Bună ziua tuturor!
Știu că s-au făcut o mulțime de subiecte cu setări OpenVPN. Cu toate acestea, eu însumi m-am confruntat cu faptul că, în principiu, nu există informații sistematice pe tema antetului și am decis să împărtășesc experiența mea în primul rând cu cei care nu sunt guru în administrarea OpenVPN, dar ar dori să realizeze conexiunea la distanță. subrețele de tip site-to-site pe NAS Synology. În același timp, lăsați o notă pentru dvs. ca amintire.
Asa de. Am un Synology DS918+ NAS cu pachetul VPN Server instalat, configurat cu OpenVPN și utilizatori care se pot conecta la serverul VPN. Nu voi intra în detalii despre configurarea serverului în interfața DSM (portal web server NAS). Aceste informații sunt disponibile pe site-ul producătorului.
Problema este că interfața DSM (de la data publicării, versiunea 6.2.3) are un număr limitat de setări pentru gestionarea serverului OpenVPN. În cazul nostru, este necesară o schemă de conectare de la site la site, de ex. Gazdele de subrețea client VPN trebuie să vadă gazdele de subrețea de server VPN și invers. Setările implicite disponibile pe NAS vă permit să configurați accesul numai de la gazde de subrețea client VPN la gazde de subrețea de server VPN.
Pentru a configura accesul la subrețelele client VPN din subrețeaua serverului VPN, trebuie să ne conectăm la NAS prin SSH și să configuram manual fișierul de configurare a serverului OpenVPN.
Pentru a edita fișiere de pe NAS prin SSH, este mai convenabil pentru mine să folosesc Midnight Commander. Pentru a face acest lucru, am conectat sursa în Centrul de pachete și a instalat pachetul Midnight Commander.
Conectați-vă prin SSH la NAS sub un cont cu drepturi de administrator.
Introducem sudo su și specificăm din nou parola de administrator:
Tastam comanda mc și rulăm Midnight Commander:
Apoi, accesați directorul /var/packages/VPNCenter/etc/openvpn/ și găsiți fișierul openvpn.conf:
Conform sarcinii, trebuie să conectăm 2 subrețele la distanță. Pentru a face acest lucru, creăm conturi pe NAS prin DSM 2 cu drepturi limitate la toate serviciile NAS și dăm acces doar la conexiunea VPN din setările Serverului VPN. Pentru fiecare client, trebuie să configuram un IP static alocat de serverul VPN și să direcționăm prin acest trafic IP de la subrețeaua serverului VPN la subrețeaua VPN a clientului.
Date inițiale:
Subrețea server VPN: 192.168.1.0/24.
Pool-ul de adrese al serverului OpenVPN este 10.8.0.0/24. Serverul OpenVPN însuși primește adresa 10.8.0.1.
Subrețea VPN client 1 (utilizator VPN): 192.168.10.0/24, ar trebui să obțină o adresă statică 10.8.0.5 pe serverul OpenVPN
Subrețea VPN client 2 (utilizator VPN-GUST): 192.168.5.0/24, ar trebui să obțină o adresă statică 10.8.0.4 pe serverul OpenVPN
În directorul de setări, creați un folder ccd și creați fișiere de setări cu nume corespunzătoare autentificărilor utilizatorilor.
Pentru utilizatorul VPN, scrieți următoarele setări în fișier:
Pentru utilizatorul VPN-GUST, scrieți următoarele în fișier:
Rămâne doar să ajustați configurația serverului OpenVPN - adăugați un parametru pentru citirea setărilor clientului și adăugați rutarea pe subrețelele client:
În captura de ecran de mai sus, primele 2 linii ale configurației sunt configurate folosind interfața DSM (bifând opțiunea „Permiteți clienților să acceseze rețeaua locală a serverului” din setările serverului OpenVPN).
Linia client-config-dir ccd specifică că setările clientului sunt în folderul ccd.
Apoi, 2 linii de configurare adaugă rute către subrețelele client prin gateway-urile OpenVPN corespunzătoare.
În cele din urmă, topologia de subrețea trebuie aplicată pentru a funcționa corect.
Nu atingem toate celelalte setări din fișier.
După prescrierea setărilor, nu uitați să reporniți serviciul VPN Server în managerul de pachete. Pe gazde sau poarta de acces pentru gazdele subrețelei de server, înregistrați rute către subrețelele client prin NAS.
În cazul meu, gateway-ul pentru toate gazdele de pe subrețeaua în care se află NAS (IP-ul său 192.168.1.3) a fost routerul (192.168.1.1). Pe acest router, am adăugat intrări de rutare pentru rețelele 192.168.5.0/24 și 192.168.10.0/24 la gateway-ul 192.168.1.3 (NAS) în tabelul de rute static.
Nu uitați că, cu firewall-ul activat pe NAS, va trebui să îl configurați și pe acesta. În plus, un firewall poate fi activat pe partea clientului, care va trebui, de asemenea, configurat.
PS. Nu sunt un profesionist în tehnologiile de rețea și în special în lucrul cu OpenVPN, doar îmi împărtășesc experiența și public setările pe care le-am făcut, ceea ce mi-a permis să configurez comunicarea site-to-site între subrețele. Poate că există o setare mai simplă și/sau corectă, mă voi bucura doar dacă vă împărtășiți experiența în comentarii.
Sursa: www.habr.com