yamata::memo

OpenVPN&セキュリティ情報

2013-01-24

OpenVPN Connect iOS FAQ (4)

ラベル: , ,
iOS用OpenVPN Connectの起動後に表示される画面からFAQが参照できます。そのFAQの日本語訳を掲載します。


iOS 6のVPN-On-DemandでOpenVPNを使用することはできますか?

はい。VPN-On-Demand(VoD)はiOS 6から利用できるようになった新しい機能で、特定の条件で自動的に接続できるVPNプロファイルです。iOS用OpenVPNはVoDを完全にサポートしており、以下の機能が利用できます。
  • OpenVPN VoDプロファイルを作成するには、iPhone構成ユーティリティを使用します。OpenVPNの設定ファイルのパラメータをキー/値のペアで設定します。
  • OpenVPNアプリケーションは、iOS VoDサブシステムを起点としたVPN接続/VPN切断をサポートしています。
  • OpenVPNアプリケーションは通常のOpenVPNプロファイルと同様にVoDプロファイルを認識し、UI上に表示、モニタ、操作できます(ただし例外として、UIから手動ではVPN接続はできず、VPN切断のみが可能です。これは、VoDプロファイルはiOSによって自動的に接続するよう設計されているためです)。
OpenVPN VoDプロファイルは、iPhone構成ユーティリティを使って作成します。残念ながら、この手順はOpenVPNのディレクティブをiPhone構成ユーティリティにキー/値のペアで入力していく必要があり、やや煩雑です。将来的に、OpenVPNプロファイルをiOS VoDプロファイルに自動的に変換する機能を追加することを検討しています。
現在のところ、VoDプロファイルを作成するには、iPhone構成ユーティリティを起動し、メニューから[ファイル]-[新規構成プロファイル]を選択します(ここで説明する手順は、Mac上のiPhone構成ユーティリティ 3.5と、iOS 6.0.1を搭載したiPadの組み合わせでテストしています)。
次に、新しい構成プロファイルを編集します。左ペインにある[一般]をクリックし、名前や識別子、組織などの各フィールドに入力します。続いて、左ペインにある[VPN]をクリックすると、[VPNを構成]ダイアログボックスがメインウィンドウに表示されます。[構成]ボタンをクリックし、VPN設定を以下のように入力します。

接続名にはこのプロファイルを識別するための名前を入力します。
接続のタイプは[カスタムSSL]を選択します。
識別子には「net.openvpn.OpenVPN-Connect.vpnplugin」と入力します。
サーバーにはホスト名を直接指定するか、OpenVPN設定から取得するには「DEFAULT」と入力します。
ユーザー認証は「証明書」を選択し、クライアント証明書と鍵をPKCS#12ファイルで指定します。
オンデマンドVPNを有効にするをチェックし、iOSがこのVPNプロファイルを使って自動的に接続する条件を指定します。

あとは、通常はOpenVPNクライアント設定ファイルで指定されるパラメータをキー/値のペアで指定します。
  • VoDでは、OpenVPN自動ログイン可能なプロファイルが必要です。たとえば、クライアント証明書と鍵のみで、接続パスワードが不要なプロファイルなどです。
  • OpenVPNディレクティブをキーに、引数を値に指定します。OpenVPN設定ファイルでは、引数はスペースで区切られており、引用符で囲まれていることがあります。
  • 最低でも、caremoteのキー/値ペアを指定する必要があります。
  • サーバー設定で必要とされている場合は、tls-authcomp-lzocipherns-cert-typeremote-cert-tlsもキー/値ペアで指定する必要があります。
  • 引数のいらないOpenVPNディレクティブを使用する場合は、値として「NOARGS」を指定してください。
  • 同じディレクティブを複数回使用する場合は、ディレクティブをキーとして入力する際に、ディレクティブ名の最後に順番として .n nは整数値)を付加してください。たとえば、remote.1remote.2 といったキーになります。
  • catls-authなど、値が複数行になる(ファイルから読み込まれるタイプの)ディレクティブのために、一行の入力欄で複数行の値を入力できるエスケープが用意されています。複数行のデータを入力する際には、行末を「\n」に置き換えてください。バックスラッシュ自体は「\\」として入力してください。
  • OpenVPN Access Server用のメタディレクティブ(OVPN_ACCESS_SERVER_USERNAMEなど)を使用する場合は、接頭辞 OVPN_ACCESS_SERVER_ を除去して、USERNAME としてください。
VoDプロファイルが定義されると、iOSにエクスポートするための2つの方法があります。
  • デバイスがテザリングされている場合は、左ペインでデバイス名をクリックし、メインウィンドウから[構成プロファイル]タブをクリックします。構成プロファイルの名前と、プロファイルをデバイスにインストールするためのボタンが表示されます。
  • 構成プロファイルを .mobileconfig ファイルとして保存し、メールやWeb経由でiOSクライアントから利用できるようにします。構成プロファイルを選択し、[ファイル]-[書き出す...]を選択します。[構成プロファイルをエクスポート]ダイアログボックスが表示されます。セキュリティオプションを選択します(通常は[構成プロファイルに署名]で問題ありません)。[エクスポート]ボタンをクリックしてプロファイルを保存します。
iOSデバイスがVoDプロファイルを受け取る(メール添付、Safariでのダウンロード、またはiPhone構成ユーティリティによる送信)と、プロファイルをインポートするためのダイアログボックスが表示されます。インポートすると、プロファイルはiOSの「設定」の「一般」-「プロファイル」に表示されます。また、このプロファイルはOpenVPNアプリケーション内でも表示されます。このプロファイルを利用するにはVoD機能が必要になっていることに注意してください。

バグ報告や機能の要望などで開発者にコンタクトするにはどうすればよいですか?

メールを ios@openvpn.net に送ってください。