Bonjour à tous!
Je sais que les thèmes avec paramètres OpenVPN Beaucoup de choses ont été faites. Cependant, j'ai personnellement constaté le manque d'informations systématisées sur le sujet abordé dans le titre, et j'ai décidé de partager mon expérience principalement avec ceux qui ne sont pas des experts en administration. OpenVPNJe souhaite établir une connectivité site à site pour des sous-réseaux distants sur un NAS Synology. Je souhaite également prendre note de cette information.
J'ai donc un NAS Synology DS918+ avec le paquet installé. VPN Serveur configuré OpenVPN et les utilisateurs pouvant se connecter au serveur VPN. Je ne détaillerai pas la configuration du serveur via l'interface DSM (le portail web du serveur NAS). Ces informations sont disponibles sur le site web du fabricant.
Le problème est que l'interface DSM (version 6.2.3 à la date de publication) dispose d'un nombre limité de paramètres de gestion. OpenVPN Dans notre cas, une connexion site à site est nécessaire : les hôtes du sous-réseau client VPN doivent pouvoir communiquer avec les hôtes du sous-réseau serveur VPN, et inversement. La configuration par défaut du NAS autorise uniquement l’accès des hôtes du sous-réseau client VPN vers les hôtes du sous-réseau serveur VPN.
Pour configurer l'accès aux sous-réseaux clients VPN depuis le sous-réseau du serveur VPN, nous devrons nous connecter au NAS via SSH et configurer le fichier de configuration. OpenVPN serveurs manuellement.
Pour éditer des fichiers sur le NAS via SSH, il est plus pratique pour moi d'utiliser Midnight Commander. Pour ce faire, j'ai connecté la source dans le Centre de paquets et installé le package Midnight Commander.

Connectez-vous via SSH au NAS sous un compte avec des droits d'administrateur.

Nous tapons sudo su et spécifions à nouveau le mot de passe administrateur :

Nous tapons la commande mc et exécutons Midnight Commander :

Ensuite, allez dans le répertoire /var/packages/VPNCenter/etc/openvpn/ et recherchez le fichier openvpn.conf :

Selon la tâche, nous devons connecter 2 sous-réseaux distants. Pour ce faire, nous créons des comptes sur le NAS via DSM 2 avec des droits limités sur tous les services NAS et donnons accès uniquement à la connexion VPN dans les paramètres du serveur VPN. Pour chaque client, nous devons configurer une IP statique allouée par le serveur VPN et acheminer via ce trafic IP du sous-réseau du serveur VPN vers le sous-réseau VPN du client.
Contexte:
Sous-réseau du serveur VPN : 192.168.1.0/24.
pool d'adresses OpenVPN Serveur 10.8.0.0/24. Moi-même OpenVPN Le serveur reçoit l'adresse 10.8.0.1.
Client VPN 1 (utilisateur VPN) sous-réseau : 192.168.10.0/24, devrait recevoir sur OpenVPN Le serveur possède une adresse IP statique : 10.8.0.5
Sous-réseau du client VPN 2 (utilisateur VPN-GUST) : 192.168.5.0/24, devrait recevoir sur OpenVPN Le serveur possède une adresse IP statique : 10.8.0.4
Dans le répertoire des paramètres, créez un dossier ccd et créez des fichiers de paramètres avec des noms correspondant aux connexions des utilisateurs.

Pour l'utilisateur VPN, écrivez les paramètres suivants dans le fichier :

Pour l'utilisateur VPN-GUST, écrivez ce qui suit dans le fichier :

Il ne reste plus qu'à peaufiner la configuration. OpenVPN Serveurs - ajouter un paramètre pour la lecture des paramètres client et ajouter le routage vers les sous-réseaux clients :

Dans la capture d'écran fournie, les 2 premières lignes de la configuration sont configurées à l'aide de l'interface DSM (en cochant la case « Autoriser les clients à accéder au réseau local du serveur » dans les paramètres). OpenVPN serveur).
La ligne ccd client-config-dir spécifie que les paramètres client se trouvent dans le dossier ccd.
Ensuite, deux lignes de configuration ajoutent des routes vers les sous-réseaux clients via les passerelles correspondantes. OpenVPN.
Enfin, la topologie du sous-réseau doit être appliquée pour fonctionner correctement.
Nous ne touchons pas à tous les autres paramètres du fichier.
Après avoir prescrit les paramètres, n'oubliez pas de redémarrer le service VPN Server dans le gestionnaire de packages. Sur les hôtes ou la passerelle pour les hôtes du sous-réseau du serveur, enregistrez les routes vers les sous-réseaux clients via le NAS.
Dans mon cas, la passerelle pour tous les hôtes du sous-réseau dans lequel se trouve le NAS (son IP 192.168.1.3) était le routeur (192.168.1.1). Sur ce routeur, j'ai ajouté des entrées de routage pour les réseaux 192.168.5.0/24 et 192.168.10.0/24 à la passerelle 192.168.1.3 (NAS) dans la table de routage statique.
N'oubliez pas qu'avec le pare-feu activé sur le NAS, vous devrez également le configurer. De plus, un pare-feu peut être activé côté client, qui devra également être configuré.
P.S. Je ne suis pas un professionnel des technologies réseau et en particulier du travail avec OpenVPNJe partage simplement mon expérience et les paramètres que j'ai utilisés pour configurer la communication de site à site entre sous-réseaux. Il existe peut-être une configuration plus simple et/ou plus appropriée ; n'hésitez pas à partager vos expériences dans les commentaires.
Source: habr.com
