ProHoster > Blog > administration > Configuration d'un serveur de site à site sur un NAS Synology OpenVPN

Configuration d'un serveur de site à site sur un NAS Synology OpenVPN

Bonjour à tous!

Je sais que de nombreux sujets avec les paramètres OpenVPN ont été créés. Cependant, j'ai moi-même constaté qu'en principe, il n'y a pas d'informations systématiques sur le sujet de l'en-tête et j'ai décidé de partager mon expérience principalement avec ceux qui ne sont pas des gourous de l'administration d'OpenVPN, mais qui souhaitent réaliser une connexion à distance. sous-réseaux de type site à site sur le NAS Synology. En même temps, laissez-vous un message en guise de souvenir.

Donc. J'ai un NAS Synology DS918+ avec le package VPN Server installé, configuré avec OpenVPN et des utilisateurs pouvant se connecter au serveur VPN. Je n'entrerai pas dans les détails de la configuration du serveur dans l'interface DSM (portail web du serveur NAS). Ces informations sont disponibles sur le site Internet du fabricant.

Le problème est que l'interface DSM (à la date de publication version 6.2.3) dispose d'un nombre limité de paramètres pour gérer le serveur OpenVPN. Dans notre cas, un schéma de connexion de site à site est requis, c'est-à-dire Les hôtes de sous-réseau client VPN doivent voir les hôtes de sous-réseau serveur VPN et vice versa. Les paramètres par défaut disponibles sur le NAS vous permettent de configurer l'accès uniquement des hôtes de sous-réseau client VPN aux hôtes de sous-réseau serveur VPN.

Pour configurer l'accès aux sous-réseaux clients VPN à partir du sous-réseau du serveur VPN, nous devons nous connecter au NAS via SSH et configurer manuellement le fichier de configuration du serveur OpenVPN.

Pour éditer des fichiers sur le NAS via SSH, il est plus pratique pour moi d'utiliser Midnight Commander. Pour ce faire, j'ai connecté la source dans le Centre de paquets packages.synocommunity.com et installé le package Midnight Commander.

Configuration d'un serveur de site à site sur un NAS Synology OpenVPN

Connectez-vous via SSH au NAS sous un compte avec des droits d'administrateur.

Configuration d'un serveur de site à site sur un NAS Synology OpenVPN

Nous tapons sudo su et spécifions à nouveau le mot de passe administrateur :

Configuration d'un serveur de site à site sur un NAS Synology OpenVPN

Nous tapons la commande mc et exécutons Midnight Commander :

Configuration d'un serveur de site à site sur un NAS Synology OpenVPN

Ensuite, allez dans le répertoire /var/packages/VPNCenter/etc/openvpn/ et recherchez le fichier openvpn.conf :

Configuration d'un serveur de site à site sur un NAS Synology OpenVPN

Selon la tâche, nous devons connecter 2 sous-réseaux distants. Pour ce faire, nous créons des comptes sur le NAS via DSM 2 avec des droits limités sur tous les services NAS et donnons accès uniquement à la connexion VPN dans les paramètres du serveur VPN. Pour chaque client, nous devons configurer une IP statique allouée par le serveur VPN et acheminer via ce trafic IP du sous-réseau du serveur VPN vers le sous-réseau VPN du client.

Contexte:

Sous-réseau du serveur VPN : 192.168.1.0/24.
Le pool d'adresses du serveur OpenVPN est 10.8.0.0/24. Le serveur OpenVPN lui-même reçoit l'adresse 10.8.0.1.
Sous-réseau VPN client 1 (utilisateur VPN) : 192.168.10.0/24, devrait obtenir une adresse statique 10.8.0.5 sur le serveur OpenVPN
Sous-réseau du client VPN 2 (utilisateur VPN-GUST) : 192.168.5.0/24, devrait obtenir une adresse statique 10.8.0.4 sur le serveur OpenVPN

Dans le répertoire des paramètres, créez un dossier ccd et créez des fichiers de paramètres avec des noms correspondant aux connexions des utilisateurs.

Configuration d'un serveur de site à site sur un NAS Synology OpenVPN

Pour l'utilisateur VPN, écrivez les paramètres suivants dans le fichier :

Configuration d'un serveur de site à site sur un NAS Synology OpenVPN

Pour l'utilisateur VPN-GUST, écrivez ce qui suit dans le fichier :

Configuration d'un serveur de site à site sur un NAS Synology OpenVPN

Il ne reste plus qu'à ajuster la configuration du serveur OpenVPN - ajouter un paramètre de lecture des paramètres client et ajouter le routage sur les sous-réseaux clients :

Configuration d'un serveur de site à site sur un NAS Synology OpenVPN

Dans la capture d'écran ci-dessus, les 2 premières lignes de la configuration sont configurées à l'aide de l'interface DSM (en cochant l'option "Autoriser les clients à accéder au réseau local du serveur" dans les paramètres du serveur OpenVPN).

La ligne ccd client-config-dir spécifie que les paramètres client se trouvent dans le dossier ccd.

Ensuite, 2 lignes de configuration ajoutent des routes vers les sous-réseaux clients via les passerelles OpenVPN correspondantes.

Enfin, la topologie du sous-réseau doit être appliquée pour fonctionner correctement.
Nous ne touchons pas à tous les autres paramètres du fichier.

Après avoir prescrit les paramètres, n'oubliez pas de redémarrer le service VPN Server dans le gestionnaire de packages. Sur les hôtes ou la passerelle pour les hôtes du sous-réseau du serveur, enregistrez les routes vers les sous-réseaux clients via le NAS.
Dans mon cas, la passerelle pour tous les hôtes du sous-réseau dans lequel se trouve le NAS (son IP 192.168.1.3) était le routeur (192.168.1.1). Sur ce routeur, j'ai ajouté des entrées de routage pour les réseaux 192.168.5.0/24 et 192.168.10.0/24 à la passerelle 192.168.1.3 (NAS) dans la table de routage statique.

N'oubliez pas qu'avec le pare-feu activé sur le NAS, vous devrez également le configurer. De plus, un pare-feu peut être activé côté client, qui devra également être configuré.

PS. Je ne suis pas un professionnel des technologies réseaux et notamment du travail avec OpenVPN, je partage simplement mon expérience et publie les réglages que j'ai effectués, qui m'ont permis de configurer la communication de site à site entre sous-réseaux. Peut-être existe-t-il un réglage plus simple et/ou correct, je ne serai heureux que si vous partagez votre expérience dans les commentaires.

Source: habr.com