IPSec VPN できるようにするためのパッケージをインストールしていきます。
OpenWRT では 「racoon」 「OpenSwan」 「StrongSwan」 の3種類のIPSec ソリューションが用意されていますが、
『(2)ソフトウェアの選定』に書いたように今回は『StrongSwan』をインストールします。
参考情報
パッケージインストール
OpenWRTルータをインターネットに接続できるようにします。
WAN側をDHCP設定にしておけば、既存のNATルータの配下からでもアクセスできるので、環境構築時にはおすすめです。
OpenWRTのインストール直後はDHCP設定になっていると思います。
今回のような多くのパッケージをまとめてインストールする際にはOpenWRTルータにSSHして作業するのがお勧めです。
CLIの場合
最初にopkgのパッケージリストを更新します。
root@OpenWrt:~# opkg update
パッケージをインストールします。
以下 opkg install コマンドでインストールしてください。wikiの表示の関係で複数回実行していますが、パッケージ名を全て並べて1回のopkg installでもOKです。
root@OpenWrt:~# opkg install strongswan-default strongswan-mod-dhcp strongswan-mod-af-alg
root@OpenWrt:~# opkg install strongswan-mod-gcrypt strongswan-mod-blowfish strongswan-mod-md4 strongswan-mod-openssl
root@OpenWrt:~# opkg install strongswan-mod-pkcs11 strongswan-mod-pkcs8 strongswan-mod-test-vectors strongswan-mod-farp
root@OpenWrt:~# opkg install ipsec-tools openssl-util
[2014/11/08追記]
OpenWRT BarrierBreaker 14.07 + StrongSwan 5.1.3 の場合、上記インストール方法では
モジュール不足でうまく動作しない恐れがあります。事前に以下のモジュールを入れておけば動作しました。
※ちなみに必要かは不明ですが私は最初にipをいれてます。(opkg install ip)不安だったらこれも入れといてください。
opkg update
opkg install kmod-crypto-aes kmod-crypto-arc4 kmod-crypto-authenc kmod-crypto-cbc kmod-crypto-core kmod-crypto-crc32c
opkg install kmod-crypto-deflate kmod-crypto-des kmod-crypto-ecb kmod-crypto-fcrypt kmod-crypto-hash kmod-crypto-hmac
opkg install kmod-crypto-hw-hifn-795x kmod-crypto-iv kmod-crypto-manager kmod-crypto-md4 kmod-crypto-md5 kmod-crypto-michael-mic
opkg install kmod-crypto-misc kmod-crypto-null kmod-crypto-ocf kmod-crypto-ocf-hifn7751 kmod-crypto-pcbc kmod-crypto-pcompress
opkg install kmod-crypto-rng kmod-crypto-sha1 kmod-crypto-sha256 kmod-crypto-test kmod-crypto-user kmod-crypto-wq kmod-crypto-xts
opkg install kmod-ip6tables kmod-ipsec kmod-ipsec4 kmod-ipsec6 kmod-ipt-conntrack kmod-ipt-core kmod-ipt-extra kmod-ipt-ipsec
opkg install kmod-ipt-nathelper kmod-ipt-ipset kmod-ipt-nat kmod-iptunnel4 kmod-iptunnel6 kmod-ipv6 kmod-ledtrig-usbdev
opkg install kmod-lib-crc-ccitt kmod-lib-zlib kmod-mac80211 kmod-nfnetlink
※kmod: failed to insert ~というエラーが出ても無視してください。
その後ルータ再起動します。その後引き続き
opkg update
opkg install strongswan-full
opkg install ipsec-tools openssl-util
でStrongSwanのインストール完了です。
※strongswan-fullを入れるとそれだけで全部パッケージを入れてくれます。必要ないパッケージを絞りたい人は
strongswan-default + 必要なパッケージでもいいですが"何が必要なパッケージか"は絞り出せてませんのでがんばってください。
[追記ここまで]
GUIの場合(参考)
多くのパッケージをインストールしようとする場合、WebUIがタイムアウトになってしまうことがありました。
以下の操作は参考としてください。
LuCiのWeb-GUIから接続し、「System」→「Software」の画面に移ります。
最初に[Update lists]のボタンを押してパッケージリストを更新します。
filter欄に下記のパッケージ名を入力・検索してから、
[Available packages]タブで[Install]リンクをクリックしてください。
- strongswan-default
- strongswan-mod-dhcp
- strongswan-mod-af-alg
- strongswan-mod-gcrypt
- strongswan-mod-blowfish
- strongswan-mod-md4
- strongswan-mod-openssl
- strongswan-mod-pkcs11
- strongswan-mod-pkcs8
- strongswan-mod-test-vectors
- strongswan-mod-farp
- ipsec-tools
- openssl-util
インストール結果
CLIでのインストールログの一部を転記します。個別にパッケージをダウンロードしてインストールする場合の参考にしてください。
BHR-4RV
BHR-4RVの場合、依存関係により以下のパッケージがインストールされました。
インストール後のflashメモリ領域の残りは "Free space: 39% (1.92 MB)" となりました。
CPUにBCRM47xxを搭載した類似機種で実施する場合の参考としてください。
容量を2MB程度使用したので、Free spaceが 4MB 程度は確保できる
Flash メモリの容量が8MB搭載されているルータでないと難しいでしょう。
BHR-4GRV
BHR-4GRVの場合、依存関係により以下のパッケージがインストールされました。
インストール後のflashメモリ領域の残りは
Web-GUI上表記でFree space: 97% (27.91 MB) → 88% (25.29 MB) に変化しました。(2.62MB消費)
CPUにAR71xx を搭載した類似機種で試す場合の参考としてください。
WZH-HP-300NH(OpenWRT BarreierBreaker 14.07 + StrongSwan 5.1.3)
最終更新:2020年03月14日 23:08