Ahoj všetci!
Viem, že bolo vytvorených veľa tém s nastaveniami OpenVPN. Sám som sa však stretol s tým, že k téme hlavičky v zásade neexistujú žiadne systematické informácie a rozhodol som sa podeliť o svoje skúsenosti predovšetkým s tými, ktorí nie sú gurumi v administrácii OpenVPN, no chceli by dosiahnuť pripojenie vzdialeného podsiete typu site-to-site na NAS Synology. Zároveň si nechajte odkaz pre seba na pamiatku.
Takže. Mám NAS Synology DS918+ s nainštalovaným balíkom VPN Server, nakonfigurovaným s OpenVPN a používateľmi, ktorí sa môžu pripojiť k serveru VPN. Nebudem zachádzať do detailov nastavenia servera v rozhraní DSM (webový portál NAS servera). Tieto informácie sú dostupné na webovej stránke výrobcu.
Problém je v tom, že rozhranie DSM (k dátumu vydania verzia 6.2.3) má obmedzený počet nastavení na správu servera OpenVPN. V našom prípade je potrebná schéma pripojenia site-to-site, t.j. Hostitelia podsiete klienta VPN musia vidieť hostiteľov podsiete servera VPN a naopak. Predvolené nastavenia dostupné na NAS vám umožňujú konfigurovať prístup iba z hostiteľov podsiete klienta VPN k hostiteľom podsiete servera VPN.
Ak chcete nakonfigurovať prístup k podsieťam klienta VPN z podsiete servera VPN, musíme sa prihlásiť do NAS cez SSH a manuálne nakonfigurovať konfiguračný súbor servera OpenVPN.
Na úpravu súborov na NAS cez SSH je pre mňa pohodlnejšie použiť Midnight Commander. Aby som to urobil, pripojil som zdroj v Centre balíkov a nainštalovali balík Midnight Commander.
Prihláste sa cez SSH na NAS pod účtom s administrátorskými právami.
Zadáme sudo su a znova zadáme heslo správcu:
Zadáme príkaz mc a spustíme Midnight Commander:
Ďalej prejdite do adresára /var/packages/VPNCenter/etc/openvpn/ a nájdite súbor openvpn.conf:
Podľa úlohy potrebujeme pripojiť 2 vzdialené podsiete. Aby sme to dosiahli, vytvárame účty na NAS prostredníctvom DSM 2 s obmedzenými právami na všetky služby NAS a poskytujeme prístup iba k pripojeniu VPN v nastaveniach servera VPN. Pre každého klienta musíme nakonfigurovať statickú IP pridelenú serverom VPN a smerovať cez túto IP prevádzku z podsiete servera VPN do podsiete VPN klienta.
Počiatočné údaje:
Podsieť servera VPN: 192.168.1.0/24.
Fond adries servera OpenVPN je 10.8.0.0/24. Samotný OpenVPN server dostane adresu 10.8.0.1.
Podsieť VPN klienta 1 (používateľ VPN): 192.168.10.0/24, mala by získať statickú adresu 10.8.0.5 na serveri OpenVPN
Podsieť VPN klienta 2 (používateľ VPN-GUST): 192.168.5.0/24, mala by získať statickú adresu 10.8.0.4 na serveri OpenVPN
V adresári nastavení vytvorte priečinok ccd a vytvorte súbory nastavení s názvami zodpovedajúcimi prihláseniam používateľov.
Pre používateľa VPN zapíšte do súboru nasledujúce nastavenia:
Pre používateľa VPN-GUST napíšte do súboru nasledovné:
Zostáva iba upraviť konfiguráciu servera OpenVPN - pridať parameter na čítanie nastavení klienta a pridať smerovanie na podsiete klienta:
Na obrázku vyššie sú prvé 2 riadky konfigurácie nakonfigurované pomocou rozhrania DSM (začiarknutím možnosti „Povoliť klientom prístup k lokálnej sieti servera“ v nastaveniach servera OpenVPN).
Riadok client-config-dir ccd určuje, že nastavenia klienta sú v priečinku ccd.
Ďalej 2 konfiguračné riadky pridávajú trasy do klientskych podsietí cez zodpovedajúce brány OpenVPN.
Nakoniec, topológia podsiete musí byť použitá, aby fungovala správne.
Nedotýkame sa všetkých ostatných nastavení v súbore.
Po predpísaní nastavení nezabudnite reštartovať službu VPN Server v správcovi balíkov. Na hostiteľoch alebo bráne pre hostiteľov podsiete servera zaregistrujte trasy do klientskych podsietí cez NAS.
V mojom prípade bol bránou pre všetkých hostiteľov na podsieti, v ktorej sa NAS nachádza (jeho IP 192.168.1.3) smerovač (192.168.1.1). Na tomto routeri som pridal smerovacie položky pre siete 192.168.5.0/24 a 192.168.10.0/24 do brány 192.168.1.3 (NAS) v tabuľke statických smerovaní.
Nezabudnite, že ak je na NAS povolený firewall, budete ho musieť nakonfigurovať tiež. Okrem toho môže byť na strane klienta povolený firewall, ktorý bude tiež potrebné nakonfigurovať.
PS. Nie som profesionál v sieťových technológiách a najmä v práci s OpenVPN, len zdieľam svoje skúsenosti a zverejňujem nastavenia, ktoré som urobil, čo mi umožnilo nakonfigurovať komunikáciu medzi podsieťami. Možno existuje jednoduchšie a/alebo správne nastavenie, budem len rád, ak sa o svoje skúsenosti podelíte v komentároch.
Zdroj: hab.com