OpenConnectのソースを表示

[[Category:仮想プライベートネットワーク]]
[[en:OpenConnect]]
[[pt:OpenConnect]]
[https://www.infradead.org/openconnect/ OpenConnect] は、client-to-site VPNs 向けのフリーかつオープンソースのソフトウェアです。いわゆる SSL VPN サーバー/ゲートウェイ/コンセントレーターに接続することができ、具体的には以下に対応しています:
* Cisco AnyConnect ''anyconnect''
* Palo Alto Networks (PAN) GlobalProtect ''gp''
* Junos / Ivanti Pulse Secure ''pulse''、詳細は [[Pulse Connect Secure]] を参照
* Juniper Network Connect ''nc''
* Fortinet ''fortinet''
* F5 ''f5''
* Array Networks ''array''

== インストール ==

[[GNOME]] や [[KDE]] のような[[デスクトップ環境]]を使用している場合は、おそらく [[NetworkManager]] を利用しているため、その統合のために {{pkg|networkmanager-openconnect}} パッケージを[[インストール]]してください。このパッケージは依存関係として {{pkg|openconnect}} パッケージもインストールします。統合が不要な場合は、{{pkg|openconnect}} パッケージのみを[[インストール]]してください。

一部の VPN はスプリットルーティングとして構成されており、その結果スプリット DNS も使用されます。これに対応するため、また一般的にも、[[systemd-resolved]] と resolv.conf の stub モードを使用することが推奨されます。これを確認するには {{ic|resolvectl}} を実行し、''Global'' セクション内に "resolv.conf mode: stub" という行があるか確認してください。出力全体を理解することは非常に有用であるため、[https://systemd.io/RESOLVED-VPNS/ 学習]しておくとよいでしょう。VPN に接続している場合、出力は概ね以下のようになります:
{{hc|$ resolvectl|
Global
       Protocols: -LLMNR -mDNS -DNSOverTLS DNSSEC{{=}}no/unsupported
resolv.conf mode: stub

Link 2 (enp1s0)
    Current Scopes: DNS
         Protocols: +DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC{{=}}no/unsupported
Current DNS Server: 192.168.0.1
       DNS Servers: 192.168.0.1
        DNS Domain: ~home.box

Link 3 (tun0)
    Current Scopes: DNS
         Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC{{=}}no/unsupported
Current DNS Server: 10.10.10.10
       DNS Servers: 10.10.10.10
        DNS Domain: ~example.org ~int.example.net
}}

== 使用方法 ==

OpenConnect は NetworkManager と一緒に使ったり、コマンドラインで手動で使用することができます。

=== NetworkManager ===

{{pkg|networkmanager-openconnect}} パッケージを[[インストール]]してください。{{ic|nm-applet}} (NetworkManager のトレイアイコン、{{pkg|network-manager-applet}} パッケージに含まれています) などのユーティリティを使って設定・接続します。インストール後、{{ic|NetworkManager.service}} を[[再起動]]してください。

詳しくは [[NetworkManager]] を参照。

=== コマンドライン ===

root で openconnect を実行してユーザー名とパスワードを必要に応じて入力してください:

 # openconnect ''vpnserver''

もしくはユーザー名とパスワードを指定して実行してください:
	
 # echo -n ''password'' | openconnect -u ''user'' --passwd-on-stdin ''vpnserver''

VPN プロバイダは完全なトンネル接続、あるいはスプリットトンネル接続など、様々なアクセス構成にあわせて様々な認証グループを提供しています。様々な認証グループを表示して、サーバーへの接続についての詳細情報を得るには:

 # openconnect --authenticate ''vpnserver''

=== netctl の統合 ===

シンプルな {{ic|tuntap}} netctl.profile(5) を使うことで通常の [[netctl]] のワークフローに OpenConnect を統合することができます。例:

{{hc|/etc/netctl/vpn|<nowiki>
Description='VPN'
Interface=vpn
Connection=tuntap
Mode=tun
#User=root
#Group=root

BindsToInterfaces=(enp0s25 wlp2s0)
IP=no

PIDFILE=/run/openconnect_${Interface}.pid
SERVER=vpn.example.net
AUTHGROUP="<AUTHGROUP>"
LOCAL_USERNAME=<USERNAME>
REMOTE_USERNAME=<VPN_USERNAME>
# Assuming the use of pass(1): 
PASSWORD="`su ${LOCAL_USERNAME} -c "pass ${REMOTE_USERNAME}" | head -n 1`" 

ExecUpPost="echo '${PASSWORD}' | /usr/bin/openconnect --background --pid-file=${PIDFILE} --interface=${Interface} --authgroup=\"${AUTHGROUP}\" --user=${REMOTE_USERNAME} --passwd-on-stdin ${SERVER}"
ExecDownPre="kill -INT $(cat ${PIDFILE}) ; ip link delete ${Interface}"
</nowiki>}}

以下のように実行することができます: 

 $ netctl start vpn
 $ netctl restart vpn
 $ netctl stop vpn

上記のプロファイルで使用している {{ic|LOCAL_USERNAME}} は [[GnuPG#gpg-agent|gpg-agent]] に依存しており、あらかじめ PGP 鍵のパスフレーズがキャッシュされている必要があります。gpg-agent が起動していない場合、[[pass]] からインタラクティブに取り合わせを行うことができません。

== 参照 ==

* [http://www.infradead.org/openconnect.html OpenConnect]