Hej alla!
Jag vet att många ämnen med OpenVPN-inställningar har gjorts. Men jag stötte själv på det faktum att det i princip inte finns någon systematisk information om rubrikens ämne och bestämde mig för att dela min erfarenhet i första hand med dem som inte är gurus i administrationen av OpenVPN, men som vill uppnå anslutning av fjärransluten subnät av typen plats-till-plats på NAS Synology. Lämna samtidigt en lapp till dig själv som en minnessak.
Så. Jag har en Synology DS918+ NAS med VPN-serverpaketet installerat, konfigurerat med OpenVPN och användare som kan ansluta till VPN-servern. Jag kommer inte att gå in på detaljerna för att ställa in servern i DSM-gränssnittet (NAS-serverns webbportal). Denna information finns tillgänglig på tillverkarens webbplats.
Problemet är att DSM-gränssnittet (per publiceringsdatum version 6.2.3) har ett begränsat antal inställningar för att hantera OpenVPN-servern. I vårt fall krävs ett plats-till-plats-anslutningsschema, d.v.s. VPN-klient-undernätvärdar måste se VPN-serverundernätvärdar och vice versa. Standardinställningarna som är tillgängliga på NAS tillåter dig att endast konfigurera åtkomst från VPN-klient-undernätvärdar till VPN-serverundernätvärdar.
För att konfigurera åtkomst till VPN-klientundernät från VPN-serverundernätet måste vi logga in på NAS:en via SSH och konfigurera OpenVPN-serverns konfigurationsfil manuellt.
För att redigera filer på NAS via SSH är det bekvämare för mig att använda Midnight Commander. För att göra detta kopplade jag källan i Package Center och installerade Midnight Commander-paketet.
Logga in via SSH till NAS under ett konto med administratörsrättigheter.
Vi skriver sudo su och anger administratörslösenordet igen:
Vi skriver kommandot mc och kör Midnight Commander:
Gå sedan till katalogen /var/packages/VPNCenter/etc/openvpn/ och hitta filen openvpn.conf:
Enligt uppgiften måste vi ansluta 2 fjärrundernät. För att göra detta skapar vi konton på NAS:en genom DSM 2 med begränsade rättigheter till alla NAS-tjänster och ger endast åtkomst till VPN-anslutningen i VPN-serverinställningarna. För varje klient måste vi konfigurera en statisk IP som tilldelas av VPN-servern och dirigera genom denna IP-trafik från VPN-serverns undernät till klientens VPN-undernät.
Initial data:
VPN-serverundernät: 192.168.1.0/24.
Adresspoolen för OpenVPN-servern är 10.8.0.0/24. Själva OpenVPN-servern får adressen 10.8.0.1.
Klient 1 VPN-undernät (VPN-användare): 192.168.10.0/24, bör få en statisk adress 10.8.0.5 på OpenVPN-servern
Klient 2 VPN-undernät (VPN-GUST-användare): 192.168.5.0/24, bör få en statisk adress 10.8.0.4 på OpenVPN-servern
Skapa en ccd-mapp i inställningskatalogen och skapa inställningsfiler med namn som motsvarar användarinloggningar.
För VPN-användaren, skriv följande inställningar i filen:
För VPN-GUST-användaren, skriv följande i filen:
Det återstår bara att justera konfigurationen av OpenVPN-servern - lägg till en parameter för att läsa klientinställningar och lägg till routing på klientundernät:
I skärmdumpen ovan konfigureras de två första raderna i konfigurationen med DSM-gränssnittet (kryss i rutan "Tillåt klienter att komma åt serverns lokala nätverk" i OpenVPN-serverinställningarna).
Raden client-config-dir ccd anger att klientinställningarna finns i ccd-mappen.
Därefter lägger två konfigurationslinjer till rutter till klientundernät genom motsvarande OpenVPN-gateways.
Slutligen måste subnätstopologin tillämpas för att fungera korrekt.
Vi rör inte alla andra inställningar i filen.
Glöm inte att starta om VPN-servertjänsten i pakethanteraren efter att ha skrivit inställningarna. På värdarna eller gatewayen för värdarna för serverundernätet, registrera rutter till klientundernäten via NAS:en.
I mitt fall var gatewayen för alla värdar på subnätet där NAS:en finns (dess IP 192.168.1.3) routern (192.168.1.1). På den här routern lade jag till routingposter till den statiska rutttabellen för nätverk 192.168.5.0/24 och 192.168.10.0/24 till gateway 192.168.1.3 (NAS).
Glöm inte att med brandväggen aktiverad på NAS:en måste du också konfigurera den. Dessutom kan en brandvägg aktiveras på klientsidan, som också måste konfigureras.
PS. Jag är inte en professionell inom nätverksteknik och i synnerhet när det gäller att arbeta med OpenVPN, jag delar bara med mig av min erfarenhet och publicerar inställningarna som jag gjorde, vilket gjorde att jag kunde konfigurera plats-till-plats-kommunikation mellan undernät. Kanske finns det en enklare och / eller korrekt inställning, jag blir bara glad om du delar din upplevelse i kommentarerna.
Källa: will.com