https://wiki.archlinux.jp/api.php?action=feedcontributions&feedformat=atom&user=Sarisia
ArchWiki - 利用者の投稿記録 [ja]
2026-05-15T17:09:01Z
利用者の投稿記録
MediaWiki 1.44.3
https://wiki.archlinux.jp/index.php?title=OpenVPN&diff=9079
OpenVPN
2017-06-19T12:14:41Z
<p>Sarisia: Wikipediaリンク修正</p>
<hr />
<div>[[Category:Virtual Private Network]]<br />
[[de:OpenVPN]]<br />
[[en:OpenVPN]]<br />
[[ru:OpenVPN]]<br />
[[zh-hans:OpenVPN]]<br />
{{Related articles start}}<br />
{{Related|Linux Containers で OpenVPN クライアント}}<br />
{{Related|Linux Containers で OpenVPN サーバー}}<br />
{{Related|Easy-RSA}}<br />
{{Related|Airvpn}}<br />
{{Related articles end}}<br />
この記事では、小規模な事業やプレイベートでの利用に適している、[http://openvpn.net OpenVPN] の基本的なインストールと設定について説明します。詳しい情報は [https://community.openvpn.net/openvpn/wiki/Openvpn24ManPage OpenVPN 2.4 man ページ] や [http://openvpn.net/index.php/open-source/documentation OpenVPN ドキュメント] を見て下さい。OpenVPN は堅牢で高い柔軟性を持つ [[Wikipedia:VPN|VPN]] デーモンです。[[Wikipedia:SSL/TLS|SSL/TLS]] セキュリティ, [[Wikipedia:Bridging_(networking)|Ethernet ブリッジ]], [[Wikipedia:Proxy_server|プロキシ]]や [[Wikipedia:Network address translation|NAT]] による [[Wikipedia:Transmission_Control_Protocol|TCP]] や [[Wikipedia:User_Datagram_Protocol|UDP]] の[[Wikipedia:Tunneling_protocol|トンネリング]]をサポートしています。さらに、動的 IP アドレスと [[Wikipedia:Dynamic_Host_Configuration_Protocol|DHCP]] をサポートしており、数百あるいは数千までのユーザーに対応し、主要な OS プラットフォームで動作します。<br />
<br />
OpenVPN は [http://www.openssl.org OpenSSL] ライブラリと密接に関係しており、OpenSSL の暗号機能を多数利用しています。[[Wikipedia:Pre-shared_key|事前共有秘密鍵]]による慣用暗号 (Static Key モード) とクライアントとサーバーの証明書を用いる[[Wikipedia:Public_key|公開鍵暗号]] ([[Wikipedia:SSL/TLS|SSL/TLS]] モード) をサポートしています。さらに、暗号化を施さない TCP/UDP トンネルにも対応しています。<br />
<br />
ほとんどのプラットフォームに存在する [[Wikipedia:TUN/TAP|TUN/TAP]] 仮想ネットワークインターフェイスを使うように OpenVPN は設計されています。OpenVPN は [[Wikipedia:Ipsec|IPSec]] の主要な機能の多くを提供しますがフットプリントは比較的軽量に抑えられます。OpenVPN は James Yonan によって書かれ [[Wikipedia:GNU General Public License|GNU General Public License (GPL)]] の下で公開されています。<br />
<br />
== OpenVPN のインストール ==<br />
<br />
{{Pkg|openvpn}} パッケージを[[インストール]]してください。<br />
<br />
{{Note|このパッケージに含まれているソフトウェアはクライアントとサーバー両方のモードをサポートするため、VPN 接続を作成する全てのマシンにインストールしてください。}}<br />
<br />
== カーネルの設定 ==<br />
<br />
OpenVPN は TUN/TAP のサポートを必要としますが、デフォルトカーネルでは既に設定済みです。自分でカーネルをビルドするときは、以下のように {{ic|tun}} モジュールを有効にしてください: <br />
<br />
{{hc|Kernel config file|<br />
Device Drivers<br />
--> Network device support<br />
[M] Universal TUN/TAP device driver support}}<br />
<br />
詳しくは[[カーネルモジュール]]を読んで下さい。<br />
<br />
== 第三者の VPN に接続 ==<br />
<br />
サードパーティによって提供されている VPN サービスに接続する場合、以下に書かれていることのほとんど(特にサーバーの設定に関する部分)は無視することができます。[[#クライアントの設定ファイル|クライアントの設定ファイル]]にそって設定して、それから [[#OpenVPN の起動|OpenVPN の起動]]まで飛んでください。証明書はプロバイダによって提供されたものを使います。参照: [[Airvpn]]。<br />
<br />
{{Note|フリーの VPN プロバイダの多くは [[PPTP サーバー|PPTP]] を提供しており、簡単に設定することが可能です。ただし、[http://poptop.sourceforge.net/dox/protocol-security.phtml セキュアではありません]。}}<br />
<br />
== 公開鍵基盤 (PKI) をスクラッチから作成 ==<br />
<br />
スクラッチから OpenVPN をセットアップする場合、[[Wikipedia:ja:公開鍵基盤|公開鍵基盤 (PKI)]] を作成する必要があります。詳しくは [[Easy-RSA]] の記事に書かれています。必要な証明書・秘密鍵・関連ファイルが作成できたら、{{ic|/etc/openvpn/server}} に以下のファイルが存在するはずです:<br />
*{{ic|/etc/openvpn/server/ca.crt}}<br />
*{{ic|/etc/openvpn/server/dh.pem}}<br />
*{{ic|/etc/openvpn/server/servername.crt}} と {{ic|/etc/openvpn/server/servername.key}}<br />
*{{ic|/etc/openvpn/server/ta.key}}<br />
<br />
== ベーシックな L3 IP ルーティング設定 ==<br />
<br />
{{Note|特に明示しないかぎり、この記事では以下の基本的な L3 IP ルーティング設定を使います。}}<br />
<br />
OpenVPN は幅広い用途に使えるソフトウェアであり様々な設定ができます。マシンをサーバーとクライアントのどちらにでもできるので、サーバーとクライアントの区別は曖昧です。<br />
<br />
v2.4 のリリースから、サーバーの設定は {{ic|/etc/openvpn/server}} に保存され、クライアントの設定は {{ic|/etc/openvpn/client}} に保存されるようになり、それぞれ別の systemd ユニット ({{ic|openvpn-client@.service}} と {{ic|openvpn-server@.service}}) を使うようになりました。<br />
<br />
=== 設定例 ===<br />
OpenVPN パッケージには様々な設定サンプルファイルが付属しています。以下の機能を持つベーシックな OpenVPN をセットアップしたい場合、サンプルのサーバーとクライアント設定ファイルを使用すると良いでしょう:<br />
<br />
* [[Wikipedia:Public key infrastructure|Public Key Infrastructure (PKI)]] を使って認証。<br />
* 仮想 TUN ネットワークインターフェイスを使用して VPN を作成 (OSI L3 IP ルーティング)。<br />
* UDP ポート 1194 でクライアントから接続 (OpenVPN の[[Wikipedia:Port_number|公式 IANA ポート番号]])。<br />
* 仮想アドレスを 10.8.0.0/24 サブネットからクライアントに配布。<br />
<br />
高度な設定例は公式の [https://community.openvpn.net/openvpn/wiki/Openvpn24ManPage OpenVPN 2.4 man ページ] や [http://openvpn.net/index.php/open-source/documentation OpenVPN ドキュメント] を読んでください。<br />
<br />
=== サーバーの設定ファイル ===<br />
{{Note|サーバーまでの通り道にファイアウォールや NAT 変換ルーターがある場合、サーバー側で OpenVPN ポートを転送する必要があります。}}<br />
<br />
サーバーのサンプル設定ファイルを {{ic|/etc/openvpn/server/server.conf}} にコピー:<br />
<br />
# cp /usr/share/openvpn/examples/server.conf /etc/openvpn/server/server.conf<br />
<br />
{{hc|/etc/openvpn/server/server.conf|<br />
ca ca.crt<br />
cert servername.crt<br />
key servername.key # This file should be kept secret<br />
dh dh.pem<br />
.<br />
tls-auth ta.key '''0'''<br />
.<br />
user nobody<br />
group nobody<br />
}}<br />
<br />
==== サーバーの堅牢化 ====<br />
セキュリティが重要な場合、以下の設定を行うことを推奨します: 強固な暗号・認証方式、新しい tls 暗号だけを使うようにサーバーを設定。{{ic|/etc/openvpn/server/server.conf}} に以下を追加してください:<br />
<br />
{{hc|/etc/openvpn/server/server.conf|<br />
...<br />
cipher AES-256-CBC<br />
auth SHA512<br />
tls-version-min 1.2<br />
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-128-CBC-SHA:TLS-DHE-RSA-WITH-CAMELLIA-128-CBC-SHA<br />
...<br />
}}<br />
<br />
{{Note|.ovpn クライアントプロファイルには同じ cipher 行と auth 行を記述する必要があります (特に iOS と Android クライアントの場合)。}}<br />
<br />
==== 標準のポートやプロトコルを変更 ====<br />
パブリックネットワークやプライベートネットワークの管理者によってデフォルトポートやデフォルトプロトコルで OpenVPN 接続が許可されていない場合があります。通常の https/SSL トラフィックのように偽装することで解決できます。<br />
<br />
{{ic|/etc/openvpn/server/server.conf}} を以下のように設定してください:<br />
{{hc|/etc/openvpn/server/server.conf|<br />
...<br />
port 443<br />
proto tcp<br />
...<br />
}}<br />
<br />
{{Note|.ovpn クライアントプロファイルには同じ port 行と proto 行を記述する必要があります。}}<br />
<br />
===== TCP vs UDP =====<br />
TCP と UDP には以下のような違いがあります。<br />
<br />
TCP<br />
* いわゆる「ステートフルプロトコル」。<br />
* 誤り訂正による高い信頼性 (パケット応答を待機)。<br />
* UDP よりも低速。<br />
<br />
UDP<br />
* いわゆる「ステートレスプロトコル」。<br />
* 誤り訂正が使われないため TCP よりも信頼性が低い。<br />
* TCP よりも高速。<br />
<br />
=== クライアントの設定ファイル ===<br />
<br />
クライアント設定ファイルのサンプルを {{ic|/etc/openvpn/client/client.conf}} にコピー:<br />
<br />
# cp /usr/share/openvpn/examples/client.conf /etc/openvpn/client/client.conf<br />
<br />
以下を編集してください:<br />
<br />
* {{ic|remote}} ディレクティブにはサーバーの[[Wikipedia:Fully qualified domain name|完全修飾ドメイン名]], (クライアントから名前解決できる) ホストネーム, IP アドレスのどれかを指定してください。<br />
* 特権を与えないようにするには {{ic|user}} と {{ic|group}} ディレクティブをアンコメントします。<br />
* {{ic|ca}}, {{ic|cert}}, {{ic|key}} パラメータは鍵と証明書のパス・名前に合わせてください。<br />
* SSL/TLS HMAC のハンドシェイクを有効にします。クライアントではパラメータを1にしてください。<br />
<br />
{{hc|/etc/openvpn/client/client.conf|<br />
remote elmer.acmecorp.org 1194<br />
.<br />
user nobody<br />
group nobody<br />
ca ca.crt<br />
cert client.crt<br />
key client.key<br />
.<br />
tls-auth ta.key '''1'''<br />
}}<br />
<br />
==== 接続後に root 権限を落とす ====<br />
<br />
設定ファイルで {{ic|user nobody}} と {{ic|group nobody}} オプションを使うことで接続が確立した後 ''OpenVPN'' は権限を落とします。ただし、VPN が切断されたときにデーモンがネットワークルートを削除して再設定することができないという欠点があります。VPN 接続を使わずにトラフィックの転送を制限したい場合、ルートを残すのは望ましくありません。さらに、トンネルの起動時に OpenVPN サーバーがルートにアップデートをプッシュする可能性もあります。権限が落ちたクライアントではアップデートを実行することができずエラーを吐いて終了します。<br />
<br />
As it could seem to require manual action to manage the routes, the options {{ic|user nobody}} and {{ic|group nobody}} might seem undesirable. Depending on setup, however, there are four ways to handle these situations: <br />
<br />
* ユニットのエラーの場合、ユニットを[[systemd#ユニットファイルの編集|編集]]して {{ic|[Service]}} セクションに {{ic|1=Restart=on-failure}} を追加してください。ただし、これだけでは古いルートが削除されないため、再起動されたトンネルが正しくルーティングされません。<br />
* The package contains the {{ic|/usr/lib/openvpn/plugins/openvpn-plugin-down-root.so}}, which can be used to let ''openvpn'' fork a process with root privileges with the only task to execute a custom script when receiving a down signal from the main process, which is handling the tunnel with dropped privileges (see also its [https://community.openvpn.net/openvpn/browser/plugin/down-root/README?rev=d02a86d37bed69ee3fb63d08913623a86c88da15 README]).<br />
* The [https://openvpn.net/index.php/open-source/documentation/howto.html#security OpenVPN HowTo] explains another way how to create an unprivileged user mode and wrapper script to have the routes restored automatically. <br />
* Further, it is possible to let OpenVPN start as a non-privileged user in the first place, without ever running as root, see [https://community.openvpn.net/openvpn/wiki/UnprivilegedUser this OpenVPN wiki HowTo].<br />
<br />
{{Note|The OpenVPN HowTos linked above create a dedicated non-privileged user/group, instead of the already existing {{ic|nobody}}. The advantage is that this avoids potential risks when sharing a user among daemons.}}<br />
<br />
=== クライアントプロファイル (Linux, iOS, Android 共通) ===<br />
{{AUR|ovpngen}} パッケージは OpenVPN Connect の iOS 版や Android アプリでも使えるファイル形式で、OpenVPN 互換のトンネルプロファイルを作成できるシンプルなシェルスクリプトです。<br />
<br />
5つのトークンを指定してスクリプトを起動してください:<br />
# OpenVPN サーバーの完全修飾ドメイン名 (または IP アドレス)。<br />
# CA 証明書のフルパス。<br />
# クライアント証明書のフルパス。<br />
# クライアント秘密鍵のフルパス。<br />
# サーバー TLS 共有秘密鍵のフルパス。<br />
# (任意) ポート番号。<br />
# (任意) プロトコル (udp または tcp)。<br />
<br />
例:<br />
# ovpngen example.org /etc/openvpn/server/ca.crt /etc/easy-rsa/pki/signed/client1.crt /etc/easy-rsa/pki/private/client1.key /etc/openvpn/server/ta.key > iphone.ovpn<br />
<br />
スクリプトはコメント行を追加するので、必要であれば生成された {{ic|iphone.ovpn}} を編集してください。<br />
<br />
{{Tip|If the server.conf contains a specified cipher and/or auth line, it is highly recommended that users manually edit the generated .ovpn file adding matching lines for cipher and auth. Failure to do so may results in connection errors!}}<br />
<br />
=== 証明書を暗号化された .p12 フォーマットに変換 ===<br />
ソフトウェアによってはパスワードで暗号化された .p12 ファイルで保存された VPN 証明書しか読み込まない場合があります。ファイルは以下のコマンドで生成することができます:<br />
{{bc|# openssl pkcs12 -export -inkey keys/bugs.key -in keys/bugs.crt -certfile keys/ca.crt -out keys/bugs.p12}}<br />
<br />
=== OpenVPN 設定のテスト ===<br />
<br />
サーバーで {{ic|# openvpn /etc/openvpn/server/server.conf}} を実行して、クライアントで {{ic|# openvpn /etc/openvpn/client/client.conf}} を実行してください。以下のような出力がされるはずです:<br />
<br />
{{hc|# openvpn /etc/openvpn/server/server.conf|2=<br />
Wed Dec 28 14:41:26 2011 OpenVPN 2.2.1 x86_64-unknown-linux-gnu [SSL] [LZO2] [EPOLL] [eurephia] built on Aug 13 2011<br />
Wed Dec 28 14:41:26 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables<br />
Wed Dec 28 14:41:26 2011 Diffie-Hellman initialized with 2048 bit key<br />
...<br />
Wed Dec 28 14:41:54 2011 bugs/95.126.136.73:48904 MULTI: primary virtual IP for bugs/95.126.136.73:48904: 10.8.0.6<br />
Wed Dec 28 14:41:57 2011 bugs/95.126.136.73:48904 PUSH: Received control message: 'PUSH_REQUEST'<br />
Wed Dec 28 14:41:57 2011 bugs/95.126.136.73:48904 SENT CONTROL [bugs]: 'PUSH_REPLY,route 10.8.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5' (status=1)<br />
}}<br />
<br />
{{hc|# openvpn /etc/openvpn/client/client.conf|2=<br />
Wed Dec 28 14:41:50 2011 OpenVPN 2.2.1 i686-pc-linux-gnu [SSL] [LZO2] [EPOLL] [eurephia] built on Aug 13 2011<br />
Wed Dec 28 14:41:50 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables<br />
Wed Dec 28 14:41:50 2011 LZO compression initialized<br />
...<br />
Wed Dec 28 14:41:57 2011 GID set to nobody<br />
Wed Dec 28 14:41:57 2011 UID set to nobody<br />
Wed Dec 28 14:41:57 2011 Initialization Sequence Completed<br />
}}<br />
<br />
サーバーで、tunX デバイスに割り当てられた IP アドレスを確認してください:<br />
<br />
{{hc|# ip addr show|2=<br />
...<br />
40: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100<br />
link/none<br />
inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0<br />
}}<br />
<br />
上記の場合、サーバーのトンネルの終末に割り当てられた IP アドレスは 10.8.0.1 です。<br />
<br />
クライアントでも同じように確認してください:<br />
<br />
{{hc|# ip addr show|2=<br />
...<br />
37: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100<br />
link/none<br />
inet 10.8.0.6 peer 10.8.0.5/32 scope global tun0<br />
}}<br />
<br />
クライアント側の IP アドレスは 10.8.0.6 と確認できます。<br />
<br />
IP アドレスを確認したら ping を実行してみてください。<br />
<br />
サーバー側:<br />
<br />
{{hc|# ping -c3 10.8.0.6|2=<br />
PING 10.8.0.6 (10.8.0.6) 56(84) bytes of data.<br />
64 bytes from 10.8.0.6: icmp_req=1 ttl=64 time=238 ms<br />
64 bytes from 10.8.0.6: icmp_req=2 ttl=64 time=237 ms<br />
64 bytes from 10.8.0.6: icmp_req=3 ttl=64 time=205 ms<br />
<br />
--- 10.8.0.6 ping statistics ---<br />
3 packets transmitted, 3 received, 0% packet loss, time 2002ms<br />
rtt min/avg/max/mdev = 205.862/227.266/238.788/15.160 ms<br />
}}<br />
<br />
クライアント側:<br />
<br />
{{hc|# ping -c3 10.8.0.1|2=<br />
PING 10.8.0.1 (10.8.0.1) 56(84) bytes of data.<br />
64 bytes from 10.8.0.1: icmp_req=1 ttl=64 time=158 ms<br />
64 bytes from 10.8.0.1: icmp_req=2 ttl=64 time=158 ms<br />
64 bytes from 10.8.0.1: icmp_req=3 ttl=64 time=157 ms<br />
<br />
--- 10.8.0.1 ping statistics ---<br />
3 packets transmitted, 3 received, 0% packet loss, time 2001ms<br />
rtt min/avg/max/mdev = 157.426/158.278/158.940/0.711 ms<br />
}}<br />
<br />
{{Note|ファイアウォールを使っている場合、TUN デバイスの IP パケットがブロックされていないことを確認してください。}}<br />
<br />
=== Fragment と MSS による MTU の設定 ===<br />
<br />
{{Note|MTU を設定しなかった場合 ping や DNS などパケット数が少ない通信は上手く行きますが、ウェブブラウザなどはできません。}}<br />
<br />
次は最大セグメントサイズ (MSS) の設定です。クライアントとサーバーの経路で最小の MTU を確認する必要があります。断片化を無効化してサーバーに ping することで確認できます:<br />
<br />
{{hc|# ping -c5 -M do -s 1500 elmer.acmecorp.org|2=<br />
PING elmer.acmecorp.org (99.88.77.66) 1500(1528) bytes of data.<br />
From 1.2.3.4 (99.88.77.66) icmp_seq=1 Frag needed and DF set (mtu = 576)<br />
From 1.2.3.4 (99.88.77.66) icmp_seq=1 Frag needed and DF set (mtu = 576)<br />
From 1.2.3.4 (99.88.77.66) icmp_seq=1 Frag needed and DF set (mtu = 576)<br />
From 1.2.3.4 (99.88.77.66) icmp_seq=1 Frag needed and DF set (mtu = 576)<br />
From 1.2.3.4 (99.88.77.66) icmp_seq=1 Frag needed and DF set (mtu = 576)<br />
<br />
--- core.myrelay.net ping statistics ---<br />
0 packets transmitted, 0 received, +5 errors<br />
}}<br />
<br />
上記の ICMP メッセージによれば MTU は 576 バイトです。UDP のオーバーヘッドのために UDP パケットを 576 バイト未満に断片化する必要があります。<br />
<br />
{{hc|# ping -c5 -M do -s 548 elmer.acmecorp.org|2=<br />
PING elmer.acmecorp.org (99.88.77.66) 548(576) bytes of data.<br />
556 bytes from 99.88.77.66: icmp_seq=1 ttl=48 time=206 ms<br />
556 bytes from 99.88.77.66: icmp_seq=2 ttl=48 time=224 ms<br />
556 bytes from 99.88.77.66: icmp_seq=3 ttl=48 time=206 ms<br />
556 bytes from 99.88.77.66: icmp_seq=4 ttl=48 time=207 ms<br />
556 bytes from 99.88.77.66: icmp_seq=5 ttl=48 time=208 ms<br />
<br />
--- myrelay.net ping statistics ---<br />
5 packets transmitted, 5 received, 0% packet loss, time 4001ms<br />
rtt min/avg/max/mdev = 206.027/210.603/224.158/6.832 ms<br />
}}<br />
<br />
試行錯誤によりパケットを 548 バイトで断片化する必要があると確認できました。OpenVPN のクライアント設定ファイルを以下のように修正してください:<br />
<br />
{{hc|/etc/openvpn/client/client.conf|<br />
remote elmer.acmecorp.org 1194<br />
...<br />
fragment 548<br />
mssfix 548<br />
...}}<br />
<br />
サーバーにも断片化について設定が必要です。サーバー側の設定では "mssfix" は不要なので注意してください:<br />
<br />
{{Note|'fragment' ディレクティブをサポートしていないクライアント (例: OpenELEC, [https://forums.openvpn.net/topic13201.html#p31156 iOS アプリ]) は 'fragment' ディレクティブを使用しているサーバーに接続できません。そのようなクライアントを使用する場合は、このセクションはスキップして下で説明している 'mtu-test' ディレクティブでクライアントを設定してください。}}<br />
<br />
{{hc|/etc/openvpn/server/server.conf|<br />
...<br />
fragment 548<br />
}}<br />
<br />
{{Note|The following will add about 3 minutes to OpenVPN start time. It is advisable to configure the fragment size unless your client is a laptop that will be connecting over many different networks and the bottle neck is on the client side.}}<br />
<br />
クライアントが VPN に接続するたびに OpenVPN でテストの ping を実行するように設定することもできます。クライアントはテストを実行していることを通知しない場合があり、テストが完了するまで接続が切れているかのように表示されることがあります。<br />
{{hc|/etc/openvpn/client/client.conf|<br />
remote elmer.acmecorp.org 1194<br />
...<br />
mtu-test<br />
...<br />
tls-auth ta.key '''1'''<br />
}}<br />
<br />
=== IPv6 ===<br />
==== IPv6 でサーバーに接続 ====<br />
<br />
OpenVPN でデュアルスタックを有効にするには、{{ic|server.conf}} と {{ic|client.conf}} の両方で {{ic|proto udp}} を {{ic|proto udp6}} に変更してください。変更後、IPv4 と IPv6 の両方が有効になります。<br />
<br />
==== トンネルで IPv6 を使用 ====<br />
<br />
トンネルで IPv6 を使えるようにするには、IPv6 プレフィックスを OpenVPN サーバーにルーティングする必要があります。ゲートウェイでスタティックルートを設定するか (固定ブロックが割り当てられている場合)、あるいは DHCPv6 クライアントを使って DHCPv6 プレフィックス委譲でプレフィックスを取得してください (詳しくは [[IPv6#プレフィックス委譲 (DHCPv6-PD)|IPv6 プレフィックス委譲]]を参照)。アドレスブロック fc00::/7 からユニークなローカルアドレスを使うこともできます。どちらの方法もメリットとデメリットがあります:<br />
<br />
* Many ISPs only provide dynamically changing IPv6 prefixes. OpenVPN does not support prefix changes, so you need to change your server.conf every time the prefix is changed (Maybe can be automated with a script).<br />
* ULA addresses are not routed to the Internet, and setting up NAT is not as straightforward as with IPv4. So you cannot route the entire traffic over the tunnel. If you only want to connect two sites via IPv6, without the need to connect to the Internet over the tunnel, the ULA addresses may be easier to use.<br />
<br />
プレフィックスを取得したら ({{ic|/64}} が推奨)、{{ic|server.conf}} に以下を追加してください:<br />
<br />
server-ipv6 2001:db8:0:123::/64<br />
<br />
This is the IPv6 equivalent to the default 10.8.0.0/24 network of OpenVPN and needs to be taken from the DHCPv6 client. Or use for example fd00:1234::/64.<br />
<br />
If you want to push a route to your home network (192.168.1.0/24 equivalent), also append:<br />
<br />
push "route-ipv6 2001:db8:0:abc::/64"<br />
<br />
OpenVPN does not yet include DHCPv6, so there is no method to e.g. push DNS server over IPv6. This needs to be done with IPv4. The [https://community.openvpn.net/openvpn/wiki/IPv6 OpenVPN Wiki] provides some other configuration options.<br />
<br />
== OpenVPN の起動 ==<br />
<br />
=== 手動起動 ===<br />
<br />
VPN 接続をトラブルシュートするときは、root で {{ic|openvpn /etc/openvpn/client/client.conf}} を実行して手動でクライアントのデーモンを起動してください。同じように、サーバーもサーバーの設定ファイル (例: {{ic|openvpn /etc/openvpn/server/server.conf}}) を使って起動できます。<br />
<br />
=== systemd サービスの設定 ===<br />
<br />
システムの起動時に OpenVPN を自動的に実行するには、クライアントでもサーバーでも、適当なマシンで {{ic|openvpn-server@''<configuration>''.service}} を[[有効化]]してください ({{ic|<configuration>}} に {{ic|.conf}} 拡張子は要りません)。<br />
<br />
例えば、クライアントの設定ファイルが {{ic|/etc/openvpn/client/''client''.conf}} の場合、サービス名は {{ic|openvpn-client@''client''.service}} です。また、サーバーの設定ファイルが {{ic|/etc/openvpn/server/''server''.conf}} の場合、サービス名は {{ic|openvpn-server@''server''.service}} となります。<br />
<br />
=== NetworkManager で接続を開始 ===<br />
<br />
クライアント側で VPN トンネルを常時実行しない場合や特定の NetworkManager の接続だけで確立してほしい場合、{{ic|/etc/NetworkManager/dispatcher.d/}} にスクリプトを追加してください。以下の例では "Provider" が NetworkManager の接続名です:<br />
<br />
{{hc|/etc/NetworkManager/dispatcher.d/10-openvpn|2=<br />
#!/bin/bash<br />
<br />
case "$2" in<br />
up)<br />
if [ "$CONNECTION_ID" == "Provider" ]; then<br />
systemctl start openvpn@client<br />
fi<br />
;;<br />
down)<br />
systemctl stop openvpn@client<br />
;;<br />
esac}}<br />
<br />
詳しくは [[NetworkManager#ネットワークサービスと NetworkManager dispatcher]] を見て下さい。<br />
<br />
=== Gnome の設定 ===<br />
<br />
Gnome のネットワーク設定を使ってクライアントから OpenVPN サーバーに接続したい場合、以下を実行してください。<br />
<br />
まず、{{ic|networkmanager-openvpn}} をインストールします。それから設定メニューを開いてネットワークを選択してください。プラス記号をクリックして新しい接続を追加し VPN を選択します。そこから、OpenVPN を選択することができるので手動で設定を入力してください。既に設定ファイルを作成している場合、[[#クライアントの設定ファイル|クライアントの設定ファイル]]をインポートすることもできます。ただし、インポートが上手くいかなかった場合 NetworkManager はエラーメッセージを表示しないので注意してください。後は、接続を有効にすれば設定が適用されて、VPN に接続されます (例: {{ic|journalctl -b --u NetworkManager}})。<br />
<br />
== 全てのクライアントの通信をサーバーにルーティング ==<br />
<br />
{{Note|There are potential pitfalls when routing all traffic through a VPN server. Refer to [http://openvpn.net/index.php/open-source/documentation/howto.html#redirect the OpenVPN documentation on this topic] for more information.}}<br />
<br />
デフォルトでは OpenVPN サーバーから直接送受信されたトラフィックしか VPN を通過しません。ウェブのトラフィックなど全てのトラフィックを VPN を通過させたい場合、まずはサーバーの設定ファイル ({{ic|/etc/openvpn/server/server.conf}}) に以下を追加してください [http://openvpn.net/index.php/open-source/documentation/howto.html#redirect]:<br />
<br />
push "redirect-gateway def1 bypass-dhcp"<br />
push "dhcp-option DNS 8.8.8.8"<br />
<br />
{{ic|8.8.8.8}} は使用したい DNS の IP アドレスに変えてください。<br />
<br />
サーバーに接続した後、DNS が反応しない場合は、シンプルな DNS フォワーダーとして [[BIND]] をインストールして OpenVPN サーバーの IP アドレスを DNS としてクライアントに送信してください。<br />
<br />
設定ファイルが設定できたら、サーバーで[[インターネット共有#パケット転送の有効化|パケットフォワーディングを有効化]]してください。さらに、サーバーのファイアウォールを設定して VPN の通信が通るようにします。以下では [[ufw]] と [[iptables]] の設定方法を解説しています。<br />
<br />
サーバーとは別の(プライベート)サブネットにもクライアントがアクセスできるようにしたい場合、{{ic|push "route <address pool> <subnet>"}} オプションを使ってください:<br />
<br />
push "route 172.10.142.0 255.255.255.0"<br />
push "route 172.20.142.0 255.255.255.0"<br />
<br />
=== ファイアウォールの設定 ===<br />
<br />
==== ufw ====<br />
<br />
VPN 通信の ufw 設定を行うにはまず以下を {{ic|/etc/default/ufw}} に追加してください:<br />
<br />
{{hc|/etc/default/ufw|2=<br />
DEFAULT_FORWARD_POLICY="ACCEPT"<br />
}}<br />
<br />
そして {{ic|/etc/ufw/before.rules}} を編集して以下のコードをヘッダーの後ろ、"*filter" 行の前に追加してください。IP やサブネットマスクは {{ic|/etc/openvpn/server/server.conf}} に設定した値と同じ値に変更してください。以下の例ではアダプタ ID が一般的な {{ic|eth0}} ですが必要に応じて編集してください。<br />
<br />
{{hc|/etc/ufw/before.rules|2=<br />
# NAT (Network Address Translation) table rules<br />
*nat<br />
:POSTROUTING ACCEPT [0:0]<br />
<br />
# Allow traffic from clients to eth0<br />
-A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE<br />
<br />
# do not delete the "COMMIT" line or the NAT table rules above will not be processed<br />
COMMIT<br />
}}<br />
<br />
OpenVPN のポート 1194 を開く:<br />
<br />
# ufw allow 1194<br />
<br />
最後に、UFW をリロード:<br />
<br />
# ufw reload<br />
<br />
==== iptables ====<br />
<br />
In order to allow VPN traffic through your iptables firewall of your server, first create an iptables rule for NAT forwarding [http://openvpn.net/index.php/open-source/documentation/howto.html#redirect] on the server, assuming the interface you want to forward to is named {{ic|eth0}}:<br />
<br />
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE<br />
<br />
If you have difficulty pinging the server through the VPN, you may need to add explicit rules to open up TUN/TAP interfaces to all traffic. If that is the case, do the following [https://community.openvpn.net/openvpn/wiki/255-qconnection-initiated-with-xxxxq-but-i-cannot-ping-the-server-through-the-vpn]:<br />
<br />
{{Warning|There are security implications for the following rules if you do not trust all clients which connect to the server. Refer to the [https://community.openvpn.net/openvpn/wiki/255-qconnection-initiated-with-xxxxq-but-i-cannot-ping-the-server-through-the-vpn OpenVPN documentation on this topic] for more details.}}<br />
<br />
iptables -A INPUT -i tun+ -j ACCEPT<br />
iptables -A FORWARD -i tun+ -j ACCEPT<br />
iptables -A INPUT -i tap+ -j ACCEPT<br />
iptables -A FORWARD -i tap+ -j ACCEPT<br />
<br />
Additionally be sure to accept connections from the OpenVPN port (default 1194) and through the physical interface.<br />
<br />
設定ができたら [[iptables#iptables の設定と実行]]に書かれているように設定を永続化させてください。<br />
<br />
If you have multiple {{ic|tun}} or {{ic|tap}} interfaces, or more than one VPN configuration, you can "pin" the name of your interface by specifying it in the OpenVPN config file, e.g. {{ic|tun22}} instead of {{ic|tun}}. This is advantageous if you have different firewall rules for different interfaces or OpenVPN configurations.<br />
<br />
=== VPN が落ちた時に漏洩を防止 ===<br />
<br />
The idea is simple: prevent all traffic through our default interface (enp3s0 for example) and only allow tun0. If the OpenVPN connection drops, your computer will lose its internet access and therefore, avoid your programs to continue connecting through an insecure network adapter.<br />
<br />
Be sure to set up a script to restart OpenVPN if it goes down if you do not want to manually restart it.<br />
<br />
==== ufw ====<br />
<br />
# Default policies<br />
ufw default deny incoming<br />
ufw default deny outgoing<br />
<br />
# Openvpn interface (adjust interface accordingly to your configuration)<br />
ufw allow in on tun0<br />
ufw allow out on tun0<br />
<br />
# Local Network (adjust ip accordingly to your configuration)<br />
ufw allow in on enp3s0 from 192.168.1.0/24<br />
ufw allow out on enp3s0 to 192.168.1.0/24<br />
<br />
# Openvpn (adjust port accordingly to your configuration)<br />
ufw allow out on enp3s0 to any port 1194<br />
ufw allow in on enp3s0 from any port 1194<br />
<br />
{{Warning| DNS '''won't''' work '''unless''' you run your own dns server like [[BIND]]<br />
Otherwise, you will need to allow dns leak. '''Be sure to trust your dns server!'''<br />
# DNS<br />
ufw allow in from any to any port 53<br />
ufw allow out from any to any port 53<br />
}}<br />
<br />
==== vpnfailsafe ====<br />
<br />
もしくは [https://github.com/wknapik/vpnfailsafe vpnfailsafe] ({{AUR|vpnfailsafe-git}}) スクリプトをクライアントで使うことでも DNS 漏洩を防ぐことができ、インターネット宛の全てのトラフィックが VPN を通過するようにできます。VPN トンネルが落ちた場合、インターネットへのアクセスはできなくなりますが、VPN サーバーへの接続は可能です。スクリプトには [[#アップデート resolv-conf スクリプト|update-resolv-conf]] の機能も含まれています。<br />
<br />
== L3 IPv4 ルーティング==<br />
<br />
このセクションでは L3 IPv4 ルーティングを使ってクライアント・サーバー LAN を互いに接続する方法を説明しています。<br />
<br />
=== LAN のルーティングの要件 ===<br />
<br />
ホストが LAN と VPN で IPv4 パケットを転送できるようにするために、NIC と tun/tap デバイスでパケットを転送できるようにする必要があります。詳しい設定方法は[[インターネット共有#パケット転送の有効化]]を見て下さい。<br />
<br />
==== ルーティングテーブル ====<br />
<br />
By default, all IP packets on a LAN addressed to a different subnet get sent to the default gateway. If the LAN/VPN gateway is also the default gateway, there is no problem and the packets get properly forwarded. If not, the gateway has no way of knowing where to send the packets. There are a couple of solutions to this problem.<br />
<br />
* Add a static route to the default gateway routing the VPN subnet to the LAN/VPN gateway's IP address.<br />
* Add a static route on each host on the LAN that needs to send IP packets back to the VPN.<br />
* Use [[iptables]]' NAT feature on the LAN/VPN gateway to masquerade the incoming VPN IP packets.<br />
<br />
=== サーバー LAN をクライアントに接続 ===<br />
<br />
The server is on a LAN using the 10.66.0.0/24 subnet. To inform the client about the available subnet, add a push directive to the server configuration file:{{hc|/etc/openvpn/server/server.conf|push "route 10.66.0.0 255.255.255.0"}}<br />
<br />
{{Note|To route more LANs from the server to the client, add more push directives to the server configuration file, but keep in mind that the server side LANs will need to know how to route to the client.<br />
}}<br />
<br />
=== クライアント LAN をサーバーに接続 ===<br />
<br />
要件:<br />
<br />
* Any subnets used on the client side, must be unique and not in use on the server or by any other client. In this example we will use 192.168.4.0/24 for the clients LAN.<br />
* Each client's certificate has a unique Common Name, in this case bugs.<br />
* The server may not use the duplicate-cn directive in its config file.<br />
<br />
Create a client configuration directory on the server. It will be searched for a file named the same as the client's common name, and the directives will be applied to the client when it connects.<br />
<br />
# mkdir -p /etc/openvpn/ccd<br />
<br />
Create a file in the client configuration directory called bugs, containing the {{ic|iroute 192.168.4.0 255.255.255.0}} directive. It tells the server what subnet should be routed to the client:<br />
<br />
{{hc|/etc/openvpn/ccd/bugs|iroute 192.168.4.0 255.255.255.0}}<br />
<br />
Add the client-config-dir and the {{ic|route 192.168.4.0 255.255.255.0}} directive to the server configuration file. It tells the server what subnet should be routed from the tun device to the server LAN:<br />
<br />
{{hc|/etc/openvpn/server/server.conf|<br />
client-config-dir ccd<br />
route 192.168.4.0 255.255.255.0<br />
}}<br />
<br />
{{Note|To route more LANs from the client to the server, add more iroute and route directives to the appropriate configuration files, but keep in mind that the client side LANs will need to know how to route to the server.<br />
}}<br />
<br />
=== クライアントとサーバー両方の LAN を接続 ===<br />
<br />
Combine the two previous sections:<br />
<br />
{{hc|/etc/openvpn/server/server.conf|<br />
push "route 10.66.0.0 255.255.255.0"<br />
...<br />
client-config-dir ccd<br />
route 192.168.4.0 255.255.255.0<br />
}}<br />
<br />
{{hc|/etc/openvpn/ccd/bugs|iroute 192.168.4.0 255.255.255.0}}<br />
<br />
{{Note|Remember to make sure that all the LANs or the needed hosts can route to all the destinations.}}<br />
<br />
=== クライアントとクライアントの LAN を接続 ===<br />
<br />
デフォルトではクライアントは互いを認識できません。クライアント間やクライアントの LAN 間の IP パケットを許可するには、サーバーの設定ファイルに {{ic|client-to-client}} ディレクティブを追加してください: {{hc|/etc/openvpn/server/server.conf|client-to-client}}<br />
<br />
他のクライアントやクライアント LAN が特定のクライアント LAN を認識できるようにしたい場合、各クライアントのサブネットに対して push ディレクティブをサーバーの設定ファイルに追加してください (サーバーが利用可能なサブネットを他のクライアントに通知します):<br />
<br />
{{hc|/etc/openvpn/server/server.conf|<br />
client-to-client<br />
push "route 192.168.4.0 255.255.255.0"<br />
push "route 192.168.5.0 255.255.255.0"<br />
...<br />
}}<br />
<br />
{{Note|As always, make sure that the routing is properly configured.}}<br />
<br />
== DNS ==<br />
<br />
システムによって使われる DNS サーバーは {{ic|/etc/resolv.conf}} に定義します。伝統的に、このファイルはシステムをネットワークに接続するプログラムによって扱われます (例: Wicd, NetworkManager など)。しかしながら、リモート側で名前解決ができるようにするには、OpenVPN がこのファイルを修正する必要があります。{{pkg|openresolv}} をインストールすることで、複数のプログラムが互いに干渉することなく {{ic|resolv.conf}} を編集できるようになります。<br />
<br />
先に進む前に、ネットワーク接続を再起動して {{ic|resolv.conf}} の中に ''resolvconf'' によって生成されたという文言があること、そして DNS の解決が問題なく機能することを確認してください。openresolv を設定する必要はありません。ネットワークによって自動的に認識されて使用されます。<br />
<br />
Linux の場合、OpenVPN は DNS のホスト情報を送信することができますが、外部プロセスがそれを扱うようになっています。{{ic|/usr/share/openvpn/contrib/pull-resolv-conf/}} に存在する {{ic|client.up}} と {{ic|client.down}} スクリプトを使用します。スクリプトを {{ic|/etc/openvpn/client/}} にインストールする方法はコメントを見てください。以下は ''resolvconf'' と[[#接続後に root 権限を落とす]]のオプションを組み合わせてスクリプトを使って作成されたクライアント設定の抜粋です:<br />
{{hc|/etc/openvpn/client/''clienttunnel''.conf|<br />
user nobody<br />
group nobody<br />
# Optional, choose a suitable path to chroot into for your system<br />
chroot /srv<br />
script-security 2<br />
up /etc/openvpn/client/client.up<br />
plugin /usr/lib/openvpn/plugins/openvpn-plugin-down-root.so "/etc/openvpn/client/client.down tun0"}}<br />
<br />
=== アップデート resolv-conf スクリプト === <br />
<br />
パッケージに含まれているスクリプトのかわりとして [https://github.com/masterkorp/openvpn-update-resolv-conf openvpn-update-resolv-conf] スクリプトを使うことができます。{{ic|/etc/openvpn/update-resolv-conf}} などに保存して [[chmod]] で実行可能属性を付与してください。AUR の {{AUR|openvpn-update-resolv-conf}} パッケージでスクリプトをインストールすることもできます。<br />
<br />
スクリプトをインストールしたら OpenVPN のクライアント設定ファイルに以下のような行を追加してください:<br />
<br />
script-security 2<br />
up /etc/openvpn/update-resolv-conf<br />
down /etc/openvpn/update-resolv-conf<br />
<br />
これで OpenVPN 接続を起動すると {{ic|resolv.conf}} ファイルが正しく更新され、接続を終了すると通常の {{ic|resolv.conf}} に戻ります。<br />
<br />
{{Note|When using {{ic|openresolv}} with the ''-p'' or ''-x'' options in a script (as both the included {{ic|client.up}} and {{ic|update-resolv-conf}} scripts currently do), a DNS resolver like {{Pkg|dnsmasq}} or {{Pkg|unbound}} is required for {{ic|openresolv}} to correctly update {{ic|/etc/resolv.conf}}. In contrast, when using the default DNS resolution from {{ic|libc}} the ''-p'' and ''-x'' options must be removed in order for {{ic|/etc/resolv.conf}} to be correctly updated by {{ic|openresolv}}. For example, if the script contains a command like {{ic|resolvconf -p -a }} and the default DNS resolver from {{ic|libc}} is being used, change the command in the script to be {{ic|resolvconf -a }}.}}<br />
<br />
=== アップデート systemd-resolved スクリプト === <br />
<br />
systemd-229 から、[[systemd-networkd]] の {{ic|systemd-resolved.service}} には DBus を使ってリンクごとに DNS の設定を管理することができる API が用意されています。{{ic|/etc/resolv.conf}} が {{ic|systemd-resolved}} によって管理されている場合、{{pkg|openresolv}} などのツールは上手く動かない場合があります。さらに、{{ic|/etc/nsswitch.conf}} ファイルで {{ic|dns}} のかわりに {{ic|resolve}} を使っている場合は全く動作しません。[https://github.com/jonathanio/update-systemd-resolved update-systemd-resolved] スクリプトは DBus を通して OpenVPN と {{ic|systemd-resolved}} をリンクし DNS レコードを更新します。<br />
<br />
スクリプトを {{ic|/etc/openvpn}} にコピーして [[chmod]] で実行可能属性を付与するか、AUR パッケージでインストールして ({{AUR|openvpn-update-systemd-resolved}})、OpenVPN のクライアント設定ファイルに以下の行を追加してください:<br />
<br />
script-security 2<br />
setenv PATH /usr/bin<br />
up /etc/openvpn/update-systemd-resolved<br />
down-pre /etc/openvpn/update-systemd-resolved<br />
<br />
== L2 Ethernet ブリッジ ==<br />
<br />
次を参照: [[en2:OpenVPN Bridge|OpenVPN Bridge]]<br />
<br />
== トラブルシューティング ==<br />
<br />
=== サスペンド後にクライアントデーモンが再起動しない ===<br />
<br />
クライアントをスリープ状態にしてから復帰しても OpenVPN が再起動しないために切断してしまう場合、以下のファイルを作成してください:<br />
<br />
{{hc|/usr/lib/systemd/system-sleep/vpn.sh|2=<br />
#!/bin/sh<br />
if [ "$1" == "pre" ]<br />
then<br />
killall openvpn<br />
fi<br />
}}<br />
<br />
{{ic|chmod a+x /usr/lib/systemd/system-sleep/vpn.sh}} に実行可能属性を付与してサービスを編集してください:<br />
<br />
{{hc|/etc/systemd/system/openvpn-client@.service.d/restart.conf|2=<br />
[Service]<br />
Restart=always<br />
}}<br />
<br />
=== しばらく通信しないと接続が切れる ===<br />
<br />
データを通信していないと接続中と表示されているのに数秒で VPN 接続が切れて、データがトンネルで転送されない場合、サーバーの設定に {{ic|keepalive}} ディレクティブを追加してみてください:<br />
<br />
{{hc|/etc/openvpn/server/server.conf|<br />
...<br />
keepalive 10 120<br />
...<br />
}}<br />
<br />
上記の設定でサーバーは ping のようなメッセージを10秒ごとにクライアントに送信してトンネルを維持します。クライアントから120秒以上反応を得られなかった場合、サーバーはクライアントが切断されたと判断します。<br />
<br />
ping の間隔を小さくすることでトンネルの安定性を上げることができますが、発生するトラフィックが増大します。接続環境によっては10秒以下に設定してみてください。<br />
<br />
== 参照 ==<br />
* [https://openvpn.net/index.php/open-source.html OpenVPN 公式サイト]</div>
Sarisia
https://wiki.archlinux.jp/index.php?title=OpenVPN&diff=9078
OpenVPN
2017-06-19T12:13:38Z
<p>Sarisia: Sarisia (トーク) による版 9077 を取り消し</p>
<hr />
<div>[[Category:Virtual Private Network]]<br />
[[de:OpenVPN]]<br />
[[en:OpenVPN]]<br />
[[ru:OpenVPN]]<br />
[[zh-hans:OpenVPN]]<br />
{{Related articles start}}<br />
{{Related|Linux Containers で OpenVPN クライアント}}<br />
{{Related|Linux Containers で OpenVPN サーバー}}<br />
{{Related|Easy-RSA}}<br />
{{Related|Airvpn}}<br />
{{Related articles end}}<br />
この記事では、小規模な事業やプレイベートでの利用に適している、[http://openvpn.net OpenVPN] の基本的なインストールと設定について説明します。詳しい情報は [https://community.openvpn.net/openvpn/wiki/Openvpn24ManPage OpenVPN 2.4 man ページ] や [http://openvpn.net/index.php/open-source/documentation OpenVPN ドキュメント] を見て下さい。OpenVPN は堅牢で高い柔軟性を持つ [[Wikipedia:VPN|VPN]] デーモンです。[[Wikipedia:SSL/TLS|SSL/TLS]] セキュリティ, [[Wikipedia:Bridging_(networking)|Ethernet ブリッジ]], [[Wikipedia:Proxy_server|プロキシ]]や [[Wikipedia:Network address translation|NAT]] による [[Wikipedia:Transmission_Control_Protocol|TCP]] や [[Wikipedia:User_Datagram_Protocol|UDP]] の[[Wikipedia:Tunneling_protocol|トンネリング]]をサポートしています。さらに、動的 IP アドレスと [[Wikipedia:Dynamic_Host_Configuration_Protocol|DHCP]] をサポートしており、数百あるいは数千までのユーザーに対応し、主要な OS プラットフォームで動作します。<br />
<br />
OpenVPN は [http://www.openssl.org OpenSSL] ライブラリと密接に関係しており、OpenSSL の暗号機能を多数利用しています。[[Wikipedia:Pre-shared_key|事前共有秘密鍵]]による慣用暗号 (Static Key モード) とクライアントとサーバーの証明書を用いる[[Wikipedia:Public_key|公開鍵暗号]] ([[Wikipedia:SSL/TLS|SSL/TLS]] モード) をサポートしています。さらに、暗号化を施さない TCP/UDP トンネルにも対応しています。<br />
<br />
ほとんどのプラットフォームに存在する [[Wikipedia:TUN/TAP|TUN/TAP]] 仮想ネットワークインターフェイスを使うように OpenVPN は設計されています。OpenVPN は [[Wikipedia:Ipsec|IPSec]] の主要な機能の多くを提供しますがフットプリントは比較的軽量に抑えられます。OpenVPN は James Yonan によって書かれ [[Wikipedia:GNU General Public License|GNU General Public License (GPL)]] の下で公開されています。<br />
<br />
== OpenVPN のインストール ==<br />
<br />
{{Pkg|openvpn}} パッケージを[[インストール]]してください。<br />
<br />
{{Note|このパッケージに含まれているソフトウェアはクライアントとサーバー両方のモードをサポートするため、VPN 接続を作成する全てのマシンにインストールしてください。}}<br />
<br />
== カーネルの設定 ==<br />
<br />
OpenVPN は TUN/TAP のサポートを必要としますが、デフォルトカーネルでは既に設定済みです。自分でカーネルをビルドするときは、以下のように {{ic|tun}} モジュールを有効にしてください: <br />
<br />
{{hc|Kernel config file|<br />
Device Drivers<br />
--> Network device support<br />
[M] Universal TUN/TAP device driver support}}<br />
<br />
詳しくは[[カーネルモジュール]]を読んで下さい。<br />
<br />
== 第三者の VPN に接続 ==<br />
<br />
サードパーティによって提供されている VPN サービスに接続する場合、以下に書かれていることのほとんど(特にサーバーの設定に関する部分)は無視することができます。[[#クライアントの設定ファイル|クライアントの設定ファイル]]にそって設定して、それから [[#OpenVPN の起動|OpenVPN の起動]]まで飛んでください。証明書はプロバイダによって提供されたものを使います。参照: [[Airvpn]]。<br />
<br />
{{Note|フリーの VPN プロバイダの多くは [[PPTP サーバー|PPTP]] を提供しており、簡単に設定することが可能です。ただし、[http://poptop.sourceforge.net/dox/protocol-security.phtml セキュアではありません]。}}<br />
<br />
== 公開鍵基盤 (PKI) をスクラッチから作成 ==<br />
<br />
スクラッチから OpenVPN をセットアップする場合、[[Wikipedia:Public key infrastructure|公開鍵基盤 (PKI)]] を作成する必要があります。詳しくは [[Easy-RSA]] の記事に書かれています。必要な証明書・秘密鍵・関連ファイルが作成できたら、{{ic|/etc/openvpn/server}} に以下のファイルが存在するはずです:<br />
*{{ic|/etc/openvpn/server/ca.crt}}<br />
*{{ic|/etc/openvpn/server/dh.pem}}<br />
*{{ic|/etc/openvpn/server/servername.crt}} と {{ic|/etc/openvpn/server/servername.key}}<br />
*{{ic|/etc/openvpn/server/ta.key}}<br />
<br />
== ベーシックな L3 IP ルーティング設定 ==<br />
<br />
{{Note|特に明示しないかぎり、この記事では以下の基本的な L3 IP ルーティング設定を使います。}}<br />
<br />
OpenVPN は幅広い用途に使えるソフトウェアであり様々な設定ができます。マシンをサーバーとクライアントのどちらにでもできるので、サーバーとクライアントの区別は曖昧です。<br />
<br />
v2.4 のリリースから、サーバーの設定は {{ic|/etc/openvpn/server}} に保存され、クライアントの設定は {{ic|/etc/openvpn/client}} に保存されるようになり、それぞれ別の systemd ユニット ({{ic|openvpn-client@.service}} と {{ic|openvpn-server@.service}}) を使うようになりました。<br />
<br />
=== 設定例 ===<br />
OpenVPN パッケージには様々な設定サンプルファイルが付属しています。以下の機能を持つベーシックな OpenVPN をセットアップしたい場合、サンプルのサーバーとクライアント設定ファイルを使用すると良いでしょう:<br />
<br />
* [[Wikipedia:Public key infrastructure|Public Key Infrastructure (PKI)]] を使って認証。<br />
* 仮想 TUN ネットワークインターフェイスを使用して VPN を作成 (OSI L3 IP ルーティング)。<br />
* UDP ポート 1194 でクライアントから接続 (OpenVPN の[[Wikipedia:Port_number|公式 IANA ポート番号]])。<br />
* 仮想アドレスを 10.8.0.0/24 サブネットからクライアントに配布。<br />
<br />
高度な設定例は公式の [https://community.openvpn.net/openvpn/wiki/Openvpn24ManPage OpenVPN 2.4 man ページ] や [http://openvpn.net/index.php/open-source/documentation OpenVPN ドキュメント] を読んでください。<br />
<br />
=== サーバーの設定ファイル ===<br />
{{Note|サーバーまでの通り道にファイアウォールや NAT 変換ルーターがある場合、サーバー側で OpenVPN ポートを転送する必要があります。}}<br />
<br />
サーバーのサンプル設定ファイルを {{ic|/etc/openvpn/server/server.conf}} にコピー:<br />
<br />
# cp /usr/share/openvpn/examples/server.conf /etc/openvpn/server/server.conf<br />
<br />
{{hc|/etc/openvpn/server/server.conf|<br />
ca ca.crt<br />
cert servername.crt<br />
key servername.key # This file should be kept secret<br />
dh dh.pem<br />
.<br />
tls-auth ta.key '''0'''<br />
.<br />
user nobody<br />
group nobody<br />
}}<br />
<br />
==== サーバーの堅牢化 ====<br />
セキュリティが重要な場合、以下の設定を行うことを推奨します: 強固な暗号・認証方式、新しい tls 暗号だけを使うようにサーバーを設定。{{ic|/etc/openvpn/server/server.conf}} に以下を追加してください:<br />
<br />
{{hc|/etc/openvpn/server/server.conf|<br />
...<br />
cipher AES-256-CBC<br />
auth SHA512<br />
tls-version-min 1.2<br />
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-128-CBC-SHA:TLS-DHE-RSA-WITH-CAMELLIA-128-CBC-SHA<br />
...<br />
}}<br />
<br />
{{Note|.ovpn クライアントプロファイルには同じ cipher 行と auth 行を記述する必要があります (特に iOS と Android クライアントの場合)。}}<br />
<br />
==== 標準のポートやプロトコルを変更 ====<br />
パブリックネットワークやプライベートネットワークの管理者によってデフォルトポートやデフォルトプロトコルで OpenVPN 接続が許可されていない場合があります。通常の https/SSL トラフィックのように偽装することで解決できます。<br />
<br />
{{ic|/etc/openvpn/server/server.conf}} を以下のように設定してください:<br />
{{hc|/etc/openvpn/server/server.conf|<br />
...<br />
port 443<br />
proto tcp<br />
...<br />
}}<br />
<br />
{{Note|.ovpn クライアントプロファイルには同じ port 行と proto 行を記述する必要があります。}}<br />
<br />
===== TCP vs UDP =====<br />
TCP と UDP には以下のような違いがあります。<br />
<br />
TCP<br />
* いわゆる「ステートフルプロトコル」。<br />
* 誤り訂正による高い信頼性 (パケット応答を待機)。<br />
* UDP よりも低速。<br />
<br />
UDP<br />
* いわゆる「ステートレスプロトコル」。<br />
* 誤り訂正が使われないため TCP よりも信頼性が低い。<br />
* TCP よりも高速。<br />
<br />
=== クライアントの設定ファイル ===<br />
<br />
クライアント設定ファイルのサンプルを {{ic|/etc/openvpn/client/client.conf}} にコピー:<br />
<br />
# cp /usr/share/openvpn/examples/client.conf /etc/openvpn/client/client.conf<br />
<br />
以下を編集してください:<br />
<br />
* {{ic|remote}} ディレクティブにはサーバーの[[Wikipedia:Fully qualified domain name|完全修飾ドメイン名]], (クライアントから名前解決できる) ホストネーム, IP アドレスのどれかを指定してください。<br />
* 特権を与えないようにするには {{ic|user}} と {{ic|group}} ディレクティブをアンコメントします。<br />
* {{ic|ca}}, {{ic|cert}}, {{ic|key}} パラメータは鍵と証明書のパス・名前に合わせてください。<br />
* SSL/TLS HMAC のハンドシェイクを有効にします。クライアントではパラメータを1にしてください。<br />
<br />
{{hc|/etc/openvpn/client/client.conf|<br />
remote elmer.acmecorp.org 1194<br />
.<br />
user nobody<br />
group nobody<br />
ca ca.crt<br />
cert client.crt<br />
key client.key<br />
.<br />
tls-auth ta.key '''1'''<br />
}}<br />
<br />
==== 接続後に root 権限を落とす ====<br />
<br />
設定ファイルで {{ic|user nobody}} と {{ic|group nobody}} オプションを使うことで接続が確立した後 ''OpenVPN'' は権限を落とします。ただし、VPN が切断されたときにデーモンがネットワークルートを削除して再設定することができないという欠点があります。VPN 接続を使わずにトラフィックの転送を制限したい場合、ルートを残すのは望ましくありません。さらに、トンネルの起動時に OpenVPN サーバーがルートにアップデートをプッシュする可能性もあります。権限が落ちたクライアントではアップデートを実行することができずエラーを吐いて終了します。<br />
<br />
As it could seem to require manual action to manage the routes, the options {{ic|user nobody}} and {{ic|group nobody}} might seem undesirable. Depending on setup, however, there are four ways to handle these situations: <br />
<br />
* ユニットのエラーの場合、ユニットを[[systemd#ユニットファイルの編集|編集]]して {{ic|[Service]}} セクションに {{ic|1=Restart=on-failure}} を追加してください。ただし、これだけでは古いルートが削除されないため、再起動されたトンネルが正しくルーティングされません。<br />
* The package contains the {{ic|/usr/lib/openvpn/plugins/openvpn-plugin-down-root.so}}, which can be used to let ''openvpn'' fork a process with root privileges with the only task to execute a custom script when receiving a down signal from the main process, which is handling the tunnel with dropped privileges (see also its [https://community.openvpn.net/openvpn/browser/plugin/down-root/README?rev=d02a86d37bed69ee3fb63d08913623a86c88da15 README]).<br />
* The [https://openvpn.net/index.php/open-source/documentation/howto.html#security OpenVPN HowTo] explains another way how to create an unprivileged user mode and wrapper script to have the routes restored automatically. <br />
* Further, it is possible to let OpenVPN start as a non-privileged user in the first place, without ever running as root, see [https://community.openvpn.net/openvpn/wiki/UnprivilegedUser this OpenVPN wiki HowTo].<br />
<br />
{{Note|The OpenVPN HowTos linked above create a dedicated non-privileged user/group, instead of the already existing {{ic|nobody}}. The advantage is that this avoids potential risks when sharing a user among daemons.}}<br />
<br />
=== クライアントプロファイル (Linux, iOS, Android 共通) ===<br />
{{AUR|ovpngen}} パッケージは OpenVPN Connect の iOS 版や Android アプリでも使えるファイル形式で、OpenVPN 互換のトンネルプロファイルを作成できるシンプルなシェルスクリプトです。<br />
<br />
5つのトークンを指定してスクリプトを起動してください:<br />
# OpenVPN サーバーの完全修飾ドメイン名 (または IP アドレス)。<br />
# CA 証明書のフルパス。<br />
# クライアント証明書のフルパス。<br />
# クライアント秘密鍵のフルパス。<br />
# サーバー TLS 共有秘密鍵のフルパス。<br />
# (任意) ポート番号。<br />
# (任意) プロトコル (udp または tcp)。<br />
<br />
例:<br />
# ovpngen example.org /etc/openvpn/server/ca.crt /etc/easy-rsa/pki/signed/client1.crt /etc/easy-rsa/pki/private/client1.key /etc/openvpn/server/ta.key > iphone.ovpn<br />
<br />
スクリプトはコメント行を追加するので、必要であれば生成された {{ic|iphone.ovpn}} を編集してください。<br />
<br />
{{Tip|If the server.conf contains a specified cipher and/or auth line, it is highly recommended that users manually edit the generated .ovpn file adding matching lines for cipher and auth. Failure to do so may results in connection errors!}}<br />
<br />
=== 証明書を暗号化された .p12 フォーマットに変換 ===<br />
ソフトウェアによってはパスワードで暗号化された .p12 ファイルで保存された VPN 証明書しか読み込まない場合があります。ファイルは以下のコマンドで生成することができます:<br />
{{bc|# openssl pkcs12 -export -inkey keys/bugs.key -in keys/bugs.crt -certfile keys/ca.crt -out keys/bugs.p12}}<br />
<br />
=== OpenVPN 設定のテスト ===<br />
<br />
サーバーで {{ic|# openvpn /etc/openvpn/server/server.conf}} を実行して、クライアントで {{ic|# openvpn /etc/openvpn/client/client.conf}} を実行してください。以下のような出力がされるはずです:<br />
<br />
{{hc|# openvpn /etc/openvpn/server/server.conf|2=<br />
Wed Dec 28 14:41:26 2011 OpenVPN 2.2.1 x86_64-unknown-linux-gnu [SSL] [LZO2] [EPOLL] [eurephia] built on Aug 13 2011<br />
Wed Dec 28 14:41:26 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables<br />
Wed Dec 28 14:41:26 2011 Diffie-Hellman initialized with 2048 bit key<br />
...<br />
Wed Dec 28 14:41:54 2011 bugs/95.126.136.73:48904 MULTI: primary virtual IP for bugs/95.126.136.73:48904: 10.8.0.6<br />
Wed Dec 28 14:41:57 2011 bugs/95.126.136.73:48904 PUSH: Received control message: 'PUSH_REQUEST'<br />
Wed Dec 28 14:41:57 2011 bugs/95.126.136.73:48904 SENT CONTROL [bugs]: 'PUSH_REPLY,route 10.8.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5' (status=1)<br />
}}<br />
<br />
{{hc|# openvpn /etc/openvpn/client/client.conf|2=<br />
Wed Dec 28 14:41:50 2011 OpenVPN 2.2.1 i686-pc-linux-gnu [SSL] [LZO2] [EPOLL] [eurephia] built on Aug 13 2011<br />
Wed Dec 28 14:41:50 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables<br />
Wed Dec 28 14:41:50 2011 LZO compression initialized<br />
...<br />
Wed Dec 28 14:41:57 2011 GID set to nobody<br />
Wed Dec 28 14:41:57 2011 UID set to nobody<br />
Wed Dec 28 14:41:57 2011 Initialization Sequence Completed<br />
}}<br />
<br />
サーバーで、tunX デバイスに割り当てられた IP アドレスを確認してください:<br />
<br />
{{hc|# ip addr show|2=<br />
...<br />
40: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100<br />
link/none<br />
inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0<br />
}}<br />
<br />
上記の場合、サーバーのトンネルの終末に割り当てられた IP アドレスは 10.8.0.1 です。<br />
<br />
クライアントでも同じように確認してください:<br />
<br />
{{hc|# ip addr show|2=<br />
...<br />
37: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100<br />
link/none<br />
inet 10.8.0.6 peer 10.8.0.5/32 scope global tun0<br />
}}<br />
<br />
クライアント側の IP アドレスは 10.8.0.6 と確認できます。<br />
<br />
IP アドレスを確認したら ping を実行してみてください。<br />
<br />
サーバー側:<br />
<br />
{{hc|# ping -c3 10.8.0.6|2=<br />
PING 10.8.0.6 (10.8.0.6) 56(84) bytes of data.<br />
64 bytes from 10.8.0.6: icmp_req=1 ttl=64 time=238 ms<br />
64 bytes from 10.8.0.6: icmp_req=2 ttl=64 time=237 ms<br />
64 bytes from 10.8.0.6: icmp_req=3 ttl=64 time=205 ms<br />
<br />
--- 10.8.0.6 ping statistics ---<br />
3 packets transmitted, 3 received, 0% packet loss, time 2002ms<br />
rtt min/avg/max/mdev = 205.862/227.266/238.788/15.160 ms<br />
}}<br />
<br />
クライアント側:<br />
<br />
{{hc|# ping -c3 10.8.0.1|2=<br />
PING 10.8.0.1 (10.8.0.1) 56(84) bytes of data.<br />
64 bytes from 10.8.0.1: icmp_req=1 ttl=64 time=158 ms<br />
64 bytes from 10.8.0.1: icmp_req=2 ttl=64 time=158 ms<br />
64 bytes from 10.8.0.1: icmp_req=3 ttl=64 time=157 ms<br />
<br />
--- 10.8.0.1 ping statistics ---<br />
3 packets transmitted, 3 received, 0% packet loss, time 2001ms<br />
rtt min/avg/max/mdev = 157.426/158.278/158.940/0.711 ms<br />
}}<br />
<br />
{{Note|ファイアウォールを使っている場合、TUN デバイスの IP パケットがブロックされていないことを確認してください。}}<br />
<br />
=== Fragment と MSS による MTU の設定 ===<br />
<br />
{{Note|MTU を設定しなかった場合 ping や DNS などパケット数が少ない通信は上手く行きますが、ウェブブラウザなどはできません。}}<br />
<br />
次は最大セグメントサイズ (MSS) の設定です。クライアントとサーバーの経路で最小の MTU を確認する必要があります。断片化を無効化してサーバーに ping することで確認できます:<br />
<br />
{{hc|# ping -c5 -M do -s 1500 elmer.acmecorp.org|2=<br />
PING elmer.acmecorp.org (99.88.77.66) 1500(1528) bytes of data.<br />
From 1.2.3.4 (99.88.77.66) icmp_seq=1 Frag needed and DF set (mtu = 576)<br />
From 1.2.3.4 (99.88.77.66) icmp_seq=1 Frag needed and DF set (mtu = 576)<br />
From 1.2.3.4 (99.88.77.66) icmp_seq=1 Frag needed and DF set (mtu = 576)<br />
From 1.2.3.4 (99.88.77.66) icmp_seq=1 Frag needed and DF set (mtu = 576)<br />
From 1.2.3.4 (99.88.77.66) icmp_seq=1 Frag needed and DF set (mtu = 576)<br />
<br />
--- core.myrelay.net ping statistics ---<br />
0 packets transmitted, 0 received, +5 errors<br />
}}<br />
<br />
上記の ICMP メッセージによれば MTU は 576 バイトです。UDP のオーバーヘッドのために UDP パケットを 576 バイト未満に断片化する必要があります。<br />
<br />
{{hc|# ping -c5 -M do -s 548 elmer.acmecorp.org|2=<br />
PING elmer.acmecorp.org (99.88.77.66) 548(576) bytes of data.<br />
556 bytes from 99.88.77.66: icmp_seq=1 ttl=48 time=206 ms<br />
556 bytes from 99.88.77.66: icmp_seq=2 ttl=48 time=224 ms<br />
556 bytes from 99.88.77.66: icmp_seq=3 ttl=48 time=206 ms<br />
556 bytes from 99.88.77.66: icmp_seq=4 ttl=48 time=207 ms<br />
556 bytes from 99.88.77.66: icmp_seq=5 ttl=48 time=208 ms<br />
<br />
--- myrelay.net ping statistics ---<br />
5 packets transmitted, 5 received, 0% packet loss, time 4001ms<br />
rtt min/avg/max/mdev = 206.027/210.603/224.158/6.832 ms<br />
}}<br />
<br />
試行錯誤によりパケットを 548 バイトで断片化する必要があると確認できました。OpenVPN のクライアント設定ファイルを以下のように修正してください:<br />
<br />
{{hc|/etc/openvpn/client/client.conf|<br />
remote elmer.acmecorp.org 1194<br />
...<br />
fragment 548<br />
mssfix 548<br />
...}}<br />
<br />
サーバーにも断片化について設定が必要です。サーバー側の設定では "mssfix" は不要なので注意してください:<br />
<br />
{{Note|'fragment' ディレクティブをサポートしていないクライアント (例: OpenELEC, [https://forums.openvpn.net/topic13201.html#p31156 iOS アプリ]) は 'fragment' ディレクティブを使用しているサーバーに接続できません。そのようなクライアントを使用する場合は、このセクションはスキップして下で説明している 'mtu-test' ディレクティブでクライアントを設定してください。}}<br />
<br />
{{hc|/etc/openvpn/server/server.conf|<br />
...<br />
fragment 548<br />
}}<br />
<br />
{{Note|The following will add about 3 minutes to OpenVPN start time. It is advisable to configure the fragment size unless your client is a laptop that will be connecting over many different networks and the bottle neck is on the client side.}}<br />
<br />
クライアントが VPN に接続するたびに OpenVPN でテストの ping を実行するように設定することもできます。クライアントはテストを実行していることを通知しない場合があり、テストが完了するまで接続が切れているかのように表示されることがあります。<br />
{{hc|/etc/openvpn/client/client.conf|<br />
remote elmer.acmecorp.org 1194<br />
...<br />
mtu-test<br />
...<br />
tls-auth ta.key '''1'''<br />
}}<br />
<br />
=== IPv6 ===<br />
==== IPv6 でサーバーに接続 ====<br />
<br />
OpenVPN でデュアルスタックを有効にするには、{{ic|server.conf}} と {{ic|client.conf}} の両方で {{ic|proto udp}} を {{ic|proto udp6}} に変更してください。変更後、IPv4 と IPv6 の両方が有効になります。<br />
<br />
==== トンネルで IPv6 を使用 ====<br />
<br />
トンネルで IPv6 を使えるようにするには、IPv6 プレフィックスを OpenVPN サーバーにルーティングする必要があります。ゲートウェイでスタティックルートを設定するか (固定ブロックが割り当てられている場合)、あるいは DHCPv6 クライアントを使って DHCPv6 プレフィックス委譲でプレフィックスを取得してください (詳しくは [[IPv6#プレフィックス委譲 (DHCPv6-PD)|IPv6 プレフィックス委譲]]を参照)。アドレスブロック fc00::/7 からユニークなローカルアドレスを使うこともできます。どちらの方法もメリットとデメリットがあります:<br />
<br />
* Many ISPs only provide dynamically changing IPv6 prefixes. OpenVPN does not support prefix changes, so you need to change your server.conf every time the prefix is changed (Maybe can be automated with a script).<br />
* ULA addresses are not routed to the Internet, and setting up NAT is not as straightforward as with IPv4. So you cannot route the entire traffic over the tunnel. If you only want to connect two sites via IPv6, without the need to connect to the Internet over the tunnel, the ULA addresses may be easier to use.<br />
<br />
プレフィックスを取得したら ({{ic|/64}} が推奨)、{{ic|server.conf}} に以下を追加してください:<br />
<br />
server-ipv6 2001:db8:0:123::/64<br />
<br />
This is the IPv6 equivalent to the default 10.8.0.0/24 network of OpenVPN and needs to be taken from the DHCPv6 client. Or use for example fd00:1234::/64.<br />
<br />
If you want to push a route to your home network (192.168.1.0/24 equivalent), also append:<br />
<br />
push "route-ipv6 2001:db8:0:abc::/64"<br />
<br />
OpenVPN does not yet include DHCPv6, so there is no method to e.g. push DNS server over IPv6. This needs to be done with IPv4. The [https://community.openvpn.net/openvpn/wiki/IPv6 OpenVPN Wiki] provides some other configuration options.<br />
<br />
== OpenVPN の起動 ==<br />
<br />
=== 手動起動 ===<br />
<br />
VPN 接続をトラブルシュートするときは、root で {{ic|openvpn /etc/openvpn/client/client.conf}} を実行して手動でクライアントのデーモンを起動してください。同じように、サーバーもサーバーの設定ファイル (例: {{ic|openvpn /etc/openvpn/server/server.conf}}) を使って起動できます。<br />
<br />
=== systemd サービスの設定 ===<br />
<br />
システムの起動時に OpenVPN を自動的に実行するには、クライアントでもサーバーでも、適当なマシンで {{ic|openvpn-server@''<configuration>''.service}} を[[有効化]]してください ({{ic|<configuration>}} に {{ic|.conf}} 拡張子は要りません)。<br />
<br />
例えば、クライアントの設定ファイルが {{ic|/etc/openvpn/client/''client''.conf}} の場合、サービス名は {{ic|openvpn-client@''client''.service}} です。また、サーバーの設定ファイルが {{ic|/etc/openvpn/server/''server''.conf}} の場合、サービス名は {{ic|openvpn-server@''server''.service}} となります。<br />
<br />
=== NetworkManager で接続を開始 ===<br />
<br />
クライアント側で VPN トンネルを常時実行しない場合や特定の NetworkManager の接続だけで確立してほしい場合、{{ic|/etc/NetworkManager/dispatcher.d/}} にスクリプトを追加してください。以下の例では "Provider" が NetworkManager の接続名です:<br />
<br />
{{hc|/etc/NetworkManager/dispatcher.d/10-openvpn|2=<br />
#!/bin/bash<br />
<br />
case "$2" in<br />
up)<br />
if [ "$CONNECTION_ID" == "Provider" ]; then<br />
systemctl start openvpn@client<br />
fi<br />
;;<br />
down)<br />
systemctl stop openvpn@client<br />
;;<br />
esac}}<br />
<br />
詳しくは [[NetworkManager#ネットワークサービスと NetworkManager dispatcher]] を見て下さい。<br />
<br />
=== Gnome の設定 ===<br />
<br />
Gnome のネットワーク設定を使ってクライアントから OpenVPN サーバーに接続したい場合、以下を実行してください。<br />
<br />
まず、{{ic|networkmanager-openvpn}} をインストールします。それから設定メニューを開いてネットワークを選択してください。プラス記号をクリックして新しい接続を追加し VPN を選択します。そこから、OpenVPN を選択することができるので手動で設定を入力してください。既に設定ファイルを作成している場合、[[#クライアントの設定ファイル|クライアントの設定ファイル]]をインポートすることもできます。ただし、インポートが上手くいかなかった場合 NetworkManager はエラーメッセージを表示しないので注意してください。後は、接続を有効にすれば設定が適用されて、VPN に接続されます (例: {{ic|journalctl -b --u NetworkManager}})。<br />
<br />
== 全てのクライアントの通信をサーバーにルーティング ==<br />
<br />
{{Note|There are potential pitfalls when routing all traffic through a VPN server. Refer to [http://openvpn.net/index.php/open-source/documentation/howto.html#redirect the OpenVPN documentation on this topic] for more information.}}<br />
<br />
デフォルトでは OpenVPN サーバーから直接送受信されたトラフィックしか VPN を通過しません。ウェブのトラフィックなど全てのトラフィックを VPN を通過させたい場合、まずはサーバーの設定ファイル ({{ic|/etc/openvpn/server/server.conf}}) に以下を追加してください [http://openvpn.net/index.php/open-source/documentation/howto.html#redirect]:<br />
<br />
push "redirect-gateway def1 bypass-dhcp"<br />
push "dhcp-option DNS 8.8.8.8"<br />
<br />
{{ic|8.8.8.8}} は使用したい DNS の IP アドレスに変えてください。<br />
<br />
サーバーに接続した後、DNS が反応しない場合は、シンプルな DNS フォワーダーとして [[BIND]] をインストールして OpenVPN サーバーの IP アドレスを DNS としてクライアントに送信してください。<br />
<br />
設定ファイルが設定できたら、サーバーで[[インターネット共有#パケット転送の有効化|パケットフォワーディングを有効化]]してください。さらに、サーバーのファイアウォールを設定して VPN の通信が通るようにします。以下では [[ufw]] と [[iptables]] の設定方法を解説しています。<br />
<br />
サーバーとは別の(プライベート)サブネットにもクライアントがアクセスできるようにしたい場合、{{ic|push "route <address pool> <subnet>"}} オプションを使ってください:<br />
<br />
push "route 172.10.142.0 255.255.255.0"<br />
push "route 172.20.142.0 255.255.255.0"<br />
<br />
=== ファイアウォールの設定 ===<br />
<br />
==== ufw ====<br />
<br />
VPN 通信の ufw 設定を行うにはまず以下を {{ic|/etc/default/ufw}} に追加してください:<br />
<br />
{{hc|/etc/default/ufw|2=<br />
DEFAULT_FORWARD_POLICY="ACCEPT"<br />
}}<br />
<br />
そして {{ic|/etc/ufw/before.rules}} を編集して以下のコードをヘッダーの後ろ、"*filter" 行の前に追加してください。IP やサブネットマスクは {{ic|/etc/openvpn/server/server.conf}} に設定した値と同じ値に変更してください。以下の例ではアダプタ ID が一般的な {{ic|eth0}} ですが必要に応じて編集してください。<br />
<br />
{{hc|/etc/ufw/before.rules|2=<br />
# NAT (Network Address Translation) table rules<br />
*nat<br />
:POSTROUTING ACCEPT [0:0]<br />
<br />
# Allow traffic from clients to eth0<br />
-A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE<br />
<br />
# do not delete the "COMMIT" line or the NAT table rules above will not be processed<br />
COMMIT<br />
}}<br />
<br />
OpenVPN のポート 1194 を開く:<br />
<br />
# ufw allow 1194<br />
<br />
最後に、UFW をリロード:<br />
<br />
# ufw reload<br />
<br />
==== iptables ====<br />
<br />
In order to allow VPN traffic through your iptables firewall of your server, first create an iptables rule for NAT forwarding [http://openvpn.net/index.php/open-source/documentation/howto.html#redirect] on the server, assuming the interface you want to forward to is named {{ic|eth0}}:<br />
<br />
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE<br />
<br />
If you have difficulty pinging the server through the VPN, you may need to add explicit rules to open up TUN/TAP interfaces to all traffic. If that is the case, do the following [https://community.openvpn.net/openvpn/wiki/255-qconnection-initiated-with-xxxxq-but-i-cannot-ping-the-server-through-the-vpn]:<br />
<br />
{{Warning|There are security implications for the following rules if you do not trust all clients which connect to the server. Refer to the [https://community.openvpn.net/openvpn/wiki/255-qconnection-initiated-with-xxxxq-but-i-cannot-ping-the-server-through-the-vpn OpenVPN documentation on this topic] for more details.}}<br />
<br />
iptables -A INPUT -i tun+ -j ACCEPT<br />
iptables -A FORWARD -i tun+ -j ACCEPT<br />
iptables -A INPUT -i tap+ -j ACCEPT<br />
iptables -A FORWARD -i tap+ -j ACCEPT<br />
<br />
Additionally be sure to accept connections from the OpenVPN port (default 1194) and through the physical interface.<br />
<br />
設定ができたら [[iptables#iptables の設定と実行]]に書かれているように設定を永続化させてください。<br />
<br />
If you have multiple {{ic|tun}} or {{ic|tap}} interfaces, or more than one VPN configuration, you can "pin" the name of your interface by specifying it in the OpenVPN config file, e.g. {{ic|tun22}} instead of {{ic|tun}}. This is advantageous if you have different firewall rules for different interfaces or OpenVPN configurations.<br />
<br />
=== VPN が落ちた時に漏洩を防止 ===<br />
<br />
The idea is simple: prevent all traffic through our default interface (enp3s0 for example) and only allow tun0. If the OpenVPN connection drops, your computer will lose its internet access and therefore, avoid your programs to continue connecting through an insecure network adapter.<br />
<br />
Be sure to set up a script to restart OpenVPN if it goes down if you do not want to manually restart it.<br />
<br />
==== ufw ====<br />
<br />
# Default policies<br />
ufw default deny incoming<br />
ufw default deny outgoing<br />
<br />
# Openvpn interface (adjust interface accordingly to your configuration)<br />
ufw allow in on tun0<br />
ufw allow out on tun0<br />
<br />
# Local Network (adjust ip accordingly to your configuration)<br />
ufw allow in on enp3s0 from 192.168.1.0/24<br />
ufw allow out on enp3s0 to 192.168.1.0/24<br />
<br />
# Openvpn (adjust port accordingly to your configuration)<br />
ufw allow out on enp3s0 to any port 1194<br />
ufw allow in on enp3s0 from any port 1194<br />
<br />
{{Warning| DNS '''won't''' work '''unless''' you run your own dns server like [[BIND]]<br />
Otherwise, you will need to allow dns leak. '''Be sure to trust your dns server!'''<br />
# DNS<br />
ufw allow in from any to any port 53<br />
ufw allow out from any to any port 53<br />
}}<br />
<br />
==== vpnfailsafe ====<br />
<br />
もしくは [https://github.com/wknapik/vpnfailsafe vpnfailsafe] ({{AUR|vpnfailsafe-git}}) スクリプトをクライアントで使うことでも DNS 漏洩を防ぐことができ、インターネット宛の全てのトラフィックが VPN を通過するようにできます。VPN トンネルが落ちた場合、インターネットへのアクセスはできなくなりますが、VPN サーバーへの接続は可能です。スクリプトには [[#アップデート resolv-conf スクリプト|update-resolv-conf]] の機能も含まれています。<br />
<br />
== L3 IPv4 ルーティング==<br />
<br />
このセクションでは L3 IPv4 ルーティングを使ってクライアント・サーバー LAN を互いに接続する方法を説明しています。<br />
<br />
=== LAN のルーティングの要件 ===<br />
<br />
ホストが LAN と VPN で IPv4 パケットを転送できるようにするために、NIC と tun/tap デバイスでパケットを転送できるようにする必要があります。詳しい設定方法は[[インターネット共有#パケット転送の有効化]]を見て下さい。<br />
<br />
==== ルーティングテーブル ====<br />
<br />
By default, all IP packets on a LAN addressed to a different subnet get sent to the default gateway. If the LAN/VPN gateway is also the default gateway, there is no problem and the packets get properly forwarded. If not, the gateway has no way of knowing where to send the packets. There are a couple of solutions to this problem.<br />
<br />
* Add a static route to the default gateway routing the VPN subnet to the LAN/VPN gateway's IP address.<br />
* Add a static route on each host on the LAN that needs to send IP packets back to the VPN.<br />
* Use [[iptables]]' NAT feature on the LAN/VPN gateway to masquerade the incoming VPN IP packets.<br />
<br />
=== サーバー LAN をクライアントに接続 ===<br />
<br />
The server is on a LAN using the 10.66.0.0/24 subnet. To inform the client about the available subnet, add a push directive to the server configuration file:{{hc|/etc/openvpn/server/server.conf|push "route 10.66.0.0 255.255.255.0"}}<br />
<br />
{{Note|To route more LANs from the server to the client, add more push directives to the server configuration file, but keep in mind that the server side LANs will need to know how to route to the client.<br />
}}<br />
<br />
=== クライアント LAN をサーバーに接続 ===<br />
<br />
要件:<br />
<br />
* Any subnets used on the client side, must be unique and not in use on the server or by any other client. In this example we will use 192.168.4.0/24 for the clients LAN.<br />
* Each client's certificate has a unique Common Name, in this case bugs.<br />
* The server may not use the duplicate-cn directive in its config file.<br />
<br />
Create a client configuration directory on the server. It will be searched for a file named the same as the client's common name, and the directives will be applied to the client when it connects.<br />
<br />
# mkdir -p /etc/openvpn/ccd<br />
<br />
Create a file in the client configuration directory called bugs, containing the {{ic|iroute 192.168.4.0 255.255.255.0}} directive. It tells the server what subnet should be routed to the client:<br />
<br />
{{hc|/etc/openvpn/ccd/bugs|iroute 192.168.4.0 255.255.255.0}}<br />
<br />
Add the client-config-dir and the {{ic|route 192.168.4.0 255.255.255.0}} directive to the server configuration file. It tells the server what subnet should be routed from the tun device to the server LAN:<br />
<br />
{{hc|/etc/openvpn/server/server.conf|<br />
client-config-dir ccd<br />
route 192.168.4.0 255.255.255.0<br />
}}<br />
<br />
{{Note|To route more LANs from the client to the server, add more iroute and route directives to the appropriate configuration files, but keep in mind that the client side LANs will need to know how to route to the server.<br />
}}<br />
<br />
=== クライアントとサーバー両方の LAN を接続 ===<br />
<br />
Combine the two previous sections:<br />
<br />
{{hc|/etc/openvpn/server/server.conf|<br />
push "route 10.66.0.0 255.255.255.0"<br />
...<br />
client-config-dir ccd<br />
route 192.168.4.0 255.255.255.0<br />
}}<br />
<br />
{{hc|/etc/openvpn/ccd/bugs|iroute 192.168.4.0 255.255.255.0}}<br />
<br />
{{Note|Remember to make sure that all the LANs or the needed hosts can route to all the destinations.}}<br />
<br />
=== クライアントとクライアントの LAN を接続 ===<br />
<br />
デフォルトではクライアントは互いを認識できません。クライアント間やクライアントの LAN 間の IP パケットを許可するには、サーバーの設定ファイルに {{ic|client-to-client}} ディレクティブを追加してください: {{hc|/etc/openvpn/server/server.conf|client-to-client}}<br />
<br />
他のクライアントやクライアント LAN が特定のクライアント LAN を認識できるようにしたい場合、各クライアントのサブネットに対して push ディレクティブをサーバーの設定ファイルに追加してください (サーバーが利用可能なサブネットを他のクライアントに通知します):<br />
<br />
{{hc|/etc/openvpn/server/server.conf|<br />
client-to-client<br />
push "route 192.168.4.0 255.255.255.0"<br />
push "route 192.168.5.0 255.255.255.0"<br />
...<br />
}}<br />
<br />
{{Note|As always, make sure that the routing is properly configured.}}<br />
<br />
== DNS ==<br />
<br />
システムによって使われる DNS サーバーは {{ic|/etc/resolv.conf}} に定義します。伝統的に、このファイルはシステムをネットワークに接続するプログラムによって扱われます (例: Wicd, NetworkManager など)。しかしながら、リモート側で名前解決ができるようにするには、OpenVPN がこのファイルを修正する必要があります。{{pkg|openresolv}} をインストールすることで、複数のプログラムが互いに干渉することなく {{ic|resolv.conf}} を編集できるようになります。<br />
<br />
先に進む前に、ネットワーク接続を再起動して {{ic|resolv.conf}} の中に ''resolvconf'' によって生成されたという文言があること、そして DNS の解決が問題なく機能することを確認してください。openresolv を設定する必要はありません。ネットワークによって自動的に認識されて使用されます。<br />
<br />
Linux の場合、OpenVPN は DNS のホスト情報を送信することができますが、外部プロセスがそれを扱うようになっています。{{ic|/usr/share/openvpn/contrib/pull-resolv-conf/}} に存在する {{ic|client.up}} と {{ic|client.down}} スクリプトを使用します。スクリプトを {{ic|/etc/openvpn/client/}} にインストールする方法はコメントを見てください。以下は ''resolvconf'' と[[#接続後に root 権限を落とす]]のオプションを組み合わせてスクリプトを使って作成されたクライアント設定の抜粋です:<br />
{{hc|/etc/openvpn/client/''clienttunnel''.conf|<br />
user nobody<br />
group nobody<br />
# Optional, choose a suitable path to chroot into for your system<br />
chroot /srv<br />
script-security 2<br />
up /etc/openvpn/client/client.up<br />
plugin /usr/lib/openvpn/plugins/openvpn-plugin-down-root.so "/etc/openvpn/client/client.down tun0"}}<br />
<br />
=== アップデート resolv-conf スクリプト === <br />
<br />
パッケージに含まれているスクリプトのかわりとして [https://github.com/masterkorp/openvpn-update-resolv-conf openvpn-update-resolv-conf] スクリプトを使うことができます。{{ic|/etc/openvpn/update-resolv-conf}} などに保存して [[chmod]] で実行可能属性を付与してください。AUR の {{AUR|openvpn-update-resolv-conf}} パッケージでスクリプトをインストールすることもできます。<br />
<br />
スクリプトをインストールしたら OpenVPN のクライアント設定ファイルに以下のような行を追加してください:<br />
<br />
script-security 2<br />
up /etc/openvpn/update-resolv-conf<br />
down /etc/openvpn/update-resolv-conf<br />
<br />
これで OpenVPN 接続を起動すると {{ic|resolv.conf}} ファイルが正しく更新され、接続を終了すると通常の {{ic|resolv.conf}} に戻ります。<br />
<br />
{{Note|When using {{ic|openresolv}} with the ''-p'' or ''-x'' options in a script (as both the included {{ic|client.up}} and {{ic|update-resolv-conf}} scripts currently do), a DNS resolver like {{Pkg|dnsmasq}} or {{Pkg|unbound}} is required for {{ic|openresolv}} to correctly update {{ic|/etc/resolv.conf}}. In contrast, when using the default DNS resolution from {{ic|libc}} the ''-p'' and ''-x'' options must be removed in order for {{ic|/etc/resolv.conf}} to be correctly updated by {{ic|openresolv}}. For example, if the script contains a command like {{ic|resolvconf -p -a }} and the default DNS resolver from {{ic|libc}} is being used, change the command in the script to be {{ic|resolvconf -a }}.}}<br />
<br />
=== アップデート systemd-resolved スクリプト === <br />
<br />
systemd-229 から、[[systemd-networkd]] の {{ic|systemd-resolved.service}} には DBus を使ってリンクごとに DNS の設定を管理することができる API が用意されています。{{ic|/etc/resolv.conf}} が {{ic|systemd-resolved}} によって管理されている場合、{{pkg|openresolv}} などのツールは上手く動かない場合があります。さらに、{{ic|/etc/nsswitch.conf}} ファイルで {{ic|dns}} のかわりに {{ic|resolve}} を使っている場合は全く動作しません。[https://github.com/jonathanio/update-systemd-resolved update-systemd-resolved] スクリプトは DBus を通して OpenVPN と {{ic|systemd-resolved}} をリンクし DNS レコードを更新します。<br />
<br />
スクリプトを {{ic|/etc/openvpn}} にコピーして [[chmod]] で実行可能属性を付与するか、AUR パッケージでインストールして ({{AUR|openvpn-update-systemd-resolved}})、OpenVPN のクライアント設定ファイルに以下の行を追加してください:<br />
<br />
script-security 2<br />
setenv PATH /usr/bin<br />
up /etc/openvpn/update-systemd-resolved<br />
down-pre /etc/openvpn/update-systemd-resolved<br />
<br />
== L2 Ethernet ブリッジ ==<br />
<br />
次を参照: [[en2:OpenVPN Bridge|OpenVPN Bridge]]<br />
<br />
== トラブルシューティング ==<br />
<br />
=== サスペンド後にクライアントデーモンが再起動しない ===<br />
<br />
クライアントをスリープ状態にしてから復帰しても OpenVPN が再起動しないために切断してしまう場合、以下のファイルを作成してください:<br />
<br />
{{hc|/usr/lib/systemd/system-sleep/vpn.sh|2=<br />
#!/bin/sh<br />
if [ "$1" == "pre" ]<br />
then<br />
killall openvpn<br />
fi<br />
}}<br />
<br />
{{ic|chmod a+x /usr/lib/systemd/system-sleep/vpn.sh}} に実行可能属性を付与してサービスを編集してください:<br />
<br />
{{hc|/etc/systemd/system/openvpn-client@.service.d/restart.conf|2=<br />
[Service]<br />
Restart=always<br />
}}<br />
<br />
=== しばらく通信しないと接続が切れる ===<br />
<br />
データを通信していないと接続中と表示されているのに数秒で VPN 接続が切れて、データがトンネルで転送されない場合、サーバーの設定に {{ic|keepalive}} ディレクティブを追加してみてください:<br />
<br />
{{hc|/etc/openvpn/server/server.conf|<br />
...<br />
keepalive 10 120<br />
...<br />
}}<br />
<br />
上記の設定でサーバーは ping のようなメッセージを10秒ごとにクライアントに送信してトンネルを維持します。クライアントから120秒以上反応を得られなかった場合、サーバーはクライアントが切断されたと判断します。<br />
<br />
ping の間隔を小さくすることでトンネルの安定性を上げることができますが、発生するトラフィックが増大します。接続環境によっては10秒以下に設定してみてください。<br />
<br />
== 参照 ==<br />
* [https://openvpn.net/index.php/open-source.html OpenVPN 公式サイト]</div>
Sarisia
https://wiki.archlinux.jp/index.php?title=OpenVPN&diff=9077
OpenVPN
2017-06-19T12:13:14Z
<p>Sarisia: Wikipediaリンク修正</p>
<hr />
<div>[[Category:Virtual Private Network]]<br />
[[de:OpenVPN]]<br />
[[en:OpenVPN]]<br />
[[ru:OpenVPN]]<br />
[[zh-hans:OpenVPN]]<br />
{{Related articles start}}<br />
{{Related|Linux Containers で OpenVPN クライアント}}<br />
{{Related|Linux Containers で OpenVPN サーバー}}<br />
{{Related|Easy-RSA}}<br />
{{Related|Airvpn}}<br />
{{Related articles end}}<br />
この記事では、小規模な事業やプレイベートでの利用に適している、[http://openvpn.net OpenVPN] の基本的なインストールと設定について説明します。詳しい情報は [https://community.openvpn.net/openvpn/wiki/Openvpn24ManPage OpenVPN 2.4 man ページ] や [http://openvpn.net/index.php/open-source/documentation OpenVPN ドキュメント] を見て下さい。OpenVPN は堅牢で高い柔軟性を持つ [[Wikipedia:VPN|VPN]] デーモンです。[[Wikipedia:SSL/TLS|SSL/TLS]] セキュリティ, [[Wikipedia:Bridging_(networking)|Ethernet ブリッジ]], [[Wikipedia:Proxy_server|プロキシ]]や [[Wikipedia:Network address translation|NAT]] による [[Wikipedia:Transmission_Control_Protocol|TCP]] や [[Wikipedia:User_Datagram_Protocol|UDP]] の[[Wikipedia:Tunneling_protocol|トンネリング]]をサポートしています。さらに、動的 IP アドレスと [[Wikipedia:Dynamic_Host_Configuration_Protocol|DHCP]] をサポートしており、数百あるいは数千までのユーザーに対応し、主要な OS プラットフォームで動作します。<br />
<br />
OpenVPN は [http://www.openssl.org OpenSSL] ライブラリと密接に関係しており、OpenSSL の暗号機能を多数利用しています。[[Wikipedia:Pre-shared_key|事前共有秘密鍵]]による慣用暗号 (Static Key モード) とクライアントとサーバーの証明書を用いる[[Wikipedia:Public_key|公開鍵暗号]] ([[Wikipedia:SSL/TLS|SSL/TLS]] モード) をサポートしています。さらに、暗号化を施さない TCP/UDP トンネルにも対応しています。<br />
<br />
ほとんどのプラットフォームに存在する [[Wikipedia:TUN/TAP|TUN/TAP]] 仮想ネットワークインターフェイスを使うように OpenVPN は設計されています。OpenVPN は [[Wikipedia:Ipsec|IPSec]] の主要な機能の多くを提供しますがフットプリントは比較的軽量に抑えられます。OpenVPN は James Yonan によって書かれ [[Wikipedia:GNU General Public License|GNU General Public License (GPL)]] の下で公開されています。<br />
<br />
== OpenVPN のインストール ==<br />
<br />
{{Pkg|openvpn}} パッケージを[[インストール]]してください。<br />
<br />
{{Note|このパッケージに含まれているソフトウェアはクライアントとサーバー両方のモードをサポートするため、VPN 接続を作成する全てのマシンにインストールしてください。}}<br />
<br />
== カーネルの設定 ==<br />
<br />
OpenVPN は TUN/TAP のサポートを必要としますが、デフォルトカーネルでは既に設定済みです。自分でカーネルをビルドするときは、以下のように {{ic|tun}} モジュールを有効にしてください: <br />
<br />
{{hc|Kernel config file|<br />
Device Drivers<br />
--> Network device support<br />
[M] Universal TUN/TAP device driver support}}<br />
<br />
詳しくは[[カーネルモジュール]]を読んで下さい。<br />
<br />
== 第三者の VPN に接続 ==<br />
<br />
サードパーティによって提供されている VPN サービスに接続する場合、以下に書かれていることのほとんど(特にサーバーの設定に関する部分)は無視することができます。[[#クライアントの設定ファイル|クライアントの設定ファイル]]にそって設定して、それから [[#OpenVPN の起動|OpenVPN の起動]]まで飛んでください。証明書はプロバイダによって提供されたものを使います。参照: [[Airvpn]]。<br />
<br />
{{Note|フリーの VPN プロバイダの多くは [[PPTP サーバー|PPTP]] を提供しており、簡単に設定することが可能です。ただし、[http://poptop.sourceforge.net/dox/protocol-security.phtml セキュアではありません]。}}<br />
<br />
== 公開鍵基盤 (PKI) をスクラッチから作成 ==<br />
<br />
スクラッチから OpenVPN をセットアップする場合、[[Wikipedia:ja:公開鍵基盤 (PKI)]] を作成する必要があります。詳しくは [[Easy-RSA]] の記事に書かれています。必要な証明書・秘密鍵・関連ファイルが作成できたら、{{ic|/etc/openvpn/server}} に以下のファイルが存在するはずです:<br />
*{{ic|/etc/openvpn/server/ca.crt}}<br />
*{{ic|/etc/openvpn/server/dh.pem}}<br />
*{{ic|/etc/openvpn/server/servername.crt}} と {{ic|/etc/openvpn/server/servername.key}}<br />
*{{ic|/etc/openvpn/server/ta.key}}<br />
<br />
== ベーシックな L3 IP ルーティング設定 ==<br />
<br />
{{Note|特に明示しないかぎり、この記事では以下の基本的な L3 IP ルーティング設定を使います。}}<br />
<br />
OpenVPN は幅広い用途に使えるソフトウェアであり様々な設定ができます。マシンをサーバーとクライアントのどちらにでもできるので、サーバーとクライアントの区別は曖昧です。<br />
<br />
v2.4 のリリースから、サーバーの設定は {{ic|/etc/openvpn/server}} に保存され、クライアントの設定は {{ic|/etc/openvpn/client}} に保存されるようになり、それぞれ別の systemd ユニット ({{ic|openvpn-client@.service}} と {{ic|openvpn-server@.service}}) を使うようになりました。<br />
<br />
=== 設定例 ===<br />
OpenVPN パッケージには様々な設定サンプルファイルが付属しています。以下の機能を持つベーシックな OpenVPN をセットアップしたい場合、サンプルのサーバーとクライアント設定ファイルを使用すると良いでしょう:<br />
<br />
* [[Wikipedia:Public key infrastructure|Public Key Infrastructure (PKI)]] を使って認証。<br />
* 仮想 TUN ネットワークインターフェイスを使用して VPN を作成 (OSI L3 IP ルーティング)。<br />
* UDP ポート 1194 でクライアントから接続 (OpenVPN の[[Wikipedia:Port_number|公式 IANA ポート番号]])。<br />
* 仮想アドレスを 10.8.0.0/24 サブネットからクライアントに配布。<br />
<br />
高度な設定例は公式の [https://community.openvpn.net/openvpn/wiki/Openvpn24ManPage OpenVPN 2.4 man ページ] や [http://openvpn.net/index.php/open-source/documentation OpenVPN ドキュメント] を読んでください。<br />
<br />
=== サーバーの設定ファイル ===<br />
{{Note|サーバーまでの通り道にファイアウォールや NAT 変換ルーターがある場合、サーバー側で OpenVPN ポートを転送する必要があります。}}<br />
<br />
サーバーのサンプル設定ファイルを {{ic|/etc/openvpn/server/server.conf}} にコピー:<br />
<br />
# cp /usr/share/openvpn/examples/server.conf /etc/openvpn/server/server.conf<br />
<br />
{{hc|/etc/openvpn/server/server.conf|<br />
ca ca.crt<br />
cert servername.crt<br />
key servername.key # This file should be kept secret<br />
dh dh.pem<br />
.<br />
tls-auth ta.key '''0'''<br />
.<br />
user nobody<br />
group nobody<br />
}}<br />
<br />
==== サーバーの堅牢化 ====<br />
セキュリティが重要な場合、以下の設定を行うことを推奨します: 強固な暗号・認証方式、新しい tls 暗号だけを使うようにサーバーを設定。{{ic|/etc/openvpn/server/server.conf}} に以下を追加してください:<br />
<br />
{{hc|/etc/openvpn/server/server.conf|<br />
...<br />
cipher AES-256-CBC<br />
auth SHA512<br />
tls-version-min 1.2<br />
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-128-CBC-SHA:TLS-DHE-RSA-WITH-CAMELLIA-128-CBC-SHA<br />
...<br />
}}<br />
<br />
{{Note|.ovpn クライアントプロファイルには同じ cipher 行と auth 行を記述する必要があります (特に iOS と Android クライアントの場合)。}}<br />
<br />
==== 標準のポートやプロトコルを変更 ====<br />
パブリックネットワークやプライベートネットワークの管理者によってデフォルトポートやデフォルトプロトコルで OpenVPN 接続が許可されていない場合があります。通常の https/SSL トラフィックのように偽装することで解決できます。<br />
<br />
{{ic|/etc/openvpn/server/server.conf}} を以下のように設定してください:<br />
{{hc|/etc/openvpn/server/server.conf|<br />
...<br />
port 443<br />
proto tcp<br />
...<br />
}}<br />
<br />
{{Note|.ovpn クライアントプロファイルには同じ port 行と proto 行を記述する必要があります。}}<br />
<br />
===== TCP vs UDP =====<br />
TCP と UDP には以下のような違いがあります。<br />
<br />
TCP<br />
* いわゆる「ステートフルプロトコル」。<br />
* 誤り訂正による高い信頼性 (パケット応答を待機)。<br />
* UDP よりも低速。<br />
<br />
UDP<br />
* いわゆる「ステートレスプロトコル」。<br />
* 誤り訂正が使われないため TCP よりも信頼性が低い。<br />
* TCP よりも高速。<br />
<br />
=== クライアントの設定ファイル ===<br />
<br />
クライアント設定ファイルのサンプルを {{ic|/etc/openvpn/client/client.conf}} にコピー:<br />
<br />
# cp /usr/share/openvpn/examples/client.conf /etc/openvpn/client/client.conf<br />
<br />
以下を編集してください:<br />
<br />
* {{ic|remote}} ディレクティブにはサーバーの[[Wikipedia:Fully qualified domain name|完全修飾ドメイン名]], (クライアントから名前解決できる) ホストネーム, IP アドレスのどれかを指定してください。<br />
* 特権を与えないようにするには {{ic|user}} と {{ic|group}} ディレクティブをアンコメントします。<br />
* {{ic|ca}}, {{ic|cert}}, {{ic|key}} パラメータは鍵と証明書のパス・名前に合わせてください。<br />
* SSL/TLS HMAC のハンドシェイクを有効にします。クライアントではパラメータを1にしてください。<br />
<br />
{{hc|/etc/openvpn/client/client.conf|<br />
remote elmer.acmecorp.org 1194<br />
.<br />
user nobody<br />
group nobody<br />
ca ca.crt<br />
cert client.crt<br />
key client.key<br />
.<br />
tls-auth ta.key '''1'''<br />
}}<br />
<br />
==== 接続後に root 権限を落とす ====<br />
<br />
設定ファイルで {{ic|user nobody}} と {{ic|group nobody}} オプションを使うことで接続が確立した後 ''OpenVPN'' は権限を落とします。ただし、VPN が切断されたときにデーモンがネットワークルートを削除して再設定することができないという欠点があります。VPN 接続を使わずにトラフィックの転送を制限したい場合、ルートを残すのは望ましくありません。さらに、トンネルの起動時に OpenVPN サーバーがルートにアップデートをプッシュする可能性もあります。権限が落ちたクライアントではアップデートを実行することができずエラーを吐いて終了します。<br />
<br />
As it could seem to require manual action to manage the routes, the options {{ic|user nobody}} and {{ic|group nobody}} might seem undesirable. Depending on setup, however, there are four ways to handle these situations: <br />
<br />
* ユニットのエラーの場合、ユニットを[[systemd#ユニットファイルの編集|編集]]して {{ic|[Service]}} セクションに {{ic|1=Restart=on-failure}} を追加してください。ただし、これだけでは古いルートが削除されないため、再起動されたトンネルが正しくルーティングされません。<br />
* The package contains the {{ic|/usr/lib/openvpn/plugins/openvpn-plugin-down-root.so}}, which can be used to let ''openvpn'' fork a process with root privileges with the only task to execute a custom script when receiving a down signal from the main process, which is handling the tunnel with dropped privileges (see also its [https://community.openvpn.net/openvpn/browser/plugin/down-root/README?rev=d02a86d37bed69ee3fb63d08913623a86c88da15 README]).<br />
* The [https://openvpn.net/index.php/open-source/documentation/howto.html#security OpenVPN HowTo] explains another way how to create an unprivileged user mode and wrapper script to have the routes restored automatically. <br />
* Further, it is possible to let OpenVPN start as a non-privileged user in the first place, without ever running as root, see [https://community.openvpn.net/openvpn/wiki/UnprivilegedUser this OpenVPN wiki HowTo].<br />
<br />
{{Note|The OpenVPN HowTos linked above create a dedicated non-privileged user/group, instead of the already existing {{ic|nobody}}. The advantage is that this avoids potential risks when sharing a user among daemons.}}<br />
<br />
=== クライアントプロファイル (Linux, iOS, Android 共通) ===<br />
{{AUR|ovpngen}} パッケージは OpenVPN Connect の iOS 版や Android アプリでも使えるファイル形式で、OpenVPN 互換のトンネルプロファイルを作成できるシンプルなシェルスクリプトです。<br />
<br />
5つのトークンを指定してスクリプトを起動してください:<br />
# OpenVPN サーバーの完全修飾ドメイン名 (または IP アドレス)。<br />
# CA 証明書のフルパス。<br />
# クライアント証明書のフルパス。<br />
# クライアント秘密鍵のフルパス。<br />
# サーバー TLS 共有秘密鍵のフルパス。<br />
# (任意) ポート番号。<br />
# (任意) プロトコル (udp または tcp)。<br />
<br />
例:<br />
# ovpngen example.org /etc/openvpn/server/ca.crt /etc/easy-rsa/pki/signed/client1.crt /etc/easy-rsa/pki/private/client1.key /etc/openvpn/server/ta.key > iphone.ovpn<br />
<br />
スクリプトはコメント行を追加するので、必要であれば生成された {{ic|iphone.ovpn}} を編集してください。<br />
<br />
{{Tip|If the server.conf contains a specified cipher and/or auth line, it is highly recommended that users manually edit the generated .ovpn file adding matching lines for cipher and auth. Failure to do so may results in connection errors!}}<br />
<br />
=== 証明書を暗号化された .p12 フォーマットに変換 ===<br />
ソフトウェアによってはパスワードで暗号化された .p12 ファイルで保存された VPN 証明書しか読み込まない場合があります。ファイルは以下のコマンドで生成することができます:<br />
{{bc|# openssl pkcs12 -export -inkey keys/bugs.key -in keys/bugs.crt -certfile keys/ca.crt -out keys/bugs.p12}}<br />
<br />
=== OpenVPN 設定のテスト ===<br />
<br />
サーバーで {{ic|# openvpn /etc/openvpn/server/server.conf}} を実行して、クライアントで {{ic|# openvpn /etc/openvpn/client/client.conf}} を実行してください。以下のような出力がされるはずです:<br />
<br />
{{hc|# openvpn /etc/openvpn/server/server.conf|2=<br />
Wed Dec 28 14:41:26 2011 OpenVPN 2.2.1 x86_64-unknown-linux-gnu [SSL] [LZO2] [EPOLL] [eurephia] built on Aug 13 2011<br />
Wed Dec 28 14:41:26 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables<br />
Wed Dec 28 14:41:26 2011 Diffie-Hellman initialized with 2048 bit key<br />
...<br />
Wed Dec 28 14:41:54 2011 bugs/95.126.136.73:48904 MULTI: primary virtual IP for bugs/95.126.136.73:48904: 10.8.0.6<br />
Wed Dec 28 14:41:57 2011 bugs/95.126.136.73:48904 PUSH: Received control message: 'PUSH_REQUEST'<br />
Wed Dec 28 14:41:57 2011 bugs/95.126.136.73:48904 SENT CONTROL [bugs]: 'PUSH_REPLY,route 10.8.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5' (status=1)<br />
}}<br />
<br />
{{hc|# openvpn /etc/openvpn/client/client.conf|2=<br />
Wed Dec 28 14:41:50 2011 OpenVPN 2.2.1 i686-pc-linux-gnu [SSL] [LZO2] [EPOLL] [eurephia] built on Aug 13 2011<br />
Wed Dec 28 14:41:50 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables<br />
Wed Dec 28 14:41:50 2011 LZO compression initialized<br />
...<br />
Wed Dec 28 14:41:57 2011 GID set to nobody<br />
Wed Dec 28 14:41:57 2011 UID set to nobody<br />
Wed Dec 28 14:41:57 2011 Initialization Sequence Completed<br />
}}<br />
<br />
サーバーで、tunX デバイスに割り当てられた IP アドレスを確認してください:<br />
<br />
{{hc|# ip addr show|2=<br />
...<br />
40: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100<br />
link/none<br />
inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0<br />
}}<br />
<br />
上記の場合、サーバーのトンネルの終末に割り当てられた IP アドレスは 10.8.0.1 です。<br />
<br />
クライアントでも同じように確認してください:<br />
<br />
{{hc|# ip addr show|2=<br />
...<br />
37: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100<br />
link/none<br />
inet 10.8.0.6 peer 10.8.0.5/32 scope global tun0<br />
}}<br />
<br />
クライアント側の IP アドレスは 10.8.0.6 と確認できます。<br />
<br />
IP アドレスを確認したら ping を実行してみてください。<br />
<br />
サーバー側:<br />
<br />
{{hc|# ping -c3 10.8.0.6|2=<br />
PING 10.8.0.6 (10.8.0.6) 56(84) bytes of data.<br />
64 bytes from 10.8.0.6: icmp_req=1 ttl=64 time=238 ms<br />
64 bytes from 10.8.0.6: icmp_req=2 ttl=64 time=237 ms<br />
64 bytes from 10.8.0.6: icmp_req=3 ttl=64 time=205 ms<br />
<br />
--- 10.8.0.6 ping statistics ---<br />
3 packets transmitted, 3 received, 0% packet loss, time 2002ms<br />
rtt min/avg/max/mdev = 205.862/227.266/238.788/15.160 ms<br />
}}<br />
<br />
クライアント側:<br />
<br />
{{hc|# ping -c3 10.8.0.1|2=<br />
PING 10.8.0.1 (10.8.0.1) 56(84) bytes of data.<br />
64 bytes from 10.8.0.1: icmp_req=1 ttl=64 time=158 ms<br />
64 bytes from 10.8.0.1: icmp_req=2 ttl=64 time=158 ms<br />
64 bytes from 10.8.0.1: icmp_req=3 ttl=64 time=157 ms<br />
<br />
--- 10.8.0.1 ping statistics ---<br />
3 packets transmitted, 3 received, 0% packet loss, time 2001ms<br />
rtt min/avg/max/mdev = 157.426/158.278/158.940/0.711 ms<br />
}}<br />
<br />
{{Note|ファイアウォールを使っている場合、TUN デバイスの IP パケットがブロックされていないことを確認してください。}}<br />
<br />
=== Fragment と MSS による MTU の設定 ===<br />
<br />
{{Note|MTU を設定しなかった場合 ping や DNS などパケット数が少ない通信は上手く行きますが、ウェブブラウザなどはできません。}}<br />
<br />
次は最大セグメントサイズ (MSS) の設定です。クライアントとサーバーの経路で最小の MTU を確認する必要があります。断片化を無効化してサーバーに ping することで確認できます:<br />
<br />
{{hc|# ping -c5 -M do -s 1500 elmer.acmecorp.org|2=<br />
PING elmer.acmecorp.org (99.88.77.66) 1500(1528) bytes of data.<br />
From 1.2.3.4 (99.88.77.66) icmp_seq=1 Frag needed and DF set (mtu = 576)<br />
From 1.2.3.4 (99.88.77.66) icmp_seq=1 Frag needed and DF set (mtu = 576)<br />
From 1.2.3.4 (99.88.77.66) icmp_seq=1 Frag needed and DF set (mtu = 576)<br />
From 1.2.3.4 (99.88.77.66) icmp_seq=1 Frag needed and DF set (mtu = 576)<br />
From 1.2.3.4 (99.88.77.66) icmp_seq=1 Frag needed and DF set (mtu = 576)<br />
<br />
--- core.myrelay.net ping statistics ---<br />
0 packets transmitted, 0 received, +5 errors<br />
}}<br />
<br />
上記の ICMP メッセージによれば MTU は 576 バイトです。UDP のオーバーヘッドのために UDP パケットを 576 バイト未満に断片化する必要があります。<br />
<br />
{{hc|# ping -c5 -M do -s 548 elmer.acmecorp.org|2=<br />
PING elmer.acmecorp.org (99.88.77.66) 548(576) bytes of data.<br />
556 bytes from 99.88.77.66: icmp_seq=1 ttl=48 time=206 ms<br />
556 bytes from 99.88.77.66: icmp_seq=2 ttl=48 time=224 ms<br />
556 bytes from 99.88.77.66: icmp_seq=3 ttl=48 time=206 ms<br />
556 bytes from 99.88.77.66: icmp_seq=4 ttl=48 time=207 ms<br />
556 bytes from 99.88.77.66: icmp_seq=5 ttl=48 time=208 ms<br />
<br />
--- myrelay.net ping statistics ---<br />
5 packets transmitted, 5 received, 0% packet loss, time 4001ms<br />
rtt min/avg/max/mdev = 206.027/210.603/224.158/6.832 ms<br />
}}<br />
<br />
試行錯誤によりパケットを 548 バイトで断片化する必要があると確認できました。OpenVPN のクライアント設定ファイルを以下のように修正してください:<br />
<br />
{{hc|/etc/openvpn/client/client.conf|<br />
remote elmer.acmecorp.org 1194<br />
...<br />
fragment 548<br />
mssfix 548<br />
...}}<br />
<br />
サーバーにも断片化について設定が必要です。サーバー側の設定では "mssfix" は不要なので注意してください:<br />
<br />
{{Note|'fragment' ディレクティブをサポートしていないクライアント (例: OpenELEC, [https://forums.openvpn.net/topic13201.html#p31156 iOS アプリ]) は 'fragment' ディレクティブを使用しているサーバーに接続できません。そのようなクライアントを使用する場合は、このセクションはスキップして下で説明している 'mtu-test' ディレクティブでクライアントを設定してください。}}<br />
<br />
{{hc|/etc/openvpn/server/server.conf|<br />
...<br />
fragment 548<br />
}}<br />
<br />
{{Note|The following will add about 3 minutes to OpenVPN start time. It is advisable to configure the fragment size unless your client is a laptop that will be connecting over many different networks and the bottle neck is on the client side.}}<br />
<br />
クライアントが VPN に接続するたびに OpenVPN でテストの ping を実行するように設定することもできます。クライアントはテストを実行していることを通知しない場合があり、テストが完了するまで接続が切れているかのように表示されることがあります。<br />
{{hc|/etc/openvpn/client/client.conf|<br />
remote elmer.acmecorp.org 1194<br />
...<br />
mtu-test<br />
...<br />
tls-auth ta.key '''1'''<br />
}}<br />
<br />
=== IPv6 ===<br />
==== IPv6 でサーバーに接続 ====<br />
<br />
OpenVPN でデュアルスタックを有効にするには、{{ic|server.conf}} と {{ic|client.conf}} の両方で {{ic|proto udp}} を {{ic|proto udp6}} に変更してください。変更後、IPv4 と IPv6 の両方が有効になります。<br />
<br />
==== トンネルで IPv6 を使用 ====<br />
<br />
トンネルで IPv6 を使えるようにするには、IPv6 プレフィックスを OpenVPN サーバーにルーティングする必要があります。ゲートウェイでスタティックルートを設定するか (固定ブロックが割り当てられている場合)、あるいは DHCPv6 クライアントを使って DHCPv6 プレフィックス委譲でプレフィックスを取得してください (詳しくは [[IPv6#プレフィックス委譲 (DHCPv6-PD)|IPv6 プレフィックス委譲]]を参照)。アドレスブロック fc00::/7 からユニークなローカルアドレスを使うこともできます。どちらの方法もメリットとデメリットがあります:<br />
<br />
* Many ISPs only provide dynamically changing IPv6 prefixes. OpenVPN does not support prefix changes, so you need to change your server.conf every time the prefix is changed (Maybe can be automated with a script).<br />
* ULA addresses are not routed to the Internet, and setting up NAT is not as straightforward as with IPv4. So you cannot route the entire traffic over the tunnel. If you only want to connect two sites via IPv6, without the need to connect to the Internet over the tunnel, the ULA addresses may be easier to use.<br />
<br />
プレフィックスを取得したら ({{ic|/64}} が推奨)、{{ic|server.conf}} に以下を追加してください:<br />
<br />
server-ipv6 2001:db8:0:123::/64<br />
<br />
This is the IPv6 equivalent to the default 10.8.0.0/24 network of OpenVPN and needs to be taken from the DHCPv6 client. Or use for example fd00:1234::/64.<br />
<br />
If you want to push a route to your home network (192.168.1.0/24 equivalent), also append:<br />
<br />
push "route-ipv6 2001:db8:0:abc::/64"<br />
<br />
OpenVPN does not yet include DHCPv6, so there is no method to e.g. push DNS server over IPv6. This needs to be done with IPv4. The [https://community.openvpn.net/openvpn/wiki/IPv6 OpenVPN Wiki] provides some other configuration options.<br />
<br />
== OpenVPN の起動 ==<br />
<br />
=== 手動起動 ===<br />
<br />
VPN 接続をトラブルシュートするときは、root で {{ic|openvpn /etc/openvpn/client/client.conf}} を実行して手動でクライアントのデーモンを起動してください。同じように、サーバーもサーバーの設定ファイル (例: {{ic|openvpn /etc/openvpn/server/server.conf}}) を使って起動できます。<br />
<br />
=== systemd サービスの設定 ===<br />
<br />
システムの起動時に OpenVPN を自動的に実行するには、クライアントでもサーバーでも、適当なマシンで {{ic|openvpn-server@''<configuration>''.service}} を[[有効化]]してください ({{ic|<configuration>}} に {{ic|.conf}} 拡張子は要りません)。<br />
<br />
例えば、クライアントの設定ファイルが {{ic|/etc/openvpn/client/''client''.conf}} の場合、サービス名は {{ic|openvpn-client@''client''.service}} です。また、サーバーの設定ファイルが {{ic|/etc/openvpn/server/''server''.conf}} の場合、サービス名は {{ic|openvpn-server@''server''.service}} となります。<br />
<br />
=== NetworkManager で接続を開始 ===<br />
<br />
クライアント側で VPN トンネルを常時実行しない場合や特定の NetworkManager の接続だけで確立してほしい場合、{{ic|/etc/NetworkManager/dispatcher.d/}} にスクリプトを追加してください。以下の例では "Provider" が NetworkManager の接続名です:<br />
<br />
{{hc|/etc/NetworkManager/dispatcher.d/10-openvpn|2=<br />
#!/bin/bash<br />
<br />
case "$2" in<br />
up)<br />
if [ "$CONNECTION_ID" == "Provider" ]; then<br />
systemctl start openvpn@client<br />
fi<br />
;;<br />
down)<br />
systemctl stop openvpn@client<br />
;;<br />
esac}}<br />
<br />
詳しくは [[NetworkManager#ネットワークサービスと NetworkManager dispatcher]] を見て下さい。<br />
<br />
=== Gnome の設定 ===<br />
<br />
Gnome のネットワーク設定を使ってクライアントから OpenVPN サーバーに接続したい場合、以下を実行してください。<br />
<br />
まず、{{ic|networkmanager-openvpn}} をインストールします。それから設定メニューを開いてネットワークを選択してください。プラス記号をクリックして新しい接続を追加し VPN を選択します。そこから、OpenVPN を選択することができるので手動で設定を入力してください。既に設定ファイルを作成している場合、[[#クライアントの設定ファイル|クライアントの設定ファイル]]をインポートすることもできます。ただし、インポートが上手くいかなかった場合 NetworkManager はエラーメッセージを表示しないので注意してください。後は、接続を有効にすれば設定が適用されて、VPN に接続されます (例: {{ic|journalctl -b --u NetworkManager}})。<br />
<br />
== 全てのクライアントの通信をサーバーにルーティング ==<br />
<br />
{{Note|There are potential pitfalls when routing all traffic through a VPN server. Refer to [http://openvpn.net/index.php/open-source/documentation/howto.html#redirect the OpenVPN documentation on this topic] for more information.}}<br />
<br />
デフォルトでは OpenVPN サーバーから直接送受信されたトラフィックしか VPN を通過しません。ウェブのトラフィックなど全てのトラフィックを VPN を通過させたい場合、まずはサーバーの設定ファイル ({{ic|/etc/openvpn/server/server.conf}}) に以下を追加してください [http://openvpn.net/index.php/open-source/documentation/howto.html#redirect]:<br />
<br />
push "redirect-gateway def1 bypass-dhcp"<br />
push "dhcp-option DNS 8.8.8.8"<br />
<br />
{{ic|8.8.8.8}} は使用したい DNS の IP アドレスに変えてください。<br />
<br />
サーバーに接続した後、DNS が反応しない場合は、シンプルな DNS フォワーダーとして [[BIND]] をインストールして OpenVPN サーバーの IP アドレスを DNS としてクライアントに送信してください。<br />
<br />
設定ファイルが設定できたら、サーバーで[[インターネット共有#パケット転送の有効化|パケットフォワーディングを有効化]]してください。さらに、サーバーのファイアウォールを設定して VPN の通信が通るようにします。以下では [[ufw]] と [[iptables]] の設定方法を解説しています。<br />
<br />
サーバーとは別の(プライベート)サブネットにもクライアントがアクセスできるようにしたい場合、{{ic|push "route <address pool> <subnet>"}} オプションを使ってください:<br />
<br />
push "route 172.10.142.0 255.255.255.0"<br />
push "route 172.20.142.0 255.255.255.0"<br />
<br />
=== ファイアウォールの設定 ===<br />
<br />
==== ufw ====<br />
<br />
VPN 通信の ufw 設定を行うにはまず以下を {{ic|/etc/default/ufw}} に追加してください:<br />
<br />
{{hc|/etc/default/ufw|2=<br />
DEFAULT_FORWARD_POLICY="ACCEPT"<br />
}}<br />
<br />
そして {{ic|/etc/ufw/before.rules}} を編集して以下のコードをヘッダーの後ろ、"*filter" 行の前に追加してください。IP やサブネットマスクは {{ic|/etc/openvpn/server/server.conf}} に設定した値と同じ値に変更してください。以下の例ではアダプタ ID が一般的な {{ic|eth0}} ですが必要に応じて編集してください。<br />
<br />
{{hc|/etc/ufw/before.rules|2=<br />
# NAT (Network Address Translation) table rules<br />
*nat<br />
:POSTROUTING ACCEPT [0:0]<br />
<br />
# Allow traffic from clients to eth0<br />
-A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE<br />
<br />
# do not delete the "COMMIT" line or the NAT table rules above will not be processed<br />
COMMIT<br />
}}<br />
<br />
OpenVPN のポート 1194 を開く:<br />
<br />
# ufw allow 1194<br />
<br />
最後に、UFW をリロード:<br />
<br />
# ufw reload<br />
<br />
==== iptables ====<br />
<br />
In order to allow VPN traffic through your iptables firewall of your server, first create an iptables rule for NAT forwarding [http://openvpn.net/index.php/open-source/documentation/howto.html#redirect] on the server, assuming the interface you want to forward to is named {{ic|eth0}}:<br />
<br />
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE<br />
<br />
If you have difficulty pinging the server through the VPN, you may need to add explicit rules to open up TUN/TAP interfaces to all traffic. If that is the case, do the following [https://community.openvpn.net/openvpn/wiki/255-qconnection-initiated-with-xxxxq-but-i-cannot-ping-the-server-through-the-vpn]:<br />
<br />
{{Warning|There are security implications for the following rules if you do not trust all clients which connect to the server. Refer to the [https://community.openvpn.net/openvpn/wiki/255-qconnection-initiated-with-xxxxq-but-i-cannot-ping-the-server-through-the-vpn OpenVPN documentation on this topic] for more details.}}<br />
<br />
iptables -A INPUT -i tun+ -j ACCEPT<br />
iptables -A FORWARD -i tun+ -j ACCEPT<br />
iptables -A INPUT -i tap+ -j ACCEPT<br />
iptables -A FORWARD -i tap+ -j ACCEPT<br />
<br />
Additionally be sure to accept connections from the OpenVPN port (default 1194) and through the physical interface.<br />
<br />
設定ができたら [[iptables#iptables の設定と実行]]に書かれているように設定を永続化させてください。<br />
<br />
If you have multiple {{ic|tun}} or {{ic|tap}} interfaces, or more than one VPN configuration, you can "pin" the name of your interface by specifying it in the OpenVPN config file, e.g. {{ic|tun22}} instead of {{ic|tun}}. This is advantageous if you have different firewall rules for different interfaces or OpenVPN configurations.<br />
<br />
=== VPN が落ちた時に漏洩を防止 ===<br />
<br />
The idea is simple: prevent all traffic through our default interface (enp3s0 for example) and only allow tun0. If the OpenVPN connection drops, your computer will lose its internet access and therefore, avoid your programs to continue connecting through an insecure network adapter.<br />
<br />
Be sure to set up a script to restart OpenVPN if it goes down if you do not want to manually restart it.<br />
<br />
==== ufw ====<br />
<br />
# Default policies<br />
ufw default deny incoming<br />
ufw default deny outgoing<br />
<br />
# Openvpn interface (adjust interface accordingly to your configuration)<br />
ufw allow in on tun0<br />
ufw allow out on tun0<br />
<br />
# Local Network (adjust ip accordingly to your configuration)<br />
ufw allow in on enp3s0 from 192.168.1.0/24<br />
ufw allow out on enp3s0 to 192.168.1.0/24<br />
<br />
# Openvpn (adjust port accordingly to your configuration)<br />
ufw allow out on enp3s0 to any port 1194<br />
ufw allow in on enp3s0 from any port 1194<br />
<br />
{{Warning| DNS '''won't''' work '''unless''' you run your own dns server like [[BIND]]<br />
Otherwise, you will need to allow dns leak. '''Be sure to trust your dns server!'''<br />
# DNS<br />
ufw allow in from any to any port 53<br />
ufw allow out from any to any port 53<br />
}}<br />
<br />
==== vpnfailsafe ====<br />
<br />
もしくは [https://github.com/wknapik/vpnfailsafe vpnfailsafe] ({{AUR|vpnfailsafe-git}}) スクリプトをクライアントで使うことでも DNS 漏洩を防ぐことができ、インターネット宛の全てのトラフィックが VPN を通過するようにできます。VPN トンネルが落ちた場合、インターネットへのアクセスはできなくなりますが、VPN サーバーへの接続は可能です。スクリプトには [[#アップデート resolv-conf スクリプト|update-resolv-conf]] の機能も含まれています。<br />
<br />
== L3 IPv4 ルーティング==<br />
<br />
このセクションでは L3 IPv4 ルーティングを使ってクライアント・サーバー LAN を互いに接続する方法を説明しています。<br />
<br />
=== LAN のルーティングの要件 ===<br />
<br />
ホストが LAN と VPN で IPv4 パケットを転送できるようにするために、NIC と tun/tap デバイスでパケットを転送できるようにする必要があります。詳しい設定方法は[[インターネット共有#パケット転送の有効化]]を見て下さい。<br />
<br />
==== ルーティングテーブル ====<br />
<br />
By default, all IP packets on a LAN addressed to a different subnet get sent to the default gateway. If the LAN/VPN gateway is also the default gateway, there is no problem and the packets get properly forwarded. If not, the gateway has no way of knowing where to send the packets. There are a couple of solutions to this problem.<br />
<br />
* Add a static route to the default gateway routing the VPN subnet to the LAN/VPN gateway's IP address.<br />
* Add a static route on each host on the LAN that needs to send IP packets back to the VPN.<br />
* Use [[iptables]]' NAT feature on the LAN/VPN gateway to masquerade the incoming VPN IP packets.<br />
<br />
=== サーバー LAN をクライアントに接続 ===<br />
<br />
The server is on a LAN using the 10.66.0.0/24 subnet. To inform the client about the available subnet, add a push directive to the server configuration file:{{hc|/etc/openvpn/server/server.conf|push "route 10.66.0.0 255.255.255.0"}}<br />
<br />
{{Note|To route more LANs from the server to the client, add more push directives to the server configuration file, but keep in mind that the server side LANs will need to know how to route to the client.<br />
}}<br />
<br />
=== クライアント LAN をサーバーに接続 ===<br />
<br />
要件:<br />
<br />
* Any subnets used on the client side, must be unique and not in use on the server or by any other client. In this example we will use 192.168.4.0/24 for the clients LAN.<br />
* Each client's certificate has a unique Common Name, in this case bugs.<br />
* The server may not use the duplicate-cn directive in its config file.<br />
<br />
Create a client configuration directory on the server. It will be searched for a file named the same as the client's common name, and the directives will be applied to the client when it connects.<br />
<br />
# mkdir -p /etc/openvpn/ccd<br />
<br />
Create a file in the client configuration directory called bugs, containing the {{ic|iroute 192.168.4.0 255.255.255.0}} directive. It tells the server what subnet should be routed to the client:<br />
<br />
{{hc|/etc/openvpn/ccd/bugs|iroute 192.168.4.0 255.255.255.0}}<br />
<br />
Add the client-config-dir and the {{ic|route 192.168.4.0 255.255.255.0}} directive to the server configuration file. It tells the server what subnet should be routed from the tun device to the server LAN:<br />
<br />
{{hc|/etc/openvpn/server/server.conf|<br />
client-config-dir ccd<br />
route 192.168.4.0 255.255.255.0<br />
}}<br />
<br />
{{Note|To route more LANs from the client to the server, add more iroute and route directives to the appropriate configuration files, but keep in mind that the client side LANs will need to know how to route to the server.<br />
}}<br />
<br />
=== クライアントとサーバー両方の LAN を接続 ===<br />
<br />
Combine the two previous sections:<br />
<br />
{{hc|/etc/openvpn/server/server.conf|<br />
push "route 10.66.0.0 255.255.255.0"<br />
...<br />
client-config-dir ccd<br />
route 192.168.4.0 255.255.255.0<br />
}}<br />
<br />
{{hc|/etc/openvpn/ccd/bugs|iroute 192.168.4.0 255.255.255.0}}<br />
<br />
{{Note|Remember to make sure that all the LANs or the needed hosts can route to all the destinations.}}<br />
<br />
=== クライアントとクライアントの LAN を接続 ===<br />
<br />
デフォルトではクライアントは互いを認識できません。クライアント間やクライアントの LAN 間の IP パケットを許可するには、サーバーの設定ファイルに {{ic|client-to-client}} ディレクティブを追加してください: {{hc|/etc/openvpn/server/server.conf|client-to-client}}<br />
<br />
他のクライアントやクライアント LAN が特定のクライアント LAN を認識できるようにしたい場合、各クライアントのサブネットに対して push ディレクティブをサーバーの設定ファイルに追加してください (サーバーが利用可能なサブネットを他のクライアントに通知します):<br />
<br />
{{hc|/etc/openvpn/server/server.conf|<br />
client-to-client<br />
push "route 192.168.4.0 255.255.255.0"<br />
push "route 192.168.5.0 255.255.255.0"<br />
...<br />
}}<br />
<br />
{{Note|As always, make sure that the routing is properly configured.}}<br />
<br />
== DNS ==<br />
<br />
システムによって使われる DNS サーバーは {{ic|/etc/resolv.conf}} に定義します。伝統的に、このファイルはシステムをネットワークに接続するプログラムによって扱われます (例: Wicd, NetworkManager など)。しかしながら、リモート側で名前解決ができるようにするには、OpenVPN がこのファイルを修正する必要があります。{{pkg|openresolv}} をインストールすることで、複数のプログラムが互いに干渉することなく {{ic|resolv.conf}} を編集できるようになります。<br />
<br />
先に進む前に、ネットワーク接続を再起動して {{ic|resolv.conf}} の中に ''resolvconf'' によって生成されたという文言があること、そして DNS の解決が問題なく機能することを確認してください。openresolv を設定する必要はありません。ネットワークによって自動的に認識されて使用されます。<br />
<br />
Linux の場合、OpenVPN は DNS のホスト情報を送信することができますが、外部プロセスがそれを扱うようになっています。{{ic|/usr/share/openvpn/contrib/pull-resolv-conf/}} に存在する {{ic|client.up}} と {{ic|client.down}} スクリプトを使用します。スクリプトを {{ic|/etc/openvpn/client/}} にインストールする方法はコメントを見てください。以下は ''resolvconf'' と[[#接続後に root 権限を落とす]]のオプションを組み合わせてスクリプトを使って作成されたクライアント設定の抜粋です:<br />
{{hc|/etc/openvpn/client/''clienttunnel''.conf|<br />
user nobody<br />
group nobody<br />
# Optional, choose a suitable path to chroot into for your system<br />
chroot /srv<br />
script-security 2<br />
up /etc/openvpn/client/client.up<br />
plugin /usr/lib/openvpn/plugins/openvpn-plugin-down-root.so "/etc/openvpn/client/client.down tun0"}}<br />
<br />
=== アップデート resolv-conf スクリプト === <br />
<br />
パッケージに含まれているスクリプトのかわりとして [https://github.com/masterkorp/openvpn-update-resolv-conf openvpn-update-resolv-conf] スクリプトを使うことができます。{{ic|/etc/openvpn/update-resolv-conf}} などに保存して [[chmod]] で実行可能属性を付与してください。AUR の {{AUR|openvpn-update-resolv-conf}} パッケージでスクリプトをインストールすることもできます。<br />
<br />
スクリプトをインストールしたら OpenVPN のクライアント設定ファイルに以下のような行を追加してください:<br />
<br />
script-security 2<br />
up /etc/openvpn/update-resolv-conf<br />
down /etc/openvpn/update-resolv-conf<br />
<br />
これで OpenVPN 接続を起動すると {{ic|resolv.conf}} ファイルが正しく更新され、接続を終了すると通常の {{ic|resolv.conf}} に戻ります。<br />
<br />
{{Note|When using {{ic|openresolv}} with the ''-p'' or ''-x'' options in a script (as both the included {{ic|client.up}} and {{ic|update-resolv-conf}} scripts currently do), a DNS resolver like {{Pkg|dnsmasq}} or {{Pkg|unbound}} is required for {{ic|openresolv}} to correctly update {{ic|/etc/resolv.conf}}. In contrast, when using the default DNS resolution from {{ic|libc}} the ''-p'' and ''-x'' options must be removed in order for {{ic|/etc/resolv.conf}} to be correctly updated by {{ic|openresolv}}. For example, if the script contains a command like {{ic|resolvconf -p -a }} and the default DNS resolver from {{ic|libc}} is being used, change the command in the script to be {{ic|resolvconf -a }}.}}<br />
<br />
=== アップデート systemd-resolved スクリプト === <br />
<br />
systemd-229 から、[[systemd-networkd]] の {{ic|systemd-resolved.service}} には DBus を使ってリンクごとに DNS の設定を管理することができる API が用意されています。{{ic|/etc/resolv.conf}} が {{ic|systemd-resolved}} によって管理されている場合、{{pkg|openresolv}} などのツールは上手く動かない場合があります。さらに、{{ic|/etc/nsswitch.conf}} ファイルで {{ic|dns}} のかわりに {{ic|resolve}} を使っている場合は全く動作しません。[https://github.com/jonathanio/update-systemd-resolved update-systemd-resolved] スクリプトは DBus を通して OpenVPN と {{ic|systemd-resolved}} をリンクし DNS レコードを更新します。<br />
<br />
スクリプトを {{ic|/etc/openvpn}} にコピーして [[chmod]] で実行可能属性を付与するか、AUR パッケージでインストールして ({{AUR|openvpn-update-systemd-resolved}})、OpenVPN のクライアント設定ファイルに以下の行を追加してください:<br />
<br />
script-security 2<br />
setenv PATH /usr/bin<br />
up /etc/openvpn/update-systemd-resolved<br />
down-pre /etc/openvpn/update-systemd-resolved<br />
<br />
== L2 Ethernet ブリッジ ==<br />
<br />
次を参照: [[en2:OpenVPN Bridge|OpenVPN Bridge]]<br />
<br />
== トラブルシューティング ==<br />
<br />
=== サスペンド後にクライアントデーモンが再起動しない ===<br />
<br />
クライアントをスリープ状態にしてから復帰しても OpenVPN が再起動しないために切断してしまう場合、以下のファイルを作成してください:<br />
<br />
{{hc|/usr/lib/systemd/system-sleep/vpn.sh|2=<br />
#!/bin/sh<br />
if [ "$1" == "pre" ]<br />
then<br />
killall openvpn<br />
fi<br />
}}<br />
<br />
{{ic|chmod a+x /usr/lib/systemd/system-sleep/vpn.sh}} に実行可能属性を付与してサービスを編集してください:<br />
<br />
{{hc|/etc/systemd/system/openvpn-client@.service.d/restart.conf|2=<br />
[Service]<br />
Restart=always<br />
}}<br />
<br />
=== しばらく通信しないと接続が切れる ===<br />
<br />
データを通信していないと接続中と表示されているのに数秒で VPN 接続が切れて、データがトンネルで転送されない場合、サーバーの設定に {{ic|keepalive}} ディレクティブを追加してみてください:<br />
<br />
{{hc|/etc/openvpn/server/server.conf|<br />
...<br />
keepalive 10 120<br />
...<br />
}}<br />
<br />
上記の設定でサーバーは ping のようなメッセージを10秒ごとにクライアントに送信してトンネルを維持します。クライアントから120秒以上反応を得られなかった場合、サーバーはクライアントが切断されたと判断します。<br />
<br />
ping の間隔を小さくすることでトンネルの安定性を上げることができますが、発生するトラフィックが増大します。接続環境によっては10秒以下に設定してみてください。<br />
<br />
== 参照 ==<br />
* [https://openvpn.net/index.php/open-source.html OpenVPN 公式サイト]</div>
Sarisia
https://wiki.archlinux.jp/index.php?title=Fcitx&diff=9022
Fcitx
2017-06-04T14:20:58Z
<p>Sarisia: Gnome on Wayland with Fcitxの追記</p>
<hr />
<div>[[Category:国際化]]<br />
[[en:Fcitx]]<br />
[[zh-hans:Fcitx]]<br />
{{Related articles start}}<br />
{{Related|IBus}}<br />
{{Related|SCIM}}<br />
{{Related2|uim を使って日本語を入力|UIM}}<br />
{{Related articles end}}<br />
[https://fcitx-im.org/wiki/Fcitx Fcitx] (Flexible Input Method Framework) は Linux に環境非依存の言語サポートを提供する[[Wikipedia:ja:インプットメソッド|インプットメソッドフレームワーク]]です。多くの言語をサポートし便利な non-CJK 機能が含まれています。<br />
<br />
==インストール==<br />
{{Pkg|fcitx}} は[[公式リポジトリ]]から [[Pacman]] でインストールできます。<br />
<br />
=== インプットメソッドエンジン ===<br />
<br />
入力したい言語にあわせて、インプットメソッドエンジンをインストールしてください:<br />
<br />
====日本語====<br />
<br />
* {{Pkg|fcitx-anthy}}: 人気の日本語入力エンジン。開発は停止しています。<br />
* {{Pkg|fcitx-mozc}}: Google 日本語入力のオープンソース版である [[Mozc]] がベース。<br />
* {{Pkg|fcitx-kkc}}: {{Pkg|libkkc}} がベースの新しい日本語仮名漢字入力エンジン。<br />
* {{Pkg|fcitx-skk}}: {{Pkg|libskk}} がベースの日本語仮名漢字入力エンジン。<br />
<br />
==== 他の言語 ====<br />
<br />
* {{Pkg|fcitx-sunpinyin}}: {{Pkg|sunpinyin}} がベース。速度と正確性のバランスが良い。<br />
* {{Pkg|fcitx-libpinyin}}: {{Pkg|libpinyin}} がベース。{{Pkg|fcitx-sunpinyin}} よりも優れたアルゴリズムが使われています。<br />
* {{Pkg|fcitx-rime}}: [[Rime IME]] プロジェクトのスキーマがベース。<br />
* {{Pkg|fcitx-googlepinyin}}: {{Pkg|libgooglepinyin}} がベース。Android 用の Google ピンイン IME。<br />
* {{AUR|fcitx-sogoupinyin}}: Linux 向けの捜狗インプットメソッド。同音異字、クラウド入力、英語入力、混合入力をサポート。<br />
* {{Pkg|fcitx-cloudpinyin}}: クラウドによる中国語入力をサポート。<br />
* {{Pkg|fcitx-chewing}}: {{Pkg|libchewing}} がベースの繁体字の注音入力エンジン。<br />
* {{Pkg|fcitx-table-extra}}: [[Wikipedia:ja:倉頡輸入法|倉頡]], [[Wikipedia:Zhengma_method|郑码]], [[Wikipedia:Boshiamy_method|嘸蝦米]]サポートを追加。<br />
* {{Pkg|fcitx-hangul}}: {{Pkg|libhangul}} がベースの韓国語のハングル入力エンジン。<br />
* {{Pkg|fcitx-unikey}}: ベトナム文字入力エンジン。<br />
* {{Pkg|fcitx-sayura}}: シンハラ文字入力エンジン。<br />
* {{Pkg|fcitx-m17n}}: [http://www.nongnu.org/m17n/ M17n] によって提供されている他の言語の入力エンジン。<br />
<br />
=== インプットメソッドモジュール ===<br />
<br />
GTK+ や Qt プログラムでより良い動作を得るには、必要に応じて {{Pkg|fcitx-gtk2}}, {{Pkg|fcitx-gtk3}}, {{Pkg|fcitx-qt4}}, {{Pkg|fcitx-qt5}} パッケージをインストールしてください。もしくは {{Grp|fcitx-im}} グループで全てのパッケージをインストールできます。<br />
<br />
以下のアプリケーションは GTK+/Qt インプットモジュールを使用しません:<br />
<br />
* Tk, motif, xlib などを使用するアプリケーション<br />
* [[Emacs]], [[Opera]], [[OpenOffice]], [[LibreOffice]], [[Skype]], [[Wine]], [[Java]], [[Xterm]], [[urxvt]], WPS<br />
<br />
=== スキン ===<br />
fcitx にはスキンで外観をカスタマイズする機能があります。標準では dark, classic, default の3つのスキンのみが提供されています。<br />
<br />
しかしながら、いくつかの追加スキンが [[AUR]] からインストールできます。以下はその一部です:<br />
<br />
* {{AUR|fcitx-skin-material}}: マテリアルデザイン風の fcitx スキン。<br />
* {{AUR|fcitx-skins}}: 8個のスキンを含んだリッチなパッケージ。<br />
<br />
=== その他 ===<br />
<br />
* {{Pkg|fcitx-ui-light}}: fcitx の軽量 UI。<br />
* {{Pkg|fcitx-fbterm}}{{Broken package link|{{aur-mirror|fcitx-fbterm}}}}: Fbterm のサポート。<br />
* {{Pkg|fcitx-table-other}}: Latex, 絵文字など。<br />
* {{AUR|fcitx-tablet}}: 手書きのタブレットサポート。<br />
* {{AUR|fcitx-tsundere}}: 文字を入力した後に何某かを追加するモジュール。<br />
* {{Pkg|kcm-fcitx}}: fcitx の KDE 設定モジュール。<br />
<br />
fcitx のコンポーネントをインストールした後は fcitx の再起動が必要です。<br />
<br />
== 使用方法 ==<br />
<br />
=== デスクトップ環境 ===<br />
<br />
[[KDE]], [[GNOME]], [[Xfce]], [[LXDE]] などの XDG 互換のデスクトップ環境を使っている場合は、再ログインで自動的に起動するようになるはずです。起動しないときは、ターミナルを開いて次のように入力してください:<br />
<br />
$ fcitx-autostart<br />
<br />
fcitx が正しく動作しているか確認するために、leafpad といったアプリケーションを開いて CTRL+Space (インプットメソッドの切り替えのデフォルトのショートカット) を押して FCITX を呼び出しなにか文字を入力してみて下さい。<br />
<br />
Fcitx があなたの環境で自動で起動しない場合や fctix を起動するパラメータを変更したい場合は、デスクトップ環境によって提供されているツールを使って xdg の自動起動を設定するか {{ic|~/.config/autostart/}} ディレクトリ内の {{ic|fcitx-autostart.desktop}} ファイルを編集してください (存在しないときは {{ic|/etc/xdg/autostart/}} からコピーしてください)。<br />
<br />
デスクトップ環境が xdg 自動起動をサポートしていない場合は、(環境変数を正しく設定した後に) 次の行をスタートアップスクリプトに追加してください:<br />
<br />
$ fcitx-autostart<br />
<br />
xim サポートのある他のインプットメソッドが動作していると、Fcitx は xim エラーで起動できません。Fcitx を起動する前に他のインプットメソッドが動いていないことを確認してください。<br />
<br />
=== 非デスクトップ環境 ===<br />
<br />
以下の行をデスクトップのスタートアップスクリプトファイル (KDM, GDM, LightDM, SDDM を使っている場合は {{ic|.xprofile}} もしくは {{ic|.profile}}、startx や Slim を使っている場合は {{ic|.xinitrc}}) に追加してください。この設定で、fcitx は gtk/qt のインプットメソッドモジュールを使うようになり xim プログラムをサポートします (必要なインプットメソッドモジュールがすでにインストールされているか確認してください):<br />
<br />
export GTK_IM_MODULE=fcitx<br />
export QT_IM_MODULE=fcitx<br />
export XMODIFIERS=@im=fcitx<br />
<br />
{{Warning|上記の設定を {{ic|.bashrc}} でしないでください。{{ic|.bashrc}} はインタラクティブな bash セッションを初期化するときに使われます。インタラクティブでないセッションや X セッションの初期化では用いられません。さらに、{{ic|.bashrc}} で環境変数を設定すると、コマンドラインから実行した診断ツールに誤解を与えて、X セッションでは環境変数が使われていないのに正しく設定されているかのように表示されることがあります。}}<br />
<br />
{{Note|<br />
* 上の設定で動かないときは {{ic|1=export DefaultIMModule=fcitx}} を追加してみて下さい。<br />
* Fcitx で全ての Qt アプリに問題が発生する場合、qtconfig (qtconfig-qt4) を起動して、3番目のタブを開いて、"Default Input Method" コンボボックスに fcitx があることを確認してください。<br />
* 現在、Qt5 アプリケーション + fcitx を使用する場合、上記の環境変数を {{ic|.bashrc}} ファイルにも追加しないと動作しないという報告があります (Plasma 5 を startx した場合や、gnome-shell で qt5 アプリケーションを起動した場合)。}}<br />
<br />
変更を適用するためにログインしなおしてください。<br />
<br />
=== Xim ===<br />
<br />
任意で、gtk や qt のプログラムで xim を使うように設定することも可能で、その場合上の行を以下のように変更してください:<br />
<br />
export GTK_IM_MODULE=xim<br />
export QT_IM_MODULE=xim<br />
<br />
{{Warning|xim を使用するとインプットメソッドによって、入力ができなくなったりインプットメソッドを再起動するとアプリケーションがフリーズするなどの問題がおこることがあります。xim 関連の問題に対しては Fcitx は修正やサポートを提供できません。これは他のインプットメソッドフレームワークでも同じで、可能な限り xim ではなく ツールキット (gtk/qt) のインプットメソッドモジュールを使って下さい。}}<br />
<br />
{{Note|Gtk2 は 2.24.20 から immodule のキャッシュファイルとして {{ic|/usr/lib/gtk-2.0/2.10.0/immodules.cache}} を使っています。{{ic|GTM_IM_MODULE_FILE}} 環境変数を設定していたり公式パッケージの install スクリプトを使ってキャッシュを更新していない場合、環境変数を変更・削除して {{ic|/usr/bin/gtk-query-immodules-2.0 --update-cache}} を使って immodule キャッシュを更新してください。}}<br />
<br />
変更を適用するためにログインしなおしてください。<br />
<br />
== 設定 ==<br />
<br />
=== 設定ツール ===<br />
<br />
Fcitx は GUI の設定ツールを提供しています。{{Pkg|kcm-fcitx}} (KDE) または {{Pkg|fcitx-configtool}} (GTK+3 ベース) がインストールできます。{{Pkg|fcitx-configtool}} をインストールしたら ''fcitx-config-gtk3'' を起動してください。別の言語のインプットメソッドを使用したいときは ''Only Show Current Language'' の設定を解除してください。<br />
<br />
GUI で使っている場合に Fcitx を手動設定することはできません。<br />
<br />
スペルチェックを有効にするには、fcitx が fcitx-keyboard によるインプットメソッドを使っている時に ctrl + alt + h を押して下さい。長い単語を入力すれば、動いているかどうか確認できます。<br />
<br />
=== デフォルト UI の変更 ===<br />
<br />
Fcitx は kimpanel プロトコルによるデスクトップの統合をサポートしています。<br />
<br />
====Gnome-Shell====<br />
<br />
extensions.gnome.org や [[Arch User Repository|AUR]] の {{AUR|gnome-shell-extension-kimpanel-git}} パッケージから kimpanel をインストールでき、ibus-gjs と同じように使うことができます。<br />
<br />
====KDE====<br />
<br />
{{Pkg|kdeplasma-addons-applets-kimpanel}}{{Broken package link|package not found}} は kde と統合するための plasmoid です。kimpanel を plasma に追加すれば fcitx は自動的に切り替えます。<br />
<br />
==== kimpanel UI ====<br />
<br />
{{Pkg|kimtoy}} は Sogou や fcitx のスキンを使えます。<br />
<br />
=== ピンイン辞書の拡張 ===<br />
<br />
ピンイン辞書は {{ic|~/.config/fcitx/pinyin}} に存在します。{{ic|pybase.mb}} ファイルには単一文字が {{ic|pyphrase.mb}} ファイルにはピンインのフレーズが定義されています。拡張するには {{ic|/usr/share/fcitx/pinyin}} にファイルを保存して fcitx を再起動してください。<br />
<br />
== Tips and tricks ==<br />
<br />
===クリップボード===<br />
fcitx を使ってクリップボード (とクリップボード履歴) にある文章を入力することが可能です。デフォルトのトリガーキーは Control-; です。このトリガーキーはクリップボードのアドオンの設定ページにある他のオプションと同じように設定することが可能です。<br />
<br />
{{Note|クリップボードマネージャではないため、クリップボードマネージャにあるような中身の選択や変更はできません。クリップボードからの入力にだけ使えます。}}<br />
<br />
{{Warning|クライアントによっては複数行の入力をサポートしていないため fcitx-clipboard を使ってクリップボードの中身をペーストすると一行しか出ないことがあります。これはバグかプログラムの方の入力の問題なので fcitx は何もできません。}}<br />
<br />
==トラブルシューティング==<br />
=== 問題の診断 ===<br />
fcitx を使っていて問題が発生する場合、例えばどのアプリケーションでも Ctrl+Space が使えないなどのことが起こるときは、{{ic|fcitx-diagnose}} を使ってまず問題を診断してみてください。{{ic|fcitx-diagnose}} はよくある問題についての手がかりを提供してくれます。また、(IRC やフォーラムなどで) 他の人に相談するときはコマンドの出力を貼り付けると役に立つはずです。<br />
<br />
===Emacs===<br />
{{ic|LC_CTYPE}} が英語の場合、emacs のバグによって emacs でインプットメソッドが使えなくなることがあります。emacs を起動する前に {{ic|ja_JP.UTF-8}} など {{ic|LC_CTYPE}} を他の値に設定することで問題を回避できます。<br />
<br />
使用するロケールは有効である必要があります。{{ic|/etc/locale.gen}} を編集して適当な行 (例: {{ic|ja_JP.UTF-8}}) をアンコメントし、{{ic|locale-gen}} を実行してください。<br />
<br />
デフォルトのフォントセットはベースフォントとして {{ic|-*-*-*-r-normal--14-*-*-*-*-*-*-*}} を使います (src/xfns.c)。マッチするフォント (terminus や 75dpi など、{{ic|xlsfonts}} の出力を見て下さい) がない場合、XIM は有効になりません。<br />
<br />
==== Emacs デーモン ====<br />
<br />
[[Emacs#デーモンとして|emacs デーモン/クライアントモード]]を使う場合、デーモンの起動時に {{ic|LC_CTYPE}} を設定してください。例えば {{ic|1=LC_CTYPE=ja_JP.UTF-8 emacs --daemon}} というコマンドを使って emacs デーモンを起動します。<br />
<br />
systemd から emacs デーモンを起動している場合、ユニットファイルで以下のように Environment を設定してください:<br />
<br />
Environment="LC_CTYPE=ja_JP.UTF-8" "XMODIFIERS=@im=fcitx"<br />
<br />
systemd は {{ic|.xprofile}} をロードしないため XMODIFIERS は明示的に設定する必要があります。emacs で {{ic|initial-environment}} 変数をチェックして変数が両方とも正しく設定されていることを確認してください。<br />
<br />
===Ctrl+Space が GTK のプログラムで機能しない===<br />
<br />
ロケールを英語に設定しているとこの問題が発生することがあります。GTK_IM_MODULE が正しく設定されているか確認してください。<br />
<br />
参照: [http://fcitx-im.org/wiki/FAQ#When_use_Ctrl_.2B_Space.2C_Fcitx_cannot_be_triggered_on FAQ]<br />
<br />
*_IM_MODULE 環境変数を設定していても fcitx が有効にできない場合は、適切なインプットメソッドモジュールをインストールしているか確認してください。<br />
<br />
プログラムによっては xim しか使わないため、そうしたプログラムを使っているときは、XMODIFIERS が正しく設定されているか確認してください。プログラムの例: gtk や qt を使わないプログラム全て (例: tk や motif、もしくは xlib を直接使っているプログラム), emacs, opera, openoffice, libreoffice, skype。<br />
<br />
gnome の gnome-terminal で fcitx が有効にできず、上の方法で効果がない場合は、以下のコマンドを試してみて下さい:<br />
<br />
$ gsettings set org.gnome.settings-daemon.plugins.xsettings overrides "{'Gtk/IMModule':<'fcitx'>}"<br />
<br />
=== 内蔵の Chinese Pinyin がデフォルトで有効にならない ===<br />
<br />
ロケールが {{ic|en_US.UTF-8}} である場合、fcitx は内蔵の Chinese Pinyin インプットメソッドをデフォルトで有効にしません。{{ic|fcitx-keyboard-us}} インプットメソッドだけが有効にされます。{{ic|fcitx-diagnose}} コマンドを実行すると以下のように表示されます:<br />
<br />
## Input Methods:<br />
1. Found 1 enabled input methods:<br />
fcitx-keyboard-us<br />
2. Default input methods:<br />
**You only have one input method enabled, please add a keyboard input method as the first one and your main input method as the second one.**<br />
<br />
GUI の設定ツールで {{ic|Pinyin}} や {{ic|Shuangpin}} インプットメソッドを追加してインプットメソッドが有効にしてください。<br />
<br />
=== fcitx と KDE ===<br />
<br />
何らかの理由で、[[KDE]] がキーボードレイアウトを適切に扱えないことがあります。例えば、US (English) から LT (Lithuanian) に切り替えた場合、キーボードの数字キーは全てリトアニア文字になるはずですが、数字が出力されてしまいます。以下の手順で修正することが可能です:<br />
<br />
# [[#KDE|上のセクション]]で書かれているパッケージをインストールしてください。<br />
# バックグラウンドで {{ic|fcitx}} を動かしている場合は終了してください。<br />
# KDE に関連することを無効にします:<br />
## ''System settings --> Input devices --> Layouts (tab)'' から "Configure layouts" のチェックを外して下さい。<br />
## ''System settings --> Input devices --> Advanced (tab)'' から "Configure keyboard options" のチェックを外して下さい。<br />
# ターミナルを開いて {{ic|fcitx}} と入力して fcitx を起動します。ターミナルは閉じてもかまいません。{{ic|fcitx}} はバックグラウンドで動作し続けます。<br />
# 必要なレイアウトを設定してください (システムトレイアイコンを右クリックして "Configure" をクリック)。<br />
# システムトレイアイコンを右クリックして、"Exit" をクリック。<br />
<br />
これでレイアウトがちゃんと使えるようになるはずです。KDE のレイアウト切り替えrアイコンが表示され、マウススクロールしたりアイコンをクリックすることでレイアウトを切り替えられます。<br />
<br />
=== 勝手にインプットメソッドが英語に切り替わってしまう ===<br />
<br />
XMind でエンターを押してノードを作成したときなど、インプットメソッドが勝手に英語に切り替わってしまって、元のインプットメソッドに手動で戻さなくてはならないことがあります。<br />
<br />
この問題を修正するには、fcitx の GUI 設定ツール ({{Pkg|fcitx-configtool}} に含まれています) を開いて、"Global Config" タブの "Share State Among Window" ドロップダウンメニューから、"PerProgram" または "All" を選択してください。<br />
<br />
=== GNOME/Wayland上でのFcitxの利用 ===<br />
<br />
Waylandは {{ic|~/.xprofile}} に保管された環境変数を読み込むことができないため、Wayland上ではFcitxは正常に動作しません。Fcitxを利用するにはディスプレイマネージャからXorgセッションを起動してください。<br />
<br />
==参照==<br />
*[https://github.com/fcitx/fcitx/ Fcitx GitHub]<br />
*[http://fcitx-im.org/ Fcitx Wiki]</div>
Sarisia
https://wiki.archlinux.jp/index.php?title=Razer&diff=9021
Razer
2017-06-04T14:16:42Z
<p>Sarisia: razer-driver-metaをopenrazer-metaパッケージに変更</p>
<hr />
<div>[[Category:マウス]]<br />
[[Category:キーボード]]<br />
[[bg:Razer]]<br />
[[en:Razer]]<br />
現在 Razer の周辺機器の公式ドライバーは Linux に存在しません。しかしながら、Michael Buesch によって作成されたツール [http://bues.ch/cms/hacking/razercfg.html razercfg] を使って Linux でも Razer のマウスを設定することができます。また、Razer のキーボードのマクロキーを有効にするスクリプトも存在します。比較的新しい {{AUR|razer-driver-meta}}{{Broken package link|package not found}} パッケージを使って Razer のサポートを有効にすることもできます。サポートされているデバイスは [http://github.com/terrycain/razer-drivers こちら] に記載されています。<br />
<br />
== Razer 周辺機器 ==<br />
<br />
=== 互換性 ===<br />
<br />
''razercfg'' では以下のモデルのマウスを扱うことができます:<br />
<br />
* Razer DeathAdder Classic<br />
* Razer DeathAdder 3500 DPI<br />
* Razer DeathAdder Black Edition<br />
* Razer DeathAdder 2013<br />
* Razer DeathAdder Chroma<br />
* Razer Krait<br />
* Razer Naga Classic<br />
* Razer Naga 2012<br />
* Razer Naga 2014<br />
* Razer Naga Hex<br />
* Razer Taipan<br />
<br />
また、以下のモデルも使えますが全ての機能が使えるとは限りません:<br />
<br />
* Razer Lachesis<br />
* Razer Copperhead<br />
* Razer Boomslang CE<br />
<br />
=== インストール ===<br />
<br />
[[AUR]] から {{AUR|razercfg}} または {{AUR|razercfg-git}} (開発版) をダウンロード・インストールしてください。<br />
<br />
{{ic|/etc/X11/xorg.conf}} ファイルを編集して以下のようになっている行をコメントアウトして現在のマウスの設定を無効化してください:<br />
<br />
{{hc|/etc/X11/xorg.conf|<br />
Section "InputDevice"<br />
Identifier "Mouse"<br />
Driver "mouse"<br />
Option "Device" "/dev/input/mice"<br />
EndSection}}<br />
<br />
{{ic|xorg.conf}} に記述するのは {{ic|Mouse}} だけで {{ic|Mouse#}} は存在しないようにするのも重要です。<br />
<br />
コンピュータを再起動して、以下を実行:<br />
<br />
# udevadm control --reload-rules<br />
<br />
それから {{ic|razerd}} デーモンを[[起動]]・[[有効化]]してください。<br />
<br />
=== Razer Configuration Tool を使う ===<br />
<br />
コマンドラインツールの ''razercfg'' と Qt による GUI ツール ''qrazercfg'' のどちらかを使うことができます。<br />
<br />
ツールからは、マウスの DPI や周波数を変更したり、スクロールやロゴのライトを有効化・無効化したり、ボタンを設定することが可能です。<br />
<br />
再起動したらカラーがリセットされてしまう場合、設定ファイルを直接編集してテストしてみてください:<br />
<br />
{{hc|/etc/razer.conf|<br />
# Configure LEDs<br />
led<nowiki>=</nowiki>1:GlowingLogo:on<br />
led<nowiki>=</nowiki>1:Scrollwheel:on<br />
mode<nowiki>=</nowiki>1:Scrollwheel:static<br />
color<nowiki>=</nowiki>1:Scrollwheel:0000FF<br />
mode<nowiki>=</nowiki>1:GlowingLogo:static<br />
color<nowiki>=</nowiki>1:GlowingLogo:FFFFFF<br />
}}<br />
<br />
"static" は spectrum や breathing に変更することができ、LED をオフにしたい場合 mode や color は削除します。<br />
<br />
== Razer Blade ==<br />
<br />
Razer Blade は Razer のゲーミングノートパソコンシリーズです。現在12インチ (Razer Blade Stealth) と14インチ (Razer Blade) と17インチ (Razer Blade Pro) のモデルが存在します。17インチの SBUI トラックパッドはプロプライエタリなため、USB プロトコルをリバースエンジニアリングしないかぎり動作させることは不可能です。<br />
<br />
=== 2016 バージョン (Razer Blade & Razer Blade Stealth) ===<br />
<br />
通常どおりにインストールすれば動作しますが、例外として以下の点に気をつけてください。<br />
<br />
==== Killer 無線ネットワークアダプタ ====<br />
<br />
Killer Wireless アダプタは特別なファームウェアがなくても動作します。特に設定は不要です。<br />
<br />
重い処理のときに接続が切れてしまう場合 {{Aur|ath10k-firmware-qca9887-git}} パッケージを試してみてください。<br />
<br />
==== タッチパッド ====<br />
<br />
{{Pkg|xf86-input-libinput}} パッケージを[[インストール]]してください。ドライバーについては [[Libinput]] を参照。 <br />
<br />
もしくは、[[Synaptics タッチパッド]]ドライバーを使用したい場合、{{Pkg|xf86-input-synaptics}} パッケージを[[インストール]]してください。<br />
<br />
==== タッチスクリーン ====<br />
<br />
タッチスクリーンの基本的な機能は特に設定をしなくても動作しますが、{{AUR|touchegg}} を使うことでマルチタッチのジェスチャーを設定できます。2本指のスクロールや右クリックなどが使えます。<br />
<br />
==== グラフィックドライバー ====<br />
<br />
{{Pkg|xf86-video-intel}} パッケージをインストールして得られる標準の Intel ドライバーで動作します。詳しくは [[Intel Graphics]] を見てください。<br />
<br />
画面がちらつく問題は ''AccelMethod'' を ''uxa'' に変更することで解決します:<br />
<br />
{{hc|/etc/X11/xorg.conf.d/20-intel.conf|<br />
Section "Device"<br />
Identifier "Intel Graphics"<br />
Driver "intel"<br />
Option "AccelMethod" "uxa"<br />
#Option "AccelMethod" "sna"<br />
EndSection}}<br />
<br />
==== ハイブリッドグラフィック ====<br />
<br />
Xorg や Wayland を起動する前にディスクリートの Nvidia GPU をオフにした場合、システムがフリーズします。対処方法としては、グラフィカルセッションを起動した後にディスクリートカードを手動で無効化・有効化するしかありません。ただし、問題を解決する ACPI DSDT のフィックスが存在します。詳しくは [https://github.com/m4ng0squ4sh/razer_blade_14_2016_acpi_dsdt こちらのリポジトリ] を参照してください。<br />
<br />
==== サスペンドループ ====<br />
<br />
(ノートパソコンのフタを閉じると発生する) サスペンドは正しく機能しません。サスペンド自体は可能ですが、復帰したときにまたサスペンドしてしまったり画面が表示されなくなることがあります。<br />
<br />
問題を解決するには、[[カーネルパラメータ]]に以下を追加してください:<br />
<br />
button.lid_init_state=open<br />
<br />
上記の設定で acpi ドライバーはサスペンドから復帰したときに特別なイベントを生成してシステムが落ちないようにします。<br />
<br />
設定が有効になっているかどうかは以下のコマンドで確認できます:<br />
{{hc|# cat /sys/module/button/parameters/lid_init_state|open}}<br />
<br />
また、全てのブートパラメータを確認するには:<br />
{{hc|$ cat /proc/cmdline|<nowiki>initrd=\initramfs-linux.img ... button.lid_init_state=open</nowiki>}}<br />
<br />
上記の問題について、2016年12月にはカーネルの ACPI ドライバーのバグとして [https://bugzilla.kernel.org/show_bug.cgi?id=187271 報告] されています。<br />
<br />
==== HiDPI ====<br />
<br />
[[GNOME]] を使用している場合、''gnome-tweak-tool'' を使ってウィンドウやフォントのスケールを調整できます。フォントスケールを ''1.25'' に設定することで Windows 10 で表示されるときのフォントサイズに近くなります。<br />
<br />
[[HiDPI]] ではないモニターを接続する場合、''xrandr'' を使って外付けモニターのスケールを変更することができます。[[HiDPI#マルチディスプレイ]]を参照。[[GNOME]] を [[Wayland]] で動作させると更によい結果が得られます。インストールしたら、[[GDM]] の歯車アイコンをクリックして ''Gnome On Wayland'' を選択することでデフォルトで [[Wayland]] で動作するようになります。<br />
<br />
==== オーディオ ====<br />
<br />
最新の 'KabyLake' Intel CPU では、Windows とデュアルブートしている場合、Windows で起動して Linux で再起動したときに音声に問題が発生することがあります。スピーカーから音が出なくなりヘッドフォンにはノイズが響きます (特にタッチパッドを使用しているときに発生します)。公式の解決方法はまだ公開されていませんが、再起動せずにコンピュータを完全にシャットダウンすることで問題は発現しなくなります。<br />
<br />
==== ウェブカメラ ====<br />
<br />
uvcvideo のオプション {{ic|1=quirks=128}} を設定することでウェブカメラは 720p30 で機能するようになり、[https://hangouts.google.com Google ハングアウト] が使えるようになります。{{Pkg|cheese}} は解像度を 720p に変更してから再起動することで動作します。{{ic|quirk}} を2の倍数で倍々にすることでビデオの品質はさらに上がります。{{ic|1=quirks=512}} で一番綺麗になるようです:<br />
<br />
{{hc|1=/etc/modprobe.d/uvcvideo.conf|2=<br />
## fix issue with built-in webcam<br />
options uvcvideo quirks=512<br />
}}<br />
<br />
==== キーボード ====<br />
<br />
{{AUR|openrazer-meta}} をインストールすることでバックライトの制御機能 (エフェクトなど) やマクロ制御が有効になります。{{AUR|polychromatic}} や {{AUR|razercommander-git}} を使うことで GUI でキーボードのオプションを設定できます。<br />
<br />
=== 2014 バージョン ===<br />
<br />
==== 問題 ====<br />
<br />
[http://forum.notebookreview.com/razer/751074-2014-razer-blade-14-linux.html ソース]<br />
<br />
* タッチパッド (マルチタッチ、ただし修正済みのカーネルバグが原因の可能性あり)<br />
* 画面の輝度を上げたり下げたりするキーが動作せず<br />
* キーボードの輝度を上げたり上げたりするキーが動作せず<br />
<br />
==== トラックパッドを修正する方法 ====<br />
<br />
[https://bbs.archlinux.org/viewtopic.php?id=173356&p=2 ソース]<br />
<br />
{{bc|<br />
git clone https://github.com/aduggan/hid-rmi.git -b rb14 # and then install it<br />
depmod -a<br />
}}<br />
<br />
{{Pkg|xf86-input-synaptics}} パッケージを[[インストール]]してください。<br />
<br />
動作しない機能: ピンチズーム, 3番目のマウスボタン<br />
<br />
=== 2013 バージョン ===<br />
<br />
==== 機能 ====<br />
<br />
[https://bbs.archlinux.org/viewtopic.php?id=173356 ソース]<br />
<br />
* ワイヤレス<br />
* スイッチャブルグラフィック<br />
* Bluetooth<br />
* キーボードライト (ハードウェア制御)<br />
* UEFI ブート<br />
* トラックパッド (Linux 4.0 以上のみ、libinput ベースの X.Org インプットドライバーは不要 (xf86-input-libinput) [http://git.kernel.org/cgit/linux/kernel/git/jikos/hid.git/log/drivers/hid/hid-rmi.c?h=for-3.20/rmi])<br />
<br />
==== 問題 ====<br />
<br />
[http://forum.notebookreview.com/razer/729380-razer-blade-pro-under-linux.html ソース]<br />
<br />
* ドライバーが存在しないために SwitchBlade UI が動作しない。<br />
* <strike>トラックパッドでスクロールすることができない。</strike><br />
<br />
==== トラックパッドを修正する方法 ====<br />
<br />
[https://bbs.archlinux.org/viewtopic.php?id=173356&p=2 ソース]<br />
<br />
{{bc|<nowiki><br />
git clone https://github.com/aduggan/hid-rmi.git -b rb14 # and then install it<br />
depmod -a<br />
</nowiki>}}<br />
<br />
{{Pkg|xf86-input-synaptics}} パッケージを[[インストール]]してください。<br />
<br />
動作しない機能: ピンチズーム, 3番目のマウスボタン<br />
<br />
== Razer キーボード ==<br />
Linux でマクロキーを有効にすることができる Python スクリプトが2つ存在します:<br />
<br />
=== Blackwidow Control ===<br />
{{AUR|blackwidowcontrol}} パッケージをインストールして root で以下のコマンドを実行してください:<br />
$ blackwidowcontrol -i<br />
デスクトップ環境のショートカットユーティリティを使ってキーをマッピングできます。特徴:<br />
* BlackWidow, BlackWidow 2013, BlackWidow Ultimate Stealth 2014 で動作することを確認済み<br />
* BlackWidow Ultimate, BlackWidow Ultimate 2013, BlackWidow 2014 でもおそらく動作<br />
* BlackWidow (Ultimate) 2016 では動作せず<br />
* Python 3 を使用<br />
* LED の状態を制御可能<br />
* キーボードが接続されたときに自動的にマクロキーを有効にする udev ルールが含まれています。<br />
<br />
=== Blackwidow マクロスクリプト ===<br />
<br />
{{AUR|razer-blackwidow-macro-scripts}} パッケージをインストールしてください。特徴:<br />
<br />
* BlackWidow Ultimate と Stealth 2013 で動作 (他のバージョンで動作するかは不明)<br />
* Python 2 を使用<br />
* マクロを作成・実行するためのスクリプトが付属<br />
<br />
== トラブルシューティング ==<br />
<br />
=== マウスがときどき機能しなくなる ===<br />
<br />
{{Note|''Razer Orochi 2013'' と [[ASUS N550JV]] で確認済みです。ノートパソコンは給電に問題を抱えている場合があり、接続されているマウスの USB ポートに直接影響を与えて問題を引き起こすことがあります。}}<br />
<br />
しばらく経つと Razer のマウスが (LED は光っているのに) 動作しなくなり、再起動したりコードを抜き差ししても解決しない場合、以下のコマンドを試してみてください。<br />
<br />
{{ic|ehci_pci}} と {{ic|ehci_hcd}} モジュールをアンロード:<br />
<br />
# rmmod ehci_pci<br />
# rmmod ehci_hcd<br />
<br />
マウスを切断して、数秒間待ってから以下のコマンドを実行してモジュールを再度ロード:<br />
<br />
# modprobe ehci_hcd<br />
# modprobe ehci_pci<br />
<br />
マウスを接続すると動作するようになっているはずです。</div>
Sarisia