Hello qof walba!
Знаю, что тем с настройками OpenVPN Wax badan ayaa la qabtay. Si kastaba ha ahaatee, shaqsi ahaan waxaan la kulmay la'aanta macluumaad nidaamsan oo ku saabsan mowduuca cinwaanka, waxaana go'aansaday inaan khibradeyda la wadaago kuwa aan ahayn khubarada maamulka. OpenVPN, но хотел бы добиться подключения удаленных подсетей по типу site-to-site на NAS Synology. Заодно и для себя заметку оставить на память.
Marka, waxaan haystaa Synology DS918+ NAS oo xirmada lagu rakibay. VPN Server, настроенным OpenVPN и пользователями, которые могут коннектиться к VPN серверу. Не буду вдаваться в подробности настройки сервера в интерфейсе DSM (веб портал NAS сервера). Эта информация есть на сайте производителя.
Проблема в том, что интерфейс DSM (на дату публикации версия 6.2.3) имеет ограниченное количество настроек для управления OpenVPN сервером. В нашем случае требуется схема соединения по типу site-to-site, т.е. хосты подсети клиента VPN должны видеть хосты подсети VPN сервера и наоборот. Типовые настройки, доступные на NAS, позволяют настроить доступ только от хостов подсети клиента VPN до хостов подсети сервера VPN.
Для настройки доступа к подсетям клиентов VPN из подсети VPN сервера нам понадобится зайти на NAS через SSH и настроить файл конфигурации OpenVPN сервера вручную.
Si aad u saxdo faylasha NAS iyada oo loo marayo SSH, waxaa aad iigu habboon in aan isticmaalo Taliyaha Midnight. Si tan loo sameeyo, waxaan ku xidhay isha ku jirta Xarunta Xidhmada wuxuuna rakibay xirmada Taliyaha Saqda dhexe.
Ka gal SSH si aad NAS u gasho akoon leh xuquuqda maamulaha.
Waxaan ku qor sudo su oo mar labaad caddee furaha maamulaha:
Waxaan ku qornaa amarka mc waxaana ku wadnaa Taliye Midnight:
Marka xigta, tag /var/packages/VPNCenter/etc/openvpn/ directory oo hel faylka openvpn.conf:
Marka loo eego hawshu, waxaan u baahanahay inaan ku xirno 2 subnets fog. Si tan loo sameeyo, waxaan ka abuurnaa xisaabaadka NAS iyada oo loo marayo DSM 2 oo leh xuquuq xaddidan dhammaan adeegyada NAS oo aan siino marin u helka VPN-ka oo keliya ee goobaha Server-ka VPN. Macmiil kasta, waxaan u baahanahay inaan u habeyno IP taagan oo uu qoondeeyay serverka VPN iyo dariiqa taraafikadan IP-ga ee ka imaanaya server-ka VPN-ka hoose ee macmiilka VPN.
Xogta hore:
Shabakada hoose ee serverka VPN: 192.168.1.0/24.
Пул адресов OpenVPN сервера 10.8.0.0/24. Сам OpenVPN сервер получает адрес 10.8.0.1.
Подсеть VPN клиента 1 (пользователь VPN): 192.168.10.0/24, должен получать на OpenVPN сервере статичный адрес 10.8.0.5
Подсеть VPN клиента 2 (пользователь VPN-GUST): 192.168.5.0/24, должен получать на OpenVPN сервере статичный адрес 10.8.0.4
Buugga dejinta, samee gal cd oo samee faylal habayn leh magacyo u dhigma galitaanka isticmaale.
Isticmaalaha VPN, ku qor dejinta soo socota faylka:
Isticmaalaha VPN-GUST, ku qor waxa soo socda faylka:
Остаётся только поднастроить конфигурацию OpenVPN сервера — добавить параметр для чтения настроек клиентов и добавить роутинги на подсети клиентов:
В приведенном скриншоте первые 2 строчки конфига настраиваются с помощью интерфейса DSM (простановка галки на параметре «Разрешить клиентам осуществлять доступ к локальной сети сервера» в настройках OpenVPN сервера).
Xariiqda macmiilka-config-dir ccd waxay qeexaysaa in dejinta macmiilku ay ku jiraan galka cd-ga.
Далее 2 строки настройки добавляют роуты на подсети клиентов через соответствующие шлюзы OpenVPN.
Ugu dambeyntii, topology-ga subnet-ka waa in lagu dabaqaa si uu si sax ah u shaqeeyo.
Ma taaban dhammaan goobaha kale ee faylka ku jira.
Ka dib markaad qorto goobaha, ha ilaawin inaad dib u bilowdo adeegga VPN Server ee maareeyaha xirmada. Dhinaca martida loo yahay ama albaabka laga galo martigeliyayaasha subnetka server-ka, iska diwaangeli dariiqyada macmiilka hoose ee NAS.
Xaaladeyda, albaabka dhammaan martigeliyayaasha ku jira subnet-ka uu NAS ku yaal (IP 192.168.1.3) wuxuu ahaa router (192.168.1.1). Router-kan, waxaan ku daray gelitaanka marinka shabakadaha 192.168.5.0/24 iyo 192.168.10.0/24 ilaa albaabka 192.168.1.3 (NAS) ee miiska wadada taagan.
Ha iloobin in dab-damiska uu ku shaqaynayo NAS, waxaad u baahan doontaa inaad sidoo kale habayso. Intaa waxaa dheer, dab-damiska ayaa loo kicin karaa dhinaca macmiilka, kaas oo sidoo kale u baahan doona in la habeeyo.
ПС. Я не являюсь профессионалом в сетевых технологиях и в частности в работе с OpenVPN, просто делюсь своим опытом и публикую настройки, которые я сделал, позволившие настроить связь между подсетями по типу site-to-site. Возможно есть и более простая и/или правильная настройка, буду только рад, если поделитесь опытом в комментариях.
Source: www.habr.com
