Hello!
Bilirəm ki, OpenVPN parametrləri ilə bir çox mövzu hazırlanıb. Bununla belə, mən özüm bir faktla qarşılaşdım ki, prinsipcə, başlıq mövzusunda sistematik məlumat yoxdur və təcrübəmi ilk növbədə OpenVPN administrasiyasında gurus olmayan, lakin uzaqdan qoşulmaq istəyənlərlə bölüşmək qərarına gəldim. NAS Synology-də saytdan sayta tipli alt şəbəkələr. Eyni zamanda, özünüz üçün bir xatirə olaraq bir qeyd buraxın.
Belə ki. Məndə VPN Server paketi quraşdırılmış, OpenVPN ilə konfiqurasiya edilmiş Synology DS918+ NAS və VPN serverinə qoşula bilən istifadəçilər var. DSM interfeysində (NAS server veb portalı) serverin qurulmasının təfərrüatlarına girməyəcəyəm. Bu məlumat istehsalçının saytında mövcuddur.
Problem ondadır ki, DSM interfeysi (versiya 6.2.3 nəşr tarixinə) OpenVPN serverini idarə etmək üçün məhdud sayda parametrlərə malikdir. Bizim vəziyyətimizdə saytdan sayta əlaqə sxemi tələb olunur, yəni. VPN müştəri alt şəbəkə hostları VPN server alt şəbəkə hostlarını görməlidir və əksinə. NAS-da mövcud standart parametrlər yalnız VPN müştəri alt şəbəkə hostlarından VPN server alt şəbəkə hostlarına girişi konfiqurasiya etməyə imkan verir.
VPN server alt şəbəkəsindən VPN müştəri alt şəbəkələrinə girişi konfiqurasiya etmək üçün biz SSH vasitəsilə NAS-a daxil olmalı və OpenVPN server konfiqurasiya faylını əl ilə konfiqurasiya etməliyik.
SSH vasitəsilə NAS-dakı faylları redaktə etmək üçün Midnight Commander-dən istifadə etmək mənim üçün daha rahatdır. Bunun üçün mənbəni Paket Mərkəzində birləşdirdim və Midnight Commander paketini quraşdırdı.
SSH vasitəsilə NAS-a administrator hüquqları ilə daxil olun.
Sudo su yazırıq və yenidən administrator parolunu təyin edirik:
mc əmrini yazın və Midnight Commander-ı işə salın:
Sonra, /var/packages/VPNCenter/etc/openvpn/ qovluğuna keçin və openvpn.conf faylını tapın:
Tapşırığa əsasən, 2 uzaq alt şəbəkəni birləşdirməliyik. Bunun üçün biz bütün NAS xidmətlərinə məhdud hüquqlarla DSM 2 vasitəsilə NAS-da hesablar yaradırıq və VPN Server parametrlərində yalnız VPN bağlantısına giriş veririk. Hər bir müştəri üçün biz VPN serveri tərəfindən ayrılmış statik IP-ni konfiqurasiya etməliyik və bu IP trafiki vasitəsilə VPN serverinin alt şəbəkəsindən müştərinin VPN alt şəbəkəsinə keçməliyik.
Başlanğıc:
VPN server alt şəbəkəsi: 192.168.1.0/24.
OpenVPN serverinin ünvan hovuzu 10.8.0.0/24-dir. OpenVPN serverinin özü 10.8.0.1 ünvanını alır.
Müştəri 1 VPN alt şəbəkəsi (VPN istifadəçisi): 192.168.10.0/24, OpenVPN serverində 10.8.0.5 statik ünvan almalıdır
VPN müştəri 2 alt şəbəkəsi (VPN-GUST istifadəçisi): 192.168.5.0/24, OpenVPN serverində 10.8.0.4 statik ünvan almalıdır
Parametrlər kataloqunda ccd qovluğu yaradın və istifadəçi girişlərinə uyğun adlarla parametrlər faylları yaradın.
VPN istifadəçisi üçün fayla aşağıdakı parametrləri yazın:
VPN-GUST istifadəçisi üçün fayla aşağıdakıları yazın:
Yalnız OpenVPN serverinin konfiqurasiyasını tənzimləmək qalır - müştəri parametrlərini oxumaq üçün parametr əlavə edin və müştəri alt şəbəkələrində marşrutlaşdırma əlavə edin:
Yuxarıdakı ekran görüntüsündə konfiqurasiyanın ilk 2 sətri DSM interfeysindən istifadə etməklə konfiqurasiya edilmişdir (OpenVPN server parametrlərində "Müştərilərin serverin yerli şəbəkəsinə daxil olmasına icazə verin" seçimi yoxlanılır).
Client-config-dir ccd xətti müştəri parametrlərinin ccd qovluğunda olduğunu göstərir.
Sonra, 2 konfiqurasiya xətti müvafiq OpenVPN şlüzləri vasitəsilə müştəri alt şəbəkələrinə marşrutlar əlavə edir.
Nəhayət, düzgün işləmək üçün alt şəbəkə topologiyası tətbiq edilməlidir.
Fayldakı bütün digər parametrlərə toxunmuruq.
Parametrləri təyin etdikdən sonra paket menecerində VPN Server xidmətini yenidən başlatmağı unutmayın. Hostlarda və ya server alt şəbəkəsinin hostları üçün şlüzdə NAS vasitəsilə müştəri alt şəbəkələrinə marşrutları qeyd edin.
Mənim vəziyyətimdə, NAS-ın yerləşdiyi alt şəbəkədəki bütün hostlar üçün şlüz (onun IP 192.168.1.3) marşrutlaşdırıcı (192.168.1.1) idi. Bu marşrutlaşdırıcıda mən statik marşrut cədvəlində 192.168.5.0 (NAS) şluzuna 24/192.168.10.0 və 24/192.168.1.3 şəbəkələri üçün marşrutlaşdırma qeydlərini əlavə etdim.
Unutmayın ki, NAS-da firewall işə salındıqda, onu da konfiqurasiya etməlisiniz. Üstəlik, müştəri tərəfində bir firewall işə salına bilər, onu da konfiqurasiya etmək lazımdır.
PS. Mən şəbəkə texnologiyaları və xüsusən də OpenVPN ilə işləmək üzrə peşəkar deyiləm, sadəcə öz təcrübəmi bölüşürəm və etdiyim parametrləri dərc edirəm ki, bu da mənə alt şəbəkələr arasında saytdan sayta rabitəni konfiqurasiya etməyə imkan verdi. Bəlkə də daha sadə və / və ya düzgün bir parametr var, yalnız şərhlərdə təcrübənizi bölüşsəniz şad olaram.
Mənbə: www.habr.com