您好!
我知道已经有很多关于OpenVPN设置的话题了。 然而,我自己遇到的事实是,原则上没有关于标头主题的系统信息,因此决定主要与那些不是 OpenVPN 管理专家但希望实现远程连接的人分享我的经验。 NAS Synology 上站点到站点类型的子网。 同时,给自己留一张纸条作为纪念。
所以。 我有一台安装了 VPN Server 套件的 Synology DS918+ NAS,配置了 OpenVPN 以及可以连接到 VPN 服务器的用户。 我不会详细介绍在 DSM 界面(NAS 服务器门户网站)中设置服务器的细节。 该信息可在制造商的网站上找到。
问题是 DSM 界面(截至发布日期版本 6.2.3)用于管理 OpenVPN 服务器的设置数量有限。 在我们的例子中,需要一个站点到站点的连接方案,即VPN 客户端子网主机必须看到 VPN 服务器子网主机,反之亦然。 NAS 上可用的默认设置允许您配置仅从 VPN 客户端子网主机到 VPN 服务器子网主机的访问。
要配置从 VPN 服务器子网访问 VPN 客户端子网,我们需要通过 SSH 登录 NAS 并手动配置 OpenVPN 服务器配置文件。
如果要通过SSH编辑NAS上的文件,我使用Midnight Commander会更方便。 为此,我连接了软件包中心中的源 并安装了 Midnight Commander 软件包。
使用具有管理员权限的帐户通过 SSH 登录 NAS。
我们输入 sudo su 并再次指定管理员密码:
我们输入命令 mc 并运行 Midnight Commander:
接下来,进入 /var/packages/VPNCenter/etc/openvpn/ 目录并找到 openvpn.conf 文件:
根据任务,我们需要连接2个远程子网。 为此,我们通过 DSM 2 在 NAS 上创建帐户,对所有 NAS 服务具有有限的权限,并仅授予对 VPN 服务器设置中的 VPN 连接的访问权限。 对于每个客户端,我们需要配置一个由 VPN 服务器分配的静态 IP,并通过此 IP 流量从 VPN 服务器的子网路由到客户端的 VPN 子网。
背景:
VPN服务器子网:192.168.1.0/24。
OpenVPN服务器的地址池为10.8.0.0/24。 OpenVPN 服务器本身接收地址 10.8.0.1。
客户端 1 VPN 子网(VPN 用户):192.168.10.0/24,应在 OpenVPN 服务器上获得静态地址 10.8.0.5
客户端 2 VPN 子网(VPN-GUST 用户):192.168.5.0/24,应在 OpenVPN 服务器上获得静态地址 10.8.0.4
在settings目录中,创建一个ccd文件夹并创建名称与用户登录名相对应的设置文件。
对于 VPN 用户,在文件中写入以下设置:
对于 VPN-GUST 用户,在文件中写入以下内容:
只需调整 OpenVPN 服务器的配置 - 添加用于读取客户端设置的参数并在客户端子网上添加路由:
在上面的屏幕截图中,配置的前 2 行是使用 DSM 界面进行配置的(选中 OpenVPN 服务器设置中的“允许客户端访问服务器的本地网络”选项)。
client-config-dir ccd 行指定客户端设置位于 ccd 文件夹中。
接下来,2 个配置行通过相应的 OpenVPN 网关添加到客户端子网的路由。
最后,必须应用子网拓扑才能正常工作。
我们不会触及文件中的所有其他设置。
指定设置后,不要忘记在包管理器中重新启动 VPN Server 服务。 在服务器子网的主机或主机网关上注册通过NAS到客户端子网的路由。
就我而言,NAS 所在子网(其 IP 192.168.1.3)上所有主机的网关都是路由器(192.168.1.1)。 在此路由器上,我将网络 192.168.5.0/24 和 192.168.10.0/24 的路由条目添加到静态路由表中的网关 192.168.1.3 (NAS)。
不要忘记,在 NAS 上启用防火墙后,您还需要对其进行配置。 另外,可以在客户端启用防火墙,这也需要进行配置。
附言。 我不是网络技术方面的专业人士,特别是使用 OpenVPN 的专业人士,我只是分享我的经验并发布我所做的设置,这使我能够配置子网之间的站点到站点通信。 也许有一个更简单和/或正确的设置,如果您在评论中分享您的经验,我会很高兴。
来源: habr.com