Всем Привет!
Mwen konnen ke yon anpil nan tèm yo te fè ak anviwònman OpenVPN. Sepandan, mwen menm mwen te fè fas ak lefèt ke pa gen fondamantalman enfòmasyon sistematize sou sijè a nan tit la ak deside pataje eksperyans mwen prensipalman ak moun ki pa gourou nan administrasyon OpenVPN, men ki ta renmen reyalize koneksyon nan subnet aleka lè l sèvi avèk la. kalite sit-a-sit sou NAS Synology. An menm tan an, kite yon nòt pou tèt ou kòm yon souvenir.
Se konsa. Gen yon Synology DS918 + NAS ak pake sèvè VPN enstale, OpenVPN configuré ak itilizatè ki ka konekte ak sèvè VPN la. Mwen pa pral antre nan detay sou mete kanpe sèvè a nan koòdone nan DSM (NAS sèvè pòtal wèb). Enfòmasyon sa a disponib sou sit entènèt manifakti a.
Pwoblèm lan se ke koòdone DSM a (vèsyon 6.2.3 apati dat piblikasyon an) gen yon kantite limite nan anviwònman pou jere sèvè OpenVPN la. Nan ka nou an, yon konplo koneksyon nan kalite sit-a-sit obligatwa, i.e. hôtes sou sous-rés VPN kliyan an dwe wè hôtes sou sous-rés VPN sèvè a, ak vise versa. Anviwònman tipik ki disponib sou NAS la pèmèt ou konfigirasyon aksè sèlman soti nan tout pouvwa sou subnet kliyan VPN a ak tout pouvwa a sou subnet sèvè VPN la.
Pou konfigirasyon aksè nan sous-rezo kliyan VPN soti nan sous-rezo sèvè VPN, nou pral bezwen konekte nan NAS la atravè SSH epi konfigirasyon dosye a konfigirasyon sèvè OpenVPN manyèlman.
Pou modifye fichye sou NAS la atravè SSH, li pi bon pou mwen sèvi ak Midnight Commander. Pou fè sa, mwen konekte sous la nan Sant Pake epi enstale pake Midnight Commander la.
Nou konekte via SSH nan NAS la anba yon kont ki gen dwa administratè.
Tape sudo su epi presize modpas administratè a ankò:
Tape lòd mc a epi lanse Midnight Commander:
Apre sa, ale nan /var/packages/VPNCenter/etc/openvpn/ anyè epi jwenn fichye openvpn.conf la:
Dapre travay la, nou bezwen konekte 2 subnet aleka. Pou fè sa, nou kreye kont sou NAS a atravè DSM 2 ak dwa limite nan tout sèvis NAS epi nou bay aksè sèlman nan koneksyon VPN nan paramèt sèvè VPN yo. Pou chak kliyan, nou bezwen konfigirasyon yon IP estatik atribye ba pa sèvè VPN a ak routage trafik atravè IP sa a soti nan subnet sèvè VPN a nan subnet kliyan VPN.
Done inisyal:
Sou-rezo sèvè VPN: 192.168.1.0/24.
Pisin adrès sèvè OpenVPN 10.8.0.0/24. Sèvè OpenVPN li menm resevwa adrès 10.8.0.1.
Sou-rezo VPN kliyan 1 (itilizatè VPN): 192.168.10.0/24, dwe resevwa yon adrès estatik 10.8.0.5 sou sèvè OpenVPN.
Sou-rezo VPN kliyan 2 (VPN-GUST itilizatè): 192.168.5.0/24, dwe resevwa yon adrès estatik 10.8.0.4 sou sèvè OpenVPN.
Nan anyè anviwònman an, kreye katab ccd la epi kreye fichye paramèt ak non ki koresponn ak koneksyon itilizatè a.
Pou itilizatè VPN a, antre paramèt sa yo nan dosye a:
Pou itilizatè VPN-GUST, ekri sa ki annapre yo nan dosye a:
Tout sa ki rete se ajiste konfigirasyon sèvè OpenVPN la - ajoute yon paramèt pou li paramèt kliyan yo epi ajoute wout sou sous-rezo kliyan yo:
Nan Ekran ki pi wo a, 2 premye liy konfigirasyon yo konfigirasyon lè l sèvi avèk koòdone DSM (tcheke opsyon "Pèmèt kliyan jwenn aksè nan rezo lokal sèvè a" nan anviwònman sèvè OpenVPN).
Liy kliyan-config-dir ccd la endike ke paramèt kliyan yo sitiye nan katab ccd la.
Pwochen 2 liy konfigirasyon ajoute wout nan sous-rezo kliyan atravè pòtay OpenVPN korespondan yo.
Finalman, pou bon operasyon, ou bezwen sèvi ak yon topoloji subnet.
Nou pa manyen tout lòt paramèt nan dosye a.
Apre mete paramèt yo, pa bliye rekòmanse sèvis sèvè VPN nan manadjè pake a. Sou tout pouvwa a oswa pòtay pou tout pouvwa a nan subnet sèvè a, enskri wout nan subnet kliyan yo atravè NAS la.
Nan ka mwen an, pòtay la pou tout lame sou subnet kote NAS la sitiye (IP li se 192.168.1.3) se te routeur la (192.168.1.1). Sou routeur sa a, mwen te ajoute antre routage pou rezo 192.168.5.0/24 ak 192.168.10.0/24 nan pòtay 192.168.1.3 (NAS) nan tab wout estatik la.
Pa bliye ke si firewall la sou NAS la aktive, w ap bezwen konfigirasyon li tou. Anplis de sa, yon firewall ka pèmèt sou bò kliyan an, ki pral bezwen tou konfigirasyon.
PS. Mwen pa yon pwofesyonèl nan teknoloji rezo ak an patikilye nan travay ak OpenVPN, mwen tou senpleman pataje eksperyans mwen ak pibliye anviwònman yo ke mwen te fè, ki pèmèt mwen konfigirasyon kominikasyon sit-a-sit ant subnets. Petèt gen yon anviwònman ki pi senp ak/oswa kòrèk, mwen pral sèlman kontan si ou pataje eksperyans ou nan kòmantè yo.
Sous: www.habr.com