Усім прывітанне!
Ведаю, што тым з наладамі OpenVPN зроблена мноства. Аднак, сам сутыкнуўся з тым, што сістэматызаванай інфармацыі па тэме загалоўка ў прынцыпе няма і вырашыў падзяліцца досведам у першую чаргу з тымі, хто не з'яўляецца гуру ў адміністраванні OpenVPN, але жадаў бы дамагчыся падлучэнні выдаленых падсетак па тыпе site-to-site на NAS Synology. Заадно і для сябе нататку пакінуць на памяць.
Такім чынам. Ёсць NAS Synology DS918+ з усталяваным пакетам VPN Server, настроеным OpenVPN і карыстальнікамі, якія могуць канэкціцца да VPN серверу. Не буду ўдавацца ў падрабязнасці налады сервера ў інтэрфейсе DSM (вэб партал NAS сервера). Гэтая інфармацыя ёсць на сайце вытворцы.
Праблема ў тым, што інтэрфейс DSM (на дату публікацыі версія 6.2.3) мае абмежаваную колькасць настроек для кіравання OpenVPN серверам. У нашым выпадку патрабуецца схема злучэння па тыпе site-to-site, г.зн. хасты падсеткі кліента VPN павінны бачыць хасты падсеткі VPN сервера і наадварот. Тыпавыя налады, даступныя на NAS, дазваляюць наладзіць доступ толькі ад хастоў падсеткі кліента VPN да хастоў падсеткі сервера VPN.
Для настройкі доступу да падсетак кліентаў VPN з падсеткі VPN сервера нам спатрэбіцца зайсці на NAS праз SSH і наладзіць файл канфігурацыі OpenVPN сервера ўручную.
Для рэдагавання файлаў на NAS па SSH мне зручней карыстацца Midnight Commander. Для гэтага я ў Цэнтры пакетаў падключыў крыніцу і ўсталяваў пакет Midnight Commander.
Заходзім па SSH на NAS пад уліковым запісам з правамі адміністратара.
Набіраем sudo su і яшчэ раз паказваем пароль адміністратара:
Набіраем каманду mc і запускаем Midnight Commander:
Далей пераходзім у каталог /var/packages/VPNCenter/etc/openvpn/ і знаходзім файл openvpn.conf:
Па задачы нам неабходна падлучыць 2 выдаленыя падсеткі. Для гэтага заводзім праз DSM 2 уліковыя запісы на NAS з абмежаванымі правамі на ўсе службы NAS і выдаём доступ толькі на VPN падлучэнне ў наладах VPN Server. Для кожнага кліента нам трэба наладзіць статычны IP які вылучаецца VPN серверам і роўтынг праз гэты IP трафіку з падсеткі VPN сервера на падсетку VPN кліента.
Зыходныя дадзеныя:
Падсетку VPN сервера: 192.168.1.0/24.
Пул адрасоў OpenVPN сервера 10.8.0.0/24. Сам OpenVPN сервер атрымлівае адрас 10.8.0.1.
Падсетка VPN кліента 1 (карыстальнік VPN): 192.168.10.0/24, павінен атрымліваць на OpenVPN серверы статычны адрас 10.8.0.5
Падсетка VPN кліента 2 (карыстальнік VPN-GUST): 192.168.5.0/24, павінен атрымліваць на OpenVPN серверы статычны адрас 10.8.0.4
У каталогу налад ствараем тэчку ccd і яе ствараем файлы налад з назовамі, якія адпавядаюць лагінам карыстачоў.
Для карыстальніка VPN у файле прапісваем наступныя налады:
Для карыстальніка VPN-GUST у файле прапісваем наступныя:
Застаецца толькі падналадзіць канфігурацыю OpenVPN сервера - дадаць параметр для чытання налад кліентаў і дадаць роўтынгі на падсеткі кліентаў:
У прыведзеным скрыншоце першыя 2 радкі канфігу наладжваюцца з дапамогай інтэрфейсу DSM (прастаноўка галкі на параметры "Дазволіць кліентам ажыццяўляць доступ да лакальнай сеткі сервера" у наладах OpenVPN сервера).
Радок client-config-dir ccd паказвае, што налады кліентаў знаходзяцца ў тэчцы ccd.
Далей 2 радкі наладкі дадаюць роўты на падсеткі кліентаў праз адпаведныя шлюзы OpenVPN.
І нарэшце для правільнай працы неабходна ўжыць тапалогію subnet.
Усе астатнія налады ў файле не чапаем.
Пасля прапісвання налад не забываем перазагрузіць сэрвіс VPN Server у мэнэджары пакетаў. На хастах або шлюзе для хастоў падсеткі сервера прапісаць роўты на падсеткі кліентаў праз NAS.
У маім выпадку шлюзам для ўсіх хастоў падсеткі, у якой знаходзіцца NAS (яго IP 192.168.1.3), выступаў роўтар (192.168.1.1). На гэтым роўтары я дадаў у статычную табліцу маршрутаў запісу маршрутызацыі для сетак 192.168.5.0/24 і 192.168.10.0/24 на шлюз 192.168.1.3 (NAS).
Не забываем, што пры ўключаным брандмаўэры на NAS неабходна будзе наладзіць і яго. Плюс на кліенцкім баку можа быць уключаны брандмаўэр, які гэтак жа трэба будзе наладзіць.
ПС. Я не з'яўляюся прафесіяналам у сеткавых тэхналогіях і ў прыватнасці ў працы з OpenVPN, проста дзялюся сваім досведам і публікую налады, якія я зрабіў, якія дазволілі наладзіць сувязь паміж падсеткамі па тыпе site-to-site. Магчыма ёсць і прасцейшая і/ці правільная налада, буду толькі рады, калі падзеліцеся досведам у каментарах.
Крыніца: habr.com
