Hallo an alle!
Ich weiß, dass es Designs mit Einstellungen gibt. OpenVPN Es wurde bereits viel getan. Ich persönlich stieß jedoch auf einen Mangel an systematischen Informationen zu diesem Thema und beschloss daher, meine Erfahrungen vor allem mit denjenigen zu teilen, die keine Verwaltungsexperten sind. OpenVPNIch möchte jedoch eine Site-to-Site-Verbindung für entfernte Subnetze auf einem Synology NAS einrichten. Ich möchte mir das auch notieren.
Ich besitze also ein Synology DS918+ NAS, auf dem das Paket installiert ist. VPN Server konfiguriert OpenVPN und Benutzer, die sich mit dem VPN-Server verbinden können. Ich werde nicht näher auf die Konfiguration des Servers in der DSM-Oberfläche (dem Webportal des NAS-Servers) eingehen. Diese Informationen finden Sie auf der Website des Herstellers.
Das Problem besteht darin, dass die DSM-Oberfläche (Version 6.2.3 zum Zeitpunkt der Veröffentlichung) nur eine begrenzte Anzahl von Einstellungsmöglichkeiten für die Verwaltung bietet. OpenVPN Server. In unserem Fall ist eine Site-to-Site-Verbindung erforderlich, d. h. Hosts im VPN-Client-Subnetz müssen Hosts im VPN-Server-Subnetz erreichen können und umgekehrt. Die Standardeinstellungen des NAS erlauben den Zugriff jedoch nur von Hosts im VPN-Client-Subnetz auf Hosts im VPN-Server-Subnetz.
Um den Zugriff von VPN-Server-Subnetzen auf VPN-Client-Subnetze zu konfigurieren, müssen wir uns per SSH am NAS anmelden und die Konfigurationsdatei bearbeiten. OpenVPN Server manuell.
Um Dateien auf dem NAS per SSH zu bearbeiten, ist es für mich bequemer, Midnight Commander zu verwenden. Dazu habe ich die Quelle im Paketcenter angebunden und das Midnight Commander-Paket installiert.
Melden Sie sich über SSH am NAS unter einem Konto mit Administratorrechten an.
Wir geben sudo su ein und geben erneut das Administratorkennwort an:
Wir geben den Befehl mc ein und führen Midnight Commander aus:
Gehen Sie als Nächstes in das Verzeichnis /var/packages/VPNCenter/etc/openvpn/ und suchen Sie die Datei openvpn.conf:
Je nach Aufgabenstellung müssen wir zwei entfernte Subnetze verbinden. Dazu erstellen wir über DSM 2 Konten auf dem NAS mit eingeschränkten Rechten auf alle NAS-Dienste und gewähren in den VPN-Servereinstellungen nur Zugriff auf die VPN-Verbindung. Für jeden Client müssen wir eine vom VPN-Server zugewiesene statische IP konfigurieren und über diese IP-Verkehr vom Subnetz des VPN-Servers zum VPN-Subnetz des Clients weiterleiten.
Hintergrund:
Subnetz des VPN-Servers: 192.168.1.0/24.
Adresspool OpenVPN Server 10.8.0.0/24. Ich selbst OpenVPN Der Server empfängt die Adresse 10.8.0.1.
VPN-Client 1 (VPN-Benutzer), Subnetz: 192.168.10.0/24, sollte empfangen am OpenVPN Der Server hat die statische Adresse 10.8.0.5.
VPN-Client 2 Subnetz (VPN-GUST-Benutzer): 192.168.5.0/24, sollte empfangen am OpenVPN Der Server hat die statische Adresse 10.8.0.4.
Erstellen Sie im Einstellungsverzeichnis einen CCD-Ordner und erstellen Sie Einstellungsdateien mit Namen, die den Benutzeranmeldungen entsprechen.
Schreiben Sie für den VPN-Benutzer die folgenden Einstellungen in die Datei:
Schreiben Sie für den VPN-GUST-Benutzer Folgendes in die Datei:
Es bleibt nur noch die Feinabstimmung der Konfiguration. OpenVPN Server – einen Parameter zum Lesen von Clienteinstellungen hinzufügen und das Routing zu Client-Subnetzen hinzufügen:
Im bereitgestellten Screenshot sind die ersten beiden Zeilen der Konfiguration über die DSM-Oberfläche konfiguriert (indem in den Einstellungen das Kontrollkästchen „Clients den Zugriff auf das lokale Netzwerk des Servers erlauben“ aktiviert wird). OpenVPN Server).
Die CCD-Zeile „client-config-dir“ gibt an, dass sich die Clienteinstellungen im CCD-Ordner befinden.
Anschließend werden in zwei Konfigurationszeilen Routen zu Client-Subnetzen über die entsprechenden Gateways hinzugefügt. OpenVPN.
Schließlich muss die Subnetztopologie angewendet werden, damit sie ordnungsgemäß funktioniert.
Alle anderen Einstellungen in der Datei berühren wir nicht.
Vergessen Sie nach dem Festlegen der Einstellungen nicht, den VPN-Serverdienst im Paketmanager neu zu starten. Registrieren Sie auf den Hosts oder dem Gateway für die Hosts des Server-Subnetzes Routen zu den Client-Subnetzen über das NAS.
In meinem Fall war der Router (192.168.1.3) das Gateway für alle Hosts im Subnetz, in dem sich das NAS befindet (seine IP 192.168.1.1). Auf diesem Router habe ich Routing-Einträge für die Netzwerke 192.168.5.0/24 und 192.168.10.0/24 zum Gateway 192.168.1.3 (NAS) in der statischen Routing-Tabelle hinzugefügt.
Vergessen Sie nicht, dass Sie die Firewall, die auf dem NAS aktiviert ist, auch konfigurieren müssen. Außerdem kann auf der Clientseite eine Firewall aktiviert werden, die ebenfalls konfiguriert werden muss.
P.S. Ich bin kein Experte für Netzwerktechnologien und insbesondere nicht für die Arbeit mit OpenVPNIch möchte lediglich meine Erfahrung teilen und die von mir vorgenommenen Einstellungen veröffentlichen, mit denen ich die Site-to-Site-Kommunikation zwischen Subnetzen einrichten konnte. Vielleicht gibt es eine einfachere und/oder korrektere Lösung, und ich würde mich freuen, wenn Sie Ihre Erfahrungen in den Kommentaren teilen würden.
Source: habr.com
