ProHoster > blog > administratie > Een site-to-site-server opzetten op een Synology OpenVPN NAS

Een site-to-site-server opzetten op een Synology OpenVPN NAS

Hallo iedereen!

Ik weet dat er veel thema's zijn gemaakt met OpenVPN-instellingen. Ik werd echter zelf geconfronteerd met het feit dat er in principe geen gesystematiseerde informatie bestaat over het onderwerp van de titel en besloot mijn ervaring in de eerste plaats te delen met degenen die geen goeroe zijn in OpenVPN-beheer, maar graag verbinding willen maken met externe subnetten met behulp van de site-naar-site-type op NAS Synology. Laat tegelijkertijd een briefje voor uzelf achter als aandenken.

Dus. Er is een Synology DS918+ NAS waarop het VPN Server-pakket is geïnstalleerd, OpenVPN is geconfigureerd en gebruikers die verbinding kunnen maken met de VPN-server. Ik zal niet ingaan op details over het instellen van de server in de DSM-interface (NAS-serverwebportaal). Deze informatie is beschikbaar op de website van de fabrikant.

Het probleem is dat de DSM-interface (versie 6.2.3 vanaf de publicatiedatum) een beperkt aantal instellingen heeft voor het beheren van de OpenVPN-server. In ons geval is een verbindingsschema van het type site-to-site vereist, d.w.z. hosts op het subnet van de VPN-client moeten hosts op het subnet van de VPN-server zien, en omgekeerd. Met de typische instellingen die beschikbaar zijn op de NAS kunt u alleen de toegang configureren van hosts op het subnet van de VPN-client naar hosts op het subnet van de VPN-server.

Om de toegang tot VPN-clientsubnetten vanuit het VPN-serversubnet te configureren, moeten we via SSH inloggen op de NAS en het OpenVPN-serverconfiguratiebestand handmatig configureren.

Om via SSH bestanden op de NAS te bewerken, is het voor mij handiger om Midnight Commander te gebruiken. Om dit te doen, heb ik de bron in het Package Center aangesloten pakketten.synocommunity.com en installeerde het Midnight Commander-pakket.

Een site-to-site-server opzetten op een Synology OpenVPN NAS

We loggen via SSH in op de NAS onder een account met beheerdersrechten.

Een site-to-site-server opzetten op een Synology OpenVPN NAS

Typ sudo su en geef het beheerderswachtwoord opnieuw op:

Een site-to-site-server opzetten op een Synology OpenVPN NAS

Typ het mc-commando en start Midnight Commander:

Een site-to-site-server opzetten op een Synology OpenVPN NAS

Ga vervolgens naar de map /var/packages/VPNCenter/etc/openvpn/ en zoek het bestand openvpn.conf:

Een site-to-site-server opzetten op een Synology OpenVPN NAS

Volgens de taak moeten we 2 externe subnetten verbinden. Om dit te doen, maken we via DSM 2 accounts op de NAS aan met beperkte rechten op alle NAS-services en verlenen we alleen toegang tot de VPN-verbinding in de VPN Server-instellingen. Voor elke client moeten we een statisch IP-adres configureren dat is toegewezen door de VPN-server en verkeer via dit IP-adres routeren van het VPN-serversubnet naar het VPN-clientsubnet.

Initiële data:

Subnet van VPN-server: 192.168.1.0/24.
OpenVPN-serveradrespool 10.8.0.0/24. De OpenVPN-server zelf ontvangt het adres 10.8.0.1.
VPN-client 1 subnet (VPN-gebruiker): 192.168.10.0/24, moet een statisch adres 10.8.0.5 ontvangen op de OpenVPN-server
VPN-client 2 subnet (VPN-GUST-gebruiker): 192.168.5.0/24, moet een statisch adres 10.8.0.4 ontvangen op de OpenVPN-server

Maak in de instellingenmap de map ccd en maak instellingenbestanden met namen die overeenkomen met gebruikersaanmeldingen.

Een site-to-site-server opzetten op een Synology OpenVPN NAS

Voor de VPN-gebruiker voert u de volgende instellingen in het bestand in:

Een site-to-site-server opzetten op een Synology OpenVPN NAS

Voor de VPN-GUST-gebruiker schrijft u het volgende in het bestand:

Een site-to-site-server opzetten op een Synology OpenVPN NAS

Het enige dat overblijft is het aanpassen van de OpenVPN-serverconfiguratie - voeg een parameter toe voor het lezen van clientinstellingen en voeg routings toe aan clientsubnetten:

Een site-to-site-server opzetten op een Synology OpenVPN NAS

In de bovenstaande schermafbeelding zijn de eerste twee regels van de configuratie geconfigureerd met behulp van de DSM-interface (controleer de optie “Clients toegang geven tot het lokale netwerk van de server” in de OpenVPN-serverinstellingen).

De regel client-config-dir ccd geeft aan dat de clientinstellingen zich in de map ccd bevinden.

Vervolgens voegen twee configuratieregels routes toe aan clientsubnetten via de overeenkomstige OpenVPN-gateways.

Ten slotte moet u voor een goede werking een subnettopologie gebruiken.
Aan alle overige instellingen in het bestand komen wij niet toe.

Vergeet na het instellen van de instellingen niet de VPN Server-service opnieuw te starten in de pakketbeheerder. Registreer op de hosts of gateway voor de hosts van het serversubnet routes naar de clientsubnetten via de NAS.
In mijn geval was de gateway voor alle hosts op het subnet waarin de NAS zich bevindt (het IP-adres is 192.168.1.3) de router (192.168.1.1). Op deze router heb ik routeringsitems voor netwerken 192.168.5.0/24 en 192.168.10.0/24 naar gateway 192.168.1.3 (NAS) toegevoegd aan de statische routetabel.

Vergeet niet dat als de firewall op de NAS is ingeschakeld, u deze ook moet configureren. Bovendien kan er aan de clientzijde een firewall zijn ingeschakeld, die ook moet worden geconfigureerd.

PS. Ik ben geen professional op het gebied van netwerktechnologieën en in het bijzonder niet in het werken met OpenVPN. Ik deel eenvoudigweg mijn ervaringen en publiceer de instellingen die ik heb gemaakt, waardoor ik site-naar-site-communicatie tussen subnetten kon configureren. Misschien is er een eenvoudigere en/of correcte instelling, ik ben alleen maar blij als u uw ervaringen deelt in de opmerkingen.

Bron: www.habr.com