大家好!
我知道已經有很多關於OpenVPN設置的話題了。 然而,我自己遇到的事實是,關於標題主題基本上沒有系統的信息,因此決定主要與那些不是 OpenVPN 管理專家,但希望在 Synology NAS 上通過站點到站點類型實現遠程子網連接的人分享我的經驗。 同時,給自己留一張紙條作為紀念。
我有一台安裝了該軟體包的 Synology DS918+ NAS。 VPN 伺服器由 OpenVPN 配置,使用者可以連接到該 VPN 伺服器。我不會詳細介紹如何在 DSM 介面(NAS 伺服器的 Web 入口網站)中設定伺服器,這些資訊可以在製造商的網站上找到。
問題是 DSM 界面(截至發布日期版本 6.2.3)用於管理 OpenVPN 服務器的設置數量有限。 在我們的例子中,需要一個站點到站點的連接方案,即VPN 客戶端子網主機必須看到 VPN 服務器子網主機,反之亦然。 NAS 上可用的默認設置允許您配置僅從 VPN 客戶端子網主機到 VPN 服務器子網主機的訪問。
要配置從 VPN 服務器子網訪問 VPN 客戶端子網,我們需要通過 SSH 登錄 NAS 並手動配置 OpenVPN 服務器配置文件。
如果要通過SSH編輯NAS上的文件,我使用Midnight Commander會更方便。 為此,我連接了軟件包中心中的源 並安裝了 Midnight Commander 軟件包。
使用具有管理員權限的帳戶通過 SSH 登錄 NAS。
我們輸入 sudo su 並再次指定管理員密碼:
我們輸入命令 mc 並運行 Midnight Commander:
接下來,進入 /var/packages/VPNCenter/etc/openvpn/ 目錄並找到 openvpn.conf 文件:
根據任務,我們需要連接2個遠程子網。 為此,我們通過 DSM 2 在 NAS 上創建帳戶,對所有 NAS 服務具有有限的權限,並僅授予對 VPN 服務器設置中的 VPN 連接的訪問權限。 對於每個客戶端,我們需要配置一個由 VPN 服務器分配的靜態 IP,並通過此 IP 流量從 VPN 服務器的子網路由到客戶端的 VPN 子網。
初始數據:
VPN服務器子網:192.168.1.0/24。
OpenVPN服務器的地址池為10.8.0.0/24。 OpenVPN 服務器本身接收地址 10.8.0.1。
客戶端 1 VPN 子網(VPN 用戶):192.168.10.0/24,應在 OpenVPN 服務器上獲得靜態地址 10.8.0.5
客戶端 2 VPN 子網(VPN-GUST 用戶):192.168.5.0/24,應在 OpenVPN 服務器上獲得靜態地址 10.8.0.4
在settings目錄中,創建一個ccd文件夾並創建名稱與用戶登錄名相對應的設置文件。
對於 VPN 用戶,在文件中寫入以下設置:
對於 VPN-GUST 用戶,在文件中寫入以下內容:
只需調整 OpenVPN 服務器的配置 - 添加用於讀取客戶端設置的參數並在客戶端子網上添加路由:
在上面的屏幕截圖中,配置的前 2 行是使用 DSM 界面進行配置的(選中 OpenVPN 服務器設置中的“允許客戶端訪問服務器的本地網絡”框)。
client-config-dir ccd 行指定客戶端設置位於 ccd 文件夾中。
接下來,2 個配置行通過相應的 OpenVPN 網關添加到客戶端子網的路由。
最後,必須應用子網拓撲才能正常工作。
我們不會觸及文件中的所有其他設置。
指定設置後,不要忘記在包管理器中重新啟動 VPN Server 服務。 在服務器子網的主機或主機網關上註冊通過NAS到客戶端子網的路由。
就我而言,NAS 所在子網(其 IP 192.168.1.3)上所有主機的網關都是路由器(192.168.1.1)。 在此路由器上,我將網絡 192.168.5.0/24 和 192.168.10.0/24 的路由條目添加到靜態路由表中的網關 192.168.1.3 (NAS)。
不要忘記,在 NAS 上啟用防火牆後,您還需要對其進行配置。 另外,可以在客戶端啟用防火牆,這也需要進行配置。
附言。 我不是網絡技術方面的專業人士,特別是使用 OpenVPN 的專業人士,我只是分享我的經驗並發布我所做的設置,這使我能夠配置子網之間的站點到站點通信。 也許有一個更簡單和/或正確的設置,如果您在評論中分享您的經驗,我會很高興。
來源: www.habr.com
