Hello everyone!
Ես գիտեմ, որ OpenVPN-ի կարգավորումներով շատ թեմաներ են արվել. Այնուամենայնիվ, ես ինքս հանդիպեցի այն փաստին, որ, սկզբունքորեն, չկա համակարգված տեղեկատվություն վերնագրի թեմայի վերաբերյալ և որոշեցի կիսվել իմ փորձով հիմնականում նրանց հետ, ովքեր գուրու չեն OpenVPN-ի վարչակազմում, բայց կցանկանային հասնել հեռահար կապի: Կայքից կայք տիպի ենթացանցեր NAS Synology-ում: Միևնույն ժամանակ, թողեք ձեզ համար որպես հուշագիր:
Այսպիսով. Ես ունեմ Synology DS918+ NAS՝ տեղադրված VPN Server փաթեթով, կազմաձևված OpenVPN-ով և օգտվողներ, ովքեր կարող են միանալ VPN սերվերին: Ես չեմ խորանա DSM ինտերֆեյսում սերվերի տեղադրման մանրամասներին (NAS սերվերի վեբ պորտալ): Այս տեղեկատվությունը հասանելի է արտադրողի կայքում:
Խնդիրն այն է, որ DSM ինտերֆեյսը (հրապարակման ամսաթվի դրությամբ 6.2.3 տարբերակ) ունի սահմանափակ թվով կարգավորումներ OpenVPN սերվերի կառավարման համար: Մեր դեպքում անհրաժեշտ է կայք-կայք կապի սխեմա, այսինքն. VPN հաճախորդի ենթացանցերի հոսթինգները պետք է տեսնեն VPN սերվերի ենթացանցային հոսթեր և հակառակը: ԳԱԱ-ում առկա լռելյայն կարգավորումները թույլ են տալիս կարգավորել մուտքը միայն VPN հաճախորդի ենթացանցային հոսթինգներից դեպի VPN սերվերի ենթացանցերի հոսթեր:
VPN սերվերի ենթացանցից VPN հաճախորդի ենթացանցերի մուտքը կարգավորելու համար մենք պետք է մուտք գործենք NAS SSH-ի միջոցով և ձեռքով կարգավորենք OpenVPN սերվերի կազմաձևման ֆայլը:
SSH-ի միջոցով NAS-ում ֆայլերը խմբագրելու համար ինձ համար ավելի հարմար է Midnight Commander-ի օգտագործումը։ Դա անելու համար ես աղբյուրը միացրել եմ Փաթեթի կենտրոնում և տեղադրեց Midnight Commander փաթեթը:
Մուտք գործեք SSH-ի միջոցով ԳԱԱ ադմինիստրատորի իրավունքներով հաշվում:
Մենք մուտքագրում ենք sudo su և կրկին նշում ենք ադմինիստրատորի գաղտնաբառը.
Մենք մուտքագրում ենք mc հրամանը և գործարկում Midnight Commander.
Հաջորդը, գնացեք /var/packages/VPNCenter/etc/openvpn/ գրացուցակ և գտեք openvpn.conf ֆայլը.
Ըստ առաջադրանքի՝ մենք պետք է միացնենք 2 հեռավոր ենթացանց։ Դա անելու համար մենք ստեղծում ենք հաշիվներ ԳԱԱ-ում DSM 2-ի միջոցով՝ սահմանափակ իրավունքներով ԳԱԱ-ի բոլոր ծառայությունների նկատմամբ և մուտք ենք տալիս միայն VPN կապին VPN սերվերի կարգավորումներում: Յուրաքանչյուր հաճախորդի համար մենք պետք է կազմաձևենք VPN սերվերի կողմից հատկացված ստատիկ IP և անցնենք այս IP տրաֆիկի միջոցով VPN սերվերի ենթացանցից մինչև հաճախորդի VPN ենթացանց:
Նախնական տվյալներ.
VPN սերվերի ենթացանց՝ 192.168.1.0/24:
OpenVPN սերվերի հասցեների լողավազանը 10.8.0.0/24 է: OpenVPN սերվերն ինքն է ստանում 10.8.0.1 հասցեն:
Հաճախորդ 1 VPN ենթացանց (VPN օգտվող): 192.168.10.0/24, պետք է ստանա ստատիկ հասցե 10.8.0.5 OpenVPN սերվերի վրա:
Հաճախորդ 2 VPN ենթացանց (VPN-GUST օգտվող). 192.168.5.0/24, պետք է ստանա ստատիկ հասցե 10.8.0.4 OpenVPN սերվերի վրա:
Կարգավորումների գրացուցակում ստեղծեք ccd թղթապանակ և ստեղծեք պարամետրերի ֆայլեր անուններով, որոնք համապատասխանում են օգտվողի մուտքերին:
VPN օգտագործողի համար ֆայլում գրեք հետևյալ կարգավորումները.
VPN-GUST օգտագործողի համար ֆայլում գրեք հետևյալը.
Մնում է միայն կարգավորել OpenVPN սերվերի կազմաձևումը. ավելացնել պարամետր հաճախորդի կարգավորումները կարդալու համար և ավելացնել երթուղիներ հաճախորդի ենթացանցերում.
Վերևի սքրինշոթում կազմաձևման առաջին 2 տողերը կազմաձևված են DSM ինտերֆեյսի միջոցով (OpenVPN սերվերի կարգավորումներում ստուգելով «Թույլատրել հաճախորդներին մուտք գործել սերվերի տեղական ցանց» տարբերակը):
Client-config-dir ccd տողը նշում է, որ հաճախորդի կարգավորումները գտնվում են ccd թղթապանակում:
Հաջորդը, 2 կազմաձևման տողերը երթուղիներ են ավելացնում հաճախորդների ենթացանցերին համապատասխան OpenVPN դարպասների միջոցով:
Ի վերջո, ենթացանցային տոպոլոգիան պետք է կիրառվի, որպեսզի ճիշտ աշխատի:
Մենք չենք շոշափում ֆայլի մյուս բոլոր կարգավորումները:
Պարամետրերը նշանակելուց հետո մի մոռացեք վերագործարկել VPN սերվերի ծառայությունը փաթեթների կառավարիչում: Հոսթերի կամ սերվերի ենթացանցերի հոսթերի դարպասների վրա գրանցեք երթուղիներ դեպի հաճախորդի ենթացանցեր NAS-ի միջոցով:
Իմ դեպքում, ենթացանցում գտնվող բոլոր հոսթների դարպասը, որում գտնվում է NAS-ը (նրա IP 192.168.1.3) երթուղիչն էր (192.168.1.1): Այս երթուղիչի վրա ես ավելացրել եմ 192.168.5.0/24 և 192.168.10.0/24 ցանցերի երթուղային մուտքերը ստատիկ երթուղու աղյուսակում 192.168.1.3 (NAS) դարպասին:
Մի մոռացեք, որ եթե firewall-ը միացված է NAS-ում, դուք նույնպես պետք է կարգավորեք այն: Բացի այդ, հաճախորդի կողմից կարելի է միացնել firewall-ը, որը նույնպես պետք է կազմաձևվի:
Հ.Գ. Ես ցանցային տեխնոլոգիաների և մասնավորապես OpenVPN-ի հետ աշխատելու մասնագետ չեմ, ես պարզապես կիսում եմ իմ փորձը և հրապարակում եմ իմ կատարած կարգավորումները, որոնք ինձ թույլ են տվել կարգավորել կայք-կայք հաղորդակցությունը ենթացանցերի միջև: Թերևս կա ավելի պարզ և (կամ) ճիշտ կարգավորում, ես միայն ուրախ կլինեմ, եթե կիսվեք ձեր փորձով մեկնաբանություններում:
Source: www.habr.com