Всім привіт!
Знаю, що тим із налаштуваннями OpenVPN зроблено безліч. Однак, сам зіткнувся з тим, що систематизованої інформації на тему заголовка в принципі немає і вирішив поділитися досвідом насамперед з тими, хто не є гуру в адмініструванні OpenVPN, але хотів би домогтися підключення віддалених підмереж на кшталт site-to-site на NAS Synology. Заодно і собі замітку залишити на згадку.
Отже. Є NAS Synology DS918+ із встановленим пакетом VPN Server, налаштованим OpenVPN та користувачами, які можуть коннектуватися до VPN серверу. Не буду вдаватися до подробиць налаштування сервера в інтерфейсі DSM (веб портал NAS сервера). Ця інформація є на сайті виробника.
Проблема в тому, що інтерфейс DSM (на дату публікації версія 6.2.3) має обмежену кількість налаштувань для керування сервером OpenVPN. У разі потрібно схема з'єднання типу site-to-site, тобто. хости підмережі клієнта VPN повинні бачити хости підмережі VPN сервера і навпаки. Типові налаштування, доступні на NAS, дозволяють налаштувати доступ лише від хостів підмережі клієнта VPN до хостів підмережі сервера VPN.
Для налаштування доступу до підмереж клієнтів VPN з підмережі VPN сервера нам знадобиться зайти на NAS через SSH і налаштувати файл конфігурації OpenVPN сервера вручну.
Для редагування файлів на NAS SSH мені зручніше користуватися Midnight Commander. Для цього я в Центрі пакетів підключив джерело та встановив пакет Midnight Commander.
Заходимо по SSH на NAS під обліком з правами адміністратора.
Набираємо sudo su і ще раз вказуємо пароль адміністратора:
Набираємо команду mc і запускаємо Midnight Commander:
Далі переходимо до каталогу /var/packages/VPNCenter/etc/openvpn/ та знаходимо файл openvpn.conf:
За завданням нам необхідно підключити 2 віддалені підмережі. Для цього заводимо через DSM 2 облікові записи на NAS з обмеженими правами на всі служби NAS і видаємо доступ тільки на підключення VPN в налаштуваннях VPN Server. Для кожного клієнта нам потрібно налаштувати статичний IP, що виділяється VPN сервером і роутинг через цей IP трафіку з підмережі VPN сервера на підмережу VPN клієнта.
Вихідні дані:
Підмережа VPN сервера: 192.168.1.0/24.
Пул адрес OpenVPN сервера 10.8.0.0/24. Сам OpenVPN сервер отримує адресу 10.8.0.1.
Підсіть VPN клієнта 1 (користувач VPN): 192.168.10.0/24, повинен отримувати на OpenVPN сервері статичну адресу 10.8.0.5
Підсіть VPN клієнта 2 (користувач VPN-GUST): 192.168.5.0/24, повинен отримувати на OpenVPN сервері статичну адресу 10.8.0.4
У каталозі налаштувань створюємо папку ccd і її створюємо файли налаштувань із назвами, що відповідають логінам користувачів.
Для користувача VPN у файлі прописуємо наступні налаштування:
Для користувача VPN-GUST у файлі прописуємо наступні:
Залишається лише настроїти конфігурацію OpenVPN сервера - додати параметр для читання налаштувань клієнтів і додати роутинги на підмережі клієнтів:
У наведеному скріншоті перші 2 рядки конфігу налаштовуються за допомогою інтерфейсу DSM (проставлення галки на параметрі "Дозволити клієнтам здійснювати доступ до локальної мережі сервера" в налаштуваннях OpenVPN сервера).
Рядок client-config-dir ccd вказує, що налаштування клієнтів знаходяться в папці ccd.
Далі 2 рядки налаштування додають роути на підмережі клієнтів через відповідні шлюзи OpenVPN.
І нарешті, для правильної роботи необхідно застосувати топологію subnet.
Всі інші параметри у файлі не чіпаємо.
Після прописування налаштувань не забуваємо перезавантажити сервіс VPN Server у менеджері пакетів. На хостах або шлюзі для хостів підмережі сервера прописати роути на підмережі клієнтів через NAS.
У моєму випадку шлюзом для всіх хостів підмережі, в якій знаходиться NAS (його IP 192.168.1.3), виступав роутер (192.168.1.1). На цьому роутері я додав у статичну таблицю маршрутів запису маршрутизації для мереж 192.168.5.0/24 та 192.168.10.0/24 на шлюз 192.168.1.3 (NAS).
Не забуваймо, що при увімкненому брандмауері на NAS необхідно буде налаштувати його. Плюс на стороні клієнта може бути включений брандмауер, який так само потрібно буде налаштувати.
ПС. Я не професіонал у мережевих технологіях і зокрема в роботі з OpenVPN, просто ділюся своїм досвідом і публікую налаштування, які я зробив, що дозволили налаштувати зв'язок між підмережами на кшталт site-to-site. Можливо є і простіша та/або правильне налаштування, буду тільки радий, якщо поділіться досвідом у коментарях.
Джерело: habr.com