Hallo an alle!
Ich weiß, dass viele Themen mit OpenVPN-Einstellungen gemacht wurden. Ich selbst bin jedoch auf die Tatsache gestoßen, dass es grundsätzlich keine systematischen Informationen zum Thema Header gibt, und habe beschlossen, meine Erfahrungen vor allem mit denen zu teilen, die keine Gurus in der Verwaltung von OpenVPN sind, aber eine Remote-Verbindung erreichen möchten Subnetze vom Typ Site-to-Site auf dem NAS Synology. Hinterlassen Sie gleichzeitig eine Notiz für sich selbst als Andenken.
So. Ich habe ein Synology DS918+ NAS mit installiertem VPN-Serverpaket, konfiguriert mit OpenVPN und Benutzern, die eine Verbindung zum VPN-Server herstellen können. Ich werde nicht näher auf die Einrichtung des Servers in der DSM-Schnittstelle (NAS-Server-Webportal) eingehen. Diese Informationen sind auf der Website des Herstellers verfügbar.
Das Problem besteht darin, dass die DSM-Schnittstelle (Stand Veröffentlichungsdatum Version 6.2.3) über eine begrenzte Anzahl von Einstellungen zur Verwaltung des OpenVPN-Servers verfügt. In unserem Fall ist ein Site-to-Site-Verbindungsschema erforderlich, d.h. VPN-Client-Subnetz-Hosts müssen VPN-Server-Subnetz-Hosts sehen und umgekehrt. Mit den auf dem NAS verfügbaren Standardeinstellungen können Sie den Zugriff nur von VPN-Client-Subnetz-Hosts auf VPN-Server-Subnetz-Hosts konfigurieren.
Um den Zugriff auf VPN-Client-Subnetze vom VPN-Server-Subnetz aus zu konfigurieren, müssen wir uns über SSH beim NAS anmelden und die OpenVPN-Serverkonfigurationsdatei manuell konfigurieren.
Um Dateien auf dem NAS per SSH zu bearbeiten, ist es für mich bequemer, Midnight Commander zu verwenden. Dazu habe ich die Quelle im Paketcenter angebunden und das Midnight Commander-Paket installiert.
Melden Sie sich über SSH am NAS unter einem Konto mit Administratorrechten an.
Wir geben sudo su ein und geben erneut das Administratorkennwort an:
Wir geben den Befehl mc ein und führen Midnight Commander aus:
Gehen Sie als Nächstes in das Verzeichnis /var/packages/VPNCenter/etc/openvpn/ und suchen Sie die Datei openvpn.conf:
Je nach Aufgabenstellung müssen wir zwei entfernte Subnetze verbinden. Dazu erstellen wir über DSM 2 Konten auf dem NAS mit eingeschränkten Rechten auf alle NAS-Dienste und gewähren in den VPN-Servereinstellungen nur Zugriff auf die VPN-Verbindung. Für jeden Client müssen wir eine vom VPN-Server zugewiesene statische IP konfigurieren und über diese IP-Verkehr vom Subnetz des VPN-Servers zum VPN-Subnetz des Clients weiterleiten.
Hintergrund:
Subnetz des VPN-Servers: 192.168.1.0/24.
Der Adresspool des OpenVPN-Servers ist 10.8.0.0/24. Der OpenVPN-Server selbst erhält die Adresse 10.8.0.1.
Client 1 VPN-Subnetz (VPN-Benutzer): 192.168.10.0/24, sollte eine statische Adresse 10.8.0.5 auf dem OpenVPN-Server erhalten
Subnetz des VPN-Clients 2 (VPN-GUST-Benutzer): 192.168.5.0/24, sollte eine statische Adresse 10.8.0.4 auf dem OpenVPN-Server erhalten
Erstellen Sie im Einstellungsverzeichnis einen CCD-Ordner und erstellen Sie Einstellungsdateien mit Namen, die den Benutzeranmeldungen entsprechen.
Schreiben Sie für den VPN-Benutzer die folgenden Einstellungen in die Datei:
Schreiben Sie für den VPN-GUST-Benutzer Folgendes in die Datei:
Es bleibt nur noch die Konfiguration des OpenVPN-Servers anzupassen – fügen Sie einen Parameter zum Lesen der Client-Einstellungen hinzu und fügen Sie Routing in Client-Subnetzen hinzu:
Im Screenshot oben werden die ersten beiden Zeilen der Konfiguration über die DSM-Schnittstelle konfiguriert (durch Aktivieren der Option „Clients Zugriff auf das lokale Netzwerk des Servers erlauben“ in den OpenVPN-Servereinstellungen).
Die CCD-Zeile „client-config-dir“ gibt an, dass sich die Clienteinstellungen im CCD-Ordner befinden.
Als nächstes fügen zwei Konfigurationszeilen Routen zu Client-Subnetzen über die entsprechenden OpenVPN-Gateways hinzu.
Schließlich muss die Subnetztopologie angewendet werden, damit sie ordnungsgemäß funktioniert.
Alle anderen Einstellungen in der Datei berühren wir nicht.
Vergessen Sie nach dem Festlegen der Einstellungen nicht, den VPN-Serverdienst im Paketmanager neu zu starten. Registrieren Sie auf den Hosts oder dem Gateway für die Hosts des Server-Subnetzes Routen zu den Client-Subnetzen über das NAS.
In meinem Fall war der Router (192.168.1.3) das Gateway für alle Hosts im Subnetz, in dem sich das NAS befindet (seine IP 192.168.1.1). Auf diesem Router habe ich Routing-Einträge für die Netzwerke 192.168.5.0/24 und 192.168.10.0/24 zum Gateway 192.168.1.3 (NAS) in der statischen Routing-Tabelle hinzugefügt.
Vergessen Sie nicht, dass Sie die Firewall, die auf dem NAS aktiviert ist, auch konfigurieren müssen. Außerdem kann auf der Clientseite eine Firewall aktiviert werden, die ebenfalls konfiguriert werden muss.
PS. Ich bin kein Experte in Netzwerktechnologien und insbesondere in der Arbeit mit OpenVPN. Ich teile lediglich meine Erfahrungen und veröffentliche die von mir vorgenommenen Einstellungen, die es mir ermöglichten, die Site-to-Site-Kommunikation zwischen Subnetzen zu konfigurieren. Vielleicht gibt es eine einfachere und/oder richtige Einstellung, ich freue mich nur, wenn du deine Erfahrungen in den Kommentaren teilst.
Source: habr.com