス」に変更

3)yum-cronの有効化

systemctl enable yum-cron

5.その他設定 

5.1 Cron起動時にmessagesにログが残る対策

/etc/systemd/system.confで、「LogLevel=notice」に変更

5.2 メール関連の設定

https://gijutsu.com/2019/02/15/%E8%BF%B7%E6%83%91%E3%83%A1%E3%83%BC%E3%83%AB%E3%81%AB%E3%81%AA%E3%82%89%E3%81%AA%E3%81%84%E5%AF%BE%E7%AD%96/

5.3 kdumpの無効化

systemctl stop kdump
systemctl disable kdump