Ahoj všichni!
Vím, že bylo vytvořeno mnoho témat s nastavením OpenVPN. Sám jsem se však setkal s tím, že k tématu hlavičky v zásadě neexistují žádné systematické informace a rozhodl jsem se podělit o své zkušenosti především s těmi, kteří nejsou guru v administraci OpenVPN, ale rádi by dosáhli připojení vzdálených podsítě typu site-to-site na NAS Synology. Zároveň zanechte vzkaz pro sebe na památku.
Tak. Mám NAS Synology DS918+ s nainstalovaným balíčkem VPN Server, nakonfigurovaným s OpenVPN a uživateli, kteří se mohou připojit k serveru VPN. Nebudu zabíhat do detailů nastavení serveru v rozhraní DSM (webový portál NAS serveru). Tyto informace jsou k dispozici na webu výrobce.
Problém je v tom, že rozhraní DSM (k datu vydání verze 6.2.3) má omezený počet nastavení pro správu serveru OpenVPN. V našem případě je vyžadováno schéma připojení site-to-site, tzn. Hostitelé podsítě klienta VPN musí vidět hostitele podsítě serveru VPN a naopak. Výchozí nastavení dostupné na NAS vám umožňuje konfigurovat přístup pouze z hostitelů podsítě klienta VPN k hostitelům podsítě serveru VPN.
Abychom nakonfigurovali přístup k podsítím klienta VPN z podsítě serveru VPN, musíme se přihlásit k NAS přes SSH a ručně nakonfigurovat konfigurační soubor serveru OpenVPN.
Pro úpravu souborů na NAS přes SSH je pro mě pohodlnější použít Midnight Commander. K tomu jsem připojil zdroj v Centru balíčků a nainstaloval balíček Midnight Commander.
Přihlaste se přes SSH na NAS pod účtem s administrátorskými právy.
Zadáme sudo su a znovu zadáme heslo správce:
Zadáme příkaz mc a spustíme Midnight Commander:
Dále přejděte do adresáře /var/packages/VPNCenter/etc/openvpn/ a najděte soubor openvpn.conf:
Podle úkolu potřebujeme propojit 2 vzdálené podsítě. K tomu vytváříme účty na NAS prostřednictvím DSM 2 s omezenými právy ke všem službám NAS a dáváme přístup pouze k VPN připojení v nastavení VPN serveru. Pro každého klienta musíme nakonfigurovat statickou IP přidělenou serverem VPN a směrovat tento provoz IP z podsítě serveru VPN do podsítě VPN klienta.
Zdrojová data:
Podsíť serveru VPN: 192.168.1.0/24.
Fond adres serveru OpenVPN je 10.8.0.0/24. Samotný OpenVPN server obdrží adresu 10.8.0.1.
Podsíť VPN klienta 1 (uživatel VPN): 192.168.10.0/24, měla by získat statickou adresu 10.8.0.5 na serveru OpenVPN
Podsíť VPN klienta 2 (uživatel VPN-GUST): 192.168.5.0/24, měla by získat statickou adresu 10.8.0.4 na serveru OpenVPN
V adresáři nastavení vytvořte složku ccd a vytvořte soubory nastavení s názvy odpovídajícími přihlášením uživatelů.
Pro uživatele VPN zapište do souboru následující nastavení:
Pro uživatele VPN-GUST zapište do souboru následující:
Zbývá pouze upravit konfiguraci OpenVPN serveru - přidat parametr pro čtení nastavení klienta a přidat směrování na klientské podsítě:
Na výše uvedeném snímku obrazovky jsou první 2 řádky konfigurace nakonfigurovány pomocí rozhraní DSM (zaškrtnutím možnosti „Povolit klientům přístup k místní síti serveru“ v nastavení serveru OpenVPN).
Řádek client-config-dir ccd určuje, že nastavení klienta jsou ve složce ccd.
Dále 2 konfigurační řádky přidávají trasy do klientských podsítí přes odpovídající brány OpenVPN.
Aby správně fungovala, musí být použita topologie podsítě.
Na všechna ostatní nastavení v souboru nesaháme.
Po předepsání nastavení nezapomeňte restartovat službu VPN Server ve správci balíčků. Na hostitelích nebo bráně pro hostitele podsítě serveru zaregistrujte trasy do klientských podsítí prostřednictvím NAS.
V mém případě byl bránou pro všechny hostitele v podsíti, ve které se NAS nachází (jeho IP 192.168.1.3) router (192.168.1.1). Na tomto routeru jsem do statické směrovací tabulky přidal položky směrování pro sítě 192.168.5.0/24 a 192.168.10.0/24 do brány 192.168.1.3 (NAS).
Nezapomeňte, že když je na NAS povolená brána firewall, budete ji muset také nakonfigurovat. Na straně klienta lze navíc povolit firewall, který bude také nutné nakonfigurovat.
PS. Nejsem profesionál v síťových technologiích a zejména v práci s OpenVPN, pouze sdílím své zkušenosti a zveřejňuji nastavení, která jsem provedl, což mi umožnilo nakonfigurovat komunikaci mezi podsítěmi. Možná existuje jednodušší a/nebo správné nastavení, budu jen rád, když se o své zkušenosti podělíte v komentářích.
Zdroj: www.habr.com