Поздрав свима!
Знам да је много тема направљено са ОпенВПН подешавањима. Међутим, и сам сам се суочио са чињеницом да у суштини не постоје систематизоване информације о теми наслова и одлучио сам да своје искуство поделим пре свега са онима који нису гуру у ОпенВПН администрацији, али би желели да остваре повезивање удаљених подмрежа користећи типа од локације до локације на НАС Синологи. Истовремено, оставите поруку себи за успомену.
Тако. Постоји Синологи ДС918+ НАС са инсталираним ВПН серверским пакетом, конфигурисаним ОпенВПН и корисницима који могу да се повежу на ВПН сервер. Нећу улазити у детаље подешавања сервера у ДСМ интерфејсу (веб портал НАС сервера). Ове информације су доступне на веб локацији произвођача.
Проблем је у томе што ДСМ интерфејс (верзија 6.2.3 од датума објављивања) има ограничен број подешавања за управљање ОпенВПН сервером. У нашем случају је потребна шема везе типа сајт-локација, тј. хостови на подмрежи ВПН клијента морају да виде хостове на подмрежи ВПН сервера, и обрнуто. Типична подешавања доступна на НАС-у вам омогућавају да конфигуришете приступ само са хостова на подмрежи ВПН клијента до хостова на подмрежи ВПН сервера.
Да бисмо конфигурисали приступ ВПН клијентским подмрежама из подмреже ВПН сервера, мораћемо да се пријавимо на НАС преко ССХ-а и ручно конфигуришемо датотеку за конфигурацију ОпенВПН сервера.
За уређивање датотека на НАС-у преко ССХ-а, згодније ми је да користим Миднигхт Цоммандер. Да бих то урадио, повезао сам извор у пакетном центру и инсталирао пакет Миднигхт Цоммандер.
Пријављујемо се преко ССХ на НАС под налогом са администраторским правима.
Откуцајте судо су и поново наведите администраторску лозинку:
Откуцајте команду мц и покрените Миднигхт Цоммандер:
Затим идите у директоријум /вар/пацкагес/ВНЦентер/етц/опенвпн/ и пронађите датотеку опенвпн.цонф:
Према задатку, потребно је да повежемо 2 удаљене подмреже. Да бисмо то урадили, креирамо налоге на НАС-у преко ДСМ-а 2 са ограниченим правима на све НАС услуге и дозвољавамо приступ само ВПН вези у подешавањима ВПН сервера. За сваког клијента морамо да конфигуришемо статичку ИП адресу коју додељује ВПН сервер и да усмеримо саобраћај кроз ову ИП адресу од подмреже ВПН сервера до подмреже ВПН клијента.
Почетни подаци:
Подмрежа ВПН сервера: 192.168.1.0/24.
Скуп адреса ОпенВПН сервера 10.8.0.0/24. Сам ОпенВПН сервер добија адресу 10.8.0.1.
ВПН клијент 1 подмрежа (ВПН корисник): 192.168.10.0/24, мора добити статичку адресу 10.8.0.5 на ОпенВПН серверу
ВПН клијент 2 подмрежа (ВПН-ГУСТ корисник): 192.168.5.0/24, мора добити статичку адресу 10.8.0.4 на ОпенВПН серверу
У директоријуму подешавања креирајте фасциклу ццд и креирајте датотеке са подешавањима са именима која одговарају корисничким пријавама.
За корисника ВПН-а, унесите следећа подешавања у датотеку:
За корисника ВПН-ГУСТ, напишите следеће у датотеци:
Остаје само да подесимо конфигурацију ОпенВПН сервера - додамо параметар за читање подешавања клијента и додамо рутирања клијентским подмрежама:
На горњој слици екрана, прве 2 линије конфигурације су конфигурисане помоћу ДСМ интерфејса (провера опције „Дозволи клијентима да приступе локалној мрежи сервера“ у подешавањима ОпенВПН сервера).
Линија цлиент-цонфиг-дир ццд означава да се подешавања клијента налазе у фасцикли ццд.
Затим, 2 линије конфигурације додају руте до клијентских подмрежа преко одговарајућих ОпенВПН мрежних пролаза.
Коначно, за правилан рад, потребно је да користите топологију подмреже.
Не додирујемо сва остала подешавања у датотеци.
Након подешавања подешавања, не заборавите да поново покренете услугу ВПН сервера у менаџеру пакета. На хостовима или гатеваи-у за хостове подмреже сервера, региструјте руте до клијентских подмрежа преко НАС-а.
У мом случају, мрежни пролаз за све хостове на подмрежи у којој се налази НАС (његов ИП је 192.168.1.3) био је рутер (192.168.1.1). На овом рутеру сам додао уносе рутирања за мреже 192.168.5.0/24 и 192.168.10.0/24 на мрежни пролаз 192.168.1.3 (НАС) у статичку табелу рута.
Не заборавите да ако је заштитни зид на НАС-у омогућен, мораћете и да га конфигуришете. Поред тога, заштитни зид може бити омогућен на страни клијента, који ће такође морати да се конфигурише.
ПС. Нисам професионалац у мрежним технологијама, а посебно у раду са ОпенВПН-ом, једноставно делим своје искуство и објављујем подешавања која сам направио, што ми је омогућило да конфигуришем комуникацију од локације до локације између подмрежа. Можда постоји једноставнија и/или исправна поставка, биће ми драго само ако поделите своје искуство у коментарима.
Извор: ввв.хабр.цом