既存の ConoHa VPS、LAMPサーバーにopenVPNを追加してみた

  • PPTP:すでになかった。
  • openVPN:手作業でインストールしていこうとしてもディレクトリが違ってうまくいかない
  • SoftEther-VPN:既存のLAMP環境でのインストールは難しかった。
  • strongswan-VPN:既存SSL証明書を使ってインストール、接続もできる。
  • ocserv:インストールはできるが、クライアント用のアプリを使えなかった。

いろいろ試してみたけど、openVPNの自動インストーラでゴールで来た。
SSL証明書に既存のものを利用するように手動設定にこだわったけれど、やりたいことは皆さん同じようだ。

参考にさせていただ来ました。ありがとうございました。

https://dawaan.com/setting-up-openvpn-in-5-mins/

利用状況

  • 既存の Apache の稼働しているサーバー。ConoHa VPS
  • ポートは 1194 UDP のみ開放(自由)
  • 端末からの接続にはアプリを使用
  • openVPNが生成した設定ファイルを「アップロード」して接続

メモ
インストーラーを使えば、設定を確認しながら進められる。
1日つまづいてしまったのは、ルーターのポートを開放していなかったため。
回線の節約で、簡易DMZ設定のない、YAMAHAのルーターに切り替えていたのを忘れていた。(泣、

Gmail へ送信できない。Please use 550-5.7.1 the SMTP relay at your service provider instead.

This is the mail system at host ***.jp.

I’m sorry to have to inform you that your message could not
be delivered to one or more recipients. It’s attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

The mail system

<***@gmail.com>: host gmail-smtp-in.l.google.com[2404:6800:4008:c02::1a]
said: 550-5.7.1 [2400:***:***:***:***:***:***:***] The IP you’re using to
send mail 550-5.7.1 is not authorized to send email directly to our
servers. Please use 550-5.7.1 the SMTP relay at your service provider
instead. Learn more at 550 5.7.1
https://support.google.com/mail/?p=NotAuthorizedError
h2-20020a170902f54200b001c7347e993esi10950948plf.17 – gsmtp (in reply to
end of DATA command)

  1. Google は IP アドレスの許可リストを作成することも例外を認めることもできませんのでご留意ください。
    参考ページをキーワードを頼りにたどっていく
    https://support.google.com/mail/?p=NotAuthorizedError
    https://support.google.com/a/answer/3726730?hl=ja
  2. キーワードで検索して IPv6 のアドレスがブロックされるっぽい

    Gmail へメールが届かない その2


    参考になりました。ありがとうございました。

  3. SPAMHAUS にて、該当のアドレスを調査
    https://check.spamhaus.org/
  4. Policy Blocklist (PBL) にてリストに載ってしまっていた。

対応策

postfix で IPv4 のみを利用するように設定。
/etc/postfix/main.cf

inet_protocols = all とあるが、main.cf の最後に下記を追記

inet_protocols = ipv4

Policy Blocklist (PBL)は、サービスプロバイダーからのブラックリスト削除要請しかうけないらしいので、VPSのサポートへ連絡した。
結果次第で、main.cf を元に戻すこととする。

550 5.7.1 Gmail に Undelivered Mail Returned to Sender 拒否される。 Googl Postmaster Tools で解決

This is the mail system at host ***.jp.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

                   The mail system

<***@gmail.com>: host
    gmail-smtp-in.l.google.com[2404:6800:4008:c19:***:***] said: 550-5.7.1
    [2400:8500:1302:3134:157:7:***:***] The IP you're using to send mail
    550-5.7.1 is not authorized to send email directly to our servers. Please
    use 550-5.7.1 the SMTP relay at your service provider instead. Learn more
    at 550 5.7.1  https://support.google.com/mail/?p=NotAuthorizedError
    u6-20020a17090a410600b0026b0c3f1506si1032633pjf.155 - gsmtp (in reply to
    end of DATA command)

Gmail へ送信するとこのように受信してもらえなかったというメールが返ってきた。

Google アカウントへログインして下記のリンクを開き

https://support.google.com/mail/?p=NotAuthorizedError

「Postmaster Tools」から、承認を依頼すると、DNS へ TXT レコードを追加するように指示されます。

Virtualmin > ドメイン > Server Configuration > DNS Records  > Create Record of Type: TXT にて追加

TXT レコードを追加して、承認されると、エラーなくメールを送信、手元の Gmail でも受信が確認できました。

 

2023.10.03 追記======================

IPv6がブラックリストに入っていた。
Gmail へ送信できたのは、たまたまIPv4だったから。

Gmail へ送信できない。Please use 550-5.7.1 the SMTP relay at your service provider instead.

VPS で Virtualmin で LAMP そしてメール逆引きDKIM 対応 mail.example.com

前提として

ドメインは、独自のネームサーバを指定できるドメイン管理サービス。ここではバリュードメイン。

VPS

  1. NTT WebARENA Indigo
    クレジットカードの登録が必要。VISA デビッドはだめ。
    LAMP インストールまで進めたが、逆引きできない。Pro バージョンは逆引きできる。
    swap は自分で用意
    SSH は「private_key.txt」を使用
    Rocky Linux root ユーザはデフォルトではない
    wget なし
  2. KAGOYA CLOUD VPS
    ユーザー登録が済んだ後で、不備があるということで拒否された。
    たぶんVISA デビッドだったから。(Google WorkSpace は VISA デビッドでもなんら問題ないのに。)
  3. ConoHa
    前もって入金しておくことで進めた。
    LAMP 逆引き、IPv6 すべてOK
    swap は用意されていた。
    SSH はそのまま使えた。
    Rocky Linux root ユーザ
    wget あり

そもそもは、送受信サーバに、「mail.example.com」とできるサーバーを探すこと。

virtualmin をインストール

  1. OSインストール
  2. SSH root@111.222.***.***
    でSSH接続
  3. swap 追加
    https://qiita.com/SkyLaptor/items/1d77b665f7fc5809359f
    #dd if=/dev/zero of=/var/swapfile bs=128M count=64
    #chmod 600 /var/swapfile
    #mkswap /var/swapfile
    # swapon /var/swapfile
    # swapon -s
    # cp -p /etc/fstab /etc/fstab.default
    # vi /etc/fstab
    ※適当なところに追記
    /var/swapfile swap swap defaults 0 0
    # reboot
    # swapon -s
  4. Virtualmin インストール
    #dnf list installed | grep wget
    #wget https://software.virtualmin.com/gpl/scripts/virtualmin-install.sh
    #sudo sh virtualmin-install.sh
    hostname:example.com
  5. Webmin で設定
    http://111.222.***.***:10000
    サーバーと同じアカウント情報でログイン
    webmin > Webmin Configuration > IP Access Control > Only allow from listed addresses
    真っ先に接続できるIPアドレスを限定
    sshサーバ 停止
  6. example.com
    DNSはインストール前に 111.222.***.*** に向けてある。
    example.com 仮想サイトの設定を進め、SSLインストールまでできたら、
    https://example.com:10000 でログインしなおす
  7. ネームサーバを設定
    ns1.example.com
    ns2.example.com
  8. DKIM 設定
  9. check-auth@verifier.port25.com へ空メール送信
    Summary of Results
    ==========================================================
    SPF check: pass
    “iprev” check: pass
    DKIM check: pass
  10. メールアプリの送受信サーバを mail.example.comとする。
    エラー:証明書が違うと怒られる
    いろいろ試そうと考えてみたけれど、デフォルトで、MX は mail.example.com だし、
    エラーは、接続できた後に証明書違いということだから、SSL証明書をいじることにする
  11. SSL 証明書も、デフォルトで、mail.example.com がある。
    ワイルドカードのSSL証明書にしてみる。
  12. メールサーバを再起動して、
    メールアプリの設定を、mail.example.com とする。
    成功!
  13. IPv6 も設定
    逆引きも設定できる

メモ

mail.example.com のレンタルサーバからの引っ越しが必要になった場合は対応可能ということがわかった。
VPS のプランはいろいろあるけれども、

  • RAM は swap で増やせる。メールのウイルスチェックや、データベースにも使用して 8G以上は増やしたい
  • CPU は経験上 3コア以上(ローカルサーバの4コア、仮想2コアでかなり忙しい。)
  • SSD は10人程度の事業所のサイトとメールなら50Gあれば十分じゃないかな、、
  • OS は CentOS系 (ローカルの仮想では、Ubuntu などと相性が悪かった。)
    Virtualmin での優先順位も高い。マルチphpバージョンとか。

レンタルサーバのサポートほど細かいことはできないかもしれない。自分でいろいろできるのはある意味気持ちが楽になる。サポート頼みのほうが気楽かもしれないけれど、いろいろ考えさせられる場面に出くわすことが多いため、今回のVPS検証に至った。
ただ、レンタルサーバの3倍の維持費になりそうなので、今のところレンタルサーバのサービスと仲良くしていくことになる。