Всем привет! Я знаю, что многие темы созданы с настройками OpenVPN. Однако я сам столкнулся с тем, что систематизированной информации по теме заголовка практически нет и решил поделиться своим опытом в первую очередь с теми, кто не является гуру в администрировании OpenVPN, но хотел бы добиться подключения удаленных подсетей с помощью тип «сеть-сеть» на NAS Synology. Заодно оставьте себе записку на память.
Так.
Имеется NAS-устройство Synology DS918+ с установленным пакетом VPN-сервера, настроенным OpenVPN и пользователями, которые могут подключаться к VPN-серверу.
Я не буду вдаваться в подробности настройки сервера в интерфейсе DSM (веб-портал NAS-сервера).
Эта информация доступна на сайте производителя.
Проблема в том, что интерфейс DSM (версия 6.2.3 на момент публикации) имеет ограниченное количество настроек для управления OpenVPN-сервером.
В нашем случае необходима схема подключения типа site-to-site, т.е.
хосты в подсети VPN-клиента должны видеть хосты в подсети VPN-сервера, и наоборот. Типичные настройки, доступные на NAS, позволяют настроить доступ только с хостов в подсети VPN-клиента к хостам в подсети VPN-сервера.
Чтобы настроить доступ к подсетям VPN-клиентов из подсети VPN-сервера, нам потребуется войти в NAS через SSH и настроить файл конфигурации сервера OpenVPN вручную.
Для редактирования файлов на NAS через SSH мне удобнее использовать Midnight Commander. Для этого я подключил исходники в Центре пакетов packages.synocommunity.com и установил пакет Midnight Commander.
Заходим по SSH на NAS под учетной записью с правами администратора.
Введите sudo su и еще раз укажите пароль администратора:
Введите команду mc и запустите Midnight Commander:
Затем перейдите в каталог /var/packages/VPNCenter/etc/openvpn/ и найдите файл openvpn.conf:
По задаче нам необходимо соединить 2 удаленные подсети.
Для этого создаем учетные записи на NAS через DSM 2 с ограниченными правами на все сервисы NAS и предоставляем доступ только к VPN-подключению в настройках VPN-сервера.
Для каждого клиента нам необходимо настроить статический IP-адрес, выделяемый VPN-сервером, и маршрутизировать трафик через этот IP из подсети VPN-сервера в подсеть VPN-клиента.
Исходные данные: Подсеть VPN-сервера: 192.168.1.0/24. Пул адресов серверов OpenVPN 10.8.0.0/24. Сам сервер OpenVPN получает адрес 10.8.0.1. Подсеть VPN-клиента 1 (пользователь VPN): 192.168.10.0/24, должен получить статический адрес 10.8.0.5 на сервере OpenVPN Подсеть VPN-клиента 2 (пользователь VPN-GUST): 192.168.5.0/24, должен получить статический адрес 10.8.0.4 на сервере OpenVPN В каталоге настроек создайте папку ccd и создайте файлы настроек с именами, соответствующими логинам пользователей.
Для пользователя VPN введите в файл следующие настройки:
Для пользователя VPN-GUST напишите в файле следующее:
Останется только подправить конфигурацию OpenVPN-сервера — добавить параметр для чтения настроек клиента и добавить маршрутизации по клиентским подсетям:
На скриншоте выше первые 2 строки конфига настраиваются с помощью интерфейса DSM (проверка опции «Разрешить клиентам доступ к локальной сети сервера» в настройках сервера OpenVPN).
Строка client-config-dir ccd указывает, что настройки клиента находятся в папке ccd. Далее 2 строки конфигурации добавляют маршруты к клиентским подсетям через соответствующие шлюзы OpenVPN. Наконец, для правильной работы вам необходимо использовать топологию подсети.
Все остальные настройки в файле не трогаем.
После установки настроек не забудьте перезапустить службу VPN Server в менеджере пакетов.
На хостах или шлюзе для хостов подсети сервера пропишите маршруты к клиентским подсетям через NAS. В моем случае шлюзом для всех хостов подсети, в которой находится NAS (его IP 192.168.1.3), был роутер (192.168.1.1).
На этом роутере я добавил в статическую таблицу маршрутизации записи маршрутизации для сетей 192.168.5.0/24 и 192.168.10.0/24 на шлюзе 192.168.1.3 (NAS).
Не забывайте, что если на NAS включен брандмауэр, вам также потребуется его настроить.
Плюс на стороне клиента может быть включен брандмауэр, который тоже нужно будет настроить.
ПС.
Я не являюсь профессионалом в сетевых технологиях и в частности в работе с OpenVPN, я просто делюсь своим опытом и публикую сделанные мною настройки, которые позволили мне настроить межсайтовую связь между подсетями.
Возможно есть более простая и/или правильная настройка, буду только рад, если вы поделитесь своим опытом в комментариях.
Теги: #Сетевые технологии #Synology NAS OpenVPN «сеть-сеть»
-
Глоссарий Чпу
19 Oct, 24 -
Картрайт, Эдмунд
19 Oct, 24 -
Не Все Люди Умеют Писать Код
19 Oct, 24 -
Как Заменить Бухгалтера Роботом?
19 Oct, 24
