Ola a todos!
Sei que se fixeron moitos temas coa configuración de OpenVPN. Non obstante, eu mesmo atopeime co feito de que, en principio, non hai información sistemática sobre o tema da cabeceira e decidín compartir a miña experiencia principalmente con aqueles que non son gurús na administración de OpenVPN, pero quererían conseguir conexións remotas. subredes do tipo sitio a sitio no NAS Synology. Ao mesmo tempo, deixa unha nota para ti como recordo.
Entón. Teño un Synology DS918+ NAS co paquete VPN Server instalado, configurado con OpenVPN e usuarios que se poden conectar ao servidor VPN. Non entrarei nos detalles da configuración do servidor na interface DSM (portal web do servidor NAS). Esta información está dispoñible no sitio web do fabricante.
O problema é que a interface DSM (a partir da versión 6.2.3 da data de publicación) ten un número limitado de opcións para xestionar o servidor OpenVPN. No noso caso, é necesario un esquema de conexión de sitio a sitio, é dicir. Os hosts da subrede do cliente VPN deben ver os hosts da subrede do servidor VPN e viceversa. A configuración predeterminada dispoñible no NAS permítelle configurar o acceso só desde hosts de subrede de cliente VPN ata hosts de subrede de servidor VPN.
Para configurar o acceso ás subredes do cliente VPN desde a subrede do servidor VPN, necesitamos iniciar sesión no NAS mediante SSH e configurar manualmente o ficheiro de configuración do servidor OpenVPN.
Para editar ficheiros no NAS a través de SSH, é máis cómodo para min usar Midnight Commander. Para iso, conectei a fonte no Centro de paquetes e instalou o paquete Midnight Commander.
Inicie sesión mediante SSH no NAS cunha conta con dereitos de administrador.
Escribimos sudo su e volvemos especificar o contrasinal do administrador:
Escribimos o comando mc e executamos Midnight Commander:
A continuación, vai ao directorio /var/packages/VPNCenter/etc/openvpn/ e busca o ficheiro openvpn.conf:
Segundo a tarefa, necesitamos conectar 2 subredes remotas. Para iso, creamos contas no NAS a través de DSM 2 con dereitos limitados a todos os servizos NAS e damos acceso só á conexión VPN na configuración do servidor VPN. Para cada cliente, necesitamos configurar unha IP estática asignada polo servidor VPN e dirixir a través deste tráfico IP desde a subrede do servidor VPN ata a subrede VPN do cliente.
Datos iniciais:
Subrede do servidor VPN: 192.168.1.0/24.
O grupo de enderezos do servidor OpenVPN é 10.8.0.0/24. O propio servidor OpenVPN recibe o enderezo 10.8.0.1.
Subrede VPN do cliente 1 (usuario VPN): 192.168.10.0/24, debería obter un enderezo estático 10.8.0.5 no servidor OpenVPN
Subrede VPN do cliente 2 (usuario VPN-GUST): 192.168.5.0/24, debería obter un enderezo estático 10.8.0.4 no servidor OpenVPN
No directorio de configuración, cree un cartafol ccd e cree ficheiros de configuración cos nomes correspondentes aos inicios de sesión dos usuarios.
Para o usuario VPN, escriba a seguinte configuración no ficheiro:
Para o usuario VPN-GUST, escriba o seguinte no ficheiro:
Só queda axustar a configuración do servidor OpenVPN: engade un parámetro para ler a configuración do cliente e engade o enrutamento nas subredes do cliente:
Na captura de pantalla anterior, as 2 primeiras liñas da configuración configúranse mediante a interface DSM (marcando a opción "Permitir que os clientes accedan á rede local do servidor" na configuración do servidor OpenVPN).
A liña client-config-dir ccd especifica que a configuración do cliente está no cartafol ccd.
A continuación, 2 liñas de configuración engaden rutas ás subredes de clientes a través das pasarelas OpenVPN correspondentes.
Finalmente, a topoloxía da subrede debe aplicarse para que funcione correctamente.
Non tocamos todas as outras opcións do ficheiro.
Despois de prescribir a configuración, non esqueza reiniciar o servizo do servidor VPN no xestor de paquetes. Nos hosts ou na pasarela para os hosts da subrede do servidor, rexistre as rutas ás subredes do cliente a través do NAS.
No meu caso, a pasarela de todos os hosts da subrede na que se atopa o NAS (a súa IP 192.168.1.3) era o router (192.168.1.1). Neste enrutador, engadín entradas de enrutamento para redes 192.168.5.0/24 e 192.168.10.0/24 á pasarela 192.168.1.3 (NAS) na táboa de rutas estáticas.
Non esquezas que co firewall activado no NAS, terás que configuralo tamén. Ademais, pódese habilitar un firewall no lado do cliente, que tamén terá que ser configurado.
PD. Non son un profesional en tecnoloxías de rede e, en particular, no traballo con OpenVPN, só comparto a miña experiencia e publico a configuración que fixen, o que me permitiu configurar a comunicación entre subredes de sitio a sitio. Quizais exista unha configuración máis sinxela e/ou correcta, só me alegrarei se compartes a túa experiencia nos comentarios.
Fonte: www.habr.com