העלא אַלעמען!
Знаю, что тем с настройками OpenVPN א סך איז שוין געטאָן געוואָרן. אָבער, איך פּערזענלעך האָב זיך באַגעגנט מיטן מאַנגל אין סיסטעמאַטיזירטער אינפֿאָרמאַציע וועגן דעם טעמע פֿונעם טיטל, און איך האָב באַשלאָסן צו טיילן מײַן דערפֿאַרונג בפֿרט מיט די וואָס זענען נישט קיין אַדמיניסטראַציע־גורוס. OpenVPN, но хотел бы добиться подключения удаленных подсетей по типу site-to-site на NAS Synology. Заодно и для себя заметку оставить на память.
אַזוי, איך האָב אַ Synology DS918+ NAS מיטן פּאַקעט אינסטאַלירט. וופּן Server, настроенным OpenVPN и пользователями, которые могут коннектиться к VPN серверу. Не буду вдаваться в подробности настройки сервера в интерфейсе DSM (веб портал NAS сервера). Эта информация есть на сайте производителя.
Проблема в том, что интерфейс DSM (на дату публикации версия 6.2.3) имеет ограниченное количество настроек для управления OpenVPN сервером. В нашем случае требуется схема соединения по типу site-to-site, т.е. хосты подсети клиента VPN должны видеть хосты подсети VPN сервера и наоборот. Типовые настройки, доступные на NAS, позволяют настроить доступ только от хостов подсети клиента VPN до хостов подсети сервера VPN.
Для настройки доступа к подсетям клиентов VPN из подсети VPN сервера нам понадобится зайти на NAS через SSH и настроить файл конфигурации OpenVPN сервера вручную.
צו רעדאַגירן טעקעס אויף די NAS דורך SSH, עס איז מער באַקוועם פֿאַר מיר צו נוצן Midnight Commander. צו טאָן דאָס, איך קאָננעקטעד די מקור אין די פּעקל צענטער און אינסטאַלירן די מידנייט קאַמאַנדער פּעקל.
מיר קלאָץ אין דורך SSH צו די NAS אונטער אַ חשבון מיט אַדמיניסטראַטאָר רעכט.
טיפּ sudo su און ספּעציפיצירן די אַדמיניסטראַטאָר פּאַראָל ווידער:
טיפּ די mc באַפֿעל און קאַטער מידנייט קאַמאַנדער:
ווייַטער, גיין צו די /var/packages/VPNCenter/etc/openvpn/ וועגווייַזער און געפֿינען די openvpn.conf טעקע:
לויט די אַרבעט, מיר דאַרפֿן צו פאַרבינדן 2 ווייַט סובנעץ. צו טאָן דאָס, מיר מאַכן אַקאַונץ אויף די NAS דורך DSM 2 מיט לימיטעד רעכט צו אַלע NAS באַדינונגס און געבן אַקסעס בלויז צו די VPN פֿאַרבינדונג אין די VPN סערווירער סעטטינגס. פֿאַר יעדער קליענט, מיר דאַרפֿן צו קאַנפיגיער אַ סטאַטיק IP אַלאַקייטיד דורך די וופּן סערווער און רוטינג פאַרקער דורך דעם IP פון די וופּן סערווער סובנעט צו די וופּן קליענט סובנעט.
מקור דאַטן:
וופּן סערווער סובנעט: 192.168.1.0/24.
Пул адресов OpenVPN сервера 10.8.0.0/24. Сам OpenVPN сервер получает адрес 10.8.0.1.
Подсеть VPN клиента 1 (пользователь VPN): 192.168.10.0/24, должен получать на OpenVPN сервере статичный адрес 10.8.0.5
Подсеть VPN клиента 2 (пользователь VPN-GUST): 192.168.5.0/24, должен получать на OpenVPN сервере статичный адрес 10.8.0.4
אין די סעטטינגס וועגווייַזער, מאַכן די קקד טעקע און שאַפֿן סעטטינגס טעקעס מיט נעמען קאָראַספּאַנדינג צו באַניצער לאָגינס.
פֿאַר די VPN באַניצער, אַרייַן די פאלגענדע סעטטינגס אין דער טעקע:
פֿאַר די VPN-GUST באַניצער, שרייַבן די פאלגענדע אין דער טעקע:
Остаётся только поднастроить конфигурацию OpenVPN сервера — добавить параметр для чтения настроек клиентов и добавить роутинги на подсети клиентов:
В приведенном скриншоте первые 2 строчки конфига настраиваются с помощью интерфейса DSM (простановка галки на параметре «Разрешить клиентам осуществлять доступ к локальной сети сервера» в настройках OpenVPN сервера).
די שורה client-config-dir ccd ינדיקייץ אַז די קליענט סעטטינגס זענען ליגן אין די ccd טעקע.
Далее 2 строки настройки добавляют роуты на подсети клиентов через соответствующие шлюзы OpenVPN.
צום סוף, פֿאַר געהעריק אָפּעראַציע, איר דאַרפֿן צו נוצן אַ סובנעט טאַפּאַלאַדזשי.
מיר טאָן ניט פאַרבינדן אַלע אנדערע סעטטינגס אין דער טעקע.
נאָך באַשטעטיקן די סעטטינגס, טאָן ניט פאַרגעסן צו ריסטאַרט די VPN סערווירער דינסט אין די פּעקל פאַרוואַלטער. אויף די מחנות אָדער גייטוויי פֿאַר די מחנות פון די סערווער סובנעט, פאַרשרייַבן רוץ צו די קליענט סובנעץ דורך די נאַס.
אין מיין פאַל, די גייטוויי פֿאַר אַלע מחנות אויף די סובנעט אין וואָס די NAS איז ליגן (זיין IP איז 192.168.1.3) איז געווען דער ראַוטער (192.168.1.1). אויף דעם ראַוטער, איך צוגעגעבן רוטינג איינסן פֿאַר נעטוואָרקס 192.168.5.0/24 און 192.168.10.0/24 צו די גייטוויי 192.168.1.3 (NAS) צו די סטאַטיק מאַרשרוט טיש.
דו זאלסט נישט פאַרגעסן אַז אויב די פיירוואַל אויף די NAS איז ענייבאַלד, איר וועט אויך דאַרפֿן צו קאַנפיגיער עס. פּלוס, אַ פיירוואַל קען זיין ענייבאַלד אויף די קליענט זייַט, וואָס וועט אויך זיין קאַנפיגיערד.
ПС. Я не являюсь профессионалом в сетевых технологиях и в частности в работе с OpenVPN, просто делюсь своим опытом и публикую настройки, которые я сделал, позволившие настроить связь между подсетями по типу site-to-site. Возможно есть и более простая и/или правильная настройка, буду только рад, если поделитесь опытом в комментариях.
מקור: www.habr.com
