Hola a todos!
Sé que se han creado muchos temas con la configuración de OpenVPN. Sin embargo, yo mismo me encontré con el hecho de que, en principio, no existe información sistemática sobre el tema del encabezado y decidí compartir mi experiencia principalmente con aquellos que no son gurús en la administración de OpenVPN, pero que les gustaría lograr una conexión remota. subredes del tipo sitio a sitio en NAS Synology. Al mismo tiempo, déjate una nota como recuerdo.
Entonces. Tengo un Synology DS918+ NAS con el paquete VPN Server instalado, configurado con OpenVPN y usuarios que pueden conectarse al servidor VPN. No entraré en detalles sobre la configuración del servidor en la interfaz DSM (portal web del servidor NAS). Esta información está disponible en el sitio web del fabricante.
El problema es que la interfaz DSM (a partir de la fecha de publicación, versión 6.2.3) tiene una cantidad limitada de configuraciones para administrar el servidor OpenVPN. En nuestro caso, se requiere un esquema de conexión de sitio a sitio, es decir Los hosts de subred del cliente VPN deben ver los hosts de subred del servidor VPN y viceversa. La configuración predeterminada disponible en el NAS le permite configurar el acceso solo desde los hosts de la subred del cliente VPN a los hosts de la subred del servidor VPN.
Para configurar el acceso a las subredes del cliente VPN desde la subred del servidor VPN, debemos iniciar sesión en el NAS a través de SSH y configurar el archivo de configuración del servidor OpenVPN manualmente.
Para editar archivos en el NAS a través de SSH, me resulta más conveniente utilizar Midnight Commander. Para hacer esto, conecté la fuente en el Centro de paquetes. e instalé el paquete Midnight Commander.
Inicie sesión mediante SSH en el NAS con una cuenta con derechos de administrador.
Escribimos sudo su y especificamos nuevamente la contraseña de administrador:
Escribimos el comando mc y ejecutamos Midnight Commander:
A continuación, vaya al directorio /var/packages/VPNCenter/etc/openvpn/ y busque el archivo openvpn.conf:
Según la tarea, necesitamos conectar 2 subredes remotas. Para hacer esto, creamos cuentas en el NAS a través de DSM 2 con derechos limitados a todos los servicios del NAS y damos acceso solo a la conexión VPN en la configuración del servidor VPN. Para cada cliente, necesitamos configurar una IP estática asignada por el servidor VPN y enrutar a través de este tráfico IP desde la subred del servidor VPN a la subred VPN del cliente.
Antecedentes:
Subred del servidor VPN: 192.168.1.0/24.
El grupo de direcciones del servidor OpenVPN es 10.8.0.0/24. El propio servidor OpenVPN recibe la dirección 10.8.0.1.
Subred VPN del cliente 1 (usuario VPN): 192.168.10.0/24, debería obtener una dirección estática 10.8.0.5 en el servidor OpenVPN
Subred VPN del cliente 2 (usuario VPN-GUST): 192.168.5.0/24, debería obtener una dirección estática 10.8.0.4 en el servidor OpenVPN
En el directorio de configuración, cree una carpeta ccd y cree archivos de configuración con nombres correspondientes a los inicios de sesión de los usuarios.
Para el usuario de VPN, escriba la siguiente configuración en el archivo:
Para el usuario de VPN-GUST, escriba lo siguiente en el archivo:
Solo queda ajustar la configuración del servidor OpenVPN: agregar un parámetro para leer la configuración del cliente y agregar enrutamiento en las subredes del cliente:
En la captura de pantalla anterior, las primeras 2 líneas de la configuración se configuran usando la interfaz DSM (marcando la opción "Permitir que los clientes accedan a la red local del servidor" en la configuración del servidor OpenVPN).
La línea ccd client-config-dir especifica que la configuración del cliente está en la carpeta ccd.
A continuación, 2 líneas de configuración agregan rutas a las subredes del cliente a través de las puertas de enlace OpenVPN correspondientes.
Finalmente, se debe aplicar la topología de subred para que funcione correctamente.
No tocamos todas las demás configuraciones del archivo.
Después de realizar la configuración, no olvide reiniciar el servicio del servidor VPN en el administrador de paquetes. En los hosts o la puerta de enlace para los hosts de la subred del servidor, registre rutas a las subredes del cliente a través del NAS.
En mi caso, la puerta de enlace para todos los hosts de la subred en la que se encuentra el NAS (su IP 192.168.1.3) era el enrutador (192.168.1.1). En este enrutador, agregué entradas de enrutamiento para las redes 192.168.5.0/24 y 192.168.10.0/24 a la puerta de enlace 192.168.1.3 (NAS) en la tabla de rutas estáticas.
No olvide que con el firewall habilitado en el NAS, también deberá configurarlo. Además, se puede habilitar un firewall en el lado del cliente, que también deberá configurarse.
PD. No soy un profesional en tecnologías de red y en particular en el trabajo con OpenVPN, solo comparto mi experiencia y publico las configuraciones que realicé, lo que me permitió configurar la comunicación de sitio a sitio entre subredes. Quizás exista una configuración más sencilla y/o correcta, solo estaré encantado de que compartas tu experiencia en los comentarios.
Fuente: habr.com