Olá a todos!
Eu sei que existem temas com configurações. OpenVPN Muito já foi feito. No entanto, pessoalmente, deparei-me com a falta de informação sistematizada sobre o tema do título e decidi partilhar a minha experiência principalmente com aqueles que não são especialistas em administração. OpenVPNMas eu gostaria de obter conectividade site-to-site para sub-redes remotas em um NAS Synology. Gostaria também de anotar isso para mim.
Então, eu tenho um NAS Synology DS918+ com o pacote instalado. VPN Servidor configurado OpenVPN e usuários que podem se conectar ao servidor VPN. Não entrarei em detalhes sobre a configuração do servidor na interface DSM (o portal web do servidor NAS). Essas informações estão disponíveis no site do fabricante.
O problema é que a interface DSM (versão 6.2.3 na data de publicação) possui um número limitado de configurações para gerenciamento. OpenVPN servidor. No nosso caso, é necessária uma conexão site-to-site, o que significa que os hosts na sub-rede do cliente VPN devem ser capazes de ver os hosts na sub-rede do servidor VPN e vice-versa. As configurações padrão disponíveis no NAS permitem acesso apenas de hosts na sub-rede do cliente VPN para hosts na sub-rede do servidor VPN.
Para configurar o acesso às sub-redes do cliente VPN a partir da sub-rede do servidor VPN, precisaremos fazer login no NAS via SSH e configurar o arquivo de configuração. OpenVPN servidores manualmente.
Para editar arquivos no NAS via SSH, é mais conveniente para mim usar o Midnight Commander. Para fazer isso, conectei a fonte no Centro de Pacotes e instalei o pacote Midnight Commander.
Faça login via SSH no NAS em uma conta com direitos de administrador.
Digitamos sudo su e especificamos a senha do administrador novamente:
Digitamos o comando mc e executamos Midnight Commander:
Em seguida, vá para o diretório /var/packages/VPNCenter/etc/openvpn/ e localize o arquivo openvpn.conf:
De acordo com a tarefa, precisamos conectar 2 sub-redes remotas. Para fazer isso, criamos contas no NAS por meio do DSM 2 com direitos limitados a todos os serviços NAS e damos acesso apenas à conexão VPN nas configurações do servidor VPN. Para cada cliente, precisamos configurar um IP estático alocado pelo servidor VPN e rotear através desse tráfego IP da sub-rede do servidor VPN para a sub-rede VPN do cliente.
Linha de base:
Sub-rede do servidor VPN: 192.168.1.0/24.
Conjunto de endereços OpenVPN Servidor 10.8.0.0/24. Eu mesmo OpenVPN O servidor recebe o endereço 10.8.0.1.
Cliente VPN 1 (usuário VPN) sub-rede: 192.168.10.0/24, deve receber em OpenVPN O servidor possui um endereço estático 10.8.0.5.
Cliente VPN 2, sub-rede (usuário VPN-GUST): 192.168.5.0/24, deve receber em OpenVPN O servidor possui um endereço estático 10.8.0.4.
No diretório de configurações, crie uma pasta ccd e crie arquivos de configurações com nomes correspondentes aos logins dos usuários.
Para o usuário VPN, escreva as seguintes configurações no arquivo:
Para o usuário VPN-GUST, escreva o seguinte no arquivo:
Resta apenas ajustar a configuração. OpenVPN Servidores - adicionar um parâmetro para leitura das configurações do cliente e adicionar roteamento às sub-redes do cliente:
Na captura de tela fornecida, as duas primeiras linhas da configuração são configuradas usando a interface do DSM (marcando a caixa "Permitir que os clientes acessem a rede local do servidor" nas configurações). OpenVPN servidor).
A linha ccd client-config-dir especifica que as configurações do cliente estão na pasta ccd.
Em seguida, duas linhas de configuração adicionam rotas para sub-redes de clientes através dos gateways correspondentes. OpenVPN.
Finalmente, a topologia de sub-rede deve ser aplicada para funcionar corretamente.
Não tocamos em todas as outras configurações do arquivo.
Depois de definir as configurações, não se esqueça de reiniciar o serviço VPN Server no gerenciador de pacotes. Nos hosts ou no gateway para os hosts da sub-rede do servidor, registre as rotas para as sub-redes do cliente por meio do NAS.
No meu caso, o gateway para todos os hosts na sub-rede em que o NAS está localizado (seu IP 192.168.1.3) era o roteador (192.168.1.1). Neste roteador, adicionei entradas de roteamento para as redes 192.168.5.0/24 e 192.168.10.0/24 ao gateway 192.168.1.3 (NAS) na tabela de rotas estáticas.
Não esqueça que com o firewall habilitado no NAS, você precisará configurá-lo também. Além disso, um firewall pode ser ativado no lado do cliente, que também precisará ser configurado.
P.S.: Não sou profissional em tecnologias de rede e, em particular, não tenho experiência em trabalhar com... OpenVPNEstou simplesmente compartilhando minha experiência e publicando as configurações que utilizei para estabelecer comunicação site-to-site entre sub-redes. Talvez exista uma configuração mais simples e/ou correta, e ficaria feliz se vocês compartilhassem suas experiências nos comentários.
Fonte: habr.com
